EDSA: defi­ni­ti­ve Leit­li­ni­en zum Ver­hält­nis der PSD II und der DSGVO

Die Richt­li­nie 2015/2366 vom 25. Novem­ber 2015 über Zah­lungs­dien­ste im Bin­nen­markt […] (Zwei­te Zah­lungs­dienste­richt­li­nie, Second Pay­ment Ser­vices, PSD II bzw. PSD2; durch die Mit­glied­staa­ten bis am 13. Janu­ar 2018 umzu­set­zen; in Deutsch­land durch das Zah­lungs­dien­s­te­auf­sichts­ge­setz) soll u.a. das Ange­bot im EU-Mas­sen­zah­lungs­markt für Kon­su­men­ten ver­bes­sern und höhe­re Sicher­heits­stan­dards für Online-Zah­lun­gen ver­an­kern. Sie betrifft aber auch neue Anbie­ter (sog. drit­te Zah­lungs­dienst­lei­ster, TPP), z.B. Zah­lungs­aus­lö­se­dienst­lei­ster (“PISP”) und Kon­to­in­for­ma­ti­ons­dienst­lei­ster (“AISP”). Ban­ken wer­den ver­pflich­tet, Schnitt­stel­len ein­zu­rich­ten, über die Dritt­dienst­lei­ster auf die Zah­lungs­kon­ten der Bank­kun­den zugrei­fen kön­nen (“Open Banking”).

In der Schweiz gilt die PSD II nicht (auch nicht für grenz­über­schrei­ten­de Zah­lun­gen vom EWR in die Schweiz und umge­kehrt; anders aber wohl bei Kon­su­men­ten­ver­trä­gen mit Kun­den im EWR), und die Schwei­ze­ri­sche Ban­kier­ver­ei­ni­gung hat sich gegen die Ein­füh­rung einer ent­spre­chen­den Regu­lie­rung aus­ge­spro­chen.

Die PSD II ent­hält meh­re­re Bestim­mun­gen zur Daten­si­cher­heit und zum Daten­schutz, die Fra­gen im Zusam­men­spiel mit der DSGVO auf­wer­fen, bspw. die Bestim­mung, dass Zah­lungs­aus­lö­se- und Kon­to­in­for­ma­ti­ons­dienst­lei­ster Daten nicht zweck­ent­frem­den dür­fen, oder die Vor­ga­be, dass Zah­lungs­dienst­lei­ster die für die Zah­lungs­dien­ste not­wen­di­gen Per­so­nen­da­ten nur mit der “aus­drück­li­chen Zustim­mung” des Zah­lungs­dienst­nut­zers abru­fen, ver­ar­bei­ten und spei­chern dürfen.

Zu die­sen Fra­gen hat der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) nun die zwei­te Fas­sung der Leit­li­ni­en (Gui­de­li­nes 06/2020 on the inter­play of the Second Pay­ment Ser­vices Direc­ti­ve and the GDPR, Ver­si­on 2.0, 15. Dezem­ber 2020) ver­öf­fent­licht (nach der Ent­wurfs­ver­si­on vom 22. Juli 2020).