info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Neue Datenschutzregeln für FinTechs

Mit der Zahlungsdiensterichtlinie II (ZDR II) werden sogenannte Dritte Zahlungsdienstleister, die bisher weitgehend unreguliert operieren konnten, dem Regiment der Aufsichtsbehörden unterstellt. Dies führt zu einer ganzen Reihe von Pflichten, die Zahlungsauslösedienstleister und Kontoinformationsdienstleister befolgen müssen, wenn sie in Europa operieren wollen.

Allgemeine Datenschutzregeln und sensible Zahlungsdaten

Ein wichtiger Punkt, den Dritte Zahlungsdienstleister in Zukunft stärker beachten müssen, ist der Aspekt des Datenschutzes. Grundsätzlich gilt dabei nach Art. 94 Abs. 2 der Richtlinie das Prinzip der Datensparsamkeit und des Zustimmungsvorbehalts. Zahlungsdienstleister sollen grundsätzlich nur die nötigsten Daten erheben und dies auch nur nach vorheriger ausdrücklicher Zustimmung des Kunden. Zur Umsetzung verweist Art. 94 Abs. 1 ZDR II auf die EU-Richtlinie 95/46/EG. Diese wurde in Deutschland durch das Bundesdatenschutzgesetz umgesetzt.

Allerdings konstatiert die ZDR II für Dritte Zahlungsdienstleister noch weitergehende Pflichten. So schreibt Art. 66 Abs. 3 ZDR II den Zahlungsauslösediensten vor, dass sie erhobene Daten nur zum Zwecke des vom Kunden ausdrücklich geforderten Zahlungsauslösedienstes verwenden, darauf zugreifen und speichern dürfen. Sogenannte sensible Zahlungsdaten dürfen gar nicht gespeichert werden. Nach Art. 4 Nr. 32 ZDR II sind sensible Zahlungsdaten „Daten, einschließlich personalisierter Sicherheitsmerkmale, die für betrügerische Handlungen verwendet werden können“ mit Ausnahme von Kundenname und Kontonummer.

Noch strengere Regeln gelten für Kontoinformationsdienste. Diese dürfen gemäß Art. 67 Abs. 2 ZDR II sensible Zahlungsdaten noch nicht einmal anfordern.

Schutzmaßnahmen sind bereits im Zulassungsantrag darzustellen

Als nunmehr regulierte Zahlungsdienstleister müssen entsprechende Unternehmen eine Zulassung bei der zuständigen Aufsichtsbehörde – in Deutschland der BaFin – beantragen. Bereits im Zulassungsantrag muss gemäß Art. 5 Abs. 1 g), j) ZDR II dargelegt werden, wie mit personenbezogenen und sensiblen Daten umgegangen werden soll. Für die Behörde muss erkennbar sein, wie solche Daten gespeichert und verwertet werden und wie der Schutz vor Betrug und sonstiger illegaler Verwendung sichergestellt wird.

Sollten Sie Fragen zur konkreten Umsetzung der datenschutzrechtlichen Vorschriften haben oder Hilfe bei der Stellung eines Zulassungsantrages nach dem ZAG benötigen, helfen wir Ihnen gerne dabei.

Weiterlesen:
Zahlungsdiensterichtlinie II reguliert FinTechs
ZAG-Erlaubnis und Zahlungsdienste

 

Sebastian Förste

Sebastian Förste

Sebastian Förste berät Kredit- sowie Finanzdienstleistungsinstitute zu aufsichtsrechtlichen Fragestellungen und vertritt sie gegenüber der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) und der Bundesbank. Außerdem berät er zum Recht kryptographischer Währungen, wie beispielsweise Bitcoin, Ethereum und Ripple sowie zu Initial Coin Offerings/Token Sales.

>> Zum Profil

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *