Die Richtlinie 2015/2366 vom 25. November 2015 über Zahlungsdienste im Binnenmarkt […] (Zweite Zahlungsdiensterichtlinie, Second Payment Services, PSD II bzw. PSD2; durch die Mitgliedstaaten bis am 13. Januar 2018 umzusetzen; in Deutschland durch das Zahlungsdiensteaufsichtsgesetz) soll u.a. das Angebot im EU-Massenzahlungsmarkt für Konsumenten verbessern und höhere Sicherheitsstandards für Online-Zahlungen verankern. Sie betrifft aber auch neue Anbieter (sog. dritte Zahlungsdienstleister, TPP), z.B. Zahlungsauslösedienstleister (“PISP”) und Kontoinformationsdienstleister (“AISP”). Banken werden verpflichtet, Schnittstellen einzurichten, über die Drittdienstleister auf die Zahlungskonten der Bankkunden zugreifen können (“Open Banking”).
In der Schweiz gilt die PSD II nicht (auch nicht für grenzüberschreitende Zahlungen vom EWR in die Schweiz und umgekehrt; anders aber wohl bei Konsumentenverträgen mit Kunden im EWR), und die Schweizerische Bankiervereinigung hat sich gegen die Einführung einer entsprechenden Regulierung ausgesprochen.
Die PSD II enthält mehrere Bestimmungen zur Datensicherheit und zum Datenschutz, die Fragen im Zusammenspiel mit der DSGVO aufwerfen, bspw. die Bestimmung, dass Zahlungsauslöse- und Kontoinformationsdienstleister Daten nicht zweckentfremden dürfen, oder die Vorgabe, dass Zahlungsdienstleister die für die Zahlungsdienste notwendigen Personendaten nur mit der “ausdrücklichen Zustimmung” des Zahlungsdienstnutzers abrufen, verarbeiten und speichern dürfen.
Zu diesen Fragen hat der Europäische Datenschutzausschuss (EDSA) nun die zweite Fassung der Leitlinien (Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR, Version 2.0, 15. Dezember 2020) veröffentlicht (nach der Entwurfsversion vom 22. Juli 2020).