PSD2 und DSGVO – Mehr Datenschutz für Alle
PSD2 und DSGVO sind derzeit ein ganz großes Thema. Wie gehen Firmen im Internet mit deinen Daten um? Ganz und gar nicht vorbildlich war da beispielsweise Facebook, welches unseriösen Anbietern ermöglichte, an Deine persönlichen Informationen auf Facebook-Servern zu kommen. Der Skandal um das Datenanalyse-Unternehmen Cambridge Analytica hat vielen Nutzern in den USA und Europa leidvoll vor Augen geführt, wie unsicher die eigene Identität im Internet eigentlich ist und wie leicht andere an diese Daten kommen, um sie für viel Geld an Dritte zu verkaufen. Nun stell dir einfach mal vor, es gäbe eine App, die illegal Daten von deiner Bank stehlen würde, um sie für eigene Zwecke zu missbrauchen: Informationen über deine Person, dein Einkommen, deine Kontobewegungen. Dies zu verhindern ist unter anderem eine wichtige Aufgabe der neu gefassten Payment Services Directive sowie der EU-Datenschutz-Grundverordnung (DSGVO). Aber noch viel mehr.
Banken teilen nicht gerne
Die PSD2 ist die aktualisierte Version der PSD und definiert die Marktöffnung für Drittanbieter. Richtlinien werden auf EU-Ebene nicht nur umgesetzt, um Dich als Verbraucher vor Firmen zu schützen, die möglicherweise Böses im Sinne haben. Es geht natürlich auch um den Wettbewerb von Unternehmen. In diesem Fall geht es im Prinzip um alle, die irgendwie mit Finanzdienstleistungen zu tun haben und Zugriff auf Deinen Finanzstatus benötigen. Es gibt mittlerweile unzählige Finanz-Apps in den Stores von Google und Apple, die ohne Zugriff auf Dein Bankkonto erst gar nicht funktionieren würden.
Um es besser zu verstehen ein Beispiel: Das Vergleichsportal Verivox hat eine App im Angebot, die anhand der Lastschrift-Abbuchungen auf deinem Konto Strom-, DSL, oder Handy-Anbieter identifizieren kann und anhand dieser Auswertungen alternative Anbieter vorschlägt.
Damit diese App überhaupt funktioniert, musst nicht nur Du als Kunde den Datenzugriff gestatten, sondern vor allem die Bank selbst muss diese Daten auch herausgeben. Die Banken betrachten die Kundendaten jedoch mehr oder weniger als ihr (wertvolles) Eigentum, um die eigenen Produkte zu verkaufen – andere Anbieter waren von diesem Zugriff ausgeschlossen. PSD2 reguliert nun, wie und in welcher Form die Banken Drittanbietern über eine sogenannte Kundenschnittstelle Zugriff auf die Finanzdaten – insbesondere Kontoumsätze – gewähren müssen. Genau das ist für viele Banken aber ein Problem, denn die Kundenschnittstelle (API) lässt sich oftmals nur sehr schwierig in die veralteten Bankensysteme mit jahrzehntealten Strukturen integrieren. Wenn sich ein modernes FinTech mit einem System einer großen Privatbank aus den 1990er-Jahren verbindet, kann man sich denken, das dies nicht problemlos ablaufen kann. Modernisierungen in zukunftssichere Systeme bedeuten natürlich Kosten und diese sind viele Banken nicht bereit zu bezahlen.
Man kann also sagen, dass PSD2 sogar zu deutlich mehr Innovation und Wettbewerb auf beiden Seiten führt. Zum einen haben zahlreiche neue Finanzdienstleister die Chance, sich im Markt zu beweisen, andererseits werden die bestehenden und etablierten Banken zu mehr Wettbewerb und technischer Innovation gezwungen. Sei es, in dem sie mit eigenen FinTechs auf die neue Konkurrenz reagieren oder anderseits durch die Anpassung und Modernisierung ihrer bestehenden Systeme und Prozesse. Davon profitieren letztendlich alle Beteiligten.
Wie funktioniert PSD2?
Grundsätzlich ist die Payment Services Directive in zwei große Bereiche unterteilt. Ein Bereich sind die „Marktregeln“ . Sie beschreiben, welche Art von Anbietern Zahlungsdienste erbringen können. Organisationen, die keine Kreditinstitute sind, können eine Zulassung als Zahlungsinstitut beantragen, wenn sie bestimmte Kapital- und Risikomanagement Anforderungen erfüllen. Der zweite Bereich umfasst die sogenannten „Geschäftsleitung Regeln“ . Hier werden Rechte und Pflichten für Zahlungsdienstleister und Kunden geregelt, zum Beispiel im Hinblick auf die Ausführung von Transaktionen. Außerdem spielen Haftungsfragen und Zahlungserstattungen eine Rolle.
PSD2 wurde im November 2015 vom Rat der Europäischen Union verabschiedet und musste zum 13. Januar diesen Jahres in Form der EU-Richtlinie 2015/2366 verbindend in nationales Recht umgesetzt werden..
DSGVO schützt Verbraucher
Das Thema Datenschutz für Verbraucher spielt in der PSD2-Richtlinie nur eine untergeordnete Rolle. Ganz anders sieht es bei der neuen EU-Datenschutz-Grundverordnung (DSGVO) aus. Die DSGVO ersetzt am 25. Mai 2018 die nationalen Datenschutzverordnungen in den Mitgliedsstaaten.
Der EU-Kommission geht es hier darum, die Rechtssicherheit für Unternehmen und Bürger in der EU zu verbessern. Die DSGVO regelt im Kern die Rechtsgrundlagen der Datenverarbeitung, Rechte der Betroffenen sowie Pflichten der Verantwortlichen (z.B. das Daten von Kunden auf Wunsch innerhalb einer bestimmten Frist gelöscht werden müssen).
Interessant ist in dem Zusammenhang wieder der Verweis auf Facebook: Denn die DSGVO gilt auch für alle Unternehmen außerhalb der EU, die mit EU-Bürgern Geschäfte tätigen. Das heißt konkret: Wenn Du als EU-Bürger in Deutschland einen Account bei Facebook eröffnest, muss Facebook sich an die DSGVO halten, auch wenn es sich um ein Unternehmen mit Sitz außerhalb der Europäischen Union handelt. Genau das wollten vor allem die amerikanischen IT-Riesen nicht. Laut der Plattform LobbyPlag.eu haben sich seit 2012 vor allem große amerikanische Konzerne wie Amazon, eBay, Google, Microsoft etc. aktiv gegen zentrale Forderungen der Datenschutz-Grundverordnung gewehrt. Letztendlich könnte das neue, gemeinsame europäische Datenschutzrecht einen Vorbildcharakter haben, der gerade auch in den Vereinigten Staaten von Amerika im Zuge des Cambridge Analytica-Skandals zu einem Umdenken in Sachen Datenschutz führt. Die Bürger auf der anderen Seite des Atlantiks sind ebenso nicht mehr ohne weiteres bereit, ihre Daten großen Internet Konzernen anzuvertrauen und keinen Einblick zu bekommen, was mit diesen Daten geschieht und wer sie letztendlich bekommt.
Licht und Schatten
Sowohl PSD2 als auch die DSGVO bringen Verbesserungen für neue Finanzdienstleister, mehr Datenschutz und Sicherheit für Verbraucher. Erstmals können Bürger sogar bei Datenschutzverstößen Schadensersatzansprüche wegen Nichtvermögensschäden (Schmerzensgeld) rechtlich geltend machen. Auch wird ein Verbandsklagerecht eingeführt das die Durchsetzung berechtigter Ansprüche vor Gerichten erleichtern soll. Ganz wichtig ist zudem: PSD2 bewirkt einen Zusammenschluss der europäischen Banken und bietet dadurch erstmals eine Art Gegengewicht zu amerikanischen Payment-Monopolen wie Visa und Mastercard.
Doch es gibt auch Nachteile, die man nicht verschweigen sollte. Sicher ist, dass es im Rahmen von PSD2 verschärfte Sicherheitsmaßnahmen bei Kartenzahlungen im Internet geben wird. Konkret wird dann beispielsweise bei Zahlung mit einer Kreditkarte in Online-Shops, nicht mehr nur die Kartennummer und der dreistellige CVC2-Code auf der Kartenrückseite ausreichen, sondern die Transaktion wird zusätzlich mit einer TAN freigegeben werden. Der Handel sieht diese Entwicklungen kritisch, weil befürchtet wird, dass Kunden durch einen erschwerten Zahlungsprozess den Kauf im Internet komplett abbrechen. Zudem müssen die Banken den Wegfall von Gebühren bei Kartenzahlungen akzeptieren. Ein harter Schlag in Zeiten von ohnehin niedrigen Leitzinsen und steigenden Kontoführungsgebühren. Denn die Strategie vieler Finanzinstitute war und ist es, Kunden vom Bargeld weg zu Kartenzahlungen zu bewegen.
PSD2: Vertrauensvorschuss für FinTechs
Von PSD2 werden vor allem FinTechs und Insuretechs profitieren. Genauer gesagt: Junge Unternehmen, die Finanzdienstleistungen erbringen, jedoch nicht über eine eigene Banklizenz verfügen und auf den Zugang zu Kundendaten von Banken angewiesen sind. Das ist einerseits eine tolle Sache, denn es fördert Wettbewerb und Innovation. Ein Produkt wie Kontist wurde überhaupt erst möglich, weil hier auf der einen Seite technologisches Know-How und auf der anderen Seite mit der solarisBank und Wirecard das regulatorische Know-How von Banking-Partnern zusammen fanden.
PSD2 kann dafür sorgen, dass Banken und FinTechs weniger Konkurrenten und im Interesse der Kunden, vielmehr zu Partnern und Verbrauchern werden. Damit das funktioniert, ist allerdings Vertrauen nötig. Denn klar ist: Kunden und Banken werden auch und gerade trotz PSD2 und Datenschutzgrundverordnung sehr genau darauf achten, wem sie ihre Daten anvertrauen. Dass es leider unter den FinTechs auch schwarze Schafe gibt, die mit diesem Vertrauen spielen und nicht unbedingt den Eindruck erwecken, gute Partner von Banken und Kunden zu sein, hat ganz aktuell der Fall Savedroid gezeigt.
Fakt ist aber auch, die klare Mehrheit aller FinTechs wünscht sich Vertrauen und einen fairen Wettbewerb auf Augenhöhe. Dieser ist nur mit rechtlichen Rahmenbedingungen möglich, die es Startup-Finanzdienstleistern ermöglichen, mit bereits bestehenden und etablierten Banken auf Augenhöhe in den Wettbewerb einzutreten. Die nun in Kraft tretende Erweiterung bzw. Aktualisierung der Payment Services Directive ist dazu ein wichtiger Schritt und wird zum weiteren Zusammenwachsen des europäischen Finanzdienstleistungsmarkts führen. Gerade dieser Punkt ist besonders wichtig, denn das Wachstum neuer und innovativer FinTechs und Insuretechs endet nicht an der nächsten Landesgrenze.