ZAG

Zahlungsdiensteaufsichtsgesetz

Gesetz über die Beaufsichtigung von Zahlungsdiensten

Vom 17.7.2017 (BGBl. I S. 2446; 2019 S. 1113)

Zuletzt geändert am 28.2.2025 (BGBl. I S. Nr. 69)

Abschnitt 1
Allgemeine Vorschriften
Unterabschnitt 1
Begriffsbestimmungen, Anwendungsbereich, Aufsicht
§ 1Begriffsbestimmungen
Unterabschnitt 2
Durchsetzung des Erlaubnisvorbehalts
§ 7Einschreiten gegen unerlaubte Zahlungsdienste und E-Geld-Geschäfte
Unterabschnitt 3
Sofortige Vollziehbarkeit
§ 9Sofortige Vollziehbarkeit
Abschnitt 2
Erlaubnis; Inhaber bedeutender Beteiligungen
Unterabschnitt 1
Erlaubnis
§ 10Erlaubnis für das Erbringen von Zahlungsdiensten; Verordnungsermächtigung
Unterabschnitt 2
Inhaber bedeutender Beteiligungen
§ 14Inhaber bedeutender Beteiligungen; Verordnungsermächtigung
Abschnitt 3
Eigenmittel, Absicherung im Haftungsfall
§ 15Eigenmittel; Verordnungsermächtigung
Abschnitt 5
Vorschriften über die laufende Beaufsichtigung von Instituten
§ 19Auskünfte und Prüfungen
Abschnitt 6
Sondervorschriften für das E-Geld-Geschäft und den Vertrieb und die Rücktauschbarkeit
§ 31Verbot der Ausgabe von E-Geld über andere Personen
Abschnitt 7
Sonderbestimmungen für Kontoinformationsdienste
§ 34Registrierungspflicht; Verordnungsermächtigung
Abschnitt 8
Europäischer Pass, Zweigniederlassung und grenzüberschreitender Dienstleistungsverkehr, Zweigstellen aus Drittstaaten
§ 38Errichten einer Zweigniederlassung, grenzüberschreitender Dienstleistungsverkehr durch inländische Institute
Abschnitt 9
Register
§ 43Zahlungsinstituts-Register
Abschnitt 10
Gemeinsame Bestimmungen für alle Zahlungsdienstleister
Unterabschnitt 1
Kartengebundene Zahlungsinstrumente
§ 45Pflichten des kontoführenden Zahlungsdienstleisters
Unterabschnitt 2
Zugang von Zahlungsauslöse- und Kontoinformationsdienstleistern zu Zahlungskonten
§ 48Pflichten des kontoführenden Zahlungsdienstleisters bei Zahlungsauslösediensten
Unterabschnitt 3
Risiken und Meldung von Vorfällen
§ 53Beherrschung operationeller und sicherheitsrelevanter Risiken
Unterabschnitt 4
Starke Kundenauthentifizierung
§ 55Starke Kundenauthentifizierung
Unterabschnitt 5
Zugang zu Konten und Zahlungssystemen
§ 56Zugang zu Zahlungskontodiensten bei CRR-Kreditinstituten
Abschnitt 11
Datenschutz
§ 59Datenschutz
Abschnitt 12
Beschwerden; Außergerichtliche Streitbeilegung und kollektive Verbraucherinformation
§ 60Beschwerden über Zahlungsdienstleister
Abschnitt 13
Strafvorschriften, Bußgeldvorschriften
§ 63Strafvorschriften

§ 50

Pflichten des kontoführenden Zahlungsdienstleisters bei Kontoinformationsdiensten

(1) Der kontoführende Zahlungsdienstleister ist verpflichtet,

1. mit dem Kontoinformationsdienstleister auf sichere Weise zu kommunizieren und
2. Anfragen nach der Übermittlung von Daten, die von einem Kontoinformationsdienstleister übermittelt werden, ohne Benachteiligung zu behandeln, es sei denn, es bestehen objektive Gründe für eine abweichende Behandlung.

(2) Das Erbringen von Kontoinformationsdiensten ist nicht davon abhängig, ob der Kontoinformationsdienstleister und der kontoführende Zahlungsdienstleister zu diesem Zweck einen Vertrag abgeschlossen haben.

(3) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.

§ 51

Pflichten des Kontoinformationsdienstleisters

(1) 1 Der Kontoinformationsdienstleister darf seine Dienste nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers erbringen. 2 Er darf nur auf Informationen von Zahlungskonten, die der Zahlungsdienstnutzer bezeichnet hat, und mit diesen im Zusammenhang stehenden Zahlungsvorgängen zugreifen. 3 Er darf keine sensiblen Zahlungsdaten anfordern, die mit den Zahlungskonten in Zusammenhang stehen. 4 Er darf Daten nur für die Zwecke des vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienstes speichern, verwenden oder darauf zugreifen.

(2) 1 Ein Kontoinformationsdienstleister ist verpflichtet, sich gegenüber dem kontoführenden Zahlungsdienstleister des Zahlungsdienstnutzers jedes Mal, wenn er mit ihm kommuniziert, zu identifizieren. 2 Er muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und demjenigen, der die personalisierten Sicherheitsmerkmale ausgegeben hat, zugänglich sind.

(3) 1 Der Kontoinformationsdienstleister hat mit dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer auf sichere Weise zu kommunizieren. 2 Soweit die Übermittlung der personalisierten Sicherheitsmerkmale erforderlich ist, darf dies nur über sichere und effiziente Kanäle geschehen.

(4) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.

§ 52

Zugang zu Zahlungskonten

(1) Ein kontoführender Zahlungsdienstleister kann einem Kontoinformationsdienstleister oder einem Zahlungsauslösedienstleister den Zugang zu einem Zahlungskonto verweigern, wenn objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang des Kontoinformationsdienstleisters oder des Zahlungsauslösedienstleisters zum Zahlungskonto, einschließlich der nicht autorisierten oder betrügerischen Auslösung eines Zahlungsvorgangs, es rechtfertigen.

(2) 1 In den Fällen des Absatzes 1 hat der kontoführende Zahlungsdienstleister den Vorfall der Bundesanstalt unverzüglich zu melden. 2 Hierbei sind die Einzelheiten des Vorfalls und die Gründe für das Tätigwerden anzugeben. 3 Die Bundesanstalt hat den Fall zu bewerten und kann erforderlichenfalls geeignete Maßnahmen ergreifen. 4 Die Aufgaben und Zuständigkeiten anderer Behörden, insbesondere der Kartellbehörden nach dem Gesetz gegen Wettbewerbsbeschränkungen sowie der Strafverfolgungsbehörden nach der Strafprozessordnung, bleiben unberührt.

(3) Der kontoführende Zahlungsdienstleister hat den Zugang zu dem Zahlungskonto zu gewähren, sobald die Gründe für die Verweigerung des Zugangs nicht mehr bestehen.

Unterabschnitt 3
Risiken und Meldung von Vorfällen

§ 53

Beherrschung operationeller und sicherheitsrelevanter Risiken

(1) 1 Ein Zahlungsdienstleister hat angemessene Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten einzurichten, aufrechtzuerhalten und anzuwenden. 2 Dies umfasst wirksame Verfahren für die Behandlung von Störungen im Betriebsablauf, auch zur Aufdeckung und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle. 3 Für Zahlungsdienstleister im Sinne des § 1 Absatz 1 Satz 1 Nummer 1, 2 oder Nummer 3 gelten die Sätze 1 und 2 unbeschadet der Vorschriften in Kapitel II der Verordnung (EU) 2022/2554.

(2) 1 Ein Zahlungsdienstleister hat der Bundesanstalt einmal jährlich eine aktuelle und umfassende Bewertung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten und hinsichtlich der Angemessenheit der Risikominderungsmaßnahmen und Kontrollmechanismen, die er zur Beherrschung dieser Risiken ergriffen hat, zu übermitteln. 2 Die Bundesanstalt kann gegenüber einem Zahlungsdienstleister festlegen, dass die Übermittlung der Bewertung nach Satz 1 in kürzeren Zeitabständen zu erfolgen hat.

§ 54

Meldung schwerwiegender Betriebs- oder Sicherheitsvorfälle

(1) 1 Ein Zahlungsdienstleister hat die Bundesanstalt unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. 2 Die Bundesanstalt unterrichtet die Europäische Bankenaufsichtsbehörde und die Europäische Zentralbank unverzüglich nach Eingang einer Meldung über die maßgeblichen Einzelheiten des Vorfalls. 3 Sie hat die Relevanz des Vorfalls für andere in ihrer sachlichen Zuständigkeit betroffene inländische Behörden unverzüglich zu prüfen und diese entsprechend zu unterrichten.

(2) Die Bundesanstalt wirkt an der Prüfung der Relevanz des Vorfalls für andere in ihrer sachlichen Zuständigkeit betroffene Behörden der Europäischen Union, der anderen Mitgliedstaaten und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum durch die Europäische Bankenaufsichtsbehörde und die Europäische Zentralbank mit.

(3) Wird die Bundesanstalt von der Europäischen Bankenaufsichtsbehörde oder der Europäischen Zentralbank über einen Vorfall im Sinne des Absatzes 1 Satz 1 unterrichtet, so hat sie die für die unmittelbare Sicherheit des Finanzsystems notwendigen Schutzvorkehrungen zu treffen.

(4) Kann sich ein Vorfall im Sinne des Absatzes 1 Satz 1 auf die finanziellen Interessen seiner Zahlungsdienstnutzer auswirken, hat ein Zahlungsdienstleister diese unverzüglich über den Vorfall zu benachrichtigen und über alle Maßnahmen zu informieren, die sie ergreifen können, um negative Auswirkungen des Vorfalls zu begrenzen.

(5) 1 Die Zahlungsdienstleister haben der Bundesanstalt mindestens einmal jährlich statistische Daten zu Betrugsfällen in Verbindung mit den unterschiedlichen Zahlungsmitteln vorzulegen. 2 Die Bundesanstalt hat der Europäischen Bankenaufsichtsbehörde und der Europäischen Zentralbank die vorgelegten Daten in aggregierter Form zur Verfügung zu stellen.

(6) Meldepflichten der Zahlungsdienstleister an andere inländische Behörden, Mitwirkungsaufgaben der Bundesanstalt sowie die Zuständigkeiten anderer inländischen Behörden für schwerwiegende Betriebs- oder Sicherheitsvorfälle bleiben unberührt.

(7) Die Absätze 1 bis 4 gelten nicht für Zahlungsdienstleister im Sinne des § 1 Absatz 1 Satz 1 Nummer 1, 2 oder Nummer 3.

Unterabschnitt 4
Starke Kundenauthentifizierung

§ 55

Starke Kundenauthentifizierung

(1) 1 Der Zahlungsdienstleister ist verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler

1. online auf sein Zahlungskonto zugreift;
2. einen elektronischen Zahlungsvorgang auslöst;
3. über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
2 Ein Zahlungsdienstleister muss im Fall des Satzes 1 über angemessene Sicherheitsvorkehrungen verfügen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen.

(2) Handelt es sich bei dem elektronischen Zahlungsvorgang nach Absatz 1 Satz 1 Nummer 2 um einen elektronischen Fernzahlungsvorgang, hat der Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

(3) 1 Absatz 1 Satz 2 und Absatz 2 gelten auch, wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst werden. 2 Absatz 1 gilt auch, wenn die Informationen über einen Kontoinformationsdienstleister angefordert werden.

(4) Der kontoführende Zahlungsdienstleister hat es dem Zahlungsauslösedienstleister und dem Kontoinformationsdienstleister zu gestatten, sich auf die Authentifizierungsverfahren zu stützen, die er dem Zahlungsdienstnutzer gemäß Absatz 1 sowie, in Fällen, in denen ein Zahlungsauslösedienstleister beteiligt ist, darüber hinaus gemäß Absatz 2 bereitstellt.

(5) Näheres zu Erfordernissen und Verfahren zur starken Kundenauthentifizierung einschließlich etwaiger Ausnahmen von deren Anwendung sowie Anforderungen an Sicherheitsvorkehrungen für die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.

Teste LX Pro.

LX Gesetze auf allen Geräten nutzen
  • Teste LX Pro auf all deinen Geräten – kostenlos und unverbindlich.
  • Zugriff auf alle Gesetze und Funktionen.
  • Der Probemonat endet automatisch.
Jetzt Probemonat starten
Du hast schon ein Nutzerkonto?
Hier einloggen.
×

Alle Gesetze.
Ein Preis.

LX Gesetze auf allen Geräten nutzen
  • Mit LX Pro Zugriff auf alle Gesetze und Funktionen.
  • Zugang endet automatisch – keine Kündigung nötig.
LX Pro aktivieren ×