© 2020 Deutscher Bundestag WD 4 - 3000 - 140/20 Zur Zulässigkeit der Weitergabe kundenbezogener Kontoinformationen durch Drittanbieter im Sinne des ZAG Sachstand Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Sachstand WD 4 - 3000 - 140/20 Seite 2 Zur Zulässigkeit der Weitergabe kundenbezogener Kontoinformationen durch Drittanbieter im Sinne des ZAG Aktenzeichen: WD 4 - 3000 - 140/20 Abschluss der Arbeit: 15. Dezember 2020 Fachbereich: WD 4: Haushalt und Finanzen Wissenschaftliche Dienste Sachstand WD 4 - 3000 - 140/20 Seite 3 Inhaltsverzeichnis 1. Einleitung 4 2. Anwendungsbereich des ZAG 4 3. Zugriff auf Kontodaten durch Zahlungsauslöse- und Kontoinformationsdienste 4 4. Erweiterter Zugriff durch Erwerb lizenzierter ZAD und KID nach ZAG 5 Wissenschaftliche Dienste Sachstand WD 4 - 3000 - 140/20 Seite 4 1. Einleitung Mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie vom 13. Januar 2018 wurde das Zahlungsdiensteaufsichtsgesetz (ZAG) neu gefasst und den gemeinschaftsrechtlichen Vorgaben der Richtlinie1 angepasst. Unter § 10 Abs. 1 ZAG sieht das Gesetz vor, dass das Erbringen von Zahlungsdiensten, welche nicht unter die Definition des § 1 Abs. 1 Satz 1 Nr. 2-5 ZAG fallen, der vorherigen schriftlichen Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bedarf. Es handelt sich um ein Lizenzierungsmodell. Betroffen sind von der Regelung des § 10 ZAG vornehmlich sog. Zahlungsauslösedienste (ZAD) und Kontoinformationsdienste (KID). Solche Dienste haben zum Teil in erheblichem Maße Zugriff auf die Kontoinformationen von Zahlungsdienstenutzern, welche üblicherweise nur den Zahlungsdienstleistern und den Nutzern selbst zur Verfügung stehen. Dabei unterliegen sie den spezifischen Geheimhaltungspflichten der §§ 49 bzw. 51 ZAG. Ende November 2020 mehrten sich Berichte, nach denen sich eine große Wirtschaftsauskunftei im Wege einer Mehrheitsbeteiligung an solcherart lizenzierten Dienstleistern Zugriff auf sensible Kontodaten verschafft, um ihrerseits Dritten gegenüber eine Bonitätsbewertung anhand der so gewonnenen Informationen abgeben zu können.2 Der folgende Sachstand befasst sich mit der Frage, ob und inwieweit eine solche Praxis mit den geltenden Bestimmungen des ZAG vereinbar ist. 2. Anwendungsbereich des ZAG Hinsichtlich der Zahlungsauslösedienstleister enthält § 1 Abs. 33 ZAG eine Legaldefinition: „Zahlungsauslösungsdienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstnutzers ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird.“ Der Betrieb eines solchen Geschäfts bedarf nach § 10 Abs. 1 iVm. § 1 Abs. 1 Satz 2 Nr. 7 ZAG der Erlaubnis durch die BaFin. Gemäß § 1 Abs. 34 ZAG sind Kontoinformationsdienste Online-Dienste „zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten des Zahlungsdienstnutzers bei einem oder mehreren anderen Zahlungsdienstleistern.“ Auch sie unterliegen dem Erlaubnisvorbehalt der BaFin nach § 10 Abs. 1 IvM. § 1 Abs. 1 Satz 2 Nr. 8 ZAG. Nicht vom Anwendungsbereich des ZAG erfasst sind Wirtschaftsauskunfteien. 3. Zugriff auf Kontodaten durch Zahlungsauslöse- und Kontoinformationsdienste Der Schutz sensibler Daten wie etwa der Informationen über Kontostände und Zahlungsein- bzw. –ausgänge unterliegt den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) bzw. der Daten- 1 Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, sog. Payment Services Directive 2 (PSD2). 2 Siehe etwa „Massive Kritik an Schufa-Plänen“, Tagesschau, 27.11.2020, verfügbar: https://www.tagesschau .de/investigativ/ndr-wdr/schufa-115.html, abgerufen 09.12.2020. Wissenschaftliche Dienste Sachstand WD 4 - 3000 - 140/20 Seite 5 schutz-Grundverordnung (DSGVO). Daneben erlegt das ZAG den Zahlungsauslöse- und Kontoinformationsdiensten besondere Verpflichtungen auf, die die Sicherheit der behandelten Informationen erhöhen sollen. So ist der Zahlungsauslösedienst nach § 49 Abs. 3 ZAG verpflichtet, mit dem Zahlungsdienst des Nutzers auf sichere Weise zu kommunizieren, was entsprechend in § 51 Abs. 3 ZAG für Kontoinformationsdienste geregelt ist. Hinsichtlich der zur Zahlungsauslösung benötigten Sicherheitsmerkmale gilt dies in Verbindung mit der Delegierten Verordnung der Kommission RTS 2018/389 nach § 49 Abs. 3 und 6 ZAG bzw. nach § 51 Abs. 3 und 4 ZAG. Der Zugriff sowie die Speicherung der kontobezogenen Daten wird für Zahlungsauslösedienste in § 49 Abs. 4 ZAG auf ein Minimum begrenzt.3 Danach dürfen nur solche Informationen verarbeitet werden, die für die Auslösung der Zahlung notwendig sind. Eine entsprechende Regelung besteht für Kontoinformationsdienste nicht. § 51 ZAG sieht hier lediglich Sicherheitsvorkehrungen vor zum Schutz sensibler Daten vor. Die Norm, welche die Regelungen des Art. 67 Abs. 2 der Zahlungsdiensterichtlinie umsetzt, gewährt dem Kontoinformationsdienst im Rahmen der erforderlichen Zustimmung des Zahlungsdienstnutzers Zugriff auf die entsprechenden Kontoinformationen über das Online-Banking.4 Eine Einschränkung hinsichtlich Zweck und Verwendung der Informationen sieht das ZAG hier gerade nicht vor. Im Rahmen der ausdrücklich erforderlichen Zustimmung des Nutzers ist daher eine Verwendung der Daten etwa zur Ausstellung einer Bonitätsbescheinigung möglich. 4. Erweiterter Zugriff durch Erwerb lizenzierter ZAD und KID nach ZAG Die erheblichen Zugriffsrechte, die den Zahlungsauslösediensten und Kontoinformationsdiensten eingeräumt werden, sind an den Erlaubnisvorbehalt der BaFin gekoppelt. Strittig ist, ob und wie die Zugriffsrechte im Falle einer Mehrheitsübernahme auch für die übernehmende Partei nutzbar sind.5 Für die dahingehende Beurteilung ist das ZAG indes nicht das maßgebliche Gesetz . Das ZAG enthält im Hinblick auf qualifizierte Beteiligungen lediglich solche Regelungen, die sich auf Zahlungsinstitute und E-Geld-Institute beziehen.6 Die datenschutzrechtliche Behandlung der Übernahme von Zahlungsauslösediensten und Kontoinformationsdiensten ist im ZAG nicht geregelt. *** 3 Hoeren/Sieber/Holznagel, Multimediarecht-Handbuch, Teil 13.5 Rechtsfragen des elektronischen Zahlungsverkehrs , Rn. 94. 4 Siehe auch BT-Drs. 18/11495, 137. 5 Eine rechtliche Prüfung durch das BMJV ist derzeit im Gange, vgl. https://www.tagesschau.de/investigativ/ndrwdr /schufa-115.html, abgerufen 10.12.2020. 6 Vgl. § 1 Abs. 3 und § 14 ZAG.