PSD2 und DSGVO: Datenschutz auf unterschiedlichem Niveau?

​Von Ralf Keuper, Bankstil und Michael Ochs, Fraunhofer IESE

Eine Ko-Veröffentlichung des Blogs Bankstil und des Blogs des Fraunhofer IESE . Lesezeit: 4:30 min (5:00 min)

In diesem Jahr werden die beiden genannten Richtlinien in Kraft treten. In beiden Richtlinien sind personenbezogene Daten ein Thema bzw. Kernthema. Der Umgang mit personenbezogenen Daten (Datenschutz) in den betroffenen Wirtschaftssegmenten wird nach aktueller Wahrnehmung einzelner Marktteilnehmer jedoch unterschiedlich gehandhabt. Wir bringen etwas Licht in den Dschungel der Verordnungen und zeigen Innovationspotenziale und Möglichkeiten für Datenschutz auf.

Zwei Richtlinien – ein Gedanke bei personenbezogenen Daten?

Mit der Umsetzung der PSD2 sind Banken unter anderem dazu verpflichtet, auch Dritten, sogenannten Third Party Providern, den Zugang zu den Kundenkonten zu gewähren, sofern die Kunden dem zuvor zugestimmt haben. Von besonderem Interesse sind dabei die Kontoinformationen, die zu verschiedenen Zwecken verwendet werden können. Da wäre zum einen die Möglichkeit, die Daten zu kategorisieren, z.B. nach Ausgaben, womit der Kunde eine bessere Übersicht seiner finanziellen Situation bekommt, und zum anderen die Variante, die Transaktionshistorie für die Bewertung der Kreditwürdigkeit heranzuziehen, so dass die Bearbeitung von Kreditanträgen in wenigen Minuten möglich ist. Aber auch viele andere neue und innovative Dienste auf Grund von PSD2 sind denkbar und machbar, von der Optimierung bestimmter Kostenkategorien wie z.B. Telekommunikationskosten über Abo-Alarme bis hin zur Führung von Haushaltsbüchern ist alles möglich. Als Profiteure von PSD2 betrachten sich die zahlreichen Fintech-Startups, die hier die Chance sehen, weitere Erlösquellen zu erschließen; entweder indem sie ihre Dienste, wie im Bereich Credit Scoring, den Banken anbieten, oder aber in Form zusätzlicher Services, wie die Einholung von Vergleichsangeboten bei Versicherungen. Die Banken reagieren unterschiedlich. Einige, wie die Deutsche Bank mit ihrer dAPI, wollen mit eigenen Services in einem digitalen Ökosystem zwischen Bank und Dienstanbietern (Platform Economy) zusätzliches Geschäft generieren, andere warten erst einmal die weitere Entwicklung ab.

Konfliktzone Datenschutz und Datensouveränität bei PSD2 

Bislang werden die Themen PSD2 und DSGVO überwiegend getrennt behandelt, obwohl in beiden Regelungen der Umgang mit den personenbezogenen Daten der Verbraucher eine große Rolle spielt. Es bestehen dennoch einige Unterschiede, die für Banken wie für Fintech-Startups, und natürlich auch für andere Third Party Provider, einige Herausforderungen mit sich bringen dürften. Und zwar sind die Anforderungen der DSGVO in einigen zentralen Punkten deutlich restriktiver als die der PSD2, was auch darauf zurückzuführen ist, dass die PSD2 noch an der aus dem Jahr 1995 stammenden Richtlinie 95/46/EG (Datenschutzrichtlinie) ausgerichtet ist. Exemplarisch für diesen Konflikt ist die Weitergabe der Kontobewegungen auf Basis von Artikel 67 (2) f PSD2. Demnach wäre es nach aktueller Lesart der Fintech-Startups ausreichend, wenn die Bank bei Anfrage eines TPP alle Kontobewegungen des Kundenkontos im relevanten Zeitraum komplett übergeben würde. Das könnte jedoch dazu führen, dass sensible Informationen , wie Parteizugehörigkeiten, Medikamentenrechnungen und damit Gesundheitsdaten und Vieles mehr in die Datenverarbeitung einfließen und einem Profiling zugeführt werden. Das könnte für die Verbraucher negative Konsequenzen haben, wenn diese Informationen bei einem TPP ohne tatsächlichen Zweckbezug und Zustimmung des Verbrauchers gespeichert, verarbeitet und möglicherweise sogar weitergegeben werden.

Um den beschriebenen Konflikt zu umgehen, bieten sich mehrere Verfahren an. So könnte die Bank z.B. Teile der Daten anonymisieren, d.h. es werden nur die Beträge oder nur Beträge und ggfs. grobe Kategorien mitgeteilt. Ein anderer Ansatz wäre, die internen Compliance-Daten, die den Datenschutzbestimmungen weitestgehend entsprechen, für die Weitergabe zur verwenden. Weiterhin kann die Bank, ähnlich wie bei YES, die Digitale Identität zum zentralen Element machen. Diese Digitale Identität (Identity API) unterliegt der Kontrolle des Verbrauchers, der selbst bestimmen kann, welche Daten Dritten zur Verfügung gestellt werden dürfen. Daneben kann die Bank die Daten so anonymisieren, dass nur die relevanten Daten bzw. Merkmale herausgegeben werden, die keinen Rückschluss auf die wahre Identität des Verbrauchers bzw. Kunden zulassen, wie bei Angaben zu Einkommen oder zum Alter. Die Bank würde damit zu einem Identity Service Provider.

Mit Blick auf die Kontotransaktionen, die auch sensible Informationen enthalten, wäre ein Ansatz, dass die Bank dem Kunden die Möglichkeit gibt mitzubestimmen, welche spezifischen Kategorien von Kontotransaktionen beim Zugriff welches TPP oder AISP vor eine Übermittlung beispielsweise teilanonymisiert, anonymisiert oder ganz aus den Daten entfernt werden. Zu diesem grundsätzlich auf Privatsphäre ausgerichteten Ansatz herrscht derzeit eine erhitzte Diskussion zwischen verschiedenen Fintechs und Banken. Dabei berufen sich Fintechs darauf, dass die PSD2 eine lex specialis zur DSGVO ist und somit ein von der Bank für den Kunden angebotene Lösung zum Schutz sensibler Kontodaten nicht zulässig, mindestens jedoch nicht erforderlich, sei. Doch ist diese Aussage so als korrekt zu bewerten? Immerhin würden durch solch eine lex specialis unterschiedliche Niveaus beim Datenschutz in beiden Richtlinien zementiert. Schauen wir einmal genauer auf Inhalte und Zeitlinie von DSGVO (1995/46/EC sowie 2016/679/EU) und PSD2 (2015/2366/EU). PSD2 wurde zu einem Zeitpunkt von EU Rat und Kommission beschlossen als die „neue“ DSGVO noch nicht beschlossen war. PSD2 referenziert aktiv die „alte“ DSGVO. Unter diesem Gesichtspunkt darf PSD2 als lex specialis zu „alten“ DSGVO gesehen werden, da diese keinen Artikel zum „Recht auf Datenübertragbarkeit“ enthielt, wie wir ihn mit Artikel 20 der „neuen“ DSGVO vorfinden. Somit wäre, auch mit Zustimmung des Verbrauchers, ohne die Regelungen in Artikel 67 PSD2, die Herausgabe der Daten von der Bank an den TPP rechtlich bedenklich. Ab Mai ändert sich die Situation: die „neue“ DSGVO ist dann voll in Kraft. Durch das dann in Artikel 20 verbriefte „Recht auf Datenübertragbarkeit“ würden Teile von Artikel 67 PSD2 gegebenenfalls obsolet werden. Auch die anderen Aspekte der DSGVO wie enge Zweckbindung der Verarbeitung, Datensparsamkeit und „Privacy by Design und by Default“ würden greifen. Eine selektive und vom Kunden mitbestimmte Übermittlung von Kategorien von Kontotransaktionen durch die Bank an einen AISP wäre zulässig. Es bedarf einer Möglichkeit, dass nur bezogen auf den Zweck des Kontoinformationsdienstes Daten von der Bank an einen AISP zur Verarbeitung weitergegeben werden.

Technische Konzepte zur Durchsetzung von Datensouveränität und Datenschutz

Dies kann mittels eines Privacy Cockpits seitens der Bank als technische Maßnahme im Bereich „Privacy by Design und by Default“ umgesetzt werden. Hier wird der Kunde in die Lage versetzt für seine von ihm beauftragten TPPs und AISPs festzulegen, wie mit den an den jeweiligen Dienstleister zu übermittelnden Daten hinsichtlich Schutz seiner Privatsphäre umzugehen ist – dabei kann dem Zweckbezug bei der Verarbeitung von personenbezogenen Daten voll Rechnung getragen werden.

Die Abbildung stellt konzeptionell die Wirkweise eines Privacy Cockpits für Kunden Ende-zu-Endezum Privacy Enforcement an der PSD2-Schnittstelle dar.

Daten als neue Währung – vom Open Banking zum Personal Data Banking

Wenn Daten, wie häufig zu lesen ist, tatsächlich neue Währung und Rohstoff sind, dann ist das Banking davon in besonderer Weise betroffen. Der Bedarf an Institutionen oder Lösungen, welche die personenbezogener Daten sowie die digitalen Identitäten der Verbraucher in sichere Verwahrung nehmen, wird steigen. Mit PSD2 und DSGVO werden hierfür einige wichtige rechtliche Voraussetzungen geschaffen. Bislang ist die Datenökonomie von einem großen Ungleichgewicht, einer Informationsasymmetrie geprägt, deren Profiteure Internetkonzerne wie Google und facebook sind.

Das Geschäftsmodell beruht auf der Verwertung der Nutzerdaten. Bislang werden die Verbraucher an den Erträgen aus ihren Daten nicht beteiligt – die Rendite fällt anderen zu, die mit vermeintlich kostenlosen Angeboten werben. Die Kunden zahlen für die Nutzung kostenloser Services bereits – und zwar mit ihren Daten.

Es ist daher nur eine Frage der Zeit, bis die ersten Personal Data Banks, Banken für Digitale Identitäten oder Identity Banks erscheinen. Vorreiter auf diesem Gebiet ist Japan, wo derzeit die weltweit erste Personal Data Bank entsteht. In Deutschland und Europa sind wir davon derzeit noch weit entfernt. Gleichwohl fehlt es nicht an Initiativen, wie IND²UCE oder Idento.one

Die Abbildung stellt konzeptionell die Wirkweise des nutzerbasierten Einwilligungsmanagements von Idento.one dar.

Gemeinsames Merkmal der Initiativen, ist, dass sie Datenhoheit der Nutzer erhalten und zentrale Datenhaltung vermeiden. Dritte bekommen, wie von der DSGVO vorgesehen, nur nach expliziter Zustimmung

durch den Nutzer den Zugriff auf bzw. Nutzungsrechte für personenbezogene Daten. Der Nutzer bestimmt dabei die Regeln, nach denen der Zugriff erfolgt, wie Gültigkeitsdauer und Zweck. Ferner erhält die Nutzer die Möglichkeit, mit seinen Daten zu handeln. Open Banking wäre demnach nur eine Vorstufe zum Personal Data Banking.

Fazit: Dezentralisierung versus Plattformökonomie

Obwohl das Internet vom Prinzip her dezentral organisiert ist, haben Konzerne wie Google, Amazon, Facebook, Apple und Alibaba (GAFAA) in den letzten Jahren eine dominante Stellung erlangt. Diese neue Form von Machtkonzentration wird häufig als Plattformökonomie bezeichnet. Wer sich heute im Netz bewegt, kommt an diesen zentralen Instanzen und an deren digitalen Ökosystemen und sozialen Netzwerken, nicht vorbei. Bei jedem freiwilligen oder unfreiwilligen Besuch hinterlässt der Nutzer Datenspuren, die zu Profilen zusammengesetzt und verkauft werden.

Wenn, wie mit der DSGVO, die Nutzer einen großen Teil an Datensouveränität zurückgewinnen, wird die Macht der Internetkonzerne dadurch beschnitten. Technologien mit einem betont dezentralen Ansatz, wie die Blockchain-Technologie oder generell Distributed Ledger Technologies, bieten zum ersten Mal seit Entstehung des Internet die Möglichkeit, der Zentralisierung und Machtkonzentration entgegen zu wirken und die Frage der gerechten Verteilung der Erträge in der Datenökonomie auf die Tagesordnung zu setzen. Dezentrale Datenhaltung, intelligente Verträge (Smart Contracts) und

Verschlüsselung, kombiniert mit einem Höchstmaß an Datensouveränität können ein wirksames Gegenwicht zu den großen Internetkonzernen bilden. Das gilt nur nicht nur für den Endverbraucher, sondern auch für Unternehmen. Die neuen Richtlinien wirken weit über einen reinen Regulierungscharakter (nicht selten als Gängelung wahrgenommen) hinaus: Sie bieten Raum für Innovationen in Form von Produkten und Dienstleistungen auf Basis von personenbezogenen Daten, beispielsweise durch das „Recht auf Datenübertragbarkeit“, also die wunschgemäße Nutzung und Verwendung von Daten, die bei einem Dienstleister liegen, durch weitere Dienstleister. Dabei, und das ist die regulierende Seite, dürfen der Schutz und sorgsame Umgang mit personenbezogenen Daten jedoch nicht zu kurz kommen. Neben den Innovationen in den jeweiligen Marktsegmenten sind daher auch Innovationen beim technischen Datenschutz notwendig. Dienstleistungen werden zunehmend in Ökosystemen (Platform Economy und vernetzte Dienste) stattfindenden, so dass auch ein Austausch von Daten immer mehr im Vordergrund stehen wird. IND²UCE und Idento.one sind Technologien, die einen Austausch von personenbezogenen Daten sicher und gezielt ermöglichen und dabei die Datensouveränität der Konsumenten technisch umsetzbar machen. Im Ergebnis wäre ein New Deal on Data möglich.

Wie die Wirtschaftsgeschichte zeigt, ist der Erfolg Europas in besonderer Weise auf seine dezentrale Struktur in Wirtschaft und Gesellschaft zurückzuführen. Ständiger Wettbewerb sowie geringe Machtkonzentrationen schafften den nötigen Raum für Innovationen – sowohl technischer wie auch sozialer Art. Das gilt auch in der Datenökonomie. In der Datenökonomie ist Datenschutz ist ein Standort- bzw. Wettbewerbsvorteil für Europa.

Dieser Beitrag wurde unter Personal Data Bank abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu PSD2 und DSGVO: Datenschutz auf unterschiedlichem Niveau?

  1. Pingback: PSD2 und DSGVO: Datenschutz auf unterschiedlichem Niveau? | Identity Economy

  2. Pingback: Kundendaten als Asset – Welche Bankdaten darf man nutzen? | Bankstil

  3. Pingback: Der Facebook-Skandal und seine (möglichen) Auswirkungen auf das Banking | Bankstil

  4. You should take part in a contest for one of the most useful
    sites on the net. I’m going to highly recommend this
    site!

  5. Oh my goodness! Amazing article dude! Thank you, However I am having issues with your RSS.
    I don’t know why I cannot join it. Is there anyone else
    having identical RSS issues? Anyone who knows the solution can you kindly respond?

    Thanx!!

  6. I love it whenever people get together and share opinions.
    Great website, continue the good work! adreamoftrains web hosting company

  7. It’s very simple to find out any topic on web as compared
    to books, as I found this piece of writing at this web site.

  8. What’s up to every body, it’s my first visit of this webpage; this blog carries awesome and
    truly excellent stuff in favor of visitors. cheap flights yynxznuh

  9. Fastidious answer back in return of this difficulty with genuine arguments
    and telling all regarding that. cheap flights 3aN8IMa

  10. Admiring the hard work you put into your site and detailed information you provide.
    It’s awesome to come across a blog every once in a while that isn’t the
    same outdated rehashed material. Excellent read!
    I’ve saved your site and I’m including your RSS feeds to my
    Google account.

  11. Excellent way of explaining, and pleasant
    piece of writing to get data concerning my presentation topic,
    which i am going to present in school.

  12. Very nice article, totally what I was looking for.

  13. The other day, while I was at work, my sister stole my
    iphone and tested to see if it can survive a thirty foot drop, just
    so she can be a youtube sensation. My apple ipad is now destroyed and she has
    83 views. I know this is entirely off topic but I had to share
    it with someone!

  14. If some one wants to be updated with most up-to-date technologies afterward he must be
    pay a quick visit this website and be up to date every day.

  15. Avatar black mass sagt:

    Just wish to say your article is as astounding. The clarity in your post is just spectacular
    and i can assume you’re an expert on this subject.
    Fine with your permission allow me to grab your feed
    to keep up to date with forthcoming post.
    Thanks a million and please keep up the rewarding
    work.

  16. Avatar black mass sagt:

    Hey there, I think your blog might be having browser compatibility issues.

    When I look at your blog in Safari, it looks fine but when opening in Internet Explorer, it has some
    overlapping. I just wanted to give you a quick heads up!
    Other then that, terrific blog!

  17. What’s up i am kavin, its my first time to commenting anyplace, when i read this paragraph i thought
    i could also create comment due to this good piece of writing.

  18. Right here is the right web site for anyone who really wants
    to understand this topic. You understand so much its almost tough to argue with
    you (not that I really would want to…HaHa). You definitely
    put a new spin on a subject that has been discussed for ages.
    Wonderful stuff, just excellent!

  19. Everyone loves it when individuals come together and share thoughts.
    Great blog, stick with it!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.