PSD2: Ist der gläserne Bankkunde bald Realität?

Zahlungsverkehr PSD2: Ist der gläserne Bankkunde bald Realität?

von Björn König
27.03.2019
Auf einen Blick
  • Die zweite Payment Services Directive (PSD2) verpflichtet Kreditinstitute, ihre Datenschnittstellen (APIs) für externe Finanzdienstleister zu öffnen.

  • Von der Einführung verspricht sich die EU einen stärkeren Wettbewerb zwischen traditionellen Banken und jungen Finanztechnologie-Unternehmen (Fintechs).

  • Abstriche beim Datenschutz soll es für Bankkunden jedoch nicht geben. Alle Zugriffsmöglichkeiten von Drittunternehmen auf Girokonten unterliegen strengen Datenschutzkriterien.
Artikelbewertung
Teilen
Schrift

Im April 2018 erlebte Facebook-Mitbegründer Mark Zuckerberg den absoluten Tiefpunkt seiner bis dato ausgesprochen erfolgreichen Laufbahn als junger Internetunternehmer: Er musste öffentlich im Rahmen des Cambridge Analytica-Skandals vor dem US-Kongress aussagen.

Worum ging es? Donald Trumps Wahlkampfteam kam über eine App des Unternehmens Cambridge Analytica an Daten und Persönlichkeitsprofile von 87 Millionen Facebook-Nutzern. Ob er die Wahl letztendlich deswegen gewann, kann niemand abschließend sagen. Man muss jedoch definitiv festhalten, dass das Datenleck Facebook unwiederbringliches Vertrauen kostete und eine zentrale Frage aufwirft: Sollten fremde Unternehmen überhaupt Zugriff auf sensible Daten von Kunden bekommen?

Wenn Sie zu zum Thema Mobile-Banking, Zahlungsverkehr und private Finanzen auf dem Laufenden bleiben wollen, dann abonnieren Sie hier unseren kostenlosen Newsletter!

Bitte geben Sie eine korrekte E-Mail Adresse ein
Unsere Datenschutzerklärung finden Sie hier.

In Europa wird gerade genau diese Frage erneut diskutiert. Diesmal geht es jedoch nicht um Social-Media-Profile, sondern um Bankkonten. Im Rahmen der PSD2-Richtlinie müssen nämlich Kreditinstitute ihre Datenschnittstellen – die sogenannten APIs – für andere Finanzunternehmen öffnen. Einen Testlauf dazu gab es kürzlich bei den Banken. Doch was bedeutet dies konkret und bestehen dann für Verbraucher ähnliche Gefahren, wie im Falle Facebook und Cambridge Analytica?

Lesen Sie auch: "PSD2 verändert den Markt und macht das Spielfeld breiter"

Was bedeutet PSD2?

Zunächst einmal handelt es sich bei PSD2 um eine weiterführende EU-Richtlinie, die von allen Mitgliedsstaaten in nationales Recht umgesetzt werden muss. In Deutschland geschah dies bereits im Januar 2018. Das Ziel der EU-Kommission besteht darin, den europäischen Zahlungsverkehr sicherer, bequemer und billiger zu machen. Und das geht aus EU-Perspektive insbesondere durch einen verstärkten Wettbewerb zwischen Finanzunternehmen.

Das Monopol der Banken beim Zugriff auf die Kontodaten ihrer Kunden soll dabei aufgebrochen werden. Wenn ein Unternehmen weiß, wie viel Geld ein potenzieller Kunde verdient und wofür er dies ausgibt, hat es Zugriff auf einen gigantischen Datenschatz. Dann ist es möglich, eben diesen Kunden weitere Produkte, wie beispielsweise Kredite, Kapitalmarktanlagen, Versicherungen oder Baufinanzierungen anzubieten.

Lesen Sie auch: PSD2– Was bringt die Neuerung für Bankkunden?

Testlauf für APIs

Vom Gesetzgeber wurden genaue Zeitrahmen und Fristen vorgegeben, bis wann PSD2 inklusive aller Teilschritte implementiert werden muss. Der Test für die offenen Datenschnittstellen (APIs) begann am 14. März und dauert zunächst drei Monate. In dieser Zeit können interessierte Banken und Drittanbieter direkt auf die Datenschnittstellen zugreifen, zunächst allerdings nur in einem abgesicherten, sogenannten Sandbox-Modus und ohne reale Konten.

Ab dem 14. Juni beginnt dann die zweite Phase mit realen Konten, welche erneut drei Monate andauert. Zum 14. September müssen die Banken die APIs dann für den freien Markt verfügbar machen. Ab diesem Zeitpunkt können von der Finanzaufsicht zugelassene Zahlungsdienste auf reale Konten zugreifen. Von der gesamten Testphase werden Kunden zunächst nichts mitbekommen. Nach dem Inkrafttreten der PSD2 am 13. Januar vergangenen Jahres wurde mit der Öffnung von Datenschnittstellen nun ein wichtiger finaler Schritt praktisch umgesetzt.

Vermittler wittern Morgenluft

Ein praktisches Beispiel, wie so ein Geschäftsmodell aussehen kann, ist die App "Outbank" des Vergleichsportals Verivox. Auf den ersten Blick handelt es sich quasi um eine gewöhnliche Banking-App, in der Kunden ihre Umsätze einsehen oder Überweisungen ausführen können. Tatsächlich aber macht diese App noch weitaus mehr: Sie analysiert die Umsätze auf dem Konto – insbesondere Lastschriftabbuchungen – und empfiehlt dem Nutzer Alternativen zum Handy- oder DSL-Vertrag, zu denen dann direkt auch eine Wechselmöglichkeit angeboten wird.

Lesen Sie auch: Die besten Banking-Apps

Auch wenn die Idee vielleicht nicht unbedingt schlecht ist, bleibt mindestens ein fader Beigeschmack. Möchte ich wirklich, dass ein Unternehmen den totalen Überblick über meine Finanzen hat, nur weil ich deren App nutze? Früher stand das Bankgeheimnis über allem, schon die immer weiter zunehmenden Kontenabfragen von Behörden hinterlassen ein mehr als mulmiges Gefühl. Will man nun auch noch freiwillig anderen Unternehmen aus der Privatwirtschaft diesen Einblick gestatten?

Sicherheit im Fokus

Gleichwohl muss man hier relativieren: Wer via PSD2 Zugriff auf ein Konto bekommt, liegt letztendlich in der Hand des Bankkunden. Personenbezogene Daten dürfen nur mit ausdrücklicher Zustimmung des Kunden durch Drittanbieter verarbeitet werden. Dies gilt insbesondere im Kontext der seit Mai 2018 in allen Mitgliedsstaaten der EU geltenden Datenschutz-Grundverordnung (DSGVO).

Lesen Sie auch: Wie Anleger von der DSGVO profitieren

Das Einverständnis muss ausdrücklich mündlich, schriftlich oder elektronisch erfolgen. Ein weiterer wichtiger Aspekt ist schließlich die Verwendung von gewonnen Daten aus einer Kontoverbindung. Diese dürften insbesondere nicht zu Zwecken von Werbung oder Scoring verwendet werden. Bankkunden können somit sicher sein, dass sie mit der Freigabe ihrer Daten anderen Finanzunternehmen keine inoffizielle Schufa-Abfrage gestatten oder aufgrund ihrer Umsätze regelmäßig auf sie zugeschnittene Werbebotschaften erhalten. Dennoch sollte man sich stets vor Augen führen, dass die gewonnen Daten eine enorme Geldquelle sein können. Das gilt nicht nur für das auf die Datenschnittstelle zugreifende Unternehmen.

Die Zustimmung zum Zugriff auf sensible Daten ist schnell erteilt. Oftmals reicht es schon, auf einer Internetseite beziehungsweise per App ein Häkchen zu setzen oder einen Bestätigungsknopf zu drücken. Umso genauer sollte man hinschauen, wem man seine Daten anvertraut und welches Geschäftsmodell hinter diesem Produkt steht. Wer beispielsweise nur eine Banking-App nutzen will, muss dem Anbieter deshalb noch lange nicht sein komplettes Finanzleben offenlegen. Das sollte man wirklich nur dann tun, wenn man die dahinter stehende entsprechende Dienstleistung auch wirklich nutzen will.

Lesen Sie auch: Bankenverband warnt vor gefälschten E-Mails

Biallo-Tipp

Mit der Datenschutz-Grundverordnung (DSGVO) haben insbesondere Verbraucher umfassende Auskunftsrechte erhalten. Machen Sie davon Gebrauch und informieren Sie sich bei Unternehmen über Ihre dort gespeicherten Daten. Die Firmen sind den betroffenen Verbrauchern gegenüber jederzeit zur Auskunft verpflichtet. Das gilt auch für Auskunfteien wie Schufa, CRIF Bürgel oder Creditreform.

Ihre Meinung ist uns wichtig
Björn König
Autor
Jetzt Artikel bewerten
E-Mail an den Autor
Artikel kommentieren
Björn König
E-Mail an den Autor
Artikelbewertung
Teilen
Drucken
Zur Startseite
Björn König
E-Mail an den Autor
Newsletter
Keine News mehr verpassen
Bitte geben Sie eine korrekte E-Mail Adresse ein:
Unsere Datenschutzerklärung finden Sie hier.

Regeln für das Schreiben von Kommentaren:

  1. Kommentieren Sie sachlich und ohne persönliche Angriffe.
  2. Verfassen Sie keine Beiträge mit strafbarem, diskriminierendem, rassistischem, anstößigem, beleidigendem oder kommerziellem Inhalt und verweisen Sie nicht auf Seiten mit solchem Inhalt.
  3. Stellen Sie weder zu lange Texte noch Bilder ein, außer, wenn es unbedingt nötig ist.
  4. Veröffentlichen Sie keine personenbezogenen Daten Dritter, wie Namen, Adressen, Telefonnummern oder E-Mail-Adressen.
  5. Wenn Sie persönliche Mitteilungen oder Texte anderer Verfasser einstellen oder Kommentare anderweitig veröffentlichen möchten, beachten Sie die Rechte Dritter. Bei einer Verletzung dieser Rechte (z.B. Persönlichkeitsrecht, Urheberrecht, Datenschutz) haften Sie.
  6. Sie haben die Möglichkeit, Ihren Benutzernamen frei zu wählen. Sie sollten aber im eigenen Interesse markenrechtlich geschützte Namen vermeiden.

Quelle: www.datenschutzbeauftragter-info.de