Datenschutz im Zahlungsverkehr nach PSD II

Auswirkungen der Datenschutzregelungen in der Payment Service Direktive 2 (PSD II = Zahlungsdiensterichtlinie)

Im Rahmen der Herbstakademie der Deutschen Stiftung für Recht und Information (DSRI) in Hamburg wird Rechtsanwalt David Seiler mit seiner Erfahrung als langjähriger Banksyndikus und externer Datenschutzbeauftragter insbesondere auf die Forderung nach einer ausdrücklichen Zustimmung in der PSD II zur Verarbeitung von Zahlungsverkehrsdaten eingehen. Daneben werden die Datenschutzgrundsätze zu den FinTechs im Bereich Zahlungsauslösedienste und Kontoabrufdienste dargestellt. Welche vertraglichen Regelungsmöglichkeit bestehen? Eine der Problematiken dabei ist, dass bei Einführung der neuen Zahlungsdiensterichtlinie noch das BDSG gilt und wenige Monate später die EU-Datenschutzgrundverordnung das BDSG ablösen wird.

Im Gegensatz zu vielen FinTechs, bei denen zu vermuten steht, dass die erlangten Zahlungsverkehrsdaten das „Gold des 21. Jahrhunderts“ sind, besteht bei Banken in Deutschland eine Tradition des Bankgeheimnisses bis zurück ins 17. Jahrhundert.

Hintergrund PSD II und DSGVO

Die Zahlungsdiensterichtliche von 2007 wird zum 13.01.2018 durch die Zahlungsdiensterichtlinie II (PSD II) abgelöst. In der PSD II gibt es einerseits eine zentrale Regelung zum Datenschutz, die die Datenverarbeitung zum Zwecke des Zahlungsverkehrs nur mit einer ausdrücklichen Zustimmung zulässt. Andererseits gibt es neue – auch datenschutzrechtliche – Regelungen zu Zahlungsauslösdienstleitern (z.B. Sofortüberweisung) und Kontoinformationsdienstleistern (z.B. Banking-Apps), die sich zwischen die kontoführende Bank (Zahlungsdienstleister) und dessen  Kunden (Zahlungsdienstenutzer) schalten. Die PSD II ist bis zum 13.01.2018 in nationales Recht umzusetzen.

Die EU-Datenschutzgrundverordnung, DSGVO, löst zum 25.05.2018 das Bundesdatenschutzgesetz (BDSG) ab. Zwar ist die Verordnung im Gegensatz zu einer Richtlinie unmittelbar geltendes Recht in allen Mitgliedsstaaten der EU. Die Grundverordnung ist aber keine Verordnung in Reinform, sondern sie enthält zahlreiche Regelungsaufforderungen an die Mitgliedsstaaten und eröffnet trotz des Ziels einer EU-weiten Harmonisierung des Datenschutzrechts den Mitgliedsstaaten in weiteren Bereichen Handlungsspielräume für optionale Regelungen. Zu diesem Zweck ist noch für Ende der Legislaturperiode ein Begleitgesetz (Referentenentwurf vom 05.08.2016 zur Ressortabstimmung geleckt) in Planung, durch das ein ABDSG, ein allgemeinen Bundesdatenschutzgesetz eingeführt werden soll, welches auch die Aufhebung des BDSG regelt.

Weder das BDSG noch die DSGVO kennen eine „ausdrückliche Zustimmung“. Statt dessen ist als Rechtfertigung für die Verarbeitung personenbezogener Daten von einer gesetzliche Erlaubnis bzw. Anordnung oder eine Einwilligung der Betroffenen die Rede.

Rechtsanwalt David Seiler berät bundesweit zu Fragen des Datenschutzrechts