Was bedeutet die neue Zahlungsrichtlinie PSD2 für den Datenschutz?

In Deutschland hatten bisher ausschließlich Ihre jeweilige Bank und Sie selbst Zugriff auf Ihre Kontodaten wie zum Beispiel Umsätze, Gehaltseingänge oder Abbuchungen. Mit dem 13. Januar 2018 hat sich dies grundlegend geändert. Seit diesem Tag gilt auch in Deutschland die Payment Service Directive 2 (PSD2) der Europäischen Union.

Das übergeordnete Ziel der EU ist es, den Zahlungsverkehr in Europa sicherer zu machen und mehr Wettbewerb zu ermöglichen. Das heißt im Fall Ihrer Kontodaten, dass auch Drittanbieter - nach Ihrer Zustimmung - Zugriff auf Ihre Kontodaten erhalten und so neue Dienstleistungen anbieten können.

Was sieht die PSD2 genau vor?

Die PSD2 regelt mehrere Bereiche im Zahlungsverkehr. So sinkt zum Beispiel die Haftungsgrenze bei Missbrauch der Bank- oder Kreditkarte. Banken sind jetzt auch verpflichtet, bei nicht autorisierten Kartenzahlungen den fälschlich abgebuchten Betrag bis spätestens einen Tag, nachdem die Bank informiert wurde, zurück zu buchen.

Im Zusammenhang mit Datenschutz interessiert an dieser Stelle vor allem der mögliche neue Zugriff von Drittanbietern auf sensible Kontodaten. Zunächst gilt es festzuhalten, dass nur solche Dienste dazu berechtigt sind, die auch unter der Bankenaufsicht stehen. Das sind klassische Geldhäuser, aber auch neue Unternehmen der Finanzbranche – sogenannte Fintechs. Diese Unternehmen sind meistens Start-Ups, die neue Services rund um Online-Transaktionen, Geldanlage oder Kreditvergabe anbieten.

Was ändert sich für den Kunden?

Zunächst einmal können sich Bankkunden über neue Dienstleistungen freuen. Es gibt schon länger Apps, die Kunden beim Sparen helfen sollen. Dazu analysieren sie die Einnahmen und Ausgaben des Kontos und schlagen Einsparpotenziale oder Geldanlagestrategien vor. Erhalten diese den Zugriff auf die gesamten Kontodaten, könnten sie noch wesentlich detaillierte Vorschläge machen oder automatisiert bestimmte Vorgänge abarbeiten. Damit die Daten aussagekräftig sind, ist Voraussetzung, dass der Kontoinhaber möglichst viele Bezahlvorgänge mit Karte oder online tätigt.

Wie wird der Datenschutz gewährleistet?

Bezahlt jemand fast ausschließlich bargeldlos, kann zum Beispiel sein Einkaufsverhalten, Gesundheitszustand oder Bewegungsprofil sehr genau analysiert werden. Eine Goldgrube für datenhungrige Unternehmen im Zeitalter von Big Data, die daraus umfangreiche Schlüsse auf die Lebensumstände und Interessen ziehen können.

Daher sind in der PSD2 einige Vorgaben zum Datenschutz enthalten. So dürfen die Banken Daten nur nach der expliziten Zustimmung des Kontoinhabers (Art. 94 PSD2) und nur für den angefragten Zweck weitergeben (Art. 67 Abs. 2 PSD2). Außerdem müssen alle Beteiligten dafür sorgen, dass die Daten nach dem aktuellen Stand der Technik vor unbefugtem Zugriff geschützt sind. So ist ein starkes Authentifizierungsverfahren vorgeschrieben und die gesamte Kommunikation muss verschlüsselt werden.

Es bleibt abzuwarten, wie die klassischen Banken und jungen Fintechs die Datenschutzvorgaben umsetzen und mit Datenschutzverletzungen umgehen werden. Bleiben Sie mit unserem DatenschutzBLOG auf dem Laufenden.