Bank Norwegian: Umfangreicher Lesezugriff aufs Konto
Die Bank Norwegian kann ausstehende Beträge per Lastschrift einziehen. Neben Kontoinformationen könnten auch Salden abgefragt werden. Ist das zulässig?
Die Bank Norwegian bietet zusätzlich zur Überweisung seit Neuestem die Möglichkeit, ausstehende Beträge des Kreditkartenkontos per Lastschrift einzuziehen. Dazu soll ich dem Dienstleister Tink Zugriffsrechte auf mein Konto einräumen. Neben allgemeinen Kontoinformationen könnten auch Salden und Umsätze abgefragt werden. Ich habe das abgelehnt, aber ist das denn überhaupt zulässig?
Bank Norwegian prüft mit dem Verfahren vermutlich, ob das Konto gedeckt ist, der Kunde ein regelmäßiges Einkommen hat und dieses mit seinen Angaben im Kreditkartenantrag übereinstimmt und ob er seinen Zahlungsverpflichtungen generell zuverlässig nachkommt. Hintergrund ist, dass das Lastschriftverfahren rein statistisch ein höheres Ausfallrisiko als eine Überweisung mit sich bringt, etwa durch Rückbuchungen.
Dazu nutzt die Bank ein Verfahren, das die Zweite Europäische Zahlungsdiensterichtlinie (PSD2) ausdrücklich erlaubt. Beim sogenannten Open Banking können zugelassene Drittdienste im Auftrag von Unternehmen (wie hier die Nordax Bank AB) und mit explizitem Einverständnis des Kunden Einblick in dessen Kontodaten nehmen – zum Beispiel, um dessen finanzielle Zuverlässigkeit zu prüfen oder eben den Gehaltseingang. Das Einverständnis kann man jederzeit im Onlinebanking seiner Bank widerrufen.
Tink AB ist ein schwedisches Unternehmen im Besitz von Visa, das von der zuverlässigen schwedischen Finanzdienstleistungsaufsicht (Finansinspektionen) beaufsichtigt wird und von ihr eine Erlaubnis als sogenannter Kontoinformationsdienst erhalten hat. Innerhalb der EU ist solch eine Erlaubnis übertragbar, daher gilt sie auch in Deutschland. Hierzulande ist die Bafin zuständig.
Die Daten dürfen Nordax und Tink nur für die angegebenen Zwecke gemäß DSGVO verwenden. Im Idealfall löschen sie diese so früh wie möglich. Generell hat sich Norwegen der PSD2 und der DSGVO angeschlossen und verfügt über eine solide Finanz- und Datenschutzaufsicht. Das Prozedere ist also legal.
(mon)
