Telepolis: Halbherziger Bankkonto-Datenschutz unter PSD2

[trantute2]

https://www.heise.de/tp/features/Halbherziger-Bankkonto-Datenschutz-unter-PSD2-4596818.html

Fand ich ganz interessant, wofür das Feigenblatt PSD2 so alles gut sein soll ...

[trantute2]

Hier noch ein Auszug aus dem Artikel (https://www.heise.de/tp/features/Halbherziger-Bankkonto-Datenschutz-unter-PSD2-4596818.html), der ist nicht wirklich lang:

Der weniger bekannte Teil der PSD2 wird seit dem 14. September umgesetzt: Banken sind jetzt verpflichtet, Drittanbietern wie Kontoinformations- und Zahlungsauslösediensten über eine Programmierschnittstelle den direkten Zugang zu den Bankkonten ihrer Kunden zu ermöglichen. Bisher hatte das den Ruch des Unseriösen. Jetzt wird es "open banking" genannt. Wo kauft der Kontoinhaber ein? Welche Abos hat er? Welche Stromanbieter? Welche Vereine, Parteien oder auch Gewerkschaften unterstützt er? Das Geschäftspotenzial, das sich aus der Auswertung der Zahlungsströme ergibt, ist genauso riesig wie die datenschutzrechtlichen Risiken.

Wenigstens braucht der Drittdienstleister zum Zugriff auf die Kontodaten die ausdrückliche Einwilligung des Kontoinhabers. Man würde gern erleichtert aufatmen, wenn da nicht einige weniger bekannte Verbraucherschutz-Details wären:

• Dem Bankkunden wird das Recht verwehrt, den Zugang zum eigenen Konto für solche Drittanbieterdienste sperren zu lassen (Opt-out). Das würde gegen das Ziel der Richtlinie verstoßen, gleiche Wettbewerbsbedingungen für alle Anbieter zu schaffen, da es den Bankkunden "entmutigen" könnte, solche Dienste in Anspruch zu nehmen. Er soll aber "frei bleiben", sich für oder gegen die Nutzung von Drittanbietern zu entscheiden. So bewertet es zumindest die Europäische Bankenaufsichtsbehörde, welche die näheren Details der Umsetzung der PSD2 regelt (Q&A, Question ID 2018-4309).
• Die Bank selbst braucht auch keine Einwilligung ihres Bankkunden, wenn sie Drittanbietern den Zugang zu dessen Konto gewährt. Ihre Rechtsgrundlage ist die gesetzliche Verpflichtung, den Zugang zu gewähren (Art. 6 Abs. 1 lit. c DSGVO).
• Die Bank muss bzw. darf nicht einmal prüfen, ob überhaupt eine ausdrückliche Einwilligung ihres Kunden vorliegt. Denn eine solche Sicherheitsüberprüfung sei als "Hindernis" zu bewerten und verstoße damit laut Europäischer Bankenaufsichtsbehörde gegen die Zahlungsdiensterichtlinie (Q&A, Question ID 2018-4123). Damit kann auch nicht kontrolliert werden, ob mehr Daten abgegriffen werden, als der Kontoinhaber Zahlungsauslöse- oder Kontoinfomationsdiensten vertraglich zugestanden hat.
• Die PSD2 ist laut EU-Kommission nicht lex specialis. Damit bleibt umstritten, ob die in der Richtlinie festgeschriebene enge Zweckbindung der Datenverarbeitung nicht durch die in der DSGVO etwas weiter gefassten Möglichkeiten der zulässigen Datenverarbeitung z.B. für Direktmarketing umgangen werden kann.
• Die von der Zahlungsrichtlinie vorgesehene "ausdrückliche Einwilligung" deckt sich trotz Gleichlaut nicht mit der in der DSGVO genannten "ausdrücklichen Einwilligung" zur Datenverarbeitung, sondern beschreibt laut EU-Kommission zusätzliche Anforderungen an die vertragliche Zustimmung (Art. 6 Abs. 1 lit. b DSGVO). Was daraus ganz konkret folgt? Der Bankkunde würde es sicherlich gern wissen, bevor er sich auf Geschäftsbeziehungen mit Drittanbietern einlässt.
• Und zuletzt die Überraschung für alle, die hoffen, dass sie das alles nichts angeht, weil sie weder Zahlungsauslöse- noch Kontoinformationdienste verwenden: Auch die Datenschutzrechte unbeteiligter Bürger könnten betroffen sein. Sie müssen nur als Absender, Empfänger oder im Verwendungszweck einer Überweisung in den Transaktionsdaten eines Kontoinhabers auftauchen, der seinerseits z.B. einen Kontoinformationsdienst in Anspruch nimmt.

[trantute2]

Noch ein paar weitere Informationen:

PSD2 (https://de.wikipedia.org/wiki/Zahlungsdiensterichtlinie)

Die Zahlungsdiensterichtlinie (Abkürzung PSD von englisch Payment Services Directive) – genauer Zahlungsdiensterichtlinie 2007/64/EG, ersetzt durch die zweite Zahlungsdiensterichtlinie (EU) 2015/2366 (Abkürzung PSD2) – ist eine EU-Richtlinie der Europäischen Kommission im Zahlungsdiensterecht zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern in der gesamten Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR). Ziel der Richtlinie ist es, den europaweiten Wettbewerb und die Teilnahme an der Zahlungsbranche auch von Nichtbanken zu erhöhen und durch die Harmonisierung des Verbraucherschutzes und der Rechte und Pflichten für Zahlungsdienstleister und Nutzer gleiche Wettbewerbsbedingungen zu schaffen.

Die PSD2 soll auch Finanz-Start-ups (so genannte FinTechs) stärken. Die Banken werden verpflichtet, Schnittstellen einzurichten, über die Drittdienstleister auf die Zahlungskonten der Bankkunden zugreifen können (Open Banking). Manche Banken sehen in Open Banking eine strategische Chance und öffneten sich frühzeitig über die regulatorischen Vorgaben der PSD2 hinaus, beispielsweise in Form von zusätzlichen Schnittstellen, die den Zugriff auf Kreditkarten- und Depotdaten ermöglichen. Andere ringen mit Fintechs um die richtige Auslegung – und die Frage, wie sie auf Kundendaten zugreifen dürfen. Die Banken beharren darauf, dass künftig nur noch Daten über spezielle Schnittstellen und nicht mehr per Screen Scraping der Onlinebanking-Oberfläche abgefragt werden. Nach einer Übergangsperiode müssen ASPSPs (Account Servicing Payment Service Provider bzw. kontobezogener Zahlungsdienstleister oder Banken) jedoch ab dem 14. September 2019 allen Drittanbietern entweder eine eigene dedizierte Schnittstelle bieten oder sie dieselbe nutzen lassen, wie sie ihren eigenen Kunden bereitstellen. Nur für den Fall, dass diese versagen, darf als Fallback-Szenario noch auf das Screen Scraping zurückgegriffen werden.

Am 27. November 2017 verabschiedete die EU-Kommission entsprechende technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation, die elektronische Zahlungen in Geschäften und im Internet sicherer machen sollen. Diese technischen Regulierungsstandards legen unter anderem fest, wie Drittanbieter und kontoführende Zahlungsdienstleister sicher elektronisch miteinander zu kommunizieren haben. Nach Annahme der regulatorisch technischen Anforderungen (RTS) durch die Kommission hatte das Europäische Parlament und der Rat drei Monate Zeit, um diese zu prüfen. Sie wurden schließlich am 13. März 2018 als Delegierte Verordnung (EU) 2018/389 zur starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation im Amtsblatt veröffentlicht. Diese Verordnung gilt ab 14. September 2019. Bis dahin haben nun alle Beteiligten Zeit, die technischen Regulierungsstandards umzusetzen.

Die PSD2 hat zwei neue Gruppen von Zahlungsdiensteanbietern geschaffen:

• A. Account Information Service Providers (AISPs) ‚Kontoinformationsdienste‘
  AISPs sind berechtigt auf Zahlungs- und Abrechnungskonten des Kunden zuzugreifen und ihm konsolidierte Kontoinformationen bereitzustellen.
• B. Payment Initiation Services Providers (PISPs) ‚Zahlungsauslösedienste‘
  PISPs sind berechtigt elektronische Zahlungsvorgänge im Namen des Kunden einzuleiten.

• Beispiel A: Martina möchte einen Überblick über ihre Finanzen bekommen. Wie viel Geld nimmt sie monatlich mit ihrem Onlineshop ein, wie viel Zins und Tilgung zahlt sie für ihr Darlehen, wie hoch sind ihre Kreditkartenabrechnungen etc. Dazu nutzt sie einen AISP, der die benötigten Informationen von den verschiedenen Konten und Banken besorgt und zusammenführt.
• Beispiel B: Jan möchte etwas aus dem Onlineshop von Martina bestellen. Er besitzt keine Kreditkarte, nutzt kein paydirekt und eine TAN für eine Überweisung hat er auch nicht zur Hand. Er kann jedoch durch das Übermitteln von zus. Informationen (z. B. IBAN) eine Zahlung über einen PISP an Martina einleiten, so dass diese ihre Ware gefahrlos versenden kann.

DSGVO (https://dsgvo-gesetz.de/art-6-dsgvo/)

Ich gehe mal davon aus, dass sich Art. 6 Abs. 1 lit. c des DSGVO auf "Die Banken werden verpflichtet, Schnittstellen einzurichten [...]". Dann ist das Ganze wohl rechtmäßig?!

[o_solo_miner]

OPT IN: Das würde gegen das Ziel der Richtlinie verstoßen, gleiche Wettbewerbsbedingungen für alle Anbieter zu schaffen.

Eine Tolle Begründung für den Verstoß gegen die DGSVO.

Auch die Datenschutzrechte unbeteiligter Bürger könnten betroffen sein. Sie müssen nur als Absender, Empfänger oder im Verwendungszweck einer Überweisung in den Transaktionsdaten eines Kontoinhabers auftauchen.

Game over
----

von Trantute2
Ich gehe mal davon aus, dass sich Art. 6 Abs. 1 lit. c des DSGVO auf "Die Banken werden verpflichtet, Schnittstellen einzurichten [...]". Dann ist das Ganze wohl rechtmäßig?!

Ja, es ist Rechtmäßig, und soll von den Mitgliedsstaaten in nationales Recht umgesetzt werden.

[bct_ail]

Wo ist der Kotzsmiley?

Auch die Datenschutzrechte unbeteiligter Bürger könnten betroffen sein. Sie müssen nur als Absender, Empfänger oder im Verwendungszweck einer Überweisung in den Transaktionsdaten eines Kontoinhabers auftauchen.

Also genau das gleiche, wenn ich irgendwo in einem Handy-Telefonbuch eingetragen bin und der Besitzer des Handys nutzt whatsapp (Telefonbuchfreigabe)


Edit: Und mit dem verabschiedeten Gesetz zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie gibt es noch mehr Daten zum Austauschen 

[bct_ail]

Hab noch was nettes gefunden. Ist zwar von Janaur 2018 aber trotzdem interessant und aktuell
https://www.economy4mankind.org/psd2-eu-amazon-zugriff-auf-bankkonto/