info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Die Zahlungsdiensterichtlinie (PSD II) im Datenschutz: Herausforderungen für Zahlungsdienstleister

Neue Regelungen für Zahlungsdienstleister in Europa

Der Zahlungsverkehr hat in den letzten Jahren bedeutende technische Innovationen erfahren. Diese führten zu einem raschen Anstieg elektronischer und mobiler Zahlungen sowie der Entstehung neuer Arten von Zahlungsarten, wie z.B. Paypal, Giropay oder Zahlung per Sofortüberweisung.

Viele innovative Zahlungsmittel oder -dienste unterfielen jedoch zunächst keiner Regulierung. Die bestehenden regulatorischen Anforderungen erwiesen sich schlicht als überholt. Dies hat zu Rechtsunsicherheit, möglichen Sicherheitsrisiken in der Zahlungskette und einem mangelhaften Verbraucherschutz geführt.

Um der technischen Entwicklung Rechnung zu tragen, hat der Europäische Gesetzgeber die europäische Zahlungsdiensterichtlinie (Payment Service Directive, PSD) von 2007 überarbeitet. Mit der Zweiten Zahlungsdiensterichtlinie (PSD II) ist eine umfassende Regelung aller Zahlungsdienste innerhalb der Europäischen Union entstanden.

Durch das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie wurde die PSD II in deutsches Recht umgesetzt und das bisherige Zahlungsdiensteaufsichtsgesetz (ZAG) neu gefasst. Das neue ZAG ist am 13.01.2018 in Kraft getreten.

Zahlungsauslösedienste und Kontoinformationsdienste

Die neue Zahlungsdiensterichtlinie reguliert vor allem zwei Gruppen von Zahlungsdienstleistern, sog. Zahlungsauslösedienste und Kontoinformationsdienste. Diese Dienstleister sollen zukünftig im Zahlungsverkehr zwischen dem Bankkunden und der kontoführenden Bank auftreten. Beispielsweise ermöglichen Zahlungsauslösedienste dem Verbraucher, seine Onlinekäufe umgehend zu bezahlen, indem er seine Zugangsdaten für das Onlinebanking und eine Transaktionsnummer (TAN) direkt an einen an den Onlineshop angebundenen Zahlungsdienstleister übermittelt.

Durch sog. Kontoinformationsdienste, z.B. über eine App, erhalten Kunden zudem einen Gesamtüberblick über ihre finanzielle Situation zu einem bestimmten Zeitpunkt. Und das in Echtzeit.

PSD II – Auswirkungen auf den Datenschutz

Die PSD II hat jedoch nicht nur Auswirkungen auf die regulatorischen und die zivilrechtlichen Regelungen für die Erbringung von Zahlungsdiensten, sondern auch auf Datenschutzebene, insbesondere mit Blick auf die seit dem 25.05.2018 geltende Datenschutz-Grundverordnung (DSGVO).

Für die Ausführung ihrer Dienstleistungen benötigen die Zahlungsdienstleister bestimmte Daten des Bankkunden. Sofern der Bankkunde ausdrücklich eingewilligt hat, sind die Banken verpflichtet, dem Zahlungsdienstleister Zugriff auf die Daten des Bankkunden zu gewähren. Hierdurch wird zwar der Raum für neue innovative Zahlungsdienste geschaffen, gleichzeitig ist dies mit erheblichen Datenschutzbedenken verbunden. Kontodaten, wie Informationen über Kontostände und Transaktionen, können bei unzureichendem Datenschutzniveau ein besonders hohes Risiko für die Rechte und Freiheiten des Kontoinhabers bedeuten, sodass diese Daten besonders gut zu schützen sind.

PSD II widerspricht DSGVO

Zwar sieht auch die PSD II Regelungen zum Umgang mit personenbezogenen Daten der Bankkunden vor, diese sind jedoch weniger restriktiv als die Vorgaben der DSGVO. Nach derzeitiger Leseart der PSD II wäre es zulässig, wenn die Bank dem Kontoinformationsdienstleister Zugriff auf alle Kontotransaktionen eines relevanten Zeitraumes geben würde. Dies könnte jedoch dazu führen, dass auch sensible Informationen, wie z.B. Medikamentenrechnungen und damit Gesundheitsdaten in die Verarbeitung einfließen und letztlich zu einer Profilbildung genutzt werden können. Eine Übertragung aller Kontotransaktionen an den Kontoinformationsdienst scheint zudem den Grundsätzen der DSGVO, wie

  • der Zweckbindung,
  • der Datensparsamkeit sowie
  • der Datensouveränität (individuelle Kontrolle des Bankkunden über seine Daten)

zu widersprechen.

Wir beraten Zahlungsdienstleister und Banken im Datenschutz

Damit Banken und Zahlungsdienstleister gesetzeskonform aufgestellt sind, ist es zwingend erforderlich, bei der technischen und organisatorischen Umsetzung von Zahlungsdienstleistungen sowohl die Anforderungen der DSGVO, wie das Recht auf Löschung, das Auskunftsrecht oder die Informationspflicht bei der Erhebung von personenbezogenen Daten, als auch die regulatorischen Vorgaben der PSD II zu beachten. Gern unterstützen unsere erfahrenen Anwälte für Datenschutzrecht sowie Zahlungsdiensterecht Sie dabei.

Olga Stepanova

Olga Stepanova

Rechtsanwältin Olga Stepanova ist für WINHELLER in den Bereichen IT-Recht, Schutz des geistigen Eigentums (Intellectual Property) und Datenschutz tätig. Ihre Tätigkeitsschwerpunkte umfassen zudem das Marken-, Urheber- und Wettbewerbsrecht.

>> Zum Profil

Tags: , , , ,

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *