Hintergrund
Seit Beginn dieses Jahres sind neue Regelungen im Bereich des elektronischen Zahlungsverkehrs umzusetzen. Die stetige Entwicklung neuer Technologien sowie neuer Geschäftsmodelle bedingen mitunter kontinuierliche Änderungen in diesem Bereich. Zur Vereinheitlichung der Zahlungsprodukte, Förderung des Wettbewerbs sowie Erhöhung der Sicherheit hat die Europäische Union mit der europäischen Zahlungsdienstleisterrichtlinie (PSD) eine regulatorische Anforderung getroffen. Diese Richtlinie wurde 2015 an aktuelle Gegebenheiten und zukünftige Entwicklungen angepasst, wodurch die Zweite europäische Zahlungsdienstleisterrichtlinie (PSD2) entstanden ist. Mit dem Umsetzungsgesetz vom 1.6.2017 (BGBI. I S.2446) ist die Richtlinie zum 13.1.2018 rechtswirksam.
© UnsplashIm Hinblick auf den Datenschutz bedürfen die Informationen, die im Bereich des Zahlungsverkehrs vorzufinden sind, darunter Bankverbindungsdaten oder Zahlungsverbindungsdaten, einem gewissen Schutz. Wenngleich diese Daten in der Regel nicht unter Art. 9 der EU-Datenschutz-Grundverordnung (DSGVO) fallen und somit keine personenbezogenen Daten besonderer Kategorien darstellen, kann sich nach der Prüfung […] der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Art. 32 DSGVO) dennoch ein hoher Schutzbedarf für diese Daten ergeben.
Beide Richtlinien befassen sich mit der Stärkung der Rechte des jeweilig Betroffenen bzw. dem Verbraucherschutz, werden jedoch oft getrennt behandelt. Dabei ist die DSGVO in einigen Punkten deutlich restriktiver. Welche konkreten Inhalte beachtet werden müssen und ob in Einzelfällen ein unterschiedlicher Standpunkt zu berücksichtigen ist, möchten wir anhand der wesentlichen Punkte nachfolgend darstellen.
Datenschutzrechtliche Anforderungen in der PSD2
Das klassische Direktverhältnis zwischen Bankkunden (Zahlungsdienstnutzer) sowie der Bank selbst (Zahlungsdienstleister) wird immer mehr aufgebrochen und neue Arten von FinTechs (technologisch weiterentwickelte Finanzinnovationen) schalten sich in diesen klassischen Kommunikationsweg ein. In der Regel sind es Dienstleister, welche die sog. Kontoinformationsdienste und Zahlungsauslösedienste anbieten.
Letztere sind aber auf Daten des Zahlungsdienstnutzers angewiesen, um ihre Dienstleistungen durchführen zu können. Diese Informationen waren bisher aber nur der kontoführenden Bank vorbehalten.
Die konsequente Einhaltung datenschutzrechtlicher Anforderungen rückt somit immer mehr in den Fokus:
- Einwilligung und Zweckbindung:
Gemäß Art. 94 Abs. 2 PSD 2 dürfen die Zahlungsdienstleister, die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers [Kontoinhaber] abrufen, verarbeiten und speichern. Eine Zulässigkeit der Datenverarbeitung zur Erfüllung einer vertraglichen Verpflichtung (siehe hierzu Art. 6 Abs. 1 b) DSGVO) ist damit ausgeschlossen.
Somit ist eine enge Verzahnung mit der Einwilligung des Betroffenen in die Datenverarbeitung nach Art. 6 Abs. 1a) DSGVO gegeben. Damit einher geht eine enge Zweckbindung, denn die Datenverarbeitung darf nur im Rahmen des in der Einwilligung definierten Verarbeitungszwecks erfolgen. - Sicherheit der Datenverarbeitung:
Weil sich der Zahlungsverkehr nicht mehr allein auf den Datenverkehr zwischen Kunde und Bank beschränkt, werden durch die erhöhte Anzahl an Schnittstellen im Gesamtkonstrukt auch immer höhere Anforderungen an die Sicherheit im Rahmen der Datenverarbeitung gestellt. Dies heißt, dass hier im Rahmen des gesamten Datenverkehrs Art. 32 DSGVO beachtet werden sollte. Darin heißt es, dass unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen haben. Dies schließt alle Dienstleister gleichermaßen mit ein. Generell ist zu prüfen, ob bereits höhere Sicherheitsstandards anzuwenden sind. So kann z. B. bei Online-Transaktionen ein Log-In mit Benutzername und Passwort nicht mehr ausreichend sein, sondern ggf. muss z. B. ein SMS-TAN-Verfahren implementiert werden.
Die Gewährleistung der Sicherheit in der gesamten Datenverarbeitung umfasst insbesondere auch die Vielzahl an Schnittstellen. Aber speziell die Absicherung dieser gestaltet sich insbesondere im Hinblick auf die teilweise veralteten bankeninternen Systeme als große Herausforderung. Jede zusätzliche Schnittstelle erhöht dabei prinzipiell das Risiko, dass im Rahmen der Datenübermittlung Daten abgefangen werden können.
Weitere Punkte der DSGVO
Wenngleich nicht konkret in der PSD 2 benannt, sollten zudem auch folgende Aspekte der DSGVO im Rahmen eines reibungslosen Zahlungsverkehrs berücksichtigt werden:
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die
Aufsichtsbehörde. Es sollte ein übergreifender Datenschutznotfallprozess erstellt, dokumentiert, getestet und gelebt werden, um im Falle einer Datenpanne schnellstmöglich reagieren zu können. - Aufbau einer Datenschutzkultur
- Schaffung einer Datenschutzorganisation durch die Erstellung von Richtlinien, Implementierung von Vorgaben und Schaffung eines Datenschutzbewusstseins der Mitarbeiter.
- Data Protection by Design und by Default: Im Rahmen jedes Projektes, jeder neuen Innovation oder Systementwicklung sind die Aspekte und Anforderungen des Datenschutzes zu berücksichtigen. Eine Umsetzungsmöglichkeit dieser Anforderungen bilden z. B. die sog. „Privacy Cockpits“.
- Rahmenbedingungen analysieren: Es sollte sichergestellt sein, dass die datenschutzrechtlichen Anforderungen an die notwendige Einwilligung gegeben sind.
- Sicherstellung der Betroffenenrechte: Speziell der Prozess zum Auskunftsersuchen sollte definiert, eingerichtet, dokumentiert und gelebt werden. Zudem sollten für das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) die technischen Voraussetzungen überprüft und sofern noch nicht geschehen, implementiert werden.
- Einsatz von Pseudonymisierung: Es sollte geprüft werden, inwiefern pseudonymisierte oder anonymisierte Daten zur Datenübertragung eingesetzt werden können.
Fazit
Die PSD 2 regelt u. a. für die sog. FinTechs die Einbindung in den Markt der Zahlungsdienste. Immer mehr neue und kreative Lösungen sind dabei, am Markt „mitzumischen“. Dies sollte aber nicht zulasten der Informationssicherheit sowie des Datenschutzes für den Betroffenen gehen. Speziell die oft veralteten Bankeninfrastrukturen stehen dabei vor einer großen Herausforderung, da insbesondere die Schnittstellen möglichst sicher gestaltet werden müssen. Im Rahmen des gesamten Konstrukts zwischen Zahlungsdienstnutzer, Zahlungsdienstleister und FinTechs sollten alle datenschutzrechtlichen Anforderungen genau analysiert und individuell umgesetzt werden. Dies gilt speziell für die Umsetzung zur Sicherheit der Verarbeitung (Art. 32 DSGVO) sowie die Vorgaben zu Data Protection by Design und Data Protection by Default (Artikel 25 DSGVO).