PSD2 – Zahlungsverkehr 2.0 – Welche Chancen und Risiken gibt es?

Seit dem 13. Januar 2018 gilt die PSD2 (Payment Service Directive/ Zahlungsdiensterichtlinie) in Form des Zahlungsdienstaufsichtsgesetzes (ZAG) auch in Deutschland. Die neue Richtlinie regelt die Rahmenbedingungen für Zahlungsdienstleistungen und hat das Ziel diese sicherer und einfacher zu gestalten und zudem den Wettbewerb zwischen klassischen Banken (deren Monopol aufgebrochen werden soll) und modernen Zahlungsdienstleistern (FinTechs) zu fördern. Da die in diesem Zusammenhang verwendeten Daten sehr sensibel sind, war ein europaweit einheitlicher Rahmen zum Schutz dieser Daten erforderlich.

Welche FinTechs sind vom Anwendungsbereich der PSD2 umfasst?

Die PSD2 bietet erstmalig eine Rechtsgrundlage für den Marktzugang von FinTechs, da sie alle Zahlungsdienste (nicht nur solche durch klassische Banken) erfasst, die innerhalb der EU erfolgen. Zudem sind anders als bei der Vorgängerrichtlinie auch Zahlungen aus und mit Drittländern sowie in Fremdwährungen erfasst.

Namentlich umfasst sind dabei Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs)und Kontoinformationsdienstleister (Account Information Service Provider, AISPs). PISPs, wie Klarna, führen Zahlungsvorgänge durch Zugriff auf das Bankkonto des Kunden aus. AISPs dienen vor allem dazu dem Kunden einen Überblick über Transaktionen und sonstige Kontoinformationen zu verschaffen, wenn er über mehrere Konten (bei verschiedenen Banken) verfügt.

Was verändert sich für Banken und FinTechs durch die PSD2?

Bisher mussten Kunden für Zahlungsdienste auf ihr Konto bei einer klassischen Bank zugreifen und die Instrumente ihrer Bank nutzen. Die PSD2 verlangt von Banken nun, dass sie Drittanbietern/FinTechs Zugriff auf das Kundenkonto gewähren, wenn der Kunde die Zahlungsdienstangebote des Drittanbieters wahrnehmen möchte. Die Bank ist in diesem Fall nicht mehr direkt an den Zahlungsdienstleistungen beteiligt.

Allerdings gibt es für FinTechs und sonstige Drittanbieter gewisse Hürden beim Eintritt in den Markt des Zahlungsverkehrs zu beachten. So sind die von der Europäischen Bankenaufsichtsbehörde EBA vorgegebenen technischen Regulierungsstandards/Regulatory Technical Standards/RTS(RTS) zwingend einzuhalten. Diese legen fest wie Schnittstellen zu klassischen Banken und damit zum Kundenkonto ausgestaltet sein müssen. Daneben müssen FinTechs vor dem Markeintritt einen entsprechenden Antrag bei der BaFin stellen und die Registrierung ( Lizenzierung ) abwarten.

Welche Konsequenzen ergeben sich für Online-Händler durch die PSD2?

Zum einen setzt die PSD2 einen deutlichen Trend zum kostenlosen Onlinezahlen. Die extra Gebühren für ein bargeldloses Zahlungsmittel fallen weitestgehend weg, sodass Kunden sich eher für den Online-Handel entscheiden könnten. Zudem haben Online-Händler die Möglichkeit eigene Zahlungsdienste anzubieten, sich entsprechend bei der BAFIN zu registrieren und dann etwa als AISP wertvolle Informationen über das Konsumentenverhalten und Kaufentscheidungen zu erlangen. Zudem können Händler sog. Instant Payment Services einrichten, durch die sie die Möglichkeit haben den Kaufpreis direkt vom Kundenkonto auf ihr eigenes Konto einzuzahlen und damit anders als z.B. bei Lastschriften eine Zahlungsgarantie haben.

Sollten Online-Händler nicht selbst Zahlungsdienstleistungen anbieten, sollten sie darauf achten bei der Auswahl der möglichen Zahlungsdienste neben dem Renommee und der Sicherheit der verschiedenen Anbieter, auch auf kreative Lösungen zu blicken. Die PSD2 ermöglicht FinTechs einen größeren Handlungsspielraum bei Zahlungsdiensten und somit die Chance Kundenerwartungen eher zu entsprechen, die in den letzten Jahren gerade auch unkomplizierte und schnelle Lösungen zu beinhalten schienen. Bei der Einbindung eines regulierten Zahlungsdienstleisters müssen allerdings bestimmte Anforderungen gewahrt werden, um nicht selbst in die Regulierung zu rutschen.

Teilweise befürchten Online-Händler durch die strengeren Sicherheitsvorkehrungen (dynamischer Code, TAN, Fingerabdruck s. dazu sogleich im Detail) jedoch auch eine Verkomplizierung der Online-Zahlungen, die Kunden abschrecken könnte. 

Welche datenschutzrechtlichen Regelungen enthält die PSD2?

Nach der PSD2 ist vor allem darauf zu achten, dass Zahlungsdienstleister nur mit der ausdrücklichen Zustimmung (Einwilligung) ihrer Nutzer personenbezogene Daten verarbeiten dürfen. Durch den Verweis auf die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) kann diese Einwilligung mündlich, schriftlich oder elektronisch erfolgen, muss jedoch ausdrücklich ergehen und darf sich nicht etwa aus den Umständen ergeben. Eine Möglichkeit zur Einholung der Einwilligung ist die Datenschutzerklärung. Die PSD2 legt dabei in Verbindung mit der DSGVO größten Wert auf Transparenz und Verständlichkeit. Dem Kunden muss also in einer einfachen und verständlichen Sprache erklärt werden, worin er genau einwilligt.

Die EBA hat bei der Schaffung der technischen Standards ebenfalls die datenschutzrechtlichen Vorgaben zu berücksichtigen. Die Kommunikation zwischen FinTech und Bank muss dabei den selben Transparenzanforderungen unterliegen, wie sie gegenüber Betroffenen gelten.

Weiterhin haben FinTechs auf datenschutzfreundliche technische Voreinstellungen (Privacy by Design) zu achten und sollten dazu gegebenenfalls rechtlichen Rat einholen.

Zudem sollten FinTechs dringend den engen Zweckbindungsgrundsatz beachten. So dürfen AISPs zwecks Kontenübersicht mit Einwilligung des Nutzers erhobene Daten keinesfalls für Werbung oder Scoring verwenden.

FinTechs haben sowohl gegenüber Banken (ebenso wie Banken gegenüber FinTechs) als auch gegenüber Betroffenen den Grundsatz der Datensparsamkeit zu berücksichtigen. Demgemäß dürfen niemals mehr Daten erhoben werden, als für die Umsetzung des entsprechenden Kundenauftrages erforderlich sind.

In Verbindung mit der DSGVO drohen hohe Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro.

Wie ist die Sicherheit der Daten darüber hinaus geregelt?

Da die PSD2 den Kontozugriff nicht mehr auf klassische Banken beschränkt, muss sie auch bei den Sicherheitsanforderungen höhere Standards anlegen. So reicht für Online-Zahlungen und sonstige Transaktionen ein Log-In mit Benutzername und Passwort nicht mehr aus. Ab bestimmten Summen wird nun immer die TAN oder ein dynamisch hergestellter Code, der per SMS an das Handy des Nutzers gesendet wird, abgefragt. Jedenfalls ist neben dem Passwort immer ein zweiter Sicherungsschritt erforderlich, der in Zukunft auch in einem Fingerabdruck oder anderen biometrischen Medium bestehen kann. Darüber hinaus müssen auch die Apps und Code-Algorithmen ebenso wie TAN-Systeme den strengeren Sicherheitsanforderungen der PSD2 angepasst werden. 

Welche Probleme bestehen bezüglich der Umsetzung der PSD2?

Erstes Problem bezüglich der Umsetzung der PSD2 dürfte eine gewisse Unklarheit bezüglich des Anwendungsbereichs für bestimmte AISPs sein. So sind Dienste, die eine direkte Vertragsbeziehung zum Nutzer aufweisen und Übersichten über Multibanking-Produkte bieten unstreitig erfasst.

Schwieriger und durch die Rechtsprechung zu klären, ist jedoch die Frage ob auch zum Beispiel folgende Dienste einbezogen sind und damit ebenfalls der Antrags- und Registrierungspflicht durch die BAFIN unterliegen.

Buchhaltersoftware (soweit Kontoinformationen einsehbar sind); Dienste, die Kontowechsel erleichtern sollen; Dienste, die Kredite vermitteln und dabei Einsicht in Kontoinformationen nehmen; Kündigungsdienste, die u.a. auf Kontobewegungen blicken um über die Kündigung zu entscheiden. Eine Übersicht über die Antrags- und Lizenzpflicht geben die EBA Guidelines http://www.eba.europa.eu/documents/10180/1904583/Final+Guidelines+on+Authorisations+of+Payment+Institutions+%28EBA-GL-2017-09%29.pdf.

Grundsätzlich besteht die Pflicht zur Registrierung bis April 2018, es sei denn das FinTech arbeitet bereits seit vor Januar 2016 in von der PSD2 reglementierten Gebieten. Unklar ist, ob die BAFIN im Falle registrierungspflichtigerer aber ohne Antrag ausgeübter Fin-Tech-Tätigkeit, die Zahlungsdienstleistungen untersagen kann

Zudem ist teilweise unklar für welche Kontoarten, die PSD2 gelten soll. So ist das Girokonto unstreitig ein solches, auf das FinTechs auf Kundenanweisung nun zugreifen können. Weniger eindeutig ist dies etwa für Kreditkartenkonten oder kontoähnlichen Angeboten wie PayPal. Hier sind Einzelfallentscheidungen danach geboten, ob und inwieweit das Konto im jeweiligen Fall funktional einem Girokonto entspricht.

Darüber hinaus sind einige der RTS (z.B. zur „starken Kundenauthentifizierung“) noch ungenau oder umstritten. Insbesondere bezüglich der Schnittstellen von Banken und FinTech-Angeboten kann es europaweit zu unterschiedlichen Umsetzungen kommen, die sowohl FinTechs als auch Online-Händler vor große Herausforderungen stellen können. Banken, die hier eigeninitiativ einheitliche Lösungen anbieten, könnten sich trotz oder gerade wegen der neuen Konkurrenz durch FinTechs Wettbewerbsvorteile verschaffen. Zudem beklagen sowohl Online-Händler als auch FinTechs, dass die Summe, ab der Zusatz-Authentifikationen verlangt werden (derzeit liegt diese bei 30€) zu niedrig sei und den Online-Handel verlangsame. Auch hier haben klassische Banken die Möglichkeit durch Kooperationen mit Online-Händlern die Summe höher anzusetzen und sich im neuen Zahlungsdienstemarkt besser zu positionieren.

Ein Bereich, in dem lange Zeit Unklarheit bestand war der des sog. Screen Scrapings, mittels dessen die Internetseite von Banken durch FinTechs ausgelesen wurde, um Zugriff auf das Kundenkonto zu erlangen. Dieser Zugriff wird durch die RTS dahingehend konkretisiert, dass er nur über eine spezifische Schnittstelle (API) erfolgen darf, wodurch das Screen Scraping weitestgehend verboten ist. Zu einem maschinengesteuerten Auslesen des Kundenkontos kann es also nicht mehr kommen. Grundsätzlich müssen Banken diese APIs bis zum dritten Quartal 2019 umgestalten, um den Zugriff zu ermöglichen.

Fazit: Die PSD2 bietet FinTechs die Möglichkeit im Markt der Zahlungsdienste mitzumischen. Kreative Lösungen und Abweichungen von veralteten Bankinfrastrukturen sind somit möglich. Dies sollte jedoch nicht zu Lasten der Datensicherheit oder des Verbraucherschutzes gehen, da gerade wegen der größeren Angebotsvielfalt und der Sensibilität der betroffenen Daten, Kunden neuen, wenig etablierten Anbieten schneller den Rücken kehren werden. Bei der Ausgestaltung der Schnittstellenstruktur zwischen Banken und FinTechs ist im Idealfall von einer Kooperation aller beteiligten Parteien auszugehen, um den Übergang in die neue Zeitrechnung im Online-Zahlungsverkehr so schnell und sicher wie möglich zu bewerkstelligen.

Data Driven Marketing nach den neuen EU-Datenschutzregeln – was ist möglich?

Nutzer-Daten. Sie sind die tragende Säule des modernen Marketings, allerdings nur für den, der es schafft, das immer größer werdende Volumen zu verwerten und für sich zu nutzen. Den individuellen Nutzer zur richtigen Zeit mit dem richtigen Angebot zu einer gewollten Handlung bewegen und daraus einen Wettbewerbsvorteil ziehen:  das ist die Herausforderung, der moderne Unternehmen in einer zunehmend vernetzten Welt gegenüberstehen.

Das Zauberwort heißt datengetriebenes Marketing (Data Driven Marketing). Datensätze, die beispielsweise mittels Webanalyse- Tools generiert wurden, werden verknüpft, analysiert und zu exakten Datenmodellen zusammengeführt. Der Vorteil von Data Driven Marketing liegt darin, Kundenerlebnisse hochgradig zu individualisieren.

Die Vorteile des datengetriebenen Marketings bedingen allerdings die Einhaltung von geltenden Datenschutzregeln, die sich seit dem 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) und voraussichtlich 2019 mit der Einführung der ePrivacy – Verordnung erheblich verschärfen.

Hintergründe über die neuen EU- Datenschutzregeln DSGVO und ePrivacy-VO

Ziel der neuen Datenschutzregelungen ist es, personenbezogene Daten der Nutzer und ihren freien Verkehr besser unter Schutz zu stellen. Der bisherige Entwurf der ePrivacy–VO geht sogar noch weiter, indem sie den gesamten Bereich der elektronischen Kommunikation regeln soll, d.h. nicht nur personenbezogene Daten (z.B. Name, Adresse, Geburtsdatum von natürlichen Personen, aber auch IP-Adressen und Cookies), sondern auch die Übermittlung von Maschine-zu-Maschine-Kommunikation (z.B. SmartHome, vernetzte Autos) und somit die gesamte digitale Wirtschaft.

Ursprünglich sollte die ePrivacy-VO zusammen mit der DSGVO ab 25. Mai 2018 gelten. Dieser Zeitplan wird allerdings nicht eingehalten werden können, da sowohl das EU- Parlament, als auch die EU-Kommission verschiedene Entwürfe ausgearbeitet haben, die sich in verschiedenen Streitpunkten erheblich unterscheiden. Zudem ist noch nicht absehbar, ob es, wie schon bei der DSGVO, eine Übergangsfrist geben wird und wie lang sie sein wird.

Was hat sich durch die DSGVO geändert?

Seit dem 25. Mai 2018 gilt die DSGVO. Der Grundsatz der DSGVO, wie auch beim bisherigen BDSG, liegt darin, dass personenbezogene Daten nur mit Einwilligung (Opt-in) der betroffenen Person verarbeitet werden dürfen. Sie muss freiwillig erfolgen und darf gem. Art. 7 Abs. 4 DSGVO nicht Bedingung für die Erbringung einer Dienstleistung sein, wenn die Verarbeitung der Daten dafür nicht erforderlich ist (Kopplungsverbot). Die Einwilligung muss nachweisbar gespeichert werden und bei Nachfragen durch Aufsichtsbehörden oder dem Verbraucher selbst, abrufbar sein. Zudem muss der Einwilligende in transparenter und leicht verständlicher Weise darauf hingewiesen werden, dass er gem. Art. 7 Abs. 3 DSGVO ein jederzeitiges Widerrufsrecht hat.

Zusätzlich enthält die DSGVO eine Reihe von Erlaubnistatbeständen, die eine Verarbeitung von personenbezogenen Daten auch ohne Einwilligung ermöglichen. Dies gilt z.B., wenn die Daten für die Erfüllung von Verträgen erforderlich sind (Art. 6 Abs. 1 lit. (b) DSGVO) oder, wenn das Unternehmen ein berechtigtes Interesse an der Verarbeitung hat (Art. 6 Abs. 1 lit. (f) DSGVO). Ein solches berechtigtes Interesse besteht beispielsweise bei der Verarbeitung von Daten zur Reichweitenmessung, der Direktwerbung oder dem Einsatz von Analysetools. Voraussetzung ist, dass die schutzwürdigen Interessen der betroffenen Personen (z.B. Schutz der Privatsphäre) nicht den Interessen der Verantwortlichen überwiegen. Hier muss eine Interessenabwägung vorgenommen und darauf hingewiesen werden, dass der betroffenen Person ein Widerspruchsrecht zusteht (Opt-out). An die Interessenabwägung stellt die DSGVO hohe Anforderungen, zudem muss der Verarbeitende dem Betroffenen seine Gründe darlegen und diese auch dokumentieren.

Das für die Werbebranche wichtige Profiling wird in Art. 4 Abs. 4 DSGVO definiert, als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass die personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte (z.B. Alter), die sich auf eine natürliche Person beziehen, zu bewerten […]“. Mittels Profiling ist es möglich, Nutzerprofile auf Grundlage automatisch erhobener personenbezogener Daten zu erstellen und so Kundenangebote zu optimieren und persönliche Handlungsempfehlungen geben zu können. Entfaltet das automatisierte Profiling eine rechtliche oder ähnlich erhebliche beeinträchtigende Wirkung für den Betroffenen (z.B. eine Kreditentscheidung) ist eine Einwilligung notwendig, es sei denn, einer der in Art. 22 Abs. 2 DSGVO genannten Erlaubnistatbestände, greift ein. Für personalisierte Werbung wird weder eine Einwilligung, noch einer der Erlaubnistatbestände erforderlich sein, da sie bereits keine rechtliche oder ähnliche Wirkung für den Betroffenen entfaltet.

DSGVO: Handlungsempfehlungen für Unternehmen

Die DSGVO ähnelt in vielen Bereichen dem bisherigen BDSG, enthält aber auch einige Neuerungen. Werbetreibende sollten die neuen Regelungen, insbesondere im Hinblick auf die verschärften Bußgelder (bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs) oder Abmahnungen durch Wettbewerber, ernst nehmen. Information und Transparenz gegenüber dem Kunden, insbesondere im Rahmen der Interessenabwägung und das Einholen von Einwilligungen, wo sie erforderlich sind, werden den Unternehmen helfen. Zudem sollte auf die Praxis von Aufsichtsbehörden und zukünftiger Rechtsprechung geachtet werden.

Welche Neuerungen gibt es für das digitale Business durch die ePrivacy-Verordnung?

Im Gegensatz zur DSGVO, die in großen Teilen den bisherigen Regelungen gleicht, hat die ePrivacy-VO das Zeug, die digitale Werbewelt radikal über den Haufen zu werfen. Sie wird die so genannte Cookie- Richtlinie ersetzen und soll den Schutz der elektronischen Kommunikation sicherstellen.

Bisher basiert der größte Teil der digitalen Werbewirtschaft auf Cookies, mit denen Nutzer beispielsweise verfolgt werden (Tracking), um für die Customer-Journey-Analyse eine exakte Datenspeicherung über das Verhalten des Nutzers generieren zu können.

Die damalige Cookie-Richtlinie legte fest, dass Webseiten-Anbieter ihre Nutzer nur mit deren Einwilligung verfolgen dürfen, z.B. durch den Klick auf ein Banner mit dem Inhalt „Cookies akzeptieren“. Eine Richtlinie gilt im Gegensatz zu einer Verordnung nicht unmittelbar, sondern muss durch die Mitgliedsstaaten erst in nationales Recht umgesetzt werden. Deutschland hat dies nie getan, weshalb es statt einer Einwilligung meist nur die Information über den Einsatz von Cookies gibt. Das Benutzen der Website gilt als konkludente Einwilligung. Diese Praxis soll – zumindest tendenziell mit den derzeitigen Entwürfen – mit der ePrivacy-VO nicht mehr möglich sein.

Cookies, Einwilligung und Co.: Was würde sich ändern?

Erlaubt sind nur noch solche Cookies, die zur Diensterbringung oder aus Sicherheitsgründen erforderlich sind, oder die, in die der Betroffene eingewilligt hat. Der Unterschied zur DSGVO ist, dass es eine Interessenabwägung nicht geben soll, was die Verarbeitung der Kommunikation stark einschränken würde. Zudem soll es eine Sondervorschrift zur Einwilligung geben. Die Zugangssoftware (z.B. der Browser) muss künftig standardmäßig alle Cookies von Dritten (3rd-Party-Cookies) blocken und dem Nutzer in den Systemeinstellungen die Möglichkeit geben, dem Einsatz der Cookies zuzustimmen („Privacy by default“). Dadurch soll der Nutzer vor der Flut an „Cookie“-Bannern geschützt werden, besonders nutzerfreundlich ist diese Lösung allerdings sicherlich nicht, vielmehr wird der Webseitenbesuch für den Nutzer erschwert. Vor allem Anbietern von kostenlosen – weil werbefinanzierten – Diensten, wird die Finanzierungsgrundlage entzogen, wenn der User nicht einwilligt. Die Kontrolle der Datenverarbeitung durch Dritte liegt allein beim Anbieter der Software, die Kommunikationsverbindungen erlaubt.

ePrivacy-VO: Was können Unternehmen tun?

Zunächst ist es wichtig zu wissen, dass der bisherige Entwurf sehr umstritten ist, nicht zuletzt, weil die Widersprüche zwischen DSGVO (Interessenabwägung möglich) und ePrivacy-VO (keine Interessenabwägung, Einwilligung stets erforderlich) ein erhebliches Maß an Rechtsunsicherheit zur Folge hat. Es ist deshalb abzuwarten, welche Ergebnisse der Trilog zwischen EU- Parlament, Kommission und Rat liefert.

Für das wettbewerbsfähige Anbieten von personalisierten Angeboten und Werbung wird zukünftig wohl ein Nutzer-Login erforderlich sein, mit dessen Hilfe Permissions widerruflich gespeichert werden können und somit Content und Werbung personalisiert werden kann. Damit Nutzer nicht durch unzählige Zugangsdaten überfordert und dadurch abgeschreckt werden, wäre es für Unternehmen denkbar, sich einem Log-in-Pool anzuschließen. Sogenannte Log-in-Allianzen wollen Nutzern ein einfaches Anmeldeverfahren mit transparenter Datenverwaltung bieten, indem für verschiedene Online-Dienste die gleichen Login-Daten gelten.

Fazit

Die neuen EU-Datenschutzregelungen sollten für Unternehmen, die Data-Driven-Marketing einsetzen, als Gelegenheit gesehen werden, sich für Datenschutz zu sensibilisieren und einen guten Überblick über ihre Datenverarbeitung zu erlangen. Erst in den kommenden Wochen wird sich wirklich zeigen, wie sich das Institut DSGVO in der Praxis schlägt und welche Entwicklungen sich bezüglich der streitbaren ePrivacy-VO ergeben. Unternehmen, die sich auf das Kommende vorbereiten, werden im scheinbar undurchsichtigen Datenschutzrecht den Überblick behalten.

 

 

 

 

DSGVO-Umsetzung: Aktueller Gesetzesstand der EU-Mitgliedsländer UPDATE

Die Datenschutz-Grundverordnung (DSGVO, VO 679/2016/EU) stellt das Datenschutzrecht in den Mitgliedstaaten der EU mit dem Tag ihrer Anwendbarkeit – seit dem 25. Mai 2018 – auf neue Grundlagen. 1993 erließ die Europäische Gemeinschaft die RL 95/46/EG, die seitdem Maßstab für den Datenschutz in den Mitgliedstaaten der EU war. Die Richtlinie erforderte eine gesetzliche Umsetzung in den Mitgliedstaaten. Die DSGVO hingegen ist in den Mitgliedstaaten als Verordnung unmittelbar anwendbar und hat Anwendungsvorrang vor mitgliedstaatlichem Recht, (vgl. Art. 288 Abs. 2 AEUV). Prinzipiell ist damit die DSGVO Primärquelle für die Klärung datenschutzrechtlicher Fragen. Die DSGVO sieht allerdings eine Vielzahl von Öffnungsklauseln vor, die den Mitgliedstaaten Rechtsetzungsbefugnisse einräumen.

(mehr …)