Das Thema Datenschutz wurde in den letzten Monaten immer wieder heiß diskutiert: Verbraucherschützer warnen “Kontodaten müssen Privatsache bleiben”. George Nilles, Head of Growth bei Revolut, erklärte kürzlich im Handelsblatt-Podcast, “warum es durchaus sinnvoll sein kann, seine Bankdaten zu teilen”. Im Rahmen der Corona-Hilfen wurde die Idee diskutiert, mithilfe eines PSD2-basierten Kontochecks Betrug zu vermeiden, aber aus Datenschutz-Erwägungen wieder verworfen. Und in einer Clubhouse-Diskussion zu Datenschutz 2.0 forderte Ratepay-Gründerin Miriam Wohlfahrt: „Wir müssen das Thema Datenschutz neu denken“. Doch längst nicht jedem, um dessen Daten geht, ist klar, was es mit PSD2, digitalen Bankkontoanlaysen und Datenschutz im Detail auf sich hat. Deshalb haben wir die wichtigsten Fakten zusammengestellt:

Anzeige

PSD-Was…?

Die „Payment Services Directive 2” (kurz PSD2) ist eine EU-Richtlinie für Zahlungsdienste. Mit der Richtlinie will die EU den Verbraucherschutz stärken, die Sicherheit von Online-Zahlungen erhöhen und die Weiterentwicklung digitaler Lösungen im Europäischen Wirtschaftsraum fördern. Die Umsetzung der Richtlinie in Deutschland erfolgt in zwei Stufen: Die erste Stufe ist seit Januar 2018 in Kraft und seit Herbst 2019 auch die zweite Stufe.

Welche Punkte regelt die Richtlinie?

  • Weniger Gebühren: Online-Zahlungen werden für den Verbraucher günstiger, weil Händler für die Nutzung von Bezahlverfahren wie Überweisung, Lastschrift oder Kreditkarte keine Extra-Gebühren mehr verlangen dürfen.
  • Weniger Betrug, mehr Sicherheit: Durch zusätzliche Sicherheitsanforderungen wird Betrug erschwert und die Verbraucher besser geschützt, so wird zum Beispiel bei Online-Zahlungen und beim Zugriff auf das Onlinebanking eine starke Kundenauthentifizierung verpflichtend. Bei der so genannten „Zwei-Faktor-Authentifizierung“ erfolgt eine zweifelsfreie Identifizierung des Kunden über mindestens zwei Merkmale aus den Bereichen Wissen (PIN, Passwort), Besitz (Karte, Mobiltelefon) oder Inhärenz (biometrische Merkmale wie Fingerabdruck, Iris).
  • Neue Services und mehr Komfort für Verbraucher: Banken müssen Drittanbietern wie Finanz-Startups (Fintechs) und Versicherungs-Startups (Insurtechs), die neue digitale Lösungen anbieten, über standardisierte Schnittstellen den Zugriff auf die Kontoinformationen ihrer Kunden ermöglichen, wenn der Kunde einen dieser Drittanbieter dazu autorisiert.

Der Verbraucher ist Eigentümer seiner Daten und hat die volle Kontrolle

Verbraucherschützer warnen oft vor Datenkraken und suggerieren, jeder könne einfach so und für immer auf alle Daten zugreifen. Das ist falsch. Richtig ist, dass es bis zur Einführung der PSD-Richtlinie zwei wesentliche Missstände gab: Zum einen hatten Banken lange Zeit ein Monopol auf die Kontodaten ihrer Kunden. Zum anderen gab es, als die ersten Anbieter von Banking-Apps, Vertragskündigungsdiensten und Sofortüberweisungen damit begannen auf Bankdaten zuzugreifen, zunächst keine klaren Regeln.

Oftmals gaben Verbraucher diesen Anbietern einfach die Login-Daten zu ihren Konten und diese griffen dann auf die Daten zu. Genau hier setzt die PSD-Richtlinie an: Sie löst das Bankenmonopol auf Kontodaten auf. Und sie schafft einen rechtlichen Rahmen für den Zugang von Drittanbietern auf Konten, der genau regelt, unter welchen Voraussetzungen Bankinformationen abgerufen werden dürfen:

  1. Ohne Einverständnis geht nichts: Die PSD2-Richtlinie stärkt die Selbstbestimmung des Verbrauchers als mündigen Inhaber seiner Daten: Er allein entscheidet, wer Zugang zu seinen Bankinformationen bekommt und wer nicht. Ein Zugang zu Kontoinformationen wird Drittanbietern nur gewährt, wenn der Kunde explizit zustimmt.
  2. Jederzeit widerrufbar: Sollte der Verbraucher sich irgendwann anders entscheiden, kann er sein Einverständnis jederzeit widerrufen.
  3. Zeitlich befristet: Einmal Zugriff bedeutet nicht automatisch immer Zugriff, denn der Kunde muss seine Zustimmung regelmäßig erneuern – in der Regel alle 90 Tage.
  4. Zweckgebunden: Der Zugriff und die Verarbeitung personenbezogener Daten durch die Drittanbieter ist auf diejenigen Inhalte beschränkt, die für die Zwecke benötigt werden, für die der Verbraucher seine Zustimmung gegeben hat.
  5. BaFin-Zulassung erforderlich: In Deutschland dürfen nur solche Anbieter im Auftrag des Verbrauchers Kontoinformationen abrufen, die eine speziellen Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) haben, welche auch die Banken kontrolliert. Die PSD2-Richtlinie unterscheidet dabei zwei Typen von Diensten: Zahlungsauslösedienste und Kontoinformationsdienste.