Neue Regelungen für Zahlungsdienstleister in Europa
Der Zahlungsverkehr hat in den letzten Jahren bedeutende technische Innovationen erfahren. Diese führten zu einem raschen Anstieg elektronischer und mobiler Zahlungen sowie der Entstehung neuer Arten von Zahlungsarten, wie z.B. Paypal, Giropay oder Zahlung per Sofortüberweisung.
Viele innovative Zahlungsmittel oder -dienste unterfielen jedoch zunächst keiner Regulierung. Die bestehenden regulatorischen Anforderungen erwiesen sich schlicht als überholt. Dies hat zu Rechtsunsicherheit, möglichen Sicherheitsrisiken in der Zahlungskette und einem mangelhaften Verbraucherschutz geführt.
Um der technischen Entwicklung Rechnung zu tragen, hat der Europäische Gesetzgeber die europäische Zahlungsdiensterichtlinie (Payment Service Directive, PSD) von 2007 überarbeitet. Mit der Zweiten Zahlungsdiensterichtlinie (PSD II) ist eine umfassende Regelung aller Zahlungsdienste innerhalb der Europäischen Union entstanden.
Durch das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie wurde die PSD II in deutsches Recht umgesetzt und das bisherige Zahlungsdiensteaufsichtsgesetz (ZAG) neu gefasst. Das neue ZAG ist am 13.01.2018 in Kraft getreten.
Zahlungsauslösedienste und Kontoinformationsdienste
Die neue Zahlungsdiensterichtlinie reguliert vor allem zwei Gruppen von Zahlungsdienstleistern, sog. Zahlungsauslösedienste und Kontoinformationsdienste. Diese Dienstleister sollen zukünftig im Zahlungsverkehr zwischen dem Bankkunden und der kontoführenden Bank auftreten. Beispielsweise ermöglichen Zahlungsauslösedienste dem Verbraucher, seine Onlinekäufe umgehend zu bezahlen, indem er seine Zugangsdaten für das Onlinebanking und eine Transaktionsnummer (TAN) direkt an einen an den Onlineshop angebundenen Zahlungsdienstleister übermittelt.
Durch sog. Kontoinformationsdienste, z.B. über eine App, erhalten Kunden zudem einen Gesamtüberblick über ihre finanzielle Situation zu einem bestimmten Zeitpunkt. Und das in Echtzeit.
PSD II – Auswirkungen auf den Datenschutz
Die PSD II hat jedoch nicht nur Auswirkungen auf die regulatorischen und die zivilrechtlichen Regelungen für die Erbringung von Zahlungsdiensten, sondern auch auf Datenschutzebene, insbesondere mit Blick auf die seit dem 25.05.2018 geltende Datenschutz-Grundverordnung (DSGVO).
Für die Ausführung ihrer Dienstleistungen benötigen die Zahlungsdienstleister bestimmte Daten des Bankkunden. Sofern der Bankkunde ausdrücklich eingewilligt hat, sind die Banken verpflichtet, dem Zahlungsdienstleister Zugriff auf die Daten des Bankkunden zu gewähren. Hierdurch wird zwar der Raum für neue innovative Zahlungsdienste geschaffen, gleichzeitig ist dies mit erheblichen Datenschutzbedenken verbunden. Kontodaten, wie Informationen über Kontostände und Transaktionen, können bei unzureichendem Datenschutzniveau ein besonders hohes Risiko für die Rechte und Freiheiten des Kontoinhabers bedeuten, sodass diese Daten besonders gut zu schützen sind.
PSD II widerspricht DSGVO
Zwar sieht auch die PSD II Regelungen zum Umgang mit personenbezogenen Daten der Bankkunden vor, diese sind jedoch weniger restriktiv als die Vorgaben der DSGVO. Nach derzeitiger Leseart der PSD II wäre es zulässig, wenn die Bank dem Kontoinformationsdienstleister Zugriff auf alle Kontotransaktionen eines relevanten Zeitraumes geben würde. Dies könnte jedoch dazu führen, dass auch sensible Informationen, wie z.B. Medikamentenrechnungen und damit Gesundheitsdaten in die Verarbeitung einfließen und letztlich zu einer Profilbildung genutzt werden können. Eine Übertragung aller Kontotransaktionen an den Kontoinformationsdienst scheint zudem den Grundsätzen der DSGVO, wie
- der Zweckbindung,
- der Datensparsamkeit sowie
- der Datensouveränität (individuelle Kontrolle des Bankkunden über seine Daten)
zu widersprechen.
Wir beraten Zahlungsdienstleister und Banken im Datenschutz
Damit Banken und Zahlungsdienstleister gesetzeskonform aufgestellt sind, ist es zwingend erforderlich, bei der technischen und organisatorischen Umsetzung von Zahlungsdienstleistungen sowohl die Anforderungen der DSGVO, wie das Recht auf Löschung, das Auskunftsrecht oder die Informationspflicht bei der Erhebung von personenbezogenen Daten, als auch die regulatorischen Vorgaben der PSD II zu beachten. Gern unterstützen unsere erfahrenen Anwälte für Datenschutzrecht sowie Zahlungsdiensterecht Sie dabei.
Tags: DSGVO