Vladimir Gerasimov - stock.adobe
PSD2 und DSGVO: Wie verhält es sich mit dem Datenschutz?
Wer im Zahlungsverkehr die PSD2 umsetzt, muss auch die Anforderungen an den Datenschutz nach DSGVO beachten. Die Aufsichtsbehörden haben dies im Detail ausgeführt.
Zahlungsverkehrsdaten benötigen ein hohes Maß an Schutz, auch wenn Bankverbindungsdaten und Zahlungsdaten nicht zu den in Artikel 9 DSGVO genannten, besonderen Kategorien personenbezogener Daten gehören.
Der hohe Schutzbedarf ergibt sich aus der Tatsache, dass nach Artikel 32 DSGVO bei der „Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen sind, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“.
Werden Zahlungsverkehrsdaten vernichtet, gehen sie verloren, werden sie verändert, unbefugt offengelegt oder erhalten Dritte unbefugten Zugang zu ihnen, bedeutet dies zweifellos ein ernst zu nehmendes Risiko für die betroffene Person.
Es ist deshalb auch aus Datenschutzsicht mehr als zu begrüßen, dass mit der PSD2 (Payment Service Directive 2) auch die Sicherheit im Zahlungsverkehr durch die Verpflichtung zur sogenannten „starken Kundenauthentifizierung“ verbessert wird.
Maßgeblich sind hierbei die Empfehlungen des European Forum on the Security of Retail Payments für die Sicherheit von Internet-Zahlungen. Vorgeschrieben ist die Authentifizierung über die Verwendung von zwei Faktoren aus den unterschiedlichen Merkmalen Wissen (zum Beispiel Passwort, Code, PIN), Besitz (zum Beispiel Token, Smartphone) und Inhärenz (beispielsweise Fingerabdruck, Stimmerkennung), wie zum Beispiel die Deutsche Bundesbank erläutert.
Europäischer Datenschutzausschuss äußert sich zu PSD2
Eine Anfrage aus dem Europäischen Parlament hat dazu geführt, dass sich die Aufsichtsbehörden für den Datenschutz verschiedene Vorgaben aus PSD2 konkret angesehen haben. Wie der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) erklärt, handelt es sich bei PSD2 um ein komplexes Datenschutzfeld. Insbesondere behandelt die PSD2 an mehreren Stellen die Verarbeitung personenbezogener Daten. PSD2 stellt dabei fest, dass die Verarbeitung personenbezogener Daten den Datenschutzgesetzen der EU entsprechen muss.
Das EDPB hat in einem Schreiben mehrere Regelungen der PSD2 mit den Vorgaben der DSGVO/GDPR in Verbindung gebracht und zeigt damit, wie sich Datenschutzvorgaben aus der DSGVO für die PSD2 interpretieren lassen. Dies zeigt beispielhaft, wie sich Vorgaben der Datenschutz-Grundverordnung bei (anderen) Compliance-Vorgaben anwenden lassen.
Anwendung der DSGVO im Zahlungsverkehr nach PSD2
Untersucht wurde zum Beispiel die Frage, auf welcher Grundlage personenbezogene Daten Dritte im Zahlungsverkehr verarbeitet werden, insbesondere im Fall des Zahlungsempfängers. Während der Zahlende ein Vertragsverhältnis mit dem Zahlungsdienstleister hat und dabei eine Einwilligung zur Verarbeitung der eigenen Daten erteilt hat, besteht zwischen dem Zahlungsdienstleister und dem Zahlungsempfänger nicht automatisch ein Vertrag.
Für die Verarbeitung der personenbezogenen Daten des Auftraggebers der Zahlung finden sich die Rechtsgrundlagen somit in Artikel 6 (1) b DSGVO. Somit gilt: Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Der EDPB führt aus, dass die Verarbeitung der personenbezogenen Daten des Zahlungsempfängers im Rahmen des Artikels 6 (1) f DSGVO möglich ist, wobei die Datenschutzprinzipien wie Zweckbindung und Datenminimierung zu beachten sind. Die Verarbeitung der personenbezogenen Daten des Zahlungsempfängers ist somit rechtlich zulässig, sofern „die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“.
Der EDPB weist insbesondere darauf hin, dass die Daten des Zahlungsempfängers zu keinen anderen Zwecken genutzt werden dürfen, sofern hierfür keine explizite Einwilligung vorliegt.
Ebenfalls untersucht wurde die Frage, inwieweit die Zahlungsdienste-Schnittstellen, die Banken bereitstellen, die notwendige Sicherheit bieten. Hier verweist der EDPB auf die Prüfungskompetenz der jeweils zuständigen Aufsichtsbehörde. Bei der Beurteilung der Datensicherheit würden insbesondere die Vorgaben von Artikel 32 DSGVO (Sicherheit der Verarbeitung) und die Vorgaben zu Privacy by Design und Privacy by Default (Artikel 25 DSGVO) eine Rolle spielen.
Bestünden Zweifel an der Sicherheit der genannten Bankenschnittstellen, würden die jeweils zuständige Aufsichtsbehörde die notwendigen Maßnahmen ergreifen, um sich Klarheit zu schaffen und um die notwendige Sicherheit durchzusetzen. Dabei begrüßt der EDPB ausdrücklich eine Zusammenarbeit mit den zuständigen Stellen für Finanzaufsicht.
Tipp: Immer auf mögliche Abweichungen achten
Das Beispiel PSD2 zeigt, wie sich Fragen des Datenschutzes im Zahlungsverkehr im Zusammenspiel von PSD2 und GDPR klären lassen. Es sollte jedoch nicht einfach davon ausgegangen werden, dass jede Compliance-Vorgabe tatsächlich den Vorgaben der DSGVO entspricht.
Vielmehr sollte immer geprüft werden, ob es Abweichungen zum Datenschutzrecht gibt, die zwingend geklärt werden müssen, um wirkliche Compliance erreichen zu können.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!