12. Januar 2018 | 11:22 Uhr

PSD2: Zugriff auf Kontodaten durch Unternehmen

Ab dem Samstag (13.01.2018) gelten in der EU neue Regeln für den Zahlungsverkehr. PSD2 löst dann die Zahlungsdienste-Richtlinie (2007/64/EG) PSD vom 13. November 2007 ab und bringt Erweiterungen im Bereich der Karten- und Online-Zahlungen.

Hat keiner von euch mitbekommen? Macht nichts, ich bisher auch nicht… Schauen wir doch mal welche Änderungen Payment Services Directive (PSD2) mit sich bringt:

Sicherheit: Erhöhte Sicherheitsanforderungen für Zahlungsabwicklungen und Kontozugriff (bspw. zwei Faktor-Authentifizierung mit voneinander unabhängigen Geräten).
Kontodaten: Unternehmen wie Google, Apple oder Amazon erhalten direkten Zugriff auf eure Kontodaten (Umsätze, Salden, etc.) und können diese bis zu 90 Tage in die Vergangenheit einsehen. Banken müssen Dienstleistern (Unternehmen, FinTechs, etc.) also einen kostenfreien Zugang zum Zahlungskonto (in der Regel Girokonten) gewährleisten, sofern das Konto online zugänglich ist.
[…]

Wait, what? Zugriff auf die Zahlungsvorgänge auf meinem (Giro-) Konto? Ja, das ist korrekt, allerdings nur nach Zustimmung des Kunden. Die Frage ist jetzt eben, wie diese Zustimmung aussieht / erfolgt. Muss mich ein Unternehmen jetzt jedes mal Fragen, bevor der Zugriff auf das Bankkonto erfolgt oder wie ist die Forderung nach einer »ausdrücklichen Zustimmung« einzuordnen?

Dazu habe ich folgende Informationen gefunden:

1. Die Verarbeitung personenbezogener Daten im Zahlungsverkehr kann nicht mehr auf die gesetzliche Erlaubnis der „Datenverarbeitung zur Vertragserfüllung“ gestützt werden.

2. Das Merkmal „Zustimmung“ in Art. 94 Abs. 2 PSD ist datenschutzrechtlich im Sinne einer „Einwilligung“ zu verstehen.

3. Die „ausdrückliche Zustimmung“ der Zahlungsdienstenutzer nach Art. 94 Abs. 2 PSD II kann im Zahlungsdiensterahmenvertrag, der zwischen dem Zahlungsdienstleister und seinem Zahlungsdienstnutzer geschlossen wird (Deckungsverhältnis), erteilt werden, und zwar für alle Zahlungstransaktionen (Zweck und Verarbeitungsvorgänge), die unter einem Rahmenvertrag (Girokontobeziehung, Kreditkartenvertrag) abgewickelt werden.

Wenn ich das nun richtig interpretiere handelt es sich bei der Einwilligung bzw. Zustimmung um eine AGB-Änderung. Hand auf’s Herz: Wer hat sich die letzten AGB-Änderungen seiner Online-Shops durchgelesen? Oder wer hat vor einem Vertragsabschluss die AGB vollständig gelesen und verstanden?

Und wisst ihr was? Laut einer Umfrage von PricewaterhouseCoopers, die im Juni 2017 durchgeführt wurde, sind 68% der Deutschen bereit, auch Drittanbietern, die keine Banken sind, den Zugriff auf ihre Kontodaten zu erlauben. Dazu fällt mir nur das berühmte Zitat ein:

Traue keiner Statistik, die du nicht selbst gefälscht hast.

Wer weitere Informationen zu diesem Thema und vor allem zu Einwilligung hat, der kann mich gerne kontaktieren.

Hinweis

Nochmal zur Verdeutlichung: Banken müssen diese Schnittstellen für Drittparteien bereitstellen. Das bedeutet aber nicht, dass dann ein Unternehmen wie Amazon einfach auf eure Kontodaten zugreifen darf – dafür wird eine explizite Einwilligung notwendig sein, die ihr Amazon und Co. erteilt. Erst danach ist der Zugriff auf das Konto durch einen Dritten möglich.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡