Access to Account: Kontoinformationsdienste in der Doppelregulierung

Mit Inkrafttreten des neuen Zahlungsdiensteaufsichtsgesetzes (ZAG) im Januar 2018 sind Kontoinformationsdienste – in Umsetzung der Europäischen Zahlungsrichtlinie (Zahlungsdiensterichtline II, PSD 2, Richtlinie (EU) 2015/2366) – erstmals als Zahlungsdienste definiert. Banken müssen den Anbietern von Kontoinformationsdiensten nunmehr Zugang zu den Kontodaten ihrer Kunden ermöglichen, soweit letztere hierfür ihre Einwilligung erteilt haben (Open-Access-Prinzip).

Kontoinformationsdienste als regulierte Zahlungsdienstleister

Hinter Kontoinformationsdiensten verbergen sich Geschäftsmodelle mit grundsätzlich drei Akteuren, nämlich (i) dem Kontoinformationsdienstleister (Zahlungsdienstleister), (ii) der kontoführenden Bank sowie (iii) dem Bankkunden (Zahlungsdienstnutzer). Der Anbieter des Kontoinformationsdienstes stellt dabei dem Nutzer auf Grundlage der jeweils ausgewerteten Kontobewegungen individuell angepasste Zusatzleistungen und Produkte zur Verfügung. Beispielsweise können sie das Ausgabeverhalten analysieren und optimieren (quasi als Weiterentwicklung des herkömmlichen Haushaltsbuches), Produkte zur Vermögensbildung anbieten oder auch passende Versicherungspolicen anbieten. Das ist jedoch nur möglich, wenn die Kontoinformationsdienste die Daten der Kontobewegungen unkompliziert erhalten. Aus technischer Sicht werden Banken daher Schnittstellen implementieren müssen, um den Zahlungsdienstleistern, die Kontoinformationsdienste anbieten, Zugriff auf die Kontodaten zu ermöglichen.

Spannungsfeld Datenschutz – Bankaufsichtsrecht

Dies eröffnet FinTech-Unternehmen die Chance zur Etablierung neuer innovativer Geschäftsmodelle. Kontoinformationsdienste sind damit aber auch den ZAG-Vorgaben unterworfen, bedürfen neben einer Registrierung im Einzelfall etwa verpflichtend einer Haftpflichtversicherung. Neben dieser bankenrechtlichen Regulierung müssen Kontoinformationsdienstleister aber auch die Vorgaben der seit Mai geltenden Datenschutzgrundverordnung (DSGVO, Verordnung (EU) 2016/679) einhalten, da sie Zugriff auf personenbezogene Daten in Form der Kontodaten des Zahlungsdienstnutzers erhalten.

ZAG und DSGVO erweist sich in dieser Hinsicht als nicht hinreichend vom Gesetzgeber aufeinander abgestimmt. Dies zeigt sich am deutlichsten darin, dass ein Zahlungsdienstleister nach dem ZAG personenbezogene Daten nur mit „ausdrücklicher Einwilligung“ des Zahlungsdienstnutzers verarbeiten darf. Nach der DSGVO stellt die Einwilligung indes nur eine Rechtsgrundlage für die Datenverarbeitung dar. Daneben kommen beispielsweise die Datenverarbeitung zur Begründung/Durchführung eines Vertragsverhältnisses sowie die berechtigten Interessen des Zahlungsdienstleisters in Betracht.

Hier wird man im Ergebnis von einer einschränkenden Auslegung der ZAG-Regelungen ausgehen müssen. Insbesondere für Kontoinformationsdienstleister müssen die berechtigten Interessen nach der DSGVO als Rechtsgrundlage zur Datenverarbeitung offenstehen. Zum einen im Hinblick auf eine mögliche Datenverarbeitung beim Einsatz von Back-up Systemen zur Gewährleistung der IT-Sicherheit, zum anderen im Hinblick auf die Verarbeitung von Daten Dritter, die sich etwa aus den einsehbaren Zahlungsströmen des Zahlungsdienstnutzers ergeben können.

Kontoinformationsdienste müssen ferner selbst bzw. durch die kontoführende Bank die Informationspflichten nach der DSGVO erfüllen. Ob ferner eine gesonderte Einwilligung der Nutzer notwendig ist, richtet sich nach der Ausgestaltung des Dienstes, etwa ob ein Scoring bzw. Profiling über den Dienst angeboten wird. Konsequenterweise kann bei datenintensiven Diensten eine Datenschutzfolgeabschätzung notwendig sein.

Wesentlich ist ferner das Thema IT-Sicherheit, das gerade durch die Schnittstelle zum kontoführenden Institut für den Kontoinformationsdienst von erheblicher Bedeutung ist. Jedenfalls muss der Kontoinformationsdienst zumindest geeignete technische und organisatorische (Sicherheits-)Maßnahmen vorhalten.

Für die kontoführenden Institute gelten all diese Überlegungen spiegelbildlich entsprechend. Für bestimmte Produkte der Kontoinformationsdienste können diese „Verantwortlicher“ im Sinne der DSGVO sein. In jedem Fall besitzen sie die „Hoheit“ über die Konten. Daher müssen sie Sorge dafür tragen, dass über die Schnittstellen für Kontoinformationsdienste keine Unberechtigten Zugriff auf die Daten der Kunden erhalten. Insoweit müssen die kontoführenden Institute sehr genau prüfen, ob die technischen Vorgaben zur Einhaltung der IT-Sicherheit geeignet sind.