Neue Datenschutzregelungen in der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive II, kurz PSD II) unter BDSG und DSGVO

Veröffentlich in juris PraxisReport Bank- und Kapitalmarktrecht 11/2016, Anm. 1

Zittervorschlag: Seiler, jurisPR-BKR 11/2016 Anm. 1

Von Rechtsanwalt David Seiler

A. Problemstellung

I. Regulierungsdruck und sich überschneidende Regelungen

Gerade Banken sind – nicht erst seit der Finanzkrise 2007 – einem starken Regulierungsdruck ausgesetzt. Im Bereich Datenschutz und Zahlungsverkehr überschneiden sich zwei Regulierungsbereiche. Die aktuelle Herausforderung ist, dass die Zweite Zahlungsdiensterichtlinie (Payment Services Directive II, kurz PSD II) bis zum 13.01.2018 in nationales Rechts umzusetzen ist, während zu dieser Zeit noch das Bundesdatenschutzgesetz (BDSG) gilt, welches erst zum 25.05.2018 durch die EU-Datenschutzgrundverordnung (DSGVO) abgelöst werden wird. Dies gilt es bei der künftigen Vertragsgestaltung nach Möglichkeit zu berücksichtigen, um zu vermeiden, dass zweimal kurz nacheinander AGB-Änderungen erforderlich werden.

II. Neue Zahlungsdiensterichtlinie PSD II

Die neue Zahlungsdiensterichtlinie II (Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG), kurz PSD II, regelt zwei Gruppen von FinTechs, die als neue Dienstleister in die schon jetzt bestehenden Mehrpersonenverhältnisse im Zahlungsverkehr hinzutreten und sich zwischen den klassischen Bankkunden (Zahlungsdienstnutzer) und dessen kontoführende Bank (Zahlungsdienstleister) schalten werden. Diese neuen Dienstleister, die Kontoinformationsdienste und Zahlungsauslösedienste anbieten werden, benötigen zur Ausführung ihrer Dienstleistungen bestimmte Daten des Bankkunden, die bisher nur in dem System der kontoführenden Bank vorhanden sind. Neu ist, dass die Bank künftig auf Wunsch des Kunden diesen neuen Dienstleistern Zugriff auf seine Kundendaten gewähren muss. Dass diese Daten (insbes. über die Kontostände und die Kontoumsätze) datenschutzrechtlich kritische und sehr sensible Daten sind, ist ebenso offensichtlich wie der Schutzbedarf dieser Daten, mit denen Konto- oder Zahlungskartenbelastungen ausgelöst (autorisiert) werden können; gleiches gilt insbesondere für PIN und TAN.

Deswegen sieht auch das aktuelle Datenschutzrecht in § 42a Abs. 1 Nr. 4 BDSG das besondere Gefahrenpotential, welches von personenbezogenen Daten zu Bank- oder Kreditkartenkonten ausgeht – und regelt eine Informationspflicht bei Datenpannen.

Dadurch, dass sich künftig neue Dienstleister in das Zweiparteienverhältnis von Bank und Kunde schieben und Zugriff auf Zahlungsverkehrs- und Kontodaten der Bankkunden erhalten werden, wird ein neues Gefahrenpotential geschaffen, denn die Daten könnten von Hackern oder sonstigen „interessierten Dritten“ abgegriffen werden. Jeder rechtmäßig technisch eröffnete Zugang kann missbraucht werden. Diese neuen Dienstleister, oft auch als FinTechs bezeichnet, sind nämlich keine Banken und unterliegen demzufolge auch nicht dem Bankgeheimnis; auch unterliegen diese neuen Dienstleister – bislang – nicht der Bankenaufsicht. Es gibt also einerseits ein zusätzliches Gefährdungspotential und andererseits ein weniger traditionsbehaftetes Verständnis vom Schutz der Kundendaten sowie keine evtl. eingreifende Aufsicht. Vielmehr kommen Player auf den Markt, die in den Finanzdaten der Kunden und deren Analyse- und Auswertungsmöglichkeiten die Gegenleistung für die angebotenen Dienstleistungen sehen könnten. Denn die Preisgabe bzw. Nutzung personenbezogener Daten ist typischerweise in vielen neuen IT- und Internetdienstleistungen die Währung und Gegenleistung für die vermeintlich kostenlosen Dienste.

Trotzdem ist der u.a. mit sicherheitstechnischen Bedenken begründete Ansatz, die Nutzung der personalisierten Sicherheitsmerkmale von PIN und TAN in bankenunabhängigen Zahlverfahren in den AGB (Sonderbedingungen für das Online-Banking) zu verbieten, vom Bundeskartellamt als kartellrechtswidrig untersagt worden.

III. EU-Datenschutzgrundverordnung

Die EU-Datenschutzgrundverordnung (DSGVO) 2016/679 vom 27.04.2016, veröffentlicht im Amtsblatt der EU vom 04.05.2016, DE L 119/1, wird ab dem 25.05.2018 als unmittelbar geltendes Recht auch in Deutschland anzuwenden sein (Art. 288 AEUV) und wird damit das BDSG ablösen. Die DSGVO enthält jedoch rund vier Dutzend echte und unechte Öffnungsklauseln und wird daher als Hybrid zwischen Verordnung und Richtlinie bezeichnet (Kühling/Martini et al., Die DSGVO und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, 2016, S. 37). Daher soll es auch ein „Gesetz zur Ausführung der DSGVO in Deutschland“ geben, dessen Kernstück ein Allgemeines Bundesdatenschutzgesetz (“ABDSG“) sein soll (Wybitul, Deutsches Ausführungsgesetz zur EU-Datenschutz-Grundverordnung: Erste Eckdaten, Blogbeitrag vom 24.08.2016 -update: siehe Referenten-Entwurf vom 23.11.2016). Da die faktische Umsetzungsfrist der DSGVO am 25.05.2018 ablaufen wird, kann mit den Umsetzungsarbeiten nicht bis zur Verabschiedung des deutschen Ausführungsgesetzes abgewartet werden. Dessen Inhalte, die sich vermutlich im Wesentlichen auf die Datenverarbeitung im Beschäftigungsverhältnis, die Bestellung von Datenschutzbeauftragten, die Einschränkung der Betroffenenrechte und die Beschränkung von Bußgeldern für Vorstände, Geschäftsführer etc. beschränken, berühren vermutlich nicht den hier in Rede stehenden Themenkomplex.

IV. Praktisches Problem

Unternehmen sehen sich derzeit großer Rechtsunsicherheit im Bezug auf Datenverarbeitungsvorgänge mit Datenübermittlungen – einschließlich Abruf bzw. Einsichtsmöglichkeit – in bzw. aus den USA und anderen „unsicheren Drittstaaten“ ausgesetzt. Dies basiert nicht nur darauf, dass unklar ist, ob es ein Safe Harbor Abkommen 2.0 geben wird und mit welchem Inhalt (update: Privacy Shield ist als Nachfolgevereinbarung zwischenzeitlich verabschiedet – seit 12.07.2016), sondern auch und vorallem auf den unterschiedlichen, teils sogar widersprüchlichen Positionen der europäischen und der deutschen Datenschutzaufsicht. Zudem ist auch die Datenschutzaufsicht in den 16 deutschen Bundesländern unterschiedlich schnell und streng.

B. Datenschutzrechtliche Regelung in der PSD II – Art. 94

Die zentrale datenschutzrechtliche Regelung in der PSD II ist deren Art. 94 Abs. 1 Satz 1, der – wie schon bisher Art. 79 PSD I – die betrugsbezogene Datenverarbeitung gestattet. Art. 94 Abs. 1 Satz 2 PSD II regelt sodann die Pflicht zur Unterrichtung über die Verarbeitung personenbezogener Daten, welche an sich nicht weiter überraschend ist und keine größeren praktischen Probleme verursachen dürfte:

Wörtlich heisst es in Art. 94 Abs. 1 Satz 2 PSD II:

„Die Unterrichtung natürlicher Personen über die Verarbeitung personenbezogener Daten sowie die Verarbeitung solcher personenbezogener Daten und jede andere Verarbeitung personenbezogener Daten für die Zwecke dieser Richtlinie erfolgt gemäß der Richtlinie 95/46/EG, den nationalen Vorschriften zur Umsetzung der Richtlinie 95/46/EG, und gemäß der Verordnung (EG) Nr. 45/2001.“

Neu und einer näheren Betrachtung wert ist die Regelung des Art. 94 Abs. 2 PSD II, die wie folgt lautet:

Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers abrufen, verarbeiten und speichern.

Da es für die Interpretation hilfreich ist, soll hier auch die englische Fassung dieser Regelung wiedergegeben werden:

„Payment service providers shall only access, process and retain personal data necessary for the provision of their payment services, with the explicit consent of the payment service user.“

Zahlungsverkehrsrechtlern vertraut sind die ersten Merkmale der Regelung: Zahlungsdienstleister sind nach Art. 1 Abs. 1 PSD II unter anderem definiert als Kreditinstitute und als Zahlungsinstitute. Die betroffenen Tätigkeiten (Zahlungsdienste) sind in Anhang 1 zur PSD II aufgeführt. Umfasst sind neben den bisherigen Barein- und Auszahlungen und der Ausführung von Zahlungsvorgängen auch die neuen Zahlungsauslöse- und Kontoinformationsdienste.

Personenbezogene Daten“ sind alle Informationen über eine lebende natürliche Person. Selbst wer nur den Zahlungsverkehr für Firmenkunden abwickelt, hat im Regelfall dennoch mit personenbezogen Daten im Zahlungsverkehr zu tun: z.B. bei Gehaltszahlungen, die Angaben der Zahlungsempfänger, oder die Angaben der Kunden auf Überweisungen, wenn es natürliche Personen sind. Eine Trennung von Zahlungsverkehrsdaten mit und ohne personenbezogene Daten ist praktikabel nicht durchführbar. Daher ist in der Praxis davon auszugehen, dass es sich generell bei Zahlungsverkehrsdaten um personenbezogene Daten handelt. Für deren Verarbeitung fordert die PSD II die „ausdrückliche Zustimmung“ des Zahlungsdienstnutzers.

I. Die ausdrückliche Zustimmung des Zahlungsdienstnutzers

Erforderliches Zulässigkeitskriterium für die Datenverarbeitung ist die „ausdrückliche Zustimmung“ des Zahlungsdienstnutzers. In der englischen Originalfassung ist von „explicit consent“ die Rede.

Art. 94 Abs. 1 S. 2 PSD II verweist für die Regelung der Datenverarbeitung nach dieser Richtlinie auf die Datenschutzrichtlinie von 1995 (EU-Datenschutzrichtlinie – Richtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl Nr. L 281 vom 23.11.1995, S.0031-0050) und deren nationale Umsetzung, also hierzulande insbesondere das Bundesdatenschutzgesetz (BDSG). Das BDSG spricht in § 4 Abs. 1 BDSG von der „Einwilligung“ und regelt deren Voraussetzungen in § 4a BDSG. Eine „Zustimmung“ durch den Betroffenen kennt das BDSG nicht, auch nicht die Qualifizierung „ausdrücklich“.

Da die PSD II ab dem 13.01.2018 gemäß Art. 115 Abs. 2 der Richtlinie anzuwenden sein wird und das BDSG erst am 25.05.2018 durch die EU-Datenschutzgrundverordnung (DSGVO) abgelöst werden wird, ist für rund 4 Monate auf die PSD II noch das BDSG anzuwenden. Danach löst die DSGVO die EU-Datenschutzrichtlinie von 1995 ab, so dass sich der Verweis in der PSD II auf die EU-Datenschutzrichtlinie von 1995 auf die DSGVO bezieht.

Auch die EU-Datenschutzgrundverordnung spricht in Art. 4 Nr. 11 von „Einwilligung“ der betroffenen Person – in der englischen Fassung von „consent“. Art. 6 Abs. 1 a) DSGVO bezeichnet die „Einwilligung“ der betroffenen Person als eine der möglichen Voraussetzungen für die Rechtsmäßigkeit der Datenverarbeitung.

Der Begriff „Zustimmung“ in der deutschen Fassung der PSD II in Art. 94 Abs. 2 kann also nur als ungenaue Übersetzung des Wortes „consent“ im Sinne der im BDSG und in der DSGVO geregelten Einwilligung verstanden werden. „Zustimmung“ ist nach Sinn und Zweck der Regelung, die durch das Kriterium „ausdrücklich“ eine Verschärfung der allgemeinen datenschutzrechtlichen Zulässigkeitsregelung darstellt, nicht im Sinne eines Oberbegriffes für eine vorherige Einwilligung und eine nachträgliche Genehmigung zu verstehen.

II. Keine Datenverarbeitung „zur Vertragserfüllung“ mehr

Das Merkmal „ausdrückliche“ Zustimmung schließt die nach der DSGVO mögliche konkludente Einwilligung expressis verbis aus. Andererseits werden durch die Forderung nach einer „ausdrücklichen Zustimmung“ auch die anderen Möglichkeiten für eine rechtmäßige Datenverarbeitung ausgeschlossen. Am bedeutsamsten ist dies hier bezüglich der Zulässigkeit „zur Erfüllung des Vertragszwecks“, welche bisher in § 28 Abs. 1 Nr. 1 BDSG und künftig Art. 6 Abs. 1 b) DSGO geregelt ist.

Jede Überweisung, jede Lastschrift, jede Kartenzahlung erfordert zur Erfüllung des Zahlungsdienstevertrages (§ 675f BGB) die Verarbeitung von personenbezogenen Daten – zumindest dann, wenn Zahlungsempfänger oder Zahler eine natürliche Person ist oder der Verwendungszweck Angaben zu einer natürlichen Person enthält. Sofern sich die Datenverarbeitung auf das notwendige Maß zur Durchführung des Zahlungsdienstevertrages und dessen gesetzlich geforderter Dokumentation beschränkt, bedarf es also nach geltendem Datenschutzrecht keiner ausdrücklichen Einwilligung des Bankkunden, da sich die Bank auf die gesetzliche Erlaubnis zur Datenverarbeitung zur Vertragserfüllung berufen kann.

Diese – bisherige – Einordnung hat mehrere Vorteile: Denn eine Einwilligung setzt eine verständliche und transparente Information voraus, die per se einen Aufwand darstellt und zudem unter dem Damokles-Schwert steht, dass die Einwilligung aus Formfehlern oder unzureichender Information bzw. mangels Freiwilligkeit von der Rechtsprechung nicht als ausreichend angesehen werden könnte. Zudem ist eine Einwilligung jederzeit frei widerruflich.

Die gesetzliche Erlaubnis der Datenverarbeitung zur Erfüllung des Vertragszweckes ist also die in der Vertragspraxis einfacher zu handhabende und verlässlichere Datenverarbeitungsgrundlage im Vergleich zur Einwilligung.

C. Konsequenzen für die Vertragspraxis

Für die Vertragspraxis ist entscheidend, wie die „ausdrückliche Zustimmung“ des Betroffenen künftig zur Verarbeitung der Zahlungsverkehrsdaten sichergestellt werden kann. Dabei ist es optimal, eine Lösung zu finden, die sowohl unter dem BDSG nach Wirksamwerden der PSD II als auch wenige Monate später ab Wirksamwerden der DSGVO einsetzbar sein wird – um nicht zweimal kurz hintereinander die Kunden anschreiben und den – seitens der Zahlungsdienstleisters – enormen und kostenintensiven AGB-Änderungsaufwand betreiben zu müssen. Bei AGB-Änderungen ist – standardmäßig – zu prüfen, ob der Änderungsmechanismus des § 675g Abs. 1 BGB vereinbart ist.

Bisher haben Banken im Wesentlichen aus zwei Gründen Einwilligungen zur Datenverarbeitung eingeholt: Z.B. dann, wenn eine arbeitsteilige Organisation in mehreren rechtlich selbständigen Unternehmen erfolgte und damit zwischen „Dritten“ Datenübermittlungen stattfanden, oder etwa dann, wenn zusätzliche Leistungen für den Kunden erbracht werden sollten, die eine über den bei der Datenerhebung erkennbaren Vertragszweck hinausgingen (z.B. Beratungsleistungen sollten angeboten werden, oder Kunden sollten werblich angesprochen werden – und hierzu war eine Verarbeitung von Kundendaten erforderlich). Es bestehen daher in der Praxis Erfahrungswerte betreffen die Einholung einer Einwilligung unter dem Regime des BDSG nach § 4a BDSG und der hierzu ergangenen Rechtsprechung.

Bei der „ausdrücklichen Zustimmung“ nach Art. 94 Abs. 2 PSD II wird aufgrund des Verweises in Absatz 1 auf die datenschutzrechtlichen Regelungen der EU nach dem 25.05.2018 auf Art. 6 Abs. 1 a) DSGVO, Art 4 Nr. 11 DSGVO sowie Erwägungsgrund 32 abzustellen sein. Für die Zeit ab dem 13.01.2018 bis zum 25.05.2018 gilt noch § 4a BDSG. Zwar gilt datenschutzrechtlich dann auch noch die gesetzliche Erlaubnis nach § 28 Abs. 1 Nr. 1 BDSG, jedoch wird nach dem 13.01.2018 aufgrund der Subsidiaritätsregelung in § 1 Abs. 3 S. 1 BDSG diese Regelung durch Art. 94 Abs. 2 PSD II bzw. dem noch zu verabschiedenden nationalen Umsetzungsgesetz als speziellere Regelung verdrängt.

Nach bisherigem Recht können in einem Zahlungsdiensterahmenvertrag oder ganz allgemein in AGB datenschutzrechtliche Regelungen unter den Voraussetzungen des § 4a BDSG und §§ 305ff BGB vereinbart werden. Dies erfordert u.a. eine transparente, verständliche Information über die Datenverarbeitung, die optisch deutlich hervorgehoben ist. Unter diesen Voraussetzungen kann die Einwilligung auch pauschal vorab für alle zuvor definierten Zwecke und Einzelverträge im Zahlungsdiensterahmenvertrag vereinbart werden. Die Einwilligung nach § 4 a BDSG muss vom Grundsatz her, anders als nach der DSVO, (hand-) schriftlich erfolgen (gesetzliches Schriftformerfordernis).

Art. 4 Nr. 11 DSGVO fordert eine „für den bestimmten Fall“ abgegebene Willensbekundung „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“. Art. 6 Abs. 1 a) DSGVO fordert eine Einwilligung in die Datenverarbeitung für „einen oder mehrere bestimmte Zwecke“. Erwägungsgrund 32 erläutert, dass die Einwilligung für einen „konkreten Fall“ in Form einer schriftlichen, elektronischen oder mündlichen Erklärung angegeben werden kann. Damit stellt sich die Frage, ob jede einzelne Zahlungstransaktion nicht nur autorisiert werden muss (§ 675j Abs. 1 S. 1 BGB), sondern zusätzlich noch bei jeder einzelnen Transaktion eine „ausdrückliche Zustimmung“ zur personenbezogenen Datenverarbeitung im Sinne einer informierten Einwilligung erfolgen muss. Man stelle sich das Geldabheben am GAA (GAA = Geldausgabeautomat) unter einer US-Kreditkartenmarke lizensiert, emittiert von einer deutschen Bank vor: Zusätzlich zur Autorisierung der Kartentransaktion und Bargeldauszahlung müsste der GAA-Betreiber dem Karteninhaber am Display einen Informationstext über die Datenverarbeitung mit Hinweis auf die Freiwilligkeit und Widerrufbarkeit anzeigen, erläutern, dass die Transaktionsdaten vom GAA-Betreiber über die Acquiring-Bank, deren Prozessingunternehmen zur US-Kreditkartengesellschaft, von dieser zum Prozessingunternehmen der kartenausgebenden Bank und von dort letztendlich in das Rechenzentrum der Bank des Karteninhabers laufen. Und wer es genau machen will, klärt noch über die Autorisierungsanfrage und die Datenverarbeitungsvorgänge über den Chip bzw. den Magnetstreifen der Kreditkarte auf und erbittet die ausdrückliche Zustimmung zur personenbezogenen Datenverarbeitung.

Hier kann ein Passus im Erwägungsgrund 32 der PSD II weiterhelfen, worin es heißt:

„Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgängen beziehen.“

Eine (einzige) Einwilligung kann sich also auf „alle“ – und nicht nur einen einzelnen, zu denselben Zwecken vorgenommenen Verarbeitungsvorgang beziehen. Damit ist eine Einwilligung in einem Zahlungsdiensterahmenvertrag für alle Zahlungstransaktionen (Zweck und Verarbeitungsvorgänge) möglich, die unter einem Rahmenvertrag (Girokontobeziehung, Kreditkartenvertrag) abgewickelt werden.

Folgt man der Auffassung der Möglichkeit einer rahmenvertraglichen ausdrücklichen Zustimmung nicht, ist es ein anderer Ansatz rahmenvertraglich festzulegen, dass die Autorisierung der Zahlungstransaktion zugleich die ausdrückliche Zustimmung zur Datenverarbeitung, die für die Durchführung der Transaktion erforderlich ist, beinhaltet. Die Autorisierung der Transaktion ist durch personalisierte Authentifizierungsinstrumente gemäß § 675w BGB nachweisbar und damit dann aufgrund vertraglicher Regelung zugleich auch die ausdrückliche Zustimmung zur Datenverarbeitung. Hier wäre zu überlegen, ob die Beweisvermutungsregelungen des § 675w Abs. 3 BGB (vgl. NK-BGB/Beesch, 3. Aufl. 2016, §§ 675 v, 675 w, Rn. 23 ff m.w.N.) analog auf den Nachweis der ausdrücklichen Zustimmung anwendbar sind. Der Rechtssicherheit dienlich wäre es, wenn sich der Gesetzgeber im Rahmen der Umsetzung der PSD II dazu entschließen würde, die Regelungen zur Autorisierung und deren Nachweis auf die datenschutzrechtliche Zustimmung zu erstrecken. § 675j Abs. 1 S. 2 BGB, der die Autorisierung eines Zahlungsvorgangs regelt, lässt die Zustimmung in Form der vorherigen Einwilligung und der nachträglichen Genehmigung zu. Die datenschutzrechtliche ausdrückliche Zustimmung kann nur an die Einwilligung gekoppelt werden, da sie vor Beginn der Verarbeitung erteilt werden muss, um diese zulässig zu machen. Geht man von der bereits rahmenvertraglich erfolgten ausdrücklichen Zustimmung aus, dann ist auch die Autorisierung in Form der Genehmigung datenschutzrechtlich unproblematisch.

Bei der Zustimmungsklausel über die datenschutzrechtliche Zustimmung in den AGB müssen dann noch selbstverständlich die weiteren Bedingungen für eine wirksame Einwilligung, wie sie in Art. 7 DSGVO geregelt sind, eingehalten werden. Hierzu gehört die klare Unterscheidung von anderen Sachverhalten, also die drucktechnische Hervorhebung, eine klare, einfache und verständliche Sprache und – anders als bisher – der ausdrückliche Hinweis auf das Widerrufsrecht bezüglich der Zustimmung zur personenbezogenen Datenverarbeitung. Weitere Voraussetzung ist die Freiwilligkeit, die ein Kopplungsverbot beinhaltet, Art. 7 Abs. 4 DSGVO.

Eine solche Regelung im Zahlungsdiensterahmenvertrag hilft im zuvor geschilderten GAA-Fall jedoch dem GAA-Betreiber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) nicht weiter, da er, wenn er nicht zufällig zugleich der Kartenemittent ist, nur einzelvertraglich mit dem Karteinhaber in Verbindung treten kann und lediglich die Displayanzeige als Informationsgrundlage für eine „ausdrückliche Zustimmung“ nutzen kann. Aber auch am POS (Point of Sale) an der Tankstelle oder an der Ladenkasse wird es eine Herausforderung sein, die Informationsgrundlage für die „ausdrückliche Zustimmung“ in Datenverarbeitungsvorgänge zur Verfügung zu stellen, die für die Zahlungstransaktionsabwicklung erforderlich sind. Hier kann nur die gesetzliche Regelung im Rahmen der Umsetzung der PSD II helfen, die die Autorisierung der Transaktion am GAA oder POS zugleich als ausdrückliche Zustimmung zur damit einhergehenden Datenverarbeitung einordnet.

D. Ergebnis

  1. Die Verarbeitung personenbezogener Daten im Zahlungsverkehr kann nicht mehr auf die gesetzliche Erlaubnis der „Datenverarbeitung zur Vertragserfüllung“ gestützt werden.
  2. Das Merkmal „Zustimmung“ in Art. 94 Abs. 2 PSD ist datenschutzrechtlich im Sinne einer „Einwilligung“ zu verstehen.
  3. Die „ausdrückliche Zustimmung“ der Zahlungsdienstenutzer nach Art. 94 Abs. 2 PSD II kann im Zahlungsdiensterahmenvertrag, der zwischen dem Zahlungsdienstleister und seinem Zahlungsdienstnutzer geschlossen wird (Deckungsverhältnis), erteilt werden, und zwar für alle Zahlungstransaktionen (Zweck und Verarbeitungsvorgänge), die unter einem Rahmenvertrag (Girokontobeziehung, Kreditkartenvertrag) abgewickelt werden.

E. Weiterführendes Material

BaFin, Rundschreiben 4/2015 vom 05.05.2015 zu den Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSi).

Omlor, Sebastian, Die zweite Zahlungsdiensterichtlinie: Revolution oder Evolution im Bankvertragsrecht? ZIP 2016, 558.

Seiler, David, Datenschutzrechtliche und AGB-rechtliche Anforderungen an Einwilligungsklausel zur Weitergabe bestimmter Kundendaten im Bankkonzern zu Beratungszwecken, jurisPR-BKR 3/2012 Anm. 5.

Seiler, David, Anstehende Datenschutzprüfungen durch Aufsichtsbehörden nach EuGH-Urteil vom 06.10.2015 zu „Safe Harbor“ und aktuelle Handlungsempfehlungen, jurisPR-BKR 1/2016, Anm.1.

Spindler, Zahrte, Zum Entwurf für eine Überarbeitung der Zahlungsdiensterichtlinie (PSD II), BKR 2014, 265.

Terlau, Matthias, SEPA Instant Payment – POS- und eCommerce-Abwicklung über Zahlungsauslösedienste und technische Dienstleister nach der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2, PSD2), jurisPR-BKR 2/2016 Anm. 1.

Terlau, Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehnung des Aufsichtsrechts, ZBB 2016, 122.