Mit der neuen Zahlungsdienstrichtlinie PSD2 werden Räume für neue und innovative Dienste auf Basis von Kontotransaktionen geschaffen. Doch was ist mit dem Datenschutz bei der Übermittlung von Kontotransaktionsdaten an berechtigte externe Dienstleister? Ein spannendes Review einer bisher nahezu nicht diskutierten Problematik und eine Einladung diese mit uns zu diskutieren.
Kontoinformationsdienste in der Zahlungsdienstrichtlinie PSD2
Im Januar 2018 tritt die neue Zahlungsdienstrichtlinie (Payment Service Directive 2, PSD2, Richtlinie EU 2015/2366) in Kraft. Sie regelt Bezahl- und Kontoinformationsdiente (Payment Initiation Services, PIS und Account Information Services, AIS) neu bzw. schafft ein regulatives Fundament für bereits bestehende Dienste in diesem Sektor. Neben dem reinen Regulativ schafft PSD2 auch einen derzeit noch nicht voll überschaubaren Raum für neue innovative digitale Services. Derzeit wird in verschiedenen Gremien und Interessengruppen das Thema Sicherheit bei digitalen Bezahldiensten intensiv diskutiert und man steht in regem Austausch mit der EBA dazu. Fakt ist: Das Gros der PSD2 beschäftigt sich mit dem Thema Bezahldienste. In der aktuell geführten Diskussion zu PSD2 kommt das Thema Kontoinformationsdienste nahezu nicht vor. Dabei steckt hier das größte Potenzial für neue Services. Denn: Suchmaschinen im Internet wissen, für was wir uns interessieren – Kontoinformationsdienste wissen durch Analyse der Kontotransaktion, für was wir tatsächlich Geld ausgeben. Diese Informationen sind in Zeiten von Digitalisierung und Big Data äußerst wertvoll.
Das Thema AIS ist im Wesentlichen in Artikel 67 PSD2 zu finden. Dieser besagt zunächst, dass alle europäischen Bürger, die einen Online-Zugang zu ihrem Konto besitzen, auch Kontoinformationsdienste nutzen können müssen. Hier werden also die kontoführenden Institute in die Pflicht genommen, Zugänge für AIS Provider (AISP) zu den Backendsystemen der Bank zu schaffen und vom Kontoinhaber beauftragten AISPs auch entsprechenden Zugang zu den Konten und Transaktionen zu ermöglichen. Dabei ist auf sichere Authentifizierung und Kommunikation zu achten, wenn durch den AISP auf Konten von Kunden beim kontoführenden Institut zugegriffen wird. Daneben wird in Artikel 67 PSD2 Abs. 2 lit. f Bezug genommen auf den Datenschutz: „Der Kontoinformationsdienstleister darf im Einklang mit den Datenschutzvorschriften Daten nicht für andere Zwecke als für den vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern.“ Der so geforderte Einklang mit Datenschutzvorschriften verweist derzeit noch auf die Richtlinie EU 95/46 (vgl. auch Artikel 94 PSD2 „Datenschutz“, Abs. 1), die per 25. Mai 2018 von der EU-Datenschutzgrundverordnung (EU-DSGVO, Richtlinie EU 2016/679) ersetzt wird.
Innovation bei Kontoinformationsdiensten mit PSD2
Durch die Möglichkeit für Kontoinhaber, externe AISPs mit der Verarbeitung ihrer Banktransaktionen zu beauftragen, werden Innovationsräume geschaffen. Einige mögliche Kontoinformationsdienste sind beispielsweise Bonitätsprüfung bei Kredit- oder Leasingverträgen, die Verwaltung von allen Konten einer Person bei verschiedenen Banken in nur einem Portalzugang, Benchmarking und Advisory Dienste der Art „30% der Haushalte mit Ihrem monatlichen Einkommen geben 40% weniger für Telekommunikationsdienste aus“ oder „80% der Haushalte in Ihrer Region, in denen ebenfalls zwei Erwachsene und zwei Kinder leben, geben 20% weniger für Lebensmittel aus“ oder „die Versicherung für Ihr Kraftfahrzeug können wir Ihnen 18% günstiger vermitteln“. Dies sind sehr naheliegende Dienste; die Möglichkeiten für weitere innovative Dienste erscheinen jedoch nur durch die menschliche Kreativität begrenzt. Immer jedoch ist dabei der Datenschutz zu beachten.
Kennen Sie Gernot Gibacht?
Gernot ist 42 Jahre alt, Diplom-Ingenieur, verheiratet, Vater von zwei Kindern und arbeitet als Führungskraft der mittleren Ebene in einem großen Konzern. Sein monatliches Einkommen ermöglicht ihm die Mitgliedschaft in einer privaten Krankenversicherung. Er ist Mitglied in einer Gewerkschaft und Mitglied einer deutschen Volkspartei. Gernot leidet an einer chronischen Hauterkrankung, die es erfordert, auf täglicher Basis bestimmte Medikamente zu nehmen, die im Hochpreissegment liegen. Glücklicherweise begann die chronische Erkrankung erst nach dem Eintritt in die private Krankenversicherung. Gernot bezahlt praktisch immer bargeldlos, also elektronisch oder digital.
Wir springen in den Juni 2018. Gernot besitzt einen Online-Zugang zu seinem Bankkonto. Er hat kürzlich einen externen AISP damit beauftragt seine monatlichen Ausgaben in den Bereichen Telekommunikation, Freizeitaktivitäten und Lebensmittelkosten regelmäßig zu analysieren und entsprechende Informationen, Optimierungsvorschläge und Freizeitgestaltungsideen an ihn zu senden. Und jetzt wird es spannend.
Gernot erhält nach kurzer Zeit seine erste Information zu möglichen Kosteneinsparungen im Telekommunikationsbereich und auch ein paar tolle Vorschläge für Freizeitaktivitäten quer durch das gesamte Land – so wie er es sehr gerne mag; er bezahlt schließlich auch in Freizeitparks oder Ferienanlagen immer elektronisch oder digital. In den folgenden Monaten der Nutzung des Dienstes erhält er weiter Vorschläge und wundert sich bei einem Vorschlag, dass ihm ein Ort für Familienurlaub vorgeschlagen wird mit dem Hinweis, dass dort auch eine sehr gute Klinik für chronische Hauterkrankungen ansässig ist und man so Urlaub und Behandlung ja sehr gut verbinden könne. Gernot ist verdutzt: Wie kann der externe AISP wissen, dass er diese chronische Hauterkrankung hat? Ist dieser Vorschlag Zufall oder steckt doch ein konkretes Analyseergebnis des AISP dahinter?
Beruflich hat Gernot schon mit der EU-Datenschutzgrundverordnung zu tun gehabt und liest sich nochmals in folgende Themen ein: Arten der Verarbeitung von Daten, Verbot der Verarbeitung mit Erlaubnisvorbehalt, Zweckbindung der Verarbeitung, personenbezogene Daten, besondere Kategorien personenbezogener Daten, Auskunftsrecht und Widerspruch gegen Verarbeitung.
Gernots weitere Schritte und Überlegungen
In Artikel 4 DSGVO (Begriffsbestimmungen) erkennt Gernot, dass nicht nur der AISP an der zweckgebundenen Verarbeitung seiner Kontotransaktionen beteiligt ist, sondern auch sein kontoführendes Institut, seine Bank. Denn bezüglich personenbezogener Daten gilt die „Offenlegung durch Übermittlung“ ebenfalls als eine Art von Verarbeitung personenbezogener Daten. Gernot wendet sich somit als erstes an seine Bank und fragt auf Grundlage von Artikel 15 DSGVO (Auskunftsrecht der betroffenen Person) schriftlich nach, welche Kategorien personenbezogener Daten aus seinen Kontotransaktionen die Bank an den AISP weitergibt. Die Antwort der Bank fällt kurz und prägnant aus: Alle.
Damit ist Gernot klar, dass der Vorschlag für den Urlaubsort mit Anschluss an die Hautklinik seines AISPs wohl kein Zufall war. Gernot schreibt erneut seine Bank an und verweist auf den Zweck der Verarbeitung „Analyse und Optimierung der Ausgaben für Telekommunikation, Freizeitaktivitäten und Lebensmittelkosten“ in seinem Vertrag mit dem AISP. Er untersagt der Bank die Übermittlung aller Kategorien von Transaktionen auf seinem Konto und fordert die Bank auf, nur solche Kategorien von Transaktionen seines Bankkontos an den AISP zu übermitteln, die auch dem Verarbeitungszweck seines Vertrages mit dem AISP entsprechen. Dabei beruft er sich zunächst auf Artikel 21 DSGVO (Widerspruchsrecht) und Artikel 6 DSGVO (Rechtmäßigkeit der Verarbeitung), welcher vor allem die Rechtmäßigkeit der Verarbeitung mit einem oder mehreren bestimmten Zwecken verbindet, aber auch mit der Erfüllung eines Vertrages. Ferner unterliegen Gesundheitsdaten, politische Gesinnung wie z.B. Parteimitgliedschaft und Mitgliedschaft in einer Gewerkschaft Artikel 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) und bedürfen einer besonderen und ausdrücklichen Zustimmung.
Wie wird nun die Bank handeln? Grundsätzlich sieht Gernot mehrere Möglichkeiten, die er auch bewertet:
- Die Bank verfährt weiter wie bisher und übermittelt alle Kontotransaktionen an den AISP. Sie beruft sich dabei auf den Aspekt von Artikel 6 DSGVO, dass nur so der AISP seinen Vertrag mit Gernot erfüllen könne. Seine Bank ist aber ebenfalls ein Kontoinformationsdienstleister und damit gilt für sie genauso Artikel 67 PSD2 Abs. 2 lit. f wie für den externen AISP, nur eben durch die Offenlegung zur Übermittlung der Transaktionen an den AISP zeitlich sogar vor diesem. Gernot würde dann Beschwerde beim zuständigen Landesdatenschutzbeauftragten einreichen. Denn schließlich wurde sein Gesundheitszustand über die ca. alle drei Monate auftretenden hohen Zahlungen in der Apotheke und die über den Medikamentenpreis mögliche klare Zuordnung zu einem Medikament und damit zu seiner Erkrankung gegenüber dem AISP kompromittiert. Damit hat Artikel 9 DSGVO Relevanz und dieser wiegt schwerer als die reine Erfüllung eines Vertrages nach Artikel 6 DSGVO. Droht der Bank jetzt ein Bußgeld?
- Da die Bank die Kategorien von Kontotransaktionen aktuell nicht zweckbezogen filtern kann, Gernots Einwand aber nachvollziehen kann, schließt sie den Zugang des AISP auf Gernots Konto komplett. So kann der AISP keine weiteren Daten abrufen und auch keine Analysen mehr durchführen. Der AISP würde sich in diesem Fall gegenüber der Bank auf seinen Vertrag mit Gernot berufen, der erfüllt werden muss, und würde die Bank wiederum auffordern, den Zugang zu öffnen und möglicherweise sogar versuchen, dies juristisch durchzusetzen. Der AISP kann sich dabei auf Artikel 6 DSGVO Abs. 1 (Erfüllung eines Vertrages) berufen und auch auf Artikel 67 PSD2 Abs. 3 (Diskriminierungsfreiheit), nicht jedoch auf Artikel 9 DSGVO. Droht der Bank jetzt eine Klage des AISP auf Herausgabe der (zweckbezogenen) Daten?
- Die Bank entwickelt eine Technologie, die sie in die PSD2-API an der Schnittstelle zum AISP integriert und die es ermöglicht, die Kategorien von Kontotransaktionen zu erkennen, mit den Verarbeitungszwecken im AISP-Vertrag abgleicht und nur solche Transaktionen zum AISP übermittelt, die auch tatsächlich den Zwecken der Verarbeitung aus dem Vertrag entsprechen. Dies wird sicher nicht von heute auf morgen möglich sein. Wie lange wird dies dauern? Welche Kosten fallen für die Bank an?
Die Situation der Bank
In allen drei Fällen hat die Bank eine schwierige rechtliche oder technische Situation zu bewältigen. Warum ist das so? Die Bank muss auf Grund rechtlicher Verpflichtungen gegenüber Ihren Kunden alle Kontotransaktionen dokumentieren – lückenloser Nachweis aller Zahlungsvorgänge gegenüber dem Kunden. So entsteht auf Grund von Gesetzen ein riesiger Datenpool. Durch die neuen Regularien wie PSD2 wird es ermöglicht, diesen Datenpool anderen Verarbeitungszwecken als den bisherigen gesetzlichen zuzuführen. Artikel 6 DSGVO Abs. 4 weist auf eine Veränderung des Zwecks der Verarbeitung von bereits erhobenen personenbezogenen Daten hin und auch die damit verbundene besondere Sorgfaltspflicht. Die Bank hat somit den „schwarzen Peter“, da sie
- zwar auf Basis der PSD2, aber ohne Beachtung der DSGVO die Kontotransaktionen ohne Zweckbezug durch Übermittlung an den AISP bereits verarbeitet hat (und zwar zeitlich vor der Verarbeitung durch den AISP) – sicherlich in Unkenntnis des konkreten Verarbeitungszwecks des AISP, aber auch ohne entsprechende Maßnahmen zu treffen, um dem entgegenzuwirken
- sich in die Lage versetzen muss, den Zweck der Verarbeitung bei einem AISP Zugriff zu erkennen oder zu wissen und entsprechende Kategorien nicht zweckbezogener Kontotransaktionen nicht zu verarbeiten, indem sie diese nicht an den AISP übermittelt
Lösungsoptionen für die Bank: zwei grundsätzliche Szenarien
Gernots Bank möchte sich rechtlich und technisch sauber aufstellen. Was kann sie nun tun? Es gibt zwei grundsätzliche Szenarien.
Volle Souveränität des Kunden gegenüber dem AISP. Die DSGVO zielt grundsätzlich darauf ab, dass die Selbstbestimmtheit der Bürger und Kunden über sie betreffende Daten gestärkt wird. Dies kann die Bank positiv nutzen, indem Sie die Freigabe oder Filterung bestimmter Kategorien von Kontotransaktionen gegenüber bestimmten AISPs mittels eines Privacy Dashboard für diejenigen Kunden, die externe AISP Dienste nutzen, in die Hände dieser Kunden selbst legt. Eine sinnvolle und datenschutzfreundliche Voreinstellung im Privacy Dashboard, die Artikel 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) nachkommt, wäre dabei von Vorteil.
Vollautomatisierung durch Einsatz künstlicher Intelligenz und zusätzliche Schnittstellen zum AISP. Die Bank könnte in der PSD2 Schnittstelle zum AISP eine standardisierte Möglichkeit schaffen, den Zweck der Verarbeitung der Kontotransaktionen durch den AISP und die für den Zweck der Verarbeitung relevanten Kategorien an die Bank zu übermitteln. Mit entsprechenden KI-Verfahren könnten die Kontotransaktionen vor der Übermittlung an den AISP analysiert werden und nur solche Transaktionen werden übermittelt, die zu einer den Zweck der Verarbeitung erfüllenden Kategorie gehören.
Das erste Szenario ist das unter mehreren Aspekten für die Bank günstigere Szenario: Die Bank würde das Vertrauen des Kunden in ihr Haus stärken, indem sie den Kunden hinsichtlich Datenschutz mündig macht und diese Mitentscheidungsmöglichkeit an die Hand gibt. Versehen mit einer guten User Experience und einer einfachen Bedienbarkeit wäre ein Privacy Dashboard ein Verfahren, das das Vertrauen des Kunden in die Bank hinsichtlich des Schutzes personenbezogener Daten stärkt. Und sollte der Kunde einmal mehr Kategorien von Transaktionen gegenüber dem AISP über das Privacy Dashboard der Bank sperren als es dem Zweck des AISP-Vertrages entspräche, müsste sich der AISP mit seinem Kunden selbst auseinandersetzen und nicht mit der Bank. Ebenso hätte der Kunde die Möglichkeit, auch etwas mehr an Kontotransaktionsdaten gegenüber dem AISP freizugeben als es der Verarbeitungszweck bei einem vollautomatisierten Verfahren (zweites Szenario) erlauben würde, weil der Kunde sich davon beispielsweise einen Vorteil verspricht. Weiterhin würden im zweiten Szenario der Einsatz von KI-Verfahren und die Entwicklung zusätzlicher Kommunikationskanäle zum AISP anfallen. Hier wäre das Vertrauenslevel der Bankkunden sicher nicht auf demselben Niveau wie im ersten Szenario und der Kunde hätte praktisch keine Mitsprachemöglichkeiten. Die Entwicklungskosten und die Komplexität einer PSD2-API auf Bankseite würden ebenfalls weiter erhöht und voraussichtlich wäre dennoch ein Privacy Dashboard für den Kunden nicht obsolet. Somit wäre das erste Szenario die eindeutig zu präferierende Variante.
Zusammenfassung
Die geschilderte Situation lässt sich rein technisch wie folgt umreißen: Eine externe Organisation erhält legitim Zugriff auf einen bestehenden Datenpool, um für bestimmte Zwecke Daten aus diesem Datenpool zu verarbeiten. Jedoch sind nicht alle im Datenpool persistierenden Daten mit dem Zweck der Verarbeitung durch die externe Organisation konform. Dennoch darf Zugriff auf den Datenpool erfolgen. Hier kommt das Thema Datennutzungskontrolle (Data Usage Control) ins Spiel, das heißt die Festlegung der Nutzung von Daten, nachdem bereits Zugriff auf ein System erfolgt ist. Durch Datennutzungskontrolle als Basistechnologie für Privacy Dashboards auf Seite des bestehenden Datenpools und die Erzwingung der Filterung von nicht zweckkonformen Daten aus dem Pool vor der Übermittlung an die externe Organisation kann diese Problematik gelöst werden. Das Fraunhofer IESE hat mit seiner Technologie IND²UCE hierfür eine ideale Voraussetzung für Banken zur Integration in ihre PSD2-konformen APIs geschaffen. Sprechen Sie uns an, wenn Sie mehr dazu erfahren möchten. IND²UCE wurde 2014 mit EARTO Preis als „wegweisende neue Technologie“ ausgezeichnet.
Gerne diskutieren wir die geschilderte Situation im Umfeld der PSD2 und der DSGVO mit Ihnen als Bank oder Experte für Datenschutzrecht und sind auf Ihr Feedback gespannt. Nehmen Sie Kontakt mit uns auf.
Robert Macho sagt:
Gratuliere zu Ihrem Artikel. Nun hat aber doch ein Konsortium von PIPSPs und AIPSPs über die EU-Kommission lobbyiert, dass in den „technischen Standards“(RTS) der europäischen Bankenaufsicht EBA auch Screen-Scraping – anstatt eines dezidierten Interfaces – genutzt werden soll. Die EBA hat dies unter Hinweis auf Kosten, Komplexität und Verunsicherung des Konsumenten abgelehnt. Außerdem existieren Sicherheitsbedenken (siehe ENISA Empfehlungen) denn damit kann jegliche Information (Zahlungskonto aber auch Wertpapier, Kreditkarte, Sparguthaben,…) ohne Kontrollmöglichkeit ausgelesen werden. Es liegt nun anderen EU-Kommission zu entscheiden, ob die EBA Position bestehen bleibt, oder ob man aus politischen Gründen dies nicht akzeptiert und auf eine „screen scraping“ Möglichkeit beharren wird. Diese Entscheidung muss bis 15. Oktober erfolgen. NACH IHRER DARSTELLUNG DÜRFTE ES SO EINE DISKUSSION AUF HÖCHSTER POLITISCHER EBENE EIGENTLICH JA GAR NICHT GEBEN, DA SCREEN-SCRAPING IN SEINER „UNSTEUERBARKEIT“ PER SYSTEM DER DSGV WIDERSPRICHT.
Michael Ochs sagt:
Hallo Herr Macho,
danke für das Kompliment!
Beim Screen Scraping bin ich auch genau Ihrer Ansicht.
Ich denke, dass es sowohl beim Kontoinformationsdiensten und auch beim Screen Scraping noch erheblichen Diskussions- und Klärungsbedarf bezüglich Datenschutz gibt. Wenn Sie einmal vergleichen, um welche Inhalte es hierbei geht, und was innerhalb der letzten ca. 12 Monate im Hinblick auf Datenschutz z.B. bei Whatsapp/Facebook (Mobilfunknummernübertragung im April 2017 gerichtlich gestoppt) und der „Komfortregistrierung“ bei paydirekt (August 2017, Landesdatenschutz Hessen und Thüringen prüfen aktuell das Vorgehen) vorgefallen ist, dann liegen bei unserem Thema die Risiken deutlich höher.
Was wäre Ihre Erwartung, wie und ggfs. wo zu der Sachlage abschließend entschieden wird? Würden Sie ggfs. sogar den EUGH als letzte Instanz sehen?
Viele Grüße
Michael Ochs
Sachse sagt:
Das war es dann mit dem Recht der informationellen Selbstbestimmung – immerhin ein ehemaliges Grundrecht mit Verfassungsrang. Es wäre vermutlich naiv anzunehmen, dass die großen Nutzer von Big Data wie fb, ebay, amazon, google, etc.etc. sich diesen Zugriff durch ihre AGBs nicht erlauben lassen werden. Erstaunlich ist, dass die EU immerhin eine nichtdemokratische Organisation soweit in das GG hineinmanipulieren kann. Neben dem Ewigkeitsgebot eben dieses Grundgesetzes widerspricht das auch allen „normalen“ Vorstellungen davon, wie Recht in Europa gesetzt werden sollte. ME wird hier (vermutlich mittels der Kompetenzkompetenzregel) der zulässige Rahmen des vertragsrechtrechtlich (der EU Vertrag) Möglichen über jede Schmerzgrenze hinaus strapaziert. Ich sehe für diese Richtline bzw. die nationale Umsetzung eine Halbwertszeit von etwa einem Jahr, bis das am Verfassungsgericht anhängig ist.
Danke für diesen illustren Beispielfall. Die Frage sit nur ob das dazu notwendige Procedere für den Betroffenen in seienr Komplexität geeignet die reste des ausgehöhlten Grundrechtesschutzes „in Wirklich“ auch in Anspruch zu nehmen. Das Verfahren sieht sehr nach einer Vermeidungsstrategie aus udn wird sicherlich von der Durchschnittsbevölkerung kaum nachvollzogen werden (können). Insgesamt ein, wie ich finde ausgesprochen skandalöser Zustand. Um den beschriebenen, rein fiktiven Mehrwert für Kontobesitzer zu generieren sind die Risiken des vollständigen Kontrollverlustes (Gläsernen Kunden) viel zu hoch, als dass dies zu rechtferigen wäre.