Fast genau 16 Monate ist die PSD2 nun schon in Kraft. In vergangenen Blogartikeln haben wir ausführlich über die Zahlungsdiensterichtlinie und das Trendwort: „Open Banking“ berichtet. In diesem Beitrag nähern wir uns dem Sachverhalt aus Verbrauchersicht und werden folgende Fragen beantworten:
Was kommt eigentlich auf den Kunden aus Datenschutzperspektive zu? Kann er den sogenannten Drittanbietern die eigenen Daten anvertrauen, ohne einen Datenmissbrauch zu fürchten?
Wir hatten die Gelegenheit, in der renommierten Zeitschrift „Datenschutznachrichten“ (kurz: DANA) einen ausführlichen Beitrag zu verfassen und geben eine klare Antwort auf die beiden Fragen. Doch der
Reihe nach:
PSD2 regelt Zugriff auf Bankkonten und nimmt Verbraucherschutz ins Visier
Beispiel: Eine Shopping App mit direktem Zugriff auf das Konto
Martin Müller wird in seiner Shopping App ein modernes Fahrrad angezeigt. Es weckt sein Interesse, er prüft jedoch erst einmal über die gleiche Shopping App seinen Kontostand und schaut sich die Auswertung seiner fortlaufenden Finanzen an. Ihm wird aufgezeigt, dass er für den Kauf des Fahrrads zukünftig Einsparungen treffen müsste. Im gleichen Zug werden ihm in einer Analyse seiner bestehenden Verträge, die über das Konto bezahlt werden, günstigere Versicherungen und Stromverträge anderer Anbieter angeboten. Man bemerke, er ist immer noch in der Shopping App. Martin entscheidet sich daraufhin, das Fahrrad zu erwerben und dafür einen Kredit aufzunehmen, der ihm aus der App heraus angeboten wird. Dieser wird in Echtzeit auf sein Konto ausgezahlt, sodass er den Kauf des Zweirads umgehend digital abschließen und auch die Zahlung direkt aus der App heraus auslösen kann.
5 Regeln der PSD2 sorgen für den Verbraucherschutz
Auf Grund des scheinbar problemlosen Datenzugriffs von Fremdunternehmen auf die Bankdaten des Kunden, äußern viele Verbraucher aber ihre Bedenken und fürchten sogar einen Datenmissbrauch. Mit Recht? Unsere klare Antwort: Nein!
Entgegen vieler Bedenken müssen die Drittanbieter nämlich gewisse Spielregeln befolgen und diese sehen folgendermaßen aus:
- Die ausdrückliche Zustimmung des Kunden zur Kontoauskunft ist notwendig. Dies erfolgt i.d.R. über die Datenschutzerklärung. Somit kann keine App ohne Bewilligung auf die Bankdaten des Kunden zugreifen.
- Alle Drittdienstleister müssen den Grundsatz der Zweckbindung befolgen, d.h. bekommt „Drittanbieter X“ Zugriff auf die Kundendaten bei „Bank Y“, dürfen diese nur für den vom Kunden gewünschten Zweck und z.B. nicht für Werbung verwendet werden.
- Drittdienstleister müssen außerdem dem Grundsatz der Datenminimierung folgen, d.h. es dürfen nie mehr Daten erhoben werden, als für die Umsetzung des entsprechenden Kundenauftrages erforderlich sind.
- Im Zuge der Produktentwicklung einer solchen Applikation wie der Shopping App müssen Drittanbieter datenschutzrechtliche Voreinstellungen treffen (Privacy by Design & Privacy by Default), sodass während der gesamten Produktentwicklung der Schutz personenbezogener Daten bereits integriert ist. Zu Deutsch: Der Shopping App Anbieter muss bereits bei der Entwicklung der Software-Lösung, die einen möglichen Zugriff auf das Bankkonto eines Kunden inkludiert, technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau der Kundendaten sicherzustellen.
- Jeder Drittanbieter benötigt eine Lizenz mit definierten Zugriffsberechtigungen auf die Schnittstellen der Banken. Diese ist an konkrete Anforderungen geknüpft und wird von der BaFin oder einer vergleichbaren europäischen Behörde vergeben. Das heißt, kein Drittanbieter kann sich einfach aus der Laune heraus an eine Bank andocken und Kundendaten zu seinem Vorteil verwenden.
Die obigen Aspekte bringen für jeden Kunden, der einen Datenmissbrauch fürchtet, hoffentlich etwas Licht ins Dunkel. Die Drittdienstleister müssen sich an strenge Vorgaben halten. Tritt jedoch tatsächlich der Fall ein, dass ein Drittanbieter sich nicht an die oben genannten Spielregeln hält, droht dem Unternehmen eine Strafe von bis zu 20 Mio € oder 4 % seines Jahresumsatzes. Verbraucher können somit optimalen Kundenerlebnissen, wie dem Kauf eines Fahrrads sowie der Klärung sämtlicher Finanzangelegenheiten, aus ein und derselben App heraus zukünftig postiv entgegenblicken.
Für uns ist dies ein großer Schritt zu einer sinnvoll vernetzen Gesellschaft. Den ausführlichen Artikel finden Sie in der Printausgabe der „Datenschutznachrichten“ [03/2020].
TME als Spezialist für digitale Transformation begleitet Banken, Bausparkassen und Versicherungen auf dem Weg in die Plattformökonomie – von Strategie und Geschäftsmodellentwicklung über die Auswahl und Anbindung geeigneter Partner bis hin zur (agilen) Umsetzung. Darüber hinaus helfen wir unseren Kunden bei der digitalen Produktentwicklung und Prozessoptimierung ebenso wie im Bereich People und Change Management.
Autoren
Stephan Paxmann
Stephan ist Vorstand und Gründer der TME AG. Er berät Kunden bei der Digitalen Transformation.
