Home / Veröffentlichungen / Neue Regelungen für Kontoinformationsdienste

Neue Regelungen für Kontoinformationsdienste

Update Banking & Finance 12/2017 - Aufsichtsrecht

Ein Geschäftsmodell, das insbesondere für Fintech-Unternehmen interessante Chancen bietet und in Zukunft noch an praktischer Bedeutung gewinnen wird, ist das der sog. „Kontoinformationsdienste“, die durch die Europäische Zahlungsdiensterichtlinie (Payment Services Directive II, PSD II) und die am 13. Januar 2018 in Kraft tretende Umsetzung im deutschen Recht erstmals eine Regelung erfahren. Nach der durch das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie vom 17. Juli 2017 (BGBl 2017, Teil 1 Nr. 48, S. 2446 ff.) eingeführten vollständigen Neufassung des Zahlungsdiensteaufsichtsgesetzes (ZAG  ̶  neue Fassung) gelten solche Kontoinformationsdienste ab Januar 2018 als regulierte Zahlungsdienste (§ 1 Abs. 2 Nr. 8 ZAG n. F.).

Kontoinformationsdienste sind zukünftig als „Onlinedienste zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten des Zahlungsdienstnutzers bei einem oder mehreren anderen Zahlungsdienstleistern“ definiert. Hinter der – im europäischen Aufsichtsrecht mittlerweile leider üblichen – sperrigen Definition verbergen sich Dienste, die auf rein informatorischer Basis auf Konten zugreifen. Hintergrund kann z. B. sein, dass auf diese Weise mit Zustimmung des Kunden eine Bonitätsprüfung durchgeführt wird. Einige bankaufsichts- und datenschutzrechtliche Aspekte dieses neuen Regelungsbereichs sollen im Folgenden kurz dargestellt werden.

Zunächst ist festzuhalten, dass für Kontoinformationsdienste, obwohl sie als Zahlungsdienste gelten, keine Erlaubnispflicht, sondern nur das Erfordernis einer Registrierung besteht (§ 34 ZAG n. F.). Im Zusammenhang mit dem Registrierungsantrag sind jedoch Angaben und Nachweise in erheblichem Umfang einzureichen: Neben den bei Registrierungspflichten im Bankaufsichtsrecht üblichen Unterlagen, wie z. B. einer Beschreibung des Geschäftsmodells, eines Business- und Budgetplans für die ersten drei Geschäftsjahre und Angaben betreffend Rechtsform und Satzung des Antragstellers, enthält der Anforderungskatalog in § 34 Abs. 1 ZAG n. F. in Verbindung mit den Versagungsgründen in § 35 ZAG n. F. auch zahlreiche (indirekte) Compliance-Pflichten. So muss nach § 34 Abs. 1 S. 2 Nr. 4 ZAG n. F. z. B. eine „Beschreibung der vorhandenen Verfahren für Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden“ oder gem. Nr. 6 eine „Beschreibung der Regelungen zur Geschäftsfortführung im Krisenfall, einschließlich klarer Angaben der maßgeblichen Abläufe, der wirksamen Notfallpläne und eines Verfahrens für die regelmäßige Überprüfung der Angemessenheit und Wirksamkeit solcher Pläne“ eingereicht werden. Die Neuregelungen des ZAG sehen außerdem eine Versicherungspflicht für Kontoinformationsdienste vor: Nach § 34 Abs. 1 S. 2 Nr. 12 i. V. m. § 36 ZAG n. F. ist eine Berufshaftpflichtversicherung erforderlich, die insbesondere auch die Haftungsrisiken gegenüber der Bank und dem Zahlungsdienstnutzer wegen nicht autorisierter oder betrügerischer Zugriffe abdeckt. Es bleibt abzuwarten, ob und zu welchen Bedingungen die Versicherungsbranche hier passende Produkte anbieten wird.

Auch die Gründe für eine Versagung der Registrierung in § 35 ZAG n. F. zeigen, dass der europäische Gesetzgeber großen Wert auf die Zuverlässigkeit von Kontoinformationsdienstleistern – insbesondere im Hinblick auf sicherheitsrelevante Themen – legt. Ein „Selbstläufer“ ist die Registrierung daher nicht. Neben dem Erfordernis, bestimmte Angaben zur Registrierung zu machen, besteht gem. § 34 Abs. 6 ZAG n. F. auch eine Pflicht der Anbieter, der Bundesanstalt für Finanzdienstleistungsaufsicht Änderungen der diesbezüglichen Verhältnisse unverzüglich anzuzeigen.

Neben diesen durch die aufsichtsrechtliche Neuregelung des Geschäftsmodells entstehenden Registrierungs- und Compliance-Pflichten wird die Position von Kontoinformationsdienstleistern in der Neufassung des ZAG aber auch ausdrücklich gestärkt. Insbesondere regeln die neu geschaffenen §§ 50 bis 52 ZAG n. F. die gegenseitigen Rechte und Pflichten des Kontoinformationsdienstleisters einerseits und des kontoführenden Zahlungsdienstleisters andererseits. Der kontoführende Zahlungsdienstleister – also in aller Regel die Bank, bei der das Zahlungskonto geführt wird, auf das der Kontoinformationsdienst zugreifen möchte – ist verpflichtet, mit dem Kontoinformationsdienst zusammenzuarbeiten und die von einem Kontoinformationsdienstleister stammenden Anfragen „ohne Benachteiligung zu behandeln“ (§ 50 Abs. 1 Nr. 2 ZAG n. F.).

Kontoinformationsdienste dürfen – wenig überraschend – nur mit ausdrücklicher Zustimmung des Zahlungsdienstnutzers, also des Kunden, erbracht werden (§ 51 Abs. 1 S. 1 ZAG n. F.). Der kontoführende Zahlungsdienstleister (die Bank) kann dem Kontoinformationsdienstleister Zugang zu Zahlungskonten nur unter den in § 52 ZAG n. F. genannten Voraussetzungen verwehren. Bereits diese gesetzliche Anerkennung der Einbindung von Kontoinformationsdiensten in die Infrastruktur der kontoführenden Zahlungsdienstleister zeigt, dass auch die Weitergabe von Zugangsdaten durch den Zahlungsdienstnutzer an registrierte Zahlungsdienstleister keinen Verstoß mehr gegen die zivilrechtliche Pflicht des Zahlungsdienstnutzers, seine Zugangsdaten nicht an Dritte weiterzugeben, darstellen kann.

Die Neuregelungen betreffend Kontoinformationsdienste in der Neufassung des ZAG werfen allerdings auch datenschutzrechtliche Fragen auf. Da das Geschäftsmodell der Kontoinformationsdienste auf der Verarbeitung von Daten der jeweiligen Kontoinhaber beruht, spielt der Schutz von personenbezogenen Daten eine nicht unwesentliche Rolle. Der Personenbezug von Kontodaten des jeweiligen Kontoinhabers liegt dabei auf der Hand. Ein Konto und die digital bereitgehaltenen Informationen sind bereits über den hinterlegten Namen des Kontoinhabers diesem eindeutig zuzuordnen. Aber nicht nur der Kontoinhaber bzw. der Nutzer des Kontoinformationsdienstes wird durch die Datenverarbeitung des Dienstes in seinem Recht auf Schutz seiner personenbezogenen Daten nach Art. 8 der Grundrechtecharta der EU tangiert, vielmehr sind auch Dritte betroffen, an die der Kontoinhaber Überweisungen tätigt. Über die Transaktionsdaten, die ebenfalls potenziell einsehbar sind, kann ebenfalls ein eindeutiger Personenbezug zu den Überweisungsempfängern hergestellt werden. Oftmals besteht bei der Verarbeitung von Konto- und Transaktionsdaten der Irrtum, dass es sich bei diesen Daten um besondere personenbezogene Daten i. S. d. Datenschutzgesetzes handele. Nach dem noch geltenden Bundesdatenschutzgesetz (BDSG) oder der ab dem 25. Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) werden personenbezogene Daten lediglich in zwei Kategorien unterteilt: besondere Kategorien von personenbezogenen Daten und die „gewöhnlichen“ personenbezogenen Daten. Für die besonderen Kategorien von personenbezogenen Daten sieht das Datenschutzrecht insbesondere in Bezug auf die Legitimationsgrundlage für die Verarbeitung strengere Regelungen vor als für die „gewöhnlichen“ personenbezogenen Daten. Eine Verarbeitung von besonderen Kategorien von personenbezogenen Daten kann z. B. nicht auf eine allgemeine Interessenabwägung gestützt werden. Zu den besonderen Kategorien von personenbezogenen Daten zählen nach Art. 9 Abs. 1 DSGVO alle Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit hervorgehen sowie genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Kontodaten sind in dieser Aufzählung nicht enthalten und werden nach dem BDSG und der DSGVO nicht als besondere Daten behandelt.

Spezielle Regelungen zum Datenschutz lassen sich aber auch im ZAG n. F. selbst finden: In Abschnitt 11 mit der Unterüberschrift „Datenschutz“ ist in § 59 Abs. 1 ZAG n. F. ausdrücklich vorgesehen, dass Zahlungsdienstleister und somit auch Kontoinformationsdienstleister personenbezogene Daten zum Zwecke der „Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr" verarbeiten dürfen. Gleichzeitig macht § 59 Abs. 2 ZAG n. F. aber die Verarbeitung von personenbezogenen Daten zur Erbringung des Kontoinformationsdienstes von einer ausdrücklichen Einwilligung des Nutzers abhängig. Das ZAG n. F. verengt damit das Repertoire der Legitimationsgrundlagen im Vergleich zum BDSG bzw. der DSGVO allein auf die Einwilligung des betroffenen Kontoinhabers. Diese Verengung wird noch durch § 51 Abs. 1 S. 3 ZAG n. F. verstärkt, in dem der Kontoinformationsdienstleister Daten nur zum Zwecke des Kontoinformationsdienstes nutzen darf. Durch diese strenge Zweckbindung verfolgt der Gesetzgeber die Intention, eine über den Kontoinformationsdienst hinausgehende Datennutzung auszuschließen. Einer Auswertung der Transaktionsdaten durch den Kontoinformationsdienst zu Werbezwecken oder einem Aufbau einer Scoring-Datenbank soll damit der Riegel vorgeschoben werden. Zweifelhaft ist aber, ob diese intendierte Zweckbindung und Verengung der Legitimationsgrundlagen tatsächlich mit der DSGVO vereinbar sind. Die DSGVO sieht eine solche Einschränkung nicht vor. Der bisher eher akademisch geführte Streit, ob das ZAG bzw. die PSD II lex specialis zur DSGVO sein kann, wird damit tatsächlich an Relevanz gewinnen. Ferner sehen das ZAG bzw. die PSD II keine datenschutzrechtlichen Bestimmungen vor, wie beispielsweise mit den personenbezogenen Daten der Überweisungsempfänger umzugehen ist, die bei einer durch den Nutzer imitierten Kontoabfrage im Rahmen der Erbringung des Kontoinformationsdienstes erhoben und verarbeitet werden. Die Einwilligung des Nutzers, also des Kontoinhabers, ist hier nicht ausreichend. Sie begründet ausschließlich eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, die den Nutzer betreffen. Unberührt lässt die Einwilligung hingegen den Rechtskreis bzw. die Daten Dritter, wie z. B. die Daten der Überweisungsempfänger, die über die Erhebung der Transaktionsdaten durch den Kontoinformationsdienst einsehbar sind. Hier muss zwingend auf das BDSG bzw. auf die DSGVO zurückgegriffen werden. Denn § 59 Abs. 2 ZAG n. F. regelt lediglich die Einwilligung des betroffenen Nutzers des Kontoinformationsdienstes. Die Legitimation der Verarbeitung von Daten, die nicht ausschließlich den Nutzer des Dienstes, sondern auch Dritte betreffen, bleibt im ZAG unbeantwortet und muss sich daher nach dem geltenden Datenschutzrecht richten.  

Viele Kontoinformationsdienste sind von den Neuregelungen im ZAG n. F. indes nicht sofort betroffen: Gemäß Art. 15 des Gesetzes zur Umsetzung der Zweiten Zahlungsdiensterichtlinie treten die Vorschriften der §§ 45 bis 52 des ZAG n. F. erst 18 Monate nach Inkrafttreten der europäischen technischen Regulierungsstandards zur PSD II in Kraft. Damit bleibt vielen Anbietern noch Zeit. Ergänzend gilt für Unternehmen, die bereits vor dem 17. Januar 2016 Kontoinformationsdienste im Sinne der Neufassung des ZAG erbracht haben, dass sie bis zum Inkrafttreten der §§ 45 bis 52 ZAG n. F. (also 18 Monate nach Inkrafttreten der technischen Regulierungsstandards) die neuen Vorschriften des ZAG n. F. für Kontoinformationsdienste insgesamt unberücksichtigt lassen und sich zunächst noch nach der bisherigen Rechtslage richten können (§ 68 Abs. 2 ZAG n. F.).

Die erstmalige Vorgabe eines regulatorischen Rahmens für Kontoinformationsdienste durch die Neufassung des Zahlungsdiensteaufsichtsgesetzes ist grundsätzlich begrüßenswert und wird die bestehenden Rechtsunsicherheiten bei diesem Geschäftsmodell mindern. Einige der neuen Regelungen weisen aber Unklarheiten auf und werden wiederum Fragen aufwerfen, die sich aber mit einer kompetenten Rechtsberatung lösen lassen.


Dieser Artikel ist Teil des Updates Banking & Finance, welches Sie hier abonnieren können.

Autoren

Michael Strubel
Senior Associate
Berlin
Sebastian Allwörden
Dr. Sebastian von Allwörden
Senior Associate
Berlin