deen

Rechtsberatung

Elektronischer Zahlungsverkehr nach PSD 2 und DSGVO

Was muss beachtet werden?

Ist ein On­line-Shop PSD2-kon­form? Ab 14.9.2019 sind z.B. Kre­dit­kar­ten­zah­lun­gen nur noch nach ei­ner 2-Wege-Au­then­ti­fi­zie­rung möglich. Die Ein­gabe von Kre­dit­kar­ten­da­ten reicht in der Re­gel nicht mehr, um Zah­lun­gen aus­zulösen. Hin­zu­kom­men muss z.B. eine mo­bile TAN. Auch für Ban­ken ändert sich ei­ni­ges.

Hintergrund

Seit Be­ginn die­ses Jah­res sind neue Re­ge­lun­gen im Be­reich des elek­tro­ni­schen Zah­lungs­ver­kehrs um­zu­set­zen. Die ste­tige Ent­wick­lung neuer Tech­no­lo­gien so­wie neuer Ge­schäfts­mo­delle be­din­gen mit­un­ter kon­ti­nu­ier­li­che Ände­run­gen in die­sem Be­reich. Zur Ver­ein­heit­li­chung der Zah­lungs­pro­dukte, Förde­rung des Wett­be­werbs so­wie Erhöhung der Si­cher­heit hat die Eu­ropäische Union mit der eu­ropäischen Zah­lungs­dienst­leis­ter­richt­li­nie (PSD) eine re­gu­la­to­ri­sche An­for­de­rung ge­trof­fen. Diese Richt­li­nie wurde 2015 an ak­tu­elle Ge­ge­ben­hei­ten und zukünf­tige Ent­wick­lun­gen an­ge­passt, wo­durch die Zweite eu­ropäische Zah­lungs­dienst­leis­ter­richt­li­nie (PSD2) ent­stan­den ist. Mit dem Um­set­zungs­ge­setz vom 1.6.2017 (BGBI. I S.2446) ist die Richt­li­nie zum 13.1.2018 rechts­wirk­sam.

Elektronischer Zahlungsverkehr nach PSD 2 und DSGVO© Unsplash

Im Hin­blick auf den Da­ten­schutz bedürfen die In­for­ma­tio­nen, die im Be­reich des Zah­lungs­ver­kehrs vor­zu­fin­den sind, dar­un­ter Bank­ver­bin­dungs­da­ten oder Zah­lungs­ver­bin­dungs­da­ten, einem ge­wis­sen Schutz. Wenn­gleich diese Da­ten in der Re­gel nicht un­ter Art. 9 der EU-Da­ten­schutz-Grund­ver­ord­nung (DS­GVO) fal­len und so­mit keine per­so­nen­be­zo­ge­nen Da­ten be­son­de­rer Ka­te­go­rien dar­stel­len, kann sich nach der Prüfung […] der Schwere des Ri­si­kos für die Rechte und Frei­hei­ten natürli­cher Per­so­nen (Art. 32 DS­GVO) den­noch ein ho­her Schutz­be­darf für diese Da­ten er­ge­ben.

Beide Richt­li­nien be­fas­sen sich mit der Stärkung der Rechte des je­wei­lig Be­trof­fe­nen bzw. dem Ver­brau­cher­schutz, wer­den je­doch oft ge­trennt be­han­delt. Da­bei ist die DS­GVO in ei­ni­gen Punk­ten deut­lich re­strik­ti­ver. Wel­che kon­kre­ten In­halte be­ach­tet wer­den müssen und ob in Ein­zelfällen ein un­ter­schied­li­cher Stand­punkt zu berück­sich­ti­gen ist, möch­ten wir an­hand der we­sent­li­chen Punkte nach­fol­gend dar­stel­len.

Datenschutzrechtliche Anforderungen in der PSD2

Das klas­si­sche Di­rekt­verhält­nis zwi­schen Bank­kun­den (Zah­lungs­dienst­nut­zer) so­wie der Bank selbst (Zah­lungs­dienst­leis­ter) wird im­mer mehr auf­ge­bro­chen und neue Ar­ten von Fin­Techs (tech­no­lo­gi­sch wei­ter­ent­wi­ckelte Fi­nanz­in­no­va­tio­nen) schal­ten sich in die­sen klas­si­schen Kom­mu­ni­ka­ti­ons­weg ein. In der Re­gel sind es Dienst­leis­ter, wel­che die sog. Kon­to­in­for­ma­ti­ons­dienste und Zah­lungs­auslöse­dienste an­bie­ten.

Letz­tere sind aber auf Da­ten des Zah­lungs­dienst­nut­zers an­ge­wie­sen, um ihre Dienst­leis­tun­gen durchführen zu können. Diese In­for­ma­tio­nen wa­ren bis­her aber nur der kon­toführen­den Bank vor­be­hal­ten.

Die kon­se­quente Ein­hal­tung da­ten­schutz­recht­li­cher An­for­de­run­gen rückt so­mit im­mer mehr in den Fo­kus:

  • Ein­wil­li­gung und Zweck­bin­dung:
    Gemäß Art. 94 Abs. 2 PSD 2 dürfen die Zah­lungs­dienst­leis­ter, die für das Er­brin­gen ih­rer Zah­lungs­dienste not­wen­di­gen per­so­nen­be­zo­ge­nen Da­ten nur mit der ausdrück­li­chen Zu­stim­mung des Zah­lungs­dienst­nut­zers [Kon­to­in­ha­ber] ab­ru­fen, ver­ar­bei­ten und spei­chern. Eine Zulässig­keit der Da­ten­ver­ar­bei­tung zur Erfüllung ei­ner ver­trag­li­chen Ver­pflich­tung (siehe hierzu Art. 6 Abs. 1 b) DS­GVO) ist da­mit aus­ge­schlos­sen.
    So­mit ist eine enge Ver­zah­nung mit der Ein­wil­li­gung des Be­trof­fe­nen in die Da­ten­ver­ar­bei­tung nach Art. 6 Abs. 1a) DS­GVO ge­ge­ben. Da­mit ein­her geht eine enge Zweck­bin­dung, denn die Da­ten­ver­ar­bei­tung darf nur im Rah­men des in der Ein­wil­li­gung de­fi­nier­ten Ver­ar­bei­tungs­zwecks er­fol­gen.

  • Si­cher­heit der Da­ten­ver­ar­bei­tung:
    Weil sich der Zah­lungs­ver­kehr nicht mehr al­lein auf den Da­ten­ver­kehr zwi­schen Kunde und Bank be­schränkt, wer­den durch die erhöhte An­zahl an Schnitt­stel­len im Ge­samt­kon­strukt auch im­mer höhere An­for­de­run­gen an die Si­cher­heit im Rah­men der Da­ten­ver­ar­bei­tung ge­stellt. Dies heißt, dass hier im Rah­men des ge­sam­ten Da­ten­ver­kehrs Art. 32 DS­GVO be­ach­tet wer­den sollte. Darin heißt es, dass un­ter Berück­sich­ti­gung des Stan­des der Tech­nik, der Im­ple­men­tie­rungs­kos­ten und der Art, des Um­fangs, der Umstände und der Zwecke der Ver­ar­bei­tung so­wie der un­ter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwere des Ri­si­kos für die Rechte und Frei­hei­ten natürli­cher Per­so­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter ge­eig­nete tech­ni­sche und or­ga­ni­sa­to­ri­sche Maßnah­men zu tref­fen ha­ben. Dies schließt alle Dienst­leis­ter glei­chermaßen mit ein. Ge­ne­rell ist zu prüfen, ob be­reits höhere Si­cher­heits­stan­dards an­zu­wen­den sind. So kann z. B. bei On­line-Trans­ak­tio­nen ein Log-In mit Be­nut­zer­name und Pass­wort nicht mehr aus­rei­chend sein, son­dern ggf. muss z. B. ein SMS-TAN-Ver­fah­ren im­ple­men­tiert wer­den.
    Die Gewähr­leis­tung der Si­cher­heit in der ge­sam­ten Da­ten­ver­ar­bei­tung um­fasst ins­be­son­dere auch die Viel­zahl an Schnitt­stel­len. Aber spe­zi­ell die Ab­si­che­rung die­ser ge­stal­tet sich ins­be­son­dere im Hin­blick auf die teil­weise ver­al­te­ten ban­ken­in­ter­nen Sys­teme als große Her­aus­for­de­rung. Jede zusätz­li­che Schnitt­stelle erhöht da­bei prin­zi­pi­ell das Ri­siko, dass im Rah­men der Da­tenüber­mitt­lung Da­ten ab­ge­fan­gen wer­den können.

Weitere Punkte der DSGVO

Wenn­gleich nicht kon­kret in der PSD 2 be­nannt, soll­ten zu­dem auch fol­gende As­pekte der DS­GVO im Rah­men ei­nes rei­bungs­lo­sen Zah­lungs­ver­kehrs berück­sich­tigt wer­den:

  • Mel­dung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Da­ten an die
    Auf­sichts­behörde.
    Es sollte ein überg­rei­fen­der Da­ten­schutz­not­fall­pro­zess er­stellt, do­ku­men­tiert, ge­tes­tet und ge­lebt wer­den, um im Falle ei­ner Da­ten­panne schnellstmöglich rea­gie­ren zu können.

  • Auf­bau ei­ner Da­ten­schutz­kul­tur

  • Schaf­fung ei­ner Da­ten­schutz­or­ga­ni­sa­tion durch die Er­stel­lung von Richt­li­nien, Im­ple­men­tie­rung von Vor­ga­ben und Schaf­fung ei­nes Da­ten­schutz­be­wusst­seins der Mit­ar­bei­ter.

  • Data Pro­tec­tion by De­sign und by De­fault: Im Rah­men je­des Pro­jek­tes, je­der neuen In­no­va­tion oder Sys­tem­ent­wick­lung sind die As­pekte und An­for­de­run­gen des Da­ten­schut­zes zu berück­sich­ti­gen. Eine Um­set­zungsmöglich­keit die­ser An­for­de­run­gen bil­den z. B. die sog. „Pri­vacy Cock­pits“.

  • Rah­men­be­din­gun­gen ana­ly­sie­ren: Es sollte si­cher­ge­stellt sein, dass die da­ten­schutz­recht­li­chen An­for­de­run­gen an die not­wen­dige Ein­wil­li­gung ge­ge­ben sind.

  • Si­cher­stel­lung der Be­trof­fe­nen­rechte: Spe­zi­ell der Pro­zess zum Aus­kunfts­er­su­chen sollte de­fi­niert, ein­ge­rich­tet, do­ku­men­tiert und ge­lebt wer­den. Zu­dem soll­ten für das Recht auf Da­tenüber­trag­bar­keit (Art. 20 DS­GVO) die tech­ni­schen Vor­aus­set­zun­gen überprüft und so­fern noch nicht ge­sche­hen, im­ple­men­tiert wer­den.

  • Ein­satz von Pseud­ony­mi­sie­rung: Es sollte geprüft wer­den, in­wie­fern pseud­ony­mi­sierte oder an­ony­mi­sierte Da­ten zur Da­tenüber­tra­gung ein­ge­setzt wer­den können.

Fazit

Die PSD 2 re­gelt u. a. für die sog. Fin­Techs die Ein­bin­dung in den Markt der Zah­lungs­dienste. Im­mer mehr neue und krea­tive Lösun­gen sind da­bei, am Markt „mit­zu­mi­schen“. Dies sollte aber nicht zu­las­ten der In­for­ma­ti­ons­si­cher­heit so­wie des Da­ten­schut­zes für den Be­trof­fe­nen ge­hen. Spe­zi­ell die oft ver­al­te­ten Ban­ken­in­fra­struk­tu­ren ste­hen da­bei vor ei­ner großen Her­aus­for­de­rung, da ins­be­son­dere die Schnitt­stel­len möglichst si­cher ge­stal­tet wer­den müssen. Im Rah­men des ge­sam­ten Kon­strukts zwi­schen Zah­lungs­dienst­nut­zer, Zah­lungs­dienst­leis­ter und Fin­Techs soll­ten alle da­ten­schutz­recht­li­chen An­for­de­run­gen ge­nau ana­ly­siert und in­di­vi­du­ell um­ge­setzt wer­den. Dies gilt spe­zi­ell für die Um­set­zung zur Si­cher­heit der Ver­ar­bei­tung (Art. 32 DS­GVO) so­wie die Vor­ga­ben zu Data Pro­tec­tion by De­sign und Data Pro­tec­tion by De­fault (Ar­ti­kel 25 DS­GVO).

nach oben