vzbv-Gutachten: Muss PSD2 eingeschränkt werden?

Unzulässige Datenzugriffe, befeuert von Geschäftsmodellen, die den Interessen der Kunden zuwiderlaufen – das ist der Kern der Kritik von Verbraucherschützern an der aktuellen Praxis des Open Bankings. Mit einem Gutachten untermauert der vzbv den Vorwurf, die Privatsphäre von Bankkunden sei in Gefahr. Die zweite Zahlungsrichtlinie müsse deshalb dringend überarbeitet werden.

Der durch die PSD2 beschleunigten Digitalisierung im Finanzwesen fehlt es bislang an effektiven Kontrollen, stellt ein Gutachten von ConPolicy im Auftrag des Verbraucherzentrale Bundesverbands (vzbv) fest. Weder Verbraucherschutz noch Datenschutz seien derzeit gewährleistet, so das Fazit. Mit der fortschreitenden Nutzung von Kontoinformationsdiensten und Online-Bezahlsystemen drohten Bankkunden immer mehr zum Objekt kommerzieller Ausforschung zu werden, stellen die Verbraucherschützer fest. Sie fordern daher von der EU-Kommission eine Überarbeitung von PSD2 im Sinne des Datenschutzes. Darüber hinaus müssten Finanz- und Datenschutz-Behörden enger kooperieren, um eine effektive Kontrolle der Finanzdienstleister gewährleisten zu können.

Ursachenforschung

Das Gutachten von ConPolicy, das auf der vzbv-Webseite veröffentlicht wurde (PDF), macht zunächst eine Bestandsaufnahme der Services, die mittels PSD2-konformer Schnittstellen angeboten werden. Darunter finden sich Zahlungsauslösedienste, Kontowechselservices, Kontoinformations- und Kontoanalysetools mit und ohne Multibanking-Funktionen, aber auch Vergleichsportale, Immobilienservices, Identitätsprüfung, Buchhaltungs-, Inkasso- sowie Bonitäts- und Scoring-Apps.

Auch die Rolle von Schnittstellenanbietern wird beleuchtet. Zudem versuchen die Gutachter jeweils herauszuarbeiten, welche Geschäftsmodelle hinter den unterschiedlichen Services und Anbietern stehen, denn diese bergen zum Teil die Ursache für mögliche Datenschutzverstöße.

Verlockende Daten

Die Finanzservices, die durch die zweite Zahlungsrichtlinie erst möglich gemacht wurden, erfahren inzwischen regen Zuspruch. Höhere Benutzerfreundlichkeit beim Online-Banking, eine größere Auswahl an Banking-Apps, vereinfachte und beschleunigte digitale Prozesse sind nur einige der sichtbaren Vorteile, die den Einsatz attraktiv machen.

Dem stehen allerdings auch Risiken und Gefahren gegenüber. Das Gutachten stellt hier insbesondere auf zwei Punkte ab: Den unzureichenden Schutz der Privatsphäre generell, zum anderen aber auch Geschäftsmodelle, bei denen die Interessen der Anbieter im Widerspruch zu denen der Verbraucher stehen. Hier sind beispielsweise Fälle zu nennen, in denen eine Provisionsvermittlung die Auswahl der Empfehlungen einschränkt oder beeinflusst, sprich: das Ergebnis nicht neutral ermittelt wird.

Vor allem aber kritisiert das Gutachten solche Dienste, die auf wesentlich mehr Daten zugreifen, als für die Erbringung des Services nötig wäre. Die Gutachter weisen darauf hin, dass nach wie vor nicht nur die PSD2-Regelungen zu beachten sind, sondern auch die Bestimmungen der Datenschutz-Grundverordnung (DSGVO), die beispielsweise zu Datensparsamkeit verpflichtet. In der Praxis würden jedoch, je nach Anbieter-Status, die kompletten Kontobewegungen der vergangenen 30 oder 90 Tage übermittelt. Dabei sei zu bezweifeln, ob die Zustimmung des Verbrauchers zum Konto-Zugriff eine so weitreichende Datensammlung abdecke.

„Die Zweite Zahlungsdienste-Richtlinie (PSD2) hat die Pipelines verlegt, durch die immer mehr sensible Daten von den Girokonten der Verbraucher zu den Kontoinformationsdiensten fließen sollen. Da eine effektive Kontrolle der Datenströme bislang aber nicht vorgesehen ist, besteht die Gefahr des vollkommen durchleuchteten Verbrauchers.“

Dorothea Mohn, Leiterin Team Finanzmarkt beim vzbv

Als herausragendes Beispiel nennt das Papier unter anderem das Online-Überweisungsverfahren „Sofort“, das inzwischen zur schwedischen Klarna-Bank gehört. Es gebe Nutzerberichte über unverhältnismäßig häufige Zugriffe auf das Konto. Nicht nur zur Zahlungsauslösung, auch später könnten Datenabfragen erfolgen. Die Gutachter verweisen darauf, dass sich aus solchen Daten Profile bilden lassen, deren Weitervermarktung sehr lukrativ ist.

Weitere Kritikpunkte

Die Verbraucherschützer haben jedoch noch weitere Schwächen im Datenschutz gefunden. Eine davon beruht auf der Weiternutzung von dedizierten APIs, die nicht den Reglements der PSD2 unterliegen und daher weniger Schutz der persönlichen Daten bieten. Zwischen Banken und Dienstleistern sollten solche Schnittstellen – beispielsweise HBCI/FinTS sowie das „Screen Scraping“ – künftig nicht mehr genutzt werden dürfen, so eine der Forderungen des vzbv. Im Interesse der Verbraucher sollten diese künftig lediglich den Kunden zur Verfügung stehen, um Brüche beim Online-Banking zu vermeiden.

Auch die mangelnde Kontrolle der Behörden prangern die Verbraucherschützer an. „Denn obwohl sowohl die BaFin als auch die Datenschutzbehörden für den datenschutzrechtlichen Vollzug zuständig sind, muss derzeit davon ausgegangen werden, dass die datenschutzrechtliche Marktaufsicht und der Vollzug in diesem Bereich noch nicht ausreichend ausgebaut sind“, kritisiert das Gutachten. Insbesondere müsse vermieden werden, dass mit Verweis auf die Lizenzierung durch die BaFin Datenzugriffe legitimiert würden, die im Widerspruch zur DSGVO stehen.

Was nun zu tun ist

Eine der Ursachen für die genannten Probleme liegt darin, dass die Definitionen der Dienstleistungen von Kontoinformations- und Zahlungsauslösediensten in der PSD2 sehr breit gefasst sind. Die Gutachter erkennen zwar an, dass dies aus der Perspektive der Finanzaufsicht sehr viel Sinn macht. Denn damit sei sichergestellt, dass möglichst viele dieser neuartigen Angebote unter das PSD2-Aufsichtsregime der Finanzaufsichtsbehörden fallen.

Zum einen fordert der vzbv, dass die Koordination zwischen den Finanzdienstleistungsaufsichten und den Datenschutzaufsichten über datenschutzrechtliche Fragen ausgeweitet werden müssten. Ebenso solle die Europäische Kommission die Evaluation der PSD2 im Sinne der Verbraucher nutzen und den Schutz der Privatsphäre sicherstellen.

Zumindest in der Theorie rennen die Verbraucherschützer hier offene Türen ein, denn in der Finanzstrategie der EU-Kommission vom vergangenen Oktober (PDF) wird nicht nur Ausweitung von Open Banking propagiert, sondern auch die Abstimmung zwischen PSD2 und DSGVO angekündigt. Der Rat der Europäischen Union unterstützt dies ausdrücklich und fordert im Punkt 25 seiner „Schlussfolgerungen“ zu der EU-Finanzstrategie (PDF) bei der Überprüfung der PSD2-Richtlinie unter anderem das Zusammenspiel mit anderen sektorspezifischen Rechtsvorschriften zu prüfen, wie etwa die DSGVO, ebenso den Umgang mit Risiken für die Privatsphäre und das diesbezügliche Zusammenspiel mit den Leitlinien des Europäischen Datenschutzausschusses und nicht zuletzt ihre Wirksamkeit mit Blick auf die Bekämpfung von Betrug und die Stärkung des Verbraucherschutzes.

Desweiteren verlangt der vzbv, dass über eine Ausweitung der Datenverarbeitung erst nachgedacht wird, wenn der Datenschutz gewährleistet ist, und dass dezidierte Schnittstellen so spezifiziert werden, dass sie den Prinzipien des Artikels 25 DSGVO gerecht werden. Kontoinformationsdienste dürften demnach nur Zugriff auf jene Daten erhalten, für deren Verarbeitung sie eine konkrete Berechtigung haben. hj