Halbherziger Bankkonto-Datenschutz unter PSD2

Bild: Bankenverband/Hanibal (Michael Hanschke)/CC BY-ND-2.0

Die neue Zahlungsdiensterichtlinie (PSD2) wird als Maßnahme zum Verbraucherschutz beworben. Tatsächlich dient sie vor allem der Förderung des Wettbewerbs im Verteilungskampf um Bankkontodaten

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Die neue Zahlungsdiensterichtlinie PSD2 (Payment Service Directive 2), die am 13. Januar 2018 mit dem neuen Zahlungsdiensteaufsichtsgesetz in Kraft getreten ist und eigentlich ab dem 14. September dieses Jahres umgesetzt werden sollte, wirbt vor allem mit mehr Sicherheit durch die starke Kundenauthentifizierung für Online-Banking und Bezahlen im Internet. Da die Umsetzung aber noch große technische Probleme bereitet, wurde bei Kreditkartenzahlungen im Internet der Verbraucherschutz erst einmal vertagt. Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) formuliert das so: "Bafin ermöglicht Erleichterungen bei der Kundenauthentifizierung."

Der weniger bekannte Teil der PSD2 wird seit dem 14. September umgesetzt: Banken sind jetzt verpflichtet, Drittanbietern wie Kontoinformations- und Zahlungsauslösediensten über eine Programmierschnittstelle den direkten Zugang zu den Bankkonten ihrer Kunden zu ermöglichen. Bisher hatte das den Ruch des Unseriösen. Jetzt wird es "open banking" genannt. Wo kauft der Kontoinhaber ein? Welche Abos hat er? Welche Stromanbieter? Welche Vereine, Parteien oder auch Gewerkschaften unterstützt er? Das Geschäftspotenzial, das sich aus der Auswertung der Zahlungsströme ergibt, ist genauso riesig wie die datenschutzrechtlichen Risiken.

Befürworter der neuen Richtlinie versuchen zu beruhigen: Mitmachen darf im Unterschied zur bisherigen Praxis nur, wer nach einem aufwändigen Verfahren eine Erlaubnis von der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) erhält. Das stimmt. Es stimmt aber auch, dass man sich das aufwändige Verfahren ganz legal sparen kann, indem man die Bafin-Lizenz eines anderen mitbenutzt: "License as a Service" nennt es z.B. die Firma Fintecsystems und wirbt dafür als die "smarte Weise dauerhafte[r] Rechtssicherheit".

Hinzu kommt, dass die neuen Schnittstellen in einer Vielzahl von Fällen noch nicht PSD2- konform sind, so dass laut Bafin-Rundschreiben vom 14. August das umstrittene Screen Scraping als Fallback-Lösung weiterhin erhalten bleiben muss. Wie lange, weiß niemand. Die Bundesanstalt für Finanzdienstleistungsaufsicht "erwartet", so heißt es in dem besagten Rundschreiben, "die gemeinsame Erarbeitung konkreter Zeitpläne für die weiteren Arbeiten zur Umsetzung der Anforderungen."

Wenigstens braucht der Drittdienstleister zum Zugriff auf die Kontodaten die ausdrückliche Einwilligung des Kontoinhabers. Man würde gern erleichtert aufatmen, wenn da nicht einige weniger bekannte Verbraucherschutz-Details wären:

  1. Dem Bankkunden wird das Recht verwehrt, den Zugang zum eigenen Konto für solche Drittanbieterdienste sperren zu lassen (Opt-out). Das würde gegen das Ziel der Richtlinie verstoßen, gleiche Wettbewerbsbedingungen für alle Anbieter zu schaffen, da es den Bankkunden "entmutigen" könnte, solche Dienste in Anspruch zu nehmen. Er soll aber "frei bleiben", sich für oder gegen die Nutzung von Drittanbietern zu entscheiden. So bewertet es zumindest die Europäische Bankenaufsichtsbehörde, welche die näheren Details der Umsetzung der PSD2 regelt (Q&A, Question ID 2018-4309).
  2. Die Bank selbst braucht auch keine Einwilligung ihres Bankkunden, wenn sie Drittanbietern den Zugang zu dessen Konto gewährt. Ihre Rechtsgrundlage ist die gesetzliche Verpflichtung, den Zugang zu gewähren (Art. 6 Abs. 1 lit. c DSGVO).
  3. Die Bank muss bzw. darf nicht einmal prüfen, ob überhaupt eine ausdrückliche Einwilligung ihres Kunden vorliegt. Denn eine solche Sicherheitsüberprüfung sei als "Hindernis" zu bewerten und verstoße damit laut Europäischer Bankenaufsichtsbehörde gegen die Zahlungsdiensterichtlinie (Q&A, Question ID 2018-4123). Damit kann auch nicht kontrolliert werden, ob mehr Daten abgegriffen werden, als der Kontoinhaber Zahlungsauslöse- oder Kontoinfomationsdiensten vertraglich zugestanden hat.
  4. Die PSD2 ist laut EU-Kommission nicht lex specialis. Damit bleibt umstritten, ob die in der Richtlinie festgeschriebene enge Zweckbindung der Datenverarbeitung nicht durch die in der DSGVO etwas weiter gefassten Möglichkeiten der zulässigen Datenverarbeitung z.B. für Direktmarketing umgangen werden kann.
  5. Die von der Zahlungsrichtlinie vorgesehene "ausdrückliche Einwilligung" deckt sich trotz Gleichlaut nicht mit der in der DSGVO genannten "ausdrücklichen Einwilligung" zur Datenverarbeitung, sondern beschreibt laut EU-Kommission zusätzliche Anforderungen an die vertragliche Zustimmung (Art. 6 Abs. 1 lit. b DSGVO). Was daraus ganz konkret folgt? Der Bankkunde würde es sicherlich gern wissen, bevor er sich auf Geschäftsbeziehungen mit Drittanbietern einlässt.
  6. Und zuletzt die Überraschung für alle, die hoffen, dass sie das alles nichts angeht, weil sie weder Zahlungsauslöse- noch Kontoinformationdienste verwenden: Auch die Datenschutzrechte unbeteiligter Bürger könnten betroffen sein. Sie müssen nur als Absender, Empfänger oder im Verwendungszweck einer Überweisung in den Transaktionsdaten eines Kontoinhabers auftauchen, der seinerseits z.B. einen Kontoinformationsdienst in Anspruch nimmt.

Spätestens an diesem Punkt fällt einem ein, dass es zum Glück nicht nur auf nationaler Ebene, sondern auch auf europäischer Ebene oberste Behörden für Datenschutz gibt. Auf Anfrage einer Abgeordneten des Europäischen Parlaments hatte der Europäische Datenschutzausschuss 2018 vorsichtig geäußert: Die Verarbeitung der Daten unbeteiligter Personen könnte durch das berechtigte Interesse des Drittdienstleisters gerechtfertigt sein, den Vertrag zu erfüllen. Gemeint ist Art. 6 Abs. 1 lit. f DSGVO, der unter Beachtung bestimmter Grundsätze die Datenverarbeitung zur Wahrung von berechtigten Interessen auch ohne Einwilligung erlaubt.

Näheres kann man dann vielleicht in den offiziellen Richtlinien des europäischen Datenschutzausschusses zur datenschutzrechtlichen Umsetzung der PSD2 nachlesen. Die allerdings müssen erst noch ausgearbeitet werden.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Buchempfehlung (Amazon Affiliates) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Amazon Affiliates) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.