Gratis
17. August 2018 - Zahlungsverkehr

PSD2 und die Frage nach dem Datenschutz

Drucken

Der Europäische Datenschutzausschuss hat sich in einem Brief zum Datenschutz beim neuen Zahlungsverkehrs-Standard PSD2 geäußert. Der Handel setzt starke Hoffnungen in den neuen Standard. Aber führt er zum gläsernen Kunden?

PSD2 und Datenschutz Die PSD2 räumt Unternehmen das Recht ein, auf Daten von Kreditinstituten zuzugreifen. Diese sensiblen Daten sind jedoch besonders zu schützen, z.B. zu verschlüsseln (Bild: Prykhodov / iStock / Getty Images)

In vielen Fachmedien der Handelsbranche ist die „Payment Services Directive 2“ (PSD2) aktuell ein wichtiges Thema.

Sogenannte Fintechs wollen darüber gemeinsam mit dem Handel neue Zahlungsdienste und Services entwickeln, um beispielsweise das klassische Lastschrift-Verfahren abzulösen.

PSD2 – Zugriff auf die Kontodaten

Im Kern besagt die Richtlinie, dass Kreditinstitute auch anderen Unternehmen Zugriff auf die Kontodaten des Kunden zu gewähren haben. Zu diesem Zweck sind Banken und Sparkassen angehalten, Schnittstellen einzurichten, die diesen Zugriff ermöglichen.

In den Publikumsmedien ist schon von einem „gläsernen Kunden“ die Rede. In Kombination mit sogenannten „Instant-Payments“, konkret sind das Überweisungen in Echtzeit, ließen sich damit neue mobile Bezahlformen entwickeln.

Dass die Transaktions-Daten einen besonderen Schutz brauchen, ist den Initiatoren und Banken durchaus bewusst.

Die Empfehlungen des „European Forum on the Security of Retail Payments“ sehen daher für die Umsetzung von SEPA-Instant-Payments und PSD2 verschlüsselte Zugriffe und besonders die Zwei-Faktor-Authentifizierung beim Zahlungsverkehr vor.

Schutz der Kundendaten in einem komplexen Umfeld

Trotzdem stellt sich die Frage nach dem Datenschutz, schließlich sind Daten über die finanzielle Situation des Kunden besonders sensibel. Dazu hat sich der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) nun in einem Brief geäußert.

In dem Brief geht der Datenschutzausschuss auf verschiedene Aspekte der PSD2 ein. Er weist ausdrücklich auf Artikel 6 der DSGVO hin, wobei die Datenschutz-Prinzipien wie Zweckbindung und Datenminimierung zu beachten sind.

Die Verarbeitung der Daten ist grundsätzlich zulässig, allerdings nur für den vom Betroffenen erlaubten Zweck. Der Ausschuss ging auch auf die Frage ein, ob die von den Kreditinstituten bereitgestellten Schnittstellen die notwendige Sicherheit böten.

In diesem Zusammenhang verweist der Datenschutzausschuss auf die jeweils zuständigen Aufsichtsbehörden. Bei der Beurteilung der Datensicherheit würden der Artikel 32 sowie die Vorgaben zu Privacy by Design und Privacy by Default (Artikel 25) eine besondere Rolle spielen.

Stephan Lamprecht