FONDS professionell Österreich, Ausgabe 3/2019

gen an Sorgfaltspflichten vorgesehen, die etwa das verpflichtende Einholen von Informatio- nen über den Kunden und den wirtschaftli- chen Eigentümer, die Herkunft des Geldes, geplante Transaktionen etc. umfassen. Da- durch soll verhindert werden, dass Kunden ein sogenanntes Forum-Shopping innerhalb der EU betreiben können. Zusätzlich soll nunmehr auch eine EU-wei- te Liste mit jenen Tätigkeiten herausgegeben werden, bei deren Ausübung eine Person als politisch exponiert zu qualifizieren ist. Dazu muss jeder Mitgliedsstaat Listen veröffent- lichen, die wichtige öffentliche Ämter des Mitgliedsstaates benennen. Die Kommission wird diese Listen konsolidieren und eine ein- zige EU-weite Liste erstellen, die alle wich- tigen öffentlichen Ämter der EU und ihrer Mitgliedsstaaten beinhaltet. Dadurch soll es leichter möglich sein, politisch exponierte Personen aus den anderen EU-Mitglieds- staaten zu identifizieren. Insgesamt wird die 5. Geldwäsche-Richt- linie dazu führen, dass betroffene Unter- nehmen ihre Maßnahmen zur Geldwäsche- prävention überarbeiten müssen. Die gesetz- lichen Vorgaben werden nochmals strenger. Zusätzlich wird auch der Kreis der verpflich- teten Unternehmen erweitert: Vor allem Platt- formen zum Umtausch virtueller Währungen – allen voran Bitcoin – sowie Anbieter von elektronischen Geldbörsen (Wallets) bezie- hungsweise Konten für virtuelle Währungen unterliegen nunmehr ebenfalls den Pflichten zum Vermeiden von Geldwäsche. Starke Kundenauthentifizierung Auch wenn bereits seit 14. März 2018 be- kannt ist, dass die Maßnahmen zur starken Kundenauthentifizierung bis 14. September 2019 umzusetzen sind, haben sich in letzter Zeit die Anzeichen gemehrt, dass trotz dieser Vorlaufzeit für einige Marktteilnehmer die Frist zu knapp bemessen ist. Zur Erinnerung: Durch die starke Kundenauthentifizierung sollen die Sicherheit bei Karten- und Online- zahlungen gewährleistet und das Betrugsrisiko minimiert werden. Zu diesem Zweck ist es notwendig, ein Authentifizierungsverfahren unter Heranziehen von mindestens zwei der folgenden drei Faktoren durchzuführen: • Wissen: etwas, das nur der Nutzer weiß (z. B. PIN) • Besitz: etwas, das nur der Nutzer besitzt (z. B. Bankomatkarte, Smartphone-App) • Inhärenz: etwas, das nur der Nutzer ist (z. B. Fingerabdruck, Iris-Scan) Das Verfahren muss dann eingehalten wer- den, wenn der Zahler online auf sein Konto zugreift, einen elektronischen Zahlungs- vorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die ein Betrugs- oder Missbrauchsrisiko im Zahlungsverkehr in sich birgt. Vorgesehen war bisher, dass die starke Kundenauthentifizierung ab dem 14. Septem- ber 2019 anzuwenden ist. Die Europäische Bankenregulierungsbehörde (EBA) hat den nationalen Aufsichtsbehörden jedoch ermög- licht, gewisse Ausnahmen von der Umset- zungsfrist zu gewähren. Von dieser Möglich- keit hat die österreichische Finanzmarktauf- sicht bei Kartenzahlungen im E-Commerce- Bereich Gebrauch gemacht. Der Grund für die Fristverlängerung ist die notwendige und zeitlich aufwendige technische Umstellung. Die neue Frist wird voraussichtlich Ende September 2019 beschlossen werden und europaweit einheitlich gelten. Was ist neu für Konsumenten? Ihre Identi- tät wird nun anhand von zwei Elementen überprüft. Auf ein Onlinekonto kann bei- spielsweise nur mittels Passwort und Ge- sichtserkennung zugegriffen werden. Damit ist durch das Passwort der Faktor Wissen und durch die Gesichtserkennung der Faktor Inhärenz erfüllt. Ausnahmen vomAuthentifizierungsverfah- ren bestehen beispielsweise bei Zahlungen an vertrauenswürdige Personen, die vom Kunden als solche bestimmt wurden (sogenannte „Weiße Liste“). Weiters ist bei Daueraufträgen nur bei der erstmaligen Transaktion oder bei Veränderungen eine starke Kundenauthenti- fizierung nötig, nicht aber bei jeder einzelnen Zahlung. Ausgenommen sind auch kontakt- lose Zahlungen bis 50 Euro. Dies gilt jedoch nur bis zu einem Gesamtwert der ausgelösten Transaktionen von 150 Euro seit der letzten Authentifizierung. Open Banking Die zunehmende Digitalisierung stellt die Kreditwirtschaft vor immer neue Herausfor- derungen. Start-ups dringen weiter in den Bankensenktor ein und verändern diesen durch neue Serviceangebote. Der dadurch ein- getretene Wandel soll durch das Konzept des Open Banking vorangetrieben werden. Da- runter versteht man allgemein das Öffnen von Kreditinstituten, deren Systemen sowie Infra- struktur und Nutzung ihrer Daten für Dritte. Kunden sollen dadurch leichter die Möglich- keit haben, bei online zugänglichen Zahlungs- konten die Dienste Dritter in Anspruch zu nehmen. Zu diesem Zweck ist das kontoführende Institut verpflichtet, Schnittstellen zum System für die Drittdienstleister bereitzustellen. Diese Dienstleister greifen über jene Schnittstellen auf das jeweilige Zahlungskonto der Kunden zu. Der Zugriff auf die Bankschnittstellen soll den Erbringern von „neuen“ Zahlungsdiensten möglich sein. Dies sind einerseits die soge- nannten Zahlungsauslösedienstleister. Darun- ter versteht man jene Dienstleister, die auf Veranlassung des Kunden Zahlungsaufträge in Bezug auf Konten, die bei anderen Zah- lungsdienstleistern geführt werden, auslösen. Andererseits werden „neue“ Zahlungsdienste auch von Kontoinformationsdiensten erbracht. Diese Dienstleister stellen Informationen über Konten bereit, die bei einem oder mehreren Zahlungsdienstleistern gehalten werden. Diese Dienstleistung bieten die meisten Banken bereits in ihren Multibanking-Apps an. Zu den zentralen Aufgaben des kontofüh- renden Instituts gehört es, Schnittstellen für die Drittdienstleister zugänglich zu machen. Dies kann sowohl durch eine separate Schnitt- stelle als auch durch die Kundenschnittstelle erfolgen – also jener, mittels der die Zahlungs- dienstnutzer direkt auf ihr Konto zugreifen können. Die neuen Dienstleister müssen sich vor dem Erbringen ihrer Leistung als Zah- lungsdienstleister identifizieren und die aus- drückliche Zustimmung des Kunden für die konkrete Leistung einholen. Auch daten- schutzrechtliche Aspekte sind zu beachten: Drittdienstleister müssen etwa sicherstellen, dass personalisierte Sicherheitsmerkmale (z. B. Verfügernummer, PIN etc.) keinem Dritten zugänglich sind. Obwohl diese Dienste schon bereits jetzt existieren, greift die neue gesetzliche Ver- pflichtung erst ab dem 14. September 2019: Ab dann müssen kontoführende Zahlungs- dienstleister funktionierende Schnittstellen für online zugängliche Zahlungskonten zur Verfügung stellen. Der Autor Dr. Raphael Toman ist Rechtsanwalt in der auf Kapital- marktrecht spezia- lisierten Kanzlei Brandl & Talos Rechtsanwälte GmbH. FP 251 www.fondsprofessionell.at | 3/2019