13.06.2017 | Datenschutz

Die neue Zahlungsdiensterichtlinie (PSD II.)

Regelungsgehalt

Die PSD II. enthält datenschutzrechtliche Regelungen für den Fall des Dazwischenschaltens eines technischen Dienstleisters (FinTech) zwischen dem Bankkunden und dessen Bank. Da die Bankdaten, die von den FinTech Unternehmen gebraucht werden meist datenschutzrechtlich sehr sensible und kritische Daten sind und die Unternehmen weder dem Bankgeheimnis, noch der Bankaufsicht unterliegen, wurde durch die PSD II. erstmals ein europarechtlicher Rahmen für den Umgang mit solchen Sachverhalten geschaffen.

Ab wann tritt die PSD II. in Kraft?

Die Umsetzungsfrist für die PSD II. ist der 13.01.2018. Zu beachten ist jedoch, dass Art. 94 I. S. 2 PSD II. im Rahmen der Regelung der Datenverarbeitung auf die DatenschutzRL von 1995 und deren nationale Umsetzung (in Deutschland das BDSG) verweist. Das BDSG wird am 25.05.2018 allerdings durch die DSGVO ersetzt, sodass lediglich von einer „Übergangszeit“ in Anlehnung an das BDSG gesprochen werden kann. Für die Umsetzung in die Praxis erscheint daher sinnvoll Datenschutzerklärungen sowie AGB entsprechend so zu gestalten, dass ein doppelter Arbeitsaufwand weitgehend vermieden wird.

Art 94 PSD II. als zentrale datenschutzrechtliche Norm

Art. 94 I. S. 1 PSD II. übernimmt die bisherige Regelung aus Art. 79 der PSD I., wonach die Datenverarbeitung erlaubt wird, sofern dies zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist.

Weiterhin regelt Art. 94 I. S. 2 die Pflicht zur Unterrichtung natürlicher Personen über die Verarbeitung personenbezogener Daten. Hierbei wird auf die DatenschutzRL sowie deren nationale Umsetzung verwiesen, sodass die Datenverarbeitung in diesem Rahmen erfolgen muss.

Neu ist die Regelung des Art. 94 II. PSD, wonach Zahlungsdienstleister die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung des Nutzers abrufen, verarbeiten oder speichern dürfen. Auch hierbei ist der Verweis auf das geltende Recht aus Art. 94 I. ausschlaggebend. Somit ist die ausdrückliche Zustimmung entsprechend der Einwilligung gem. §§ 4, 4a BDSG bzw. Art. 6 I. a) DSGVO zu verstehen. Allerdings ist zu beachten, dass der Wortlaut der PSD II. wonach die Zustimmung „ausdrücklich“ zu erfolgen hat, die Möglichkeit einer konkludenten Einwilligung nach der DSGVO ausschließt. Für die Vertragspraxis muss dies entsprechend sichergestellt werden. Hierbei bleibt es zunächst dabei, dass man entsprechende Regelungen im Rahmen von Zahlungsdienstrahmenverträgen oder AGB vereinbaren kann. Ab dem 25.05.2018 erscheint es jedoch sinnvoll auf den Erwägungsgrund 32 der DSGVO zu blicken. Hier wird festgelegt, dass eine Einwilligung in einem „konkreten Fall“ in Form einer schriftlichen, elektronischen oder mündlichen Erklärung abgegeben werden kann. Diese kann sich auf „alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgängen beziehen.“

Weitere Regelungen

In Erwägungsgrund 90 der PSD II werden die Grundrechte der Charta der Europäischen Union einschließlich dem Recht auf Schutz personenbezogener Daten und der unternehmerischen Freiheit als allgemeine Auslegungsgrundsätze betont.

Des Weiteren werden in Erwägungsgrund 89  der enge Zweckbindungsgrundsatz, Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) hervorgehoben.

Erwägungsgrund 93 besagt, dass Zahlungsauslösedienstleister und Kontoinformationsdienstleister ihre Dienste mit Zustimmung des Kontoinhabers auf der Grundlage eines eindeutigen Rechtsrahmens erbringen können sollen und der kontoführende Zahlungsdienstleister dabei mitwirken muss. Die europäische Bankenaufsicht (EBA) soll gemeinsame und offene Standards für die Kommunikation festlegen, so dass die Bank erkennt ob FinTech Dienstleister oder ihr Kunde mit ihr kommuniziert. Hierbei muss die EBA im Einklang mit Erwägungsgrund 94 einerseits auf den Schutz der Privatsphäre achten und andererseits die technischen Risiken erkennen um auf diese Art die Gefährdung des Datenschutzes zu minimieren.

Kontoinformationsdienstleister, die einem Nutzer beispielsweise über eine App auf dem Smartphone die Kontobewegungen verschiedener Bankverbindungen gleichzeitig zeigen, dürfen nach Art. 67 Abs. 2 PSD II „im Einklang mit den Datenschutzvorschriften Daten nicht für andere Zwecke als für den vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern.“ Hiermit ist eine Auswertung der Kontoumsätze zu Werbezwecken oder der Verkauf eines Scorings ausgeschlossen.

Art. 66 Abs. 1 PSD II gewährt dem Zahler das Recht, bei einem online geführten Konto einen Zahlungsauslösedienstleister in Anspruch zu nehmen. Dieser darf nach Art. 66 Abs. 3 PSD II allerdings „keine sensiblen Zahlungsdaten des Zahlungsdienstnutzers speichern“ (lit. e), „vom Zahlungsdienstnutzer keine anderen als die für das Erbringen des Zahlungsauslösedienstes erforderlichen Daten verlangen“ (lit. f) und „Daten nicht für andere Zwecke als für das Erbringen des vom Zahler ausdrücklich geforderten Zahlungsauslösedienstes verwenden, darauf zugreifen und speichern“ (lit. g).

Nach Art. 66 Abs. 4 PSD II muss die kontoführende Bank „unmittelbar nach Eingang des Zahlungsauftrags von einem Zahlungsauslösedienstleister diesem alle Informationen über die Auslösung des Zahlungsvorgangs und alle ihm selbst zugänglichen Informationen hinsichtlich der Ausführung des Zahlungsvorgangs mitteilen oder zugänglich machen.“ Nach dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 c) DSG-VO bzw. anfangs noch dem Grundsatz der Datensparsamkeit und Datenvermeidung nach § 3 a BDSG genügt es, wenn der Zahlungsdienstleister (Bank) dem Zahlungsauslösedienstleister mitteilt ob der angefragte Transaktionsbetrag verfügbar ist und entsprechend ausgezahlt wird.


Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Weitere Artikel

Anwälte der Kanzlei empfohlen durch: