Kunden können sich entspannen: PSD2 regelt Verbraucherschutz in einer digital vernetzten Gesellschaft

PSD2 und Verbraucherschutz - Kunden entspannen - TME Blogartikel
(c)istock/PeskyMonkey

Beitrag teilen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email

Fast genau 16 Monate ist die PSD2 nun schon in Kraft. In vergangenen Blogartikeln haben wir ausführlich über die Zahlungsdiensterichtlinie und das Trendwort: „Open Banking“ berichtet. In diesem Beitrag nähern wir uns dem Sachverhalt aus Verbrauchersicht und werden folgende Fragen beantworten:

Was kommt eigentlich auf den Kunden aus Datenschutzperspektive zu? Kann er den sogenannten Drittanbietern die eigenen Daten anvertrauen, ohne einen Datenmissbrauch zu fürchten?

Wir hatten die Gelegenheit, in der renommierten Zeitschrift „Datenschutznachrichten“ (kurz: DANA) einen ausführlichen Beitrag zu verfassen und geben eine klare Antwort auf die beiden Fragen. Doch der
Reihe nach:

PSD2 regelt Zugriff auf Bankkonten und nimmt Verbraucherschutz ins Visier

Am 14.09.2019 mussten alle Banken (mit wenigen Ausnahmen) die Vorgaben der neuen Zahlungsrichtlinie technisch umsetzen. Ziel der Richtlinie ist es, nicht nur Innovationen im Bankensektor voranzutreiben, sondern auch den Verbraucherschutz stärker ins Visier zu nehmen. Der Kern der Richtlinie liegt darin, dass Drittanbieter, wie FinTechs, BigTechs aka Google, Amazon, Facebook oder Apple, aber auch Online Händler oder Versicherungen, Zugriff auf das Bankkonto des betroffenen Kunden bekommen.

Beispiel: Eine Shopping App mit direktem Zugriff auf das Konto

Martin Müller wird in seiner Shopping App ein modernes Fahrrad angezeigt. Es weckt sein Interesse, er prüft jedoch erst einmal über die gleiche Shopping App seinen Kontostand und schaut sich die Auswertung seiner fortlaufenden Finanzen an. Ihm wird aufgezeigt, dass er für den Kauf des Fahrrads zukünftig Einsparungen treffen müsste. Im gleichen Zug werden ihm  in einer Analyse seiner bestehenden Verträge, die über das Konto bezahlt werden, günstigere Versicherungen und Stromverträge anderer Anbieter angeboten. Man bemerke, er ist immer noch in der Shopping App. Martin entscheidet sich daraufhin, das Fahrrad zu erwerben und dafür einen Kredit aufzunehmen, der ihm aus der App heraus angeboten wird. Dieser wird in Echtzeit auf sein Konto ausgezahlt, sodass er den Kauf des Zweirads umgehend digital abschließen und auch die Zahlung direkt aus der App heraus auslösen kann.

Was wie ein Wunschszenario klingt, ist heute schon möglich, und zwar mittels der PSD2. Im obigen Beispiel bekommt ein Shopping-App-Anbieter Zugriffe auf Daten, welche die finanzielle Situation sowie die Lebenssituation des Kunden darstellen. Die Shopping App agiert als Drittanbieter und kann dem Kunden aufgrund der Datenanalyse ein personalisiertes Kundenerlebnis bieten.

5 Regeln der PSD2 sorgen für den Verbraucherschutz

Auf Grund des scheinbar problemlosen Datenzugriffs von Fremdunternehmen auf die Bankdaten des Kunden, äußern viele Verbraucher aber ihre Bedenken und fürchten sogar einen Datenmissbrauch. Mit Recht? Unsere klare Antwort: Nein!

Entgegen vieler Bedenken müssen die Drittanbieter nämlich gewisse Spielregeln befolgen und diese sehen folgendermaßen aus:

  1. Die ausdrückliche Zustimmung des Kunden zur Kontoauskunft ist notwendig. Dies erfolgt i.d.R. über die Datenschutzerklärung. Somit kann keine App ohne Bewilligung auf die Bankdaten des Kunden zugreifen.
  2. Alle Drittdienstleister müssen den Grundsatz der Zweckbindung befolgen, d.h. bekommt „Drittanbieter X“ Zugriff auf die Kundendaten bei „Bank Y“, dürfen diese nur für den vom Kunden gewünschten Zweck und z.B. nicht für Werbung verwendet werden.
  3. Drittdienstleister müssen außerdem dem Grundsatz der Datenminimierung folgen, d.h. es dürfen nie mehr Daten erhoben werden, als für die Umsetzung des entsprechenden Kundenauftrages erforderlich sind.
  4. Im Zuge der Produktentwicklung einer solchen Applikation wie der Shopping App müssen Drittanbieter datenschutzrechtliche Voreinstellungen treffen (Privacy by Design & Privacy by Default), sodass während der gesamten Produktentwicklung der Schutz personenbezogener Daten bereits integriert ist. Zu Deutsch: Der Shopping App Anbieter muss bereits bei der Entwicklung der Software-Lösung, die einen möglichen Zugriff auf das Bankkonto eines Kunden inkludiert, technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau der Kundendaten sicherzustellen.
  5. Jeder Drittanbieter benötigt eine Lizenz mit definierten Zugriffsberechtigungen auf die Schnittstellen der Banken. Diese ist an konkrete Anforderungen geknüpft und wird von der BaFin oder einer vergleichbaren europäischen Behörde vergeben. Das heißt, kein Drittanbieter kann sich einfach aus der Laune heraus an eine Bank andocken und Kundendaten zu seinem Vorteil verwenden.

Die obigen Aspekte bringen für jeden Kunden, der einen Datenmissbrauch fürchtet, hoffentlich etwas Licht ins Dunkel. Die Drittdienstleister müssen sich an strenge Vorgaben halten. Tritt jedoch tatsächlich der Fall ein, dass ein Drittanbieter sich nicht an die oben genannten Spielregeln hält, droht dem Unternehmen eine Strafe von bis zu 20 Mio € oder 4 % seines Jahresumsatzes. Verbraucher können somit optimalen Kundenerlebnissen, wie dem Kauf eines Fahrrads sowie der Klärung sämtlicher Finanzangelegenheiten, aus ein und derselben App heraus zukünftig postiv entgegenblicken.

Für uns ist dies ein großer Schritt zu einer sinnvoll vernetzen Gesellschaft. 
Den ausführlichen Artikel finden Sie in der Printausgabe der „Datenschutznachrichten“ [03/2020].

TME als Spezialist für digitale Transformation begleitet Banken, Bausparkassen und Versicherungen auf dem Weg in die Plattformökonomie – von Strategie und Geschäftsmodellentwicklung über die Auswahl und Anbindung geeigneter Partner bis hin zur (agilen) Umsetzung. Darüber hinaus helfen wir unseren Kunden bei der digitalen Produktentwicklung und Prozessoptimierung ebenso wie im Bereich People und Change Management.

Autoren

Raik Borkowski

Raik ist Experte für Open Banking und PSD2. Gemeinsam mit dem Team  berät er digitale Lösungen rund um die neue Zahlungsdiensterichtlinie sowie im Thema digitale Plattformen.

Stephan Paxmann

Stephan ist Vorstand und Gründer der TME AG. Er berät Kunden bei der Digitalen Transformation.