de en
Nexia Ebner Stolz

Rechtsberatung

Elektronischer Zahlungsverkehr nach PSD 2 und DSGVO

Was muss beachtet werden?

Ist ein Online-Shop PSD2-konform? Ab 14.9.2019 sind z.B. Kreditkartenzahlungen nur noch nach einer 2-Wege-Authentifizierung möglich. Die Eingabe von Kreditkartendaten reicht in der Regel nicht mehr, um Zahlungen auszulösen. Hinzukommen muss z.B. eine mobile TAN. Auch für Banken ändert sich einiges.

Hin­ter­grund

Seit Beginn die­ses Jah­res sind neue Rege­lun­gen im Bereich des elek­tro­ni­schen Zah­lungs­ver­kehrs umzu­set­zen. Die ste­tige Ent­wick­lung neuer Tech­no­lo­gien sowie neuer Geschäfts­mo­delle bedin­gen mit­un­ter kon­ti­nu­ier­li­che Ände­run­gen in die­sem Bereich. Zur Ver­ein­heit­li­chung der Zah­lung­s­pro­dukte, För­de­rung des Wett­be­werbs sowie Erhöh­ung der Sicher­heit hat die Euro­päi­sche Union mit der euro­päi­schen Zah­lungs­di­enst­leis­ter­richt­li­nie (PSD) eine regu­la­to­ri­sche Anfor­de­rung getrof­fen. Diese Richt­li­nie wurde 2015 an aktu­elle Gege­ben­hei­ten und zukünf­tige Ent­wick­lun­gen ange­passt, wodurch die Zweite euro­päi­sche Zah­lungs­di­enst­leis­ter­richt­li­nie (PSD2) ent­stan­den ist. Mit dem Umset­zungs­ge­setz vom 1.6.2017 (BGBI. I S.2446) ist die Richt­li­nie zum 13.1.2018 rechts­wirk­sam.

Elektronischer Zahlungsverkehr nach PSD 2 und DSGVO© Unsplash

Im Hin­blick auf den Daten­schutz bedür­fen die Infor­ma­tio­nen, die im Bereich des Zah­lungs­ver­kehrs vor­zu­fin­den sind, dar­un­ter Bank­ver­bin­dungs­da­ten oder Zah­lungs­ver­bin­dungs­da­ten, einem gewis­sen Schutz. Wenn­g­leich diese Daten in der Regel nicht unter Art. 9 der EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) fal­len und somit keine per­so­nen­be­zo­ge­nen Daten beson­de­rer Kate­go­rien dar­s­tel­len, kann sich nach der Prü­fung […] der Schwere des Risi­kos für die Rechte und Frei­hei­ten natür­li­cher Per­so­nen (Art. 32 DSGVO) den­noch ein hoher Schutz­be­darf für diese Daten erge­ben.

Beide Richt­li­nien befas­sen sich mit der Stär­kung der Rechte des jewei­lig Betrof­fe­nen bzw. dem Ver­brau­cher­schutz, wer­den jedoch oft get­rennt behan­delt. Dabei ist die DSGVO in eini­gen Punk­ten deut­lich res­trik­ti­ver. Wel­che kon­k­re­ten Inhalte beach­tet wer­den müs­sen und ob in Ein­zel­fäl­len ein unter­schied­li­cher Stand­punkt zu berück­sich­ti­gen ist, möch­ten wir anhand der wesent­li­chen Punkte nach­fol­gend dar­s­tel­len.

Daten­schutz­recht­li­che Anfor­de­run­gen in der PSD2

Das klas­si­sche Direkt­ver­hält­nis zwi­schen Bank­kun­den (Zah­lungs­di­enst­nut­zer) sowie der Bank selbst (Zah­lungs­di­enst­leis­ter) wird immer mehr auf­ge­bro­chen und neue Arten von Fin­Techs (tech­no­lo­gisch wei­ter­ent­wi­ckelte Finan­z­in­no­va­tio­nen) schal­ten sich in die­sen klas­si­schen Kom­mu­ni­ka­ti­ons­weg ein. In der Regel sind es Dienst­leis­ter, wel­che die sog. Kon­to­in­for­ma­ti­ons­di­enste und Zah­lungs­aus­lö­se­di­enste anbie­ten.

Letz­tere sind aber auf Daten des Zah­lungs­di­enst­nut­zers ange­wie­sen, um ihre Dienst­leis­tun­gen durch­füh­ren zu kön­nen. Diese Infor­ma­tio­nen waren bis­her aber nur der kon­to­füh­r­en­den Bank vor­be­hal­ten.

Die kon­se­qu­ente Ein­hal­tung daten­schutz­recht­li­cher Anfor­de­run­gen rückt somit immer mehr in den Fokus:

  • Ein­wil­li­gung und Zweck­bin­dung:
    Gemäß Art. 94 Abs. 2 PSD 2 dür­fen die Zah­lungs­di­enst­leis­ter, die für das Erbrin­gen ihrer Zah­lungs­di­enste not­wen­di­gen per­so­nen­be­zo­ge­nen Daten nur mit der aus­drück­li­chen Zustim­mung des Zah­lungs­di­enst­nut­zers [Kon­to­in­ha­ber] abru­fen, ver­ar­bei­ten und spei­chern. Eine Zuläs­sig­keit der Daten­ver­ar­bei­tung zur Erfül­lung einer ver­trag­li­chen Verpf­lich­tung (siehe hierzu Art. 6 Abs. 1 b) DSGVO) ist damit aus­ge­sch­los­sen.
    Somit ist eine enge Ver­zah­nung mit der Ein­wil­li­gung des Betrof­fe­nen in die Daten­ver­ar­bei­tung nach Art. 6 Abs. 1a) DSGVO gege­ben. Damit ein­her geht eine enge Zweck­bin­dung, denn die Daten­ver­ar­bei­tung darf nur im Rah­men des in der Ein­wil­li­gung defi­nier­ten Ver­ar­bei­tungs­zwecks erfol­gen.

  • Sicher­heit der Daten­ver­ar­bei­tung:
    Weil sich der Zah­lungs­ver­kehr nicht mehr allein auf den Daten­ver­kehr zwi­schen Kunde und Bank beschränkt, wer­den durch die erhöhte Anzahl an Schnitt­s­tel­len im Gesamt­kon­strukt auch immer höhere Anfor­de­run­gen an die Sicher­heit im Rah­men der Daten­ver­ar­bei­tung ges­tellt. Dies heißt, dass hier im Rah­men des gesam­ten Daten­ver­kehrs Art. 32 DSGVO beach­tet wer­den sollte. Darin heißt es, dass unter Berück­sich­ti­gung des Stan­des der Tech­nik, der Imp­le­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstände und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwere des Risi­kos für die Rechte und Frei­hei­ten natür­li­cher Per­so­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­nete tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu tref­fen haben. Dies sch­ließt alle Dienst­leis­ter glei­cher­ma­ßen mit ein. Gene­rell ist zu prü­fen, ob bereits höhere Sicher­heits­stan­dards anzu­wen­den sind. So kann z. B. bei Online-Trans­ak­tio­nen ein Log-In mit Benut­zer­name und Pass­wort nicht mehr aus­rei­chend sein, son­dern ggf. muss z. B. ein SMS-TAN-Ver­fah­ren imp­le­men­tiert wer­den.
    Die Gewähr­leis­tung der Sicher­heit in der gesam­ten Daten­ver­ar­bei­tung umfasst ins­be­son­dere auch die Viel­zahl an Schnitt­s­tel­len. Aber spe­zi­ell die Absi­che­rung die­ser gestal­tet sich ins­be­son­dere im Hin­blick auf die teil­weise veral­te­ten ban­ken­in­ter­nen Sys­teme als große Her­aus­for­de­rung. Jede zusätz­li­che Schnitt­s­telle erhöht dabei prin­zi­pi­ell das Risiko, dass im Rah­men der Daten­über­mitt­lung Daten abge­fan­gen wer­den kön­nen.

Wei­tere Punkte der DSGVO

Wenn­g­leich nicht kon­k­ret in der PSD 2 benannt, soll­ten zudem auch fol­gende Aspekte der DSGVO im Rah­men eines rei­bungs­lo­sen Zah­lungs­ver­kehrs berück­sich­tigt wer­den:

  • Mel­dung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten an die
    Auf­sichts­be­hörde.
    Es sollte ein über­g­rei­fen­der Daten­schutz­not­fall­pro­zess ers­tellt, doku­men­tiert, getes­tet und gelebt wer­den, um im Falle einer Daten­panne sch­nellst­mög­lich rea­gie­ren zu kön­nen.

  • Auf­bau einer Daten­schutz­kul­tur

  • Schaf­fung einer Daten­schutz­or­ga­ni­sa­tion durch die Erstel­lung von Richt­li­nien, Imp­le­men­tie­rung von Vor­ga­ben und Schaf­fung eines Daten­schutz­be­wusst­seins der Mit­ar­bei­ter.

  • Data Pro­tec­tion by Design und by Default: Im Rah­men jedes Pro­jek­tes, jeder neuen Inno­va­tion oder Sys­tem­ent­wick­lung sind die Aspekte und Anfor­de­run­gen des Daten­schut­zes zu berück­sich­ti­gen. Eine Umset­zungs­mög­lich­keit die­ser Anfor­de­run­gen bil­den z. B. die sog. „Pri­vacy Cock­pits“.

  • Rah­men­be­din­gun­gen ana­ly­sie­ren: Es sollte sicher­ge­s­tellt sein, dass die daten­schutz­recht­li­chen Anfor­de­run­gen an die not­wen­dige Ein­wil­li­gung gege­ben sind.

  • Sicher­stel­lung der Betrof­fe­nen­rechte: Spe­zi­ell der Pro­zess zum Aus­kunft­s­er­su­chen sollte defi­niert, ein­ge­rich­tet, doku­men­tiert und gelebt wer­den. Zudem soll­ten für das Recht auf Daten­über­trag­bar­keit (Art. 20 DSGVO) die tech­ni­schen Vor­aus­set­zun­gen über­prüft und sofern noch nicht gesche­hen, imp­le­men­tiert wer­den.

  • Ein­satz von Pseud­ony­mi­sie­rung: Es sollte geprüft wer­den, inwie­fern pseud­ony­mi­sierte oder anony­mi­sierte Daten zur Daten­über­tra­gung ein­ge­setzt wer­den kön­nen.

Fazit

Die PSD 2 regelt u. a. für die sog. Fin­Techs die Ein­bin­dung in den Markt der Zah­lungs­di­enste. Immer mehr neue und krea­tive Lösun­gen sind dabei, am Markt „mit­zu­mi­schen“. Dies sollte aber nicht zulas­ten der Infor­ma­ti­ons­si­cher­heit sowie des Daten­schut­zes für den Betrof­fe­nen gehen. Spe­zi­ell die oft veral­te­ten Ban­ken­in­fra­struk­tu­ren ste­hen dabei vor einer gro­ßen Her­aus­for­de­rung, da ins­be­son­dere die Schnitt­s­tel­len mög­lichst sicher gestal­tet wer­den müs­sen. Im Rah­men des gesam­ten Kon­strukts zwi­schen Zah­lungs­di­enst­nut­zer, Zah­lungs­di­enst­leis­ter und Fin­Techs soll­ten alle daten­schutz­recht­li­chen Anfor­de­run­gen genau ana­ly­siert und indi­vi­du­ell umge­setzt wer­den. Dies gilt spe­zi­ell für die Umset­zung zur Sicher­heit der Ver­ar­bei­tung (Art. 32 DSGVO) sowie die Vor­ga­ben zu Data Pro­tec­tion by Design und Data Pro­tec­tion by Default (Arti­kel 25 DSGVO).

nach oben