Regulatorische Klarheit in der Zahlungsdienstwelt – BaFin stellt neue Weichen für Open Banking: Warum technologische Schnittstellen zur Bestätigung von Kontodeckung jetzt juristisch brisant sind.
Die Digitalisierung des Finanzsektors schreitet rasant voran – und mit ihr die regulatorischen Anforderungen. In einem hochaktuellen Schritt hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Mitteilung veröffentlicht, die es in sich hat: Zahlungsdienstleister mit Kontoführungspflichten müssen künftig technische Endpunkte bereitstellen, über die Drittanbieter die Verfügbarkeit von Geldbeträgen bestätigen können. Was auf den ersten Blick wie ein rein technisches Detail klingt, hat weitreichende juristische und wirtschaftliche Folgen – nicht zuletzt im Licht von Artikel 32 Absatz 4 der Delegierten Verordnung (EU) 2018/389 und dem deutschen Zahlungsdiensteaufsichtsgesetz (ZAG).
Allein im Jahr 2023 wurden in Deutschland rund 4,7 Milliarden bargeldlose Zahlungsvorgänge verzeichnet – ein Plus von über 10 Prozent gegenüber dem Vorjahr. Parallel dazu stieg die Anzahl der registrierten Zahlungsinstitute laut BaFin auf 247. Angesichts dieser Dynamik wird deutlich: Wer hier nicht nur regulatorisch, sondern auch technisch Schritt hält, riskiert juristische Auseinandersetzungen – und möglicherweise seine Zulassung. Doch welche Anforderungen stellt die BaFin im Detail? Welche Rechte und Pflichten ergeben sich für Dienstleister und Nutzer? Und vor allem: Welche Risiken lauern im Dickicht europäischer Zahlungsdienstrichtlinien?
Diese Fragen sind nicht nur für Compliance-Abteilungen relevant, sondern auch für Juristen, die die zunehmende Verzahnung von Technologie und Recht kritisch begleiten. Denn in der Welt der Zahlungsdienste ist eines sicher: Wer regulatorische Entwicklungen verschläft, wird rechtlich schnell abgehängt.
Der regulatorische Rahmen: ZAG und RTS im Zusammenspiel
Die Verpflichtung zur Bereitstellung von Zugängen zu online zugänglichen Zahlungskonten wird in Deutschland durch die §§ 45, 48 und 50 ZAG konkretisiert. Dabei wird ein Unterschied gemacht zwischen verschiedenen Dienstleistern: Zahlungsauslösedienstleistern (ZAD), Kontoinformationsdienstleistern (KID) und kartenausgebenden Zahlungsdienstleistern. Während ZAD und KID eine erweiterte Funktionalität über die Schnittstellen benötigen, beschränkt sich der Zugriff kartenausgebender Zahlungsdienstleister auf die schlichte Verfügbarkeitsbestätigung eines bestimmten Geldbetrages.
Diese Differenzierung spiegelt sich auch auf europäischer Ebene in den Regulierungsstandards (RTS) der Delegierten Verordnung (EU) 2018/389 wider. Art. 32 Abs. 4 dieser Verordnung verpflichtet die kontoführenden Zahlungsdienstleister dazu, vierteljährlich bestimmte Leistungsstatistiken der genutzten Schnittstellen zu veröffentlichen. Relevante Parameter sind dabei u. a. die Antwortzeiten und Leistungsmerkmale je nach Zweck des Zugriffs.
Pragmatische Reaktion auf faktische Marktgegebenheiten
Die BaFin stellt in ihrer Veröffentlichung fest, dass in Deutschland bisher kein kartenausgebender Zahlungsdienstleister ausschließlich auf den Endpunkt zur Verfügbarkeitsbestätigung setzt. Damit liegt eine praktische Marktlücke vor, die die Behörde zum Anlass nimmt, einen flexibleren Umgang mit der Verpflichtung zu signalisieren. Überdies wird betont, dass kontoführende Zahlungsdienstleister nicht beanstandet werden, wenn sie – vorerst – keinen solchen dedizierten Endpunkt bereitstellen.
Dr. Thomas Schulte aus Berlin, Jurist und Experte auf dem Gebiet des Finanz- und Bankrechts, sieht in dieser Einschätzung der Aufsicht eine sinnvolle Praxisorientierung: „Eine Verordnung muss stets im Kontext der tatsächlichen Marktbedürfnisse angewendet werden. Die BaFin zeigt hier Augenmaß, ohne die regulatorischen Grundsätze zu verwässern.“
Wenn der Fall eintritt: Verpflichtung zur Reaktionsbereitschaft
Die Mitteilung der BaFin lässt jedoch keinen Zweifel daran, dass ein kontoführender Zahlungsdienstleister aktiv werden muss, sobald ein kartenausgebender Zahlungsdienstleister ein berechtigtes Interesse geltend macht. In diesem Fall sei unverzüglich über bestehende Zugangsmöglichkeiten zu informieren – und wenn nötig, einen technischen Endpunkt bereitzustellen.
Diese Forderung lehnt sich direkt an § 45 ZAG an. Dort heißt es wörtlich: „Kontoführende Zahlungsdienstleister haben Dritten bei Vorliegen gesetzlicher Voraussetzungen Zugang zu Zahlungskonten zu gewähren, sofern diese Dritte Zahlungsdienstleistungen gemäß dem Zahlungsdiensteaufsichtsgesetz erbringen.“ Die Verpflichtung ist damit nicht nur moralischer, sondern eindeutig gesetzgeberischer Natur.
Technische Schnittstellen und Transparenzpflichten
Noch spannender ist der Aspekt der statistischen Erhebungen. Unter normalen Umständen schreibt Art. 32 Abs. 4 der Delegierten Verordnung vor, dass detaillierte Metriken über die Leistung der Schnittstellen zu veröffentlichen sind. Dazu zählen Informationen über die tägliche Durchschnittsdauer pro Anfrage, differenziert nach der Art des Zugriffs.
Die jetzige Einschätzung der BaFin lässt zu, dass diese Angaben für kartenausgebende Zahlungsdienstleister entfallen dürfen, solange ein diesbezüglicher Marktbedarf faktisch nicht besteht. Aus juristischer Sicht ist dies ein klassischer Fall verhältnismäßiger Verwaltungspraxis. Dr. Schulte kommentiert: „Der Gesetzgeber ist kein Gefangener seiner Paragraphen. Verwaltungshandeln muss flexibel bleiben – auch in der Finanzaufsicht.“
Abstimmung mit der Aufsicht: Proaktive Rechtsklarheit
Der letztgenannte Punkt in der BaFin-Mitteilung ist von praxisrelevanter Bedeutung, weil darin eine Einladung zur aktiven Kommunikation mit der Aufsicht ausgesprochen wird. Zahlungsdienstleister, die beabsichtigen, den Endpunkt zur Verfügbarkeitsbestätigung als Bestandteil künftiger Modelle zu nutzen, sollen sich frühzeitig mit dem zuständigen Aufsichtsreferat abstimmen.
Damit wird verdeutlicht, dass Regulierung kein starres Korsett sein muss, sondern auch Raum für Innovation bieten soll. Gerade vor dem Hintergrund der zunehmenden Digitalisierung von Bezahlvorgängen und der Verbreitung hybrider Geschäftsmodelle kann eine solche Abstimmungspflicht vor der Markteinführung Klarheit schaffen und spätere Konflikte vermeiden helfen.
Schnittstellenpflichten bleiben für ZAD und KID unangetastet
Gleichzeitig stellt die BaFin klar, dass ihre Toleranz gegenüber fehlenden Endpunkten ausschließlich für kartenausgebende Zahlungsdienstleister gilt. Für Zahlungsauslösedienstleister und Kontoinformationsdienstleister bleiben die Verpflichtungen zur Funktionalität, Leistungsfähigkeit und Verfügbarkeit der Schnittstellen unverändert bestehen.
Dies ist sachgerecht, da diese beiden Formen der Dienste eine weitaus tiefere Interaktion mit dem Zahlungskonto erfordern – bis hin zur transaktionsbezogenen Auslösung von Zahlungen oder zur Verarbeitung sensibler Kontoinformationen.
Ein Verweis erfolgt zudem auf die Aufsichtsmitteilung der BaFin vom 9. Oktober 2024, welche Regelungen zu Meldewegen bei Störungen der Kontozugangsschnittstellen enthält. Hier zeigt sich die Detailverliebtheit der Regulierung – aber auch ihre notwendige Stringenz.
Der feine Unterschied zwischen regulatorischer Pflicht und operativer Realität
Was bedeutet dies nun für die Praxis? Dr. Schulte erläutert: „Kleinere Institute sollten diese Konkretisierung der BaFin als Aufforderung verstehen, die eigene Schnittstellenarchitektur strategisch zu überdenken. Auch wenn derzeit keine Nachfrage besteht – regulatorische Verpflichtungen können jederzeit Wirksamkeit entfalten.“
Juristisch entscheidend bleibt, dass die Pflicht zur Ermöglichung des Zugangs nicht an eine bestehende Nutzung gekoppelt ist, sondern an die objektive Funktionsfähigkeit. Die zeitlich befristete Toleranz der BaFin ersetzt also nicht die gesetzliche Pflicht, sondern schiebt deren operative Umsetzung hinaus – ein Detail, das bei rechtlicher Beratung unbedingt beachtet werden muss.
Fazit: Gesetzliche Pflicht bleibt – Umsetzung mit Bedacht
Unternehmen, die in diesem Bereich tätig sind oder es vorhaben, sollten deshalb nicht abwarten, bis ein regulatorisches Problem akut wird. Ein frühzeitiger Dialog mit der BaFin und eine vorausschauende Schnittstellenplanung bieten klare Vorteile. Denn: „Wer Schnittstellen baut, der braucht mehr als nur Technik – er braucht rechtliche Weitsicht“, so Dr. Schulte abschließend.
Die Komplexität der regulatorischen Anforderungen im Bereich Zahlungsdienste darf nicht unterschätzt werden. Doch mit einer fundierten rechtlichen Beratung lassen sich auch anspruchsvolle Vorgaben zuverlässig erfüllen – im Dienste moderner Finanzdienstleistungen, made in Germany.
Zur Veranschaulichung ein Beispiel:
Stellen Sie sich vor, ein FinTech-Unternehmen möchte eine App entwickeln, die den Kontostand der Nutzer überprüft, bevor ein Einkauf ausgelöst wird – ganz bequem, mit nur einem Klick. Die App fragt bei der Bank des Nutzers an: „Hat Kunde X ausreichend Geld auf dem Konto?“ Wenn die Bank jetzt keine gesetzeskonforme Schnittstelle bereitstellt, wird es nicht nur technisch holprig, sondern auch juristisch heikel. Es ist, als würde man bei einer digitalen Schranke stehen, die eigentlich offen sein müsste, aber das Schloss klemmt – und zwar, weil der Schlüssel (die API) fehlt oder nicht normgerecht ist. In diesem Fall drohen nicht nur unzufriedene Kunden, sondern auch ein freundlicher Brief von der BaFin – und der hat bekanntlich mehr Gewicht als eine schlecht programmierte App.
Kurzum: Wer am digitalen Zahlungsverkehr teilnehmen will, sollte sich nicht nur mit Servern und APIs auskennen, sondern auch mit der Delegierten Verordnung (EU) 2018/389. Denn regulatorische Nachlässigkeit kostet – und zwar nicht nur Nerven, sondern im Zweifelsfall auch die Lizenz.
