Mit der Zahlungsdiensterichtlinie II (ZDR II) werden sogenannte Dritte Zahlungsdienstleister, die bisher weitgehend unreguliert operieren konnten, dem Regiment der Aufsichtsbehörden unterstellt. Dies führt zu einer ganzen Reihe von Pflichten, die Zahlungsauslösedienstleister und Kontoinformationsdienstleister befolgen müssen, wenn sie in Europa operieren wollen.
Allgemeine Datenschutzregeln und sensible Zahlungsdaten
Ein wichtiger Punkt, den Dritte Zahlungsdienstleister in Zukunft stärker beachten müssen, ist der Aspekt des Datenschutzes. Grundsätzlich gilt dabei nach Art. 94 Abs. 2 der Richtlinie das Prinzip der Datensparsamkeit und des Zustimmungsvorbehalts. Zahlungsdienstleister sollen grundsätzlich nur die nötigsten Daten erheben und dies auch nur nach vorheriger ausdrücklicher Zustimmung des Kunden. Zur Umsetzung verweist Art. 94 Abs. 1 ZDR II auf die EU-Richtlinie 95/46/EG. Diese wurde in Deutschland durch das Bundesdatenschutzgesetz umgesetzt.
Allerdings konstatiert die ZDR II für Dritte Zahlungsdienstleister noch weitergehende Pflichten. So schreibt Art. 66 Abs. 3 ZDR II den Zahlungsauslösediensten vor, dass sie erhobene Daten nur zum Zwecke des vom Kunden ausdrücklich geforderten Zahlungsauslösedienstes verwenden, darauf zugreifen und speichern dürfen. Sogenannte sensible Zahlungsdaten dürfen gar nicht gespeichert werden. Nach Art. 4 Nr. 32 ZDR II sind sensible Zahlungsdaten „Daten, einschließlich personalisierter Sicherheitsmerkmale, die für betrügerische Handlungen verwendet werden können“ mit Ausnahme von Kundenname und Kontonummer.
Noch strengere Regeln gelten für Kontoinformationsdienste. Diese dürfen gemäß Art. 67 Abs. 2 ZDR II sensible Zahlungsdaten noch nicht einmal anfordern.
Schutzmaßnahmen sind bereits im Zulassungsantrag darzustellen
Als nunmehr regulierte Zahlungsdienstleister müssen entsprechende Unternehmen eine Zulassung bei der zuständigen Aufsichtsbehörde – in Deutschland der BaFin – beantragen. Bereits im Zulassungsantrag muss gemäß Art. 5 Abs. 1 g), j) ZDR II dargelegt werden, wie mit personenbezogenen und sensiblen Daten umgegangen werden soll. Für die Behörde muss erkennbar sein, wie solche Daten gespeichert und verwertet werden und wie der Schutz vor Betrug und sonstiger illegaler Verwendung sichergestellt wird.
Sollten Sie Fragen zur konkreten Umsetzung der datenschutzrechtlichen Vorschriften haben oder Hilfe bei der Stellung eines Zulassungsantrages nach dem ZAG benötigen, helfen wir Ihnen gerne dabei.
Weiterlesen:
Zahlungsdiensterichtlinie II reguliert FinTechs
ZAG-Erlaubnis und Zahlungsdienste