Avaloq Vermögensmanagement
STRATEGIE11. Januar 2018

Der Konflikt zwischen PSD2 und DSGVO: Kontotransaktionsdaten – (k)eine Lösung in Sicht?

Michael Ochs, Geschäftsfeldmanager Digital Services, Fraunhofer IESE<q>Fraunhofer IESE</q>
Michael Ochs, Geschäftsfeldmanager Digital Services, Fraunhofer IESEFraunhofer IESE

Mit der neuen PSD2 (der Zah­lungs­diens­te­richt­li­nie II) wird Raum für neue, innovative Dienste ge­schaf­fen. Gleich­zei­tig gibt es an vie­len Stel­len er­heb­li­che Be­den­ken hin­sicht­lich des Kun­den­da­ten­schut­zes, wenn bei­spiels­wei­se Kon­to­in­for­ma­ti­ons­diens­te auf Kun­den­kon­ten zu­grei­fen. Mi­cha­el Ochs von Fraun­ho­fer IE­SE ver­sucht, Licht ins Halb­dun­kel der an die­ser Stel­le kon­kur­rie­ren­den Richt­li­ni­en PS­D2 und DSGVO im Zu­sam­men­hang mit Kon­to­in­for­ma­ti­ons­diens­ten (AIS) und Kon­to­in­for­ma­ti­ons­dienst­leis­tern (AISP) zu brin­gen.

von Michael Ochs, Geschäftsfeldmanager Digital Services, Fraunhofer IESE

Herr Schmidt und die zwei AISPs – ein Datenschutzkurzkrimi

Es ist Juni 2018. Herr Schmidt hat kürzlich einen AISP beauftragt, seine monatlichen Ausgaben im Bereich Telekommunikation zu analysieren und zu optimieren.

Einen weiteren AISP hat er zur Generierung von attraktiven Vorschlägen für Freizeitaktivitäten, wie z.B. Kurzurlaube, beauftragt. So konnte Herr Schmidt ca. 40% seiner monatlichen Telekommunikationskosten bei besserer Serviceleistung einsparen und ist zufrieden. Ebenso erhält er vom zweiten AISP Vorschläge für Freizeitgestaltung und Kurzurlaube. Für ihn ist das sehr praktisch, da er fast alles elektronisch bezahlt – vom günstigen Kaffee über Hotelrechnungen bis zum regelmäßig zu kaufenden Hochpreismedikament für seine chronische Hauterkrankung. Eines Tages wird Herrn Schmidt im Rahmen der Urlaubsvorschläge ein Hotel für einen Familienurlaub empfohlen – mit dem Hinweis, dass dort eine sehr gute Hautklinik in fußläufiger Entfernung ansässig sei – eine ideale Verbindung zwischen Urlaub und Behandlung. Herr Schmidt findet es selbstverständlich nicht gut, dass der AISP für Freizeitaktivitäten einen Teil seines Gesundheitszustandes kennt. Ist dies nur Zufall? Sicherlich nicht, wenn er an die regelmäßigen Käufe seines Medikaments, preislich im mittleren vierstelligen Bereich, in der Apotheke denkt, die er mit EC-Karte tätigt und die kurz danach erfolgende Rückerstattung seiner privaten Krankenversicherung.

Konfliktzone: Datenübertragung an den AISP (PSD2) und Zweckbezug (DSGVO)

Die Übertragung der Kontotransaktionsdaten an den AISP wird durch Artikel 67 (2) lit. f PSD2 auf Basis seiner ausdrücklichen Zustimmung (Art. 67 (2) lit. a) geregelt:

Der Kontoinformationsdienstleister darf im Einklang mit den Datenschutzvorschriften Daten nicht für andere Zwecke als für den vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern.“

Autor Michael Ochs
OchsMichael Ochs stu­dier­te Wirt­schafts­ma­the­ma­tik an der TU Kai­sers­lau­tern mit Schwer­punkt Soft­ware En­gi­nee­ring, Op­ti­mie­rung, Sta­tis­tik und Con­trol­ling. Seit 1998 ist er als wis­sen­schaft­li­cher Mit­ar­bei­ter, Pro­jekt­lei­ter (seit 2001) und Ge­schäfts­feld­lei­ter (seit 2002) am Fraun­ho­fer-In­sti­tut für Ex­pe­ri­men­tel­les Soft­ware En­gi­nee­ring IE­SE tä­tig. In zahl­rei­chen Pro­jek­ten hat er in den ver­gan­ge­nen Jah­ren im Be­reich Pro­zess­ver­bes­se­rung (auch auf Ba­sis von CMMI) ge­ar­bei­tet und in ei­ner Viel­zahl von Kun­den­pro­jek­ten und an­ge­wand­ten For­schungs­pro­jek­ten mit­ge­ar­bei­tet so­wie die­se ge­lei­tet.
Diese Regelung lässt je nach Perspektive sehr verschiedene Auslegungen zu. Diese werden im Folgenden kurz umrissen:
1. Per­spek­ti­ve des TPP/AISP: Der Kun­de hat aus­drück­lich der Ver­wen­dung der Kon­to­trans­ak­ti­ons­da­ten zu­ge­stimmt, da­her müs­sen al­le Da­ten über­tra­gen und dür­fen auch aus­ge­wer­tet wer­den. Die PS­D2 ist ei­ne lex spe­cia­lis zur Da­ten­schutz­grund­ver­ord­nung.
2. Per­spek­ti­ve des hin­sicht­lich Da­ten­schutz sen­si­blen Ver­brau­chers: Der AISP bie­tet ei­nen spe­zi­fi­schen Dienst mit ei­nem de­fi­nier­ten Zweck an, da­her darf er nur auf dem Zweck ent­spre­chen­de Kon­to­trans­ak­ti­ons­da­ten zu­grei­fen, spei­chern oder die­se ver­wen­den. Es ist frag­lich, ob bei ei­ner Zweck­be­schrän­kung der Da­ten die Ser­vice­qua­li­tät wirk­lich sinkt.
3.  Per­spek­ti­ve ei­ni­ger Ban­ken: Um sol­che Fäl­le wie den von Herrn Schmidt zu ver­mei­den, wird dem Kun­den die Mög­lich­keit ge­ge­ben, für be­stimm­te AISPs ei­ne Fil­te­rung oder An­ony­mi­sie­rung von Kon­to­trans­ak­tio­nen zu ver­an­las­sen. Dies stärkt die Da­ten­sou­ve­rä­ni­tät des Kun­den und er­mög­licht es ihm, sei­ne Pri­vat­sphä­re zu schüt­zen. Vor al­lem Ka­te­go­ri­en von Kon­to­trans­ak­tio­nen wie z.B. po­li­ti­sche Ge­sin­nung oder Ge­sund­heits­da­ten (wie im Fall von Herrn Schmidt) sind hier re­le­vant.
4. Per­spek­ti­ve an­de­rer Ban­ken: Die in der Bran­che ge­ra­de statt­fin­den­de Dis­kus­si­on wird für „eso­te­ri­sch“ ge­hal­ten. PS­D2 lex spe­cia­lis zur DS­GVO re­gelt klar die Über­tra­gung al­ler Da­ten in Ar­ti­kel 67.

Diese vier Perspektiven bestimmen derzeit wesentlich die Diskussionen im Verteilungskampf um die Kundendaten.

Lex specialis PSD2 vs. Zweckbindung und Datensparsamkeit: Eine Analyse

Wird PSD2 als lex specialis zur DSGVO deklariert, so dürfen dabei die gegenseitigen Bezüge – auch zeitlich – nicht außer Acht gelassen werden: PSD2 hat die EU-Rechtliniennummer 2015/2366/EU, wurde also in 2015 beschlossen. Die DSGVO, auf die sich PSD2 bezieht, z.B. in Artikel 94 PSD2 „Datenschutz“, ist die DSGVO 1995/46/EG. Die neue DSGVO (2016/679/EU) wurde erst nach PSD2 beschlossen. Ein Vergleich der Inhalte beider DSGVO-Versionen zeigt die Unterschiede unmittelbar. Zu Artikel 20 DSGVO’16 „Recht auf Datenübertragbarkeit“ existiert in der DSGVO’95 nichts Vergleichbares. Artikel 67 (2) f PSD2 hat also durchaus einen Aspekt lex specialis zur DSGVO’95. Damit setzt er jedoch nicht die Zweckbindung der Verarbeitung von personenbezogenen Daten außer Kraft. Im Licht der ab Mai 2018 alleinig gültigen DSGVO’16 erscheint Artikel 67 (2) f PSD2 sogar obsolet. Artikel 20 DSGVO regelt die Übertragung von Daten klar auf Basis der Zustimmung durch die betroffene Person nach Artikel 6 oder 9. Eine Übertragung aller Kontotransaktionen erscheint also bei spezialisierten Kontoinformationsdiensten nicht vereinbar mit den Prinzipien Zweckbindung, Datensparsamkeit und Datensouveränität.

Kontoinformationsdienst mit Privacy Cockpit für Datensouveränität an der PSD2-Schnittstelle
Kontoinformationsdienst mit Privacy Cockpit für Datensouveränität an der PSD2-SchnittstelleFraunhofer IESE

Privacy Cockpits – der Kunde bleibt der Souverän über die Daten

Entweder der AISP oder die Bank müssten Maßnahmen zur Umsetzung von Datensparsamkeit und Datensouveränität auch zum Schutz der Privatsphäre des Kunden ergreifen. Im Idealfall wäre dies die Bank, da somit nur zweckbezogene Daten des Kunden den Perimeter der Bank verlassen würden.

IND²UCE-Technologie des
Fraunhofer IESE
IND2UCE (Integrated Distributed Data Usage Control Enforcement) ist eine Technologie zur Datennutzungskontrolle. Kern der Technologie sind Überwachungs- und Steuerungsmechanismen für die Verarbeitung und Nutzung von Daten, nachdem ein berechtigter Zugriff stattgefunden hat. Die Nutzung der Daten lässt sich aktiv durch Richtlinien in Abhängigkeit von der jeweiligen Situation (z.B. Ort, Zeit oder Zweck der Verarbeitung) gestalten und durchsetzen. Dabei kann z.B. im Kontext PSD2 definiert werden, ob Daten bei einer Übertragung anonymisiert, ausgeschlossen oder anders zum Zweck des Datenschutzes verändert werden. IND2UCE ist für eine Integration in moderne Banking-APIs ideal geeignet. Privacy Cockpits für Kunden steuern dabei Ende-zu-Ende direkt in der Banking-API den Umgang mit den Kundendaten z.B. beim AISP-Zugriff. Nach einer Integration auf der API-Seite sind die Integrationspunkte im Code praktisch wartungsfrei. Bereits 2014 wurde die Technologie des Fraunhofer IESE mit dem EARTO Preis als „wegweisende neue Technologie“ in der Informationsgesellschaft ausgezeichnet. Weitere Informationen hier.

Pri­va­cy Cock­pits sind ei­ne Mög­lich­keit, den Kun­den in die La­ge zu ver­set­zen, sei­ne Da­ten­sou­ve­rä­ni­tät aus­zu­üben. Durch ein Pri­va­cy Cock­pit wür­de der Kun­de die Mög­lich­keit er­hal­ten, für ei­nen be­auf­trag­ten AISP fest­zu­le­gen, wel­che Ka­te­go­ri­en von Kon­to- und Kon­to­be­we­gungs­da­ten an den AISP über­mit­telt und wel­che nicht so­wie wel­che der Da­ten bei der Über­mitt­lung an­ony­mi­siert wer­den sol­len. So kann der Kun­de selbst über Nut­zung der Ka­te­go­ri­en sei­ner Kon­to­be­we­gun­gen (vor al­lem die re­gel­mä­ßi­gen) ent­schei­den.

Die­ses Sze­na­rio er­scheint un­ter meh­re­ren Ge­sichts­punk­ten sinn­voll: Zu­nächst wird das Ver­trau­en der Kun­den in die Bank ge­stärkt, da sie nun selbst­be­stimmt und mün­dig über ih­re Da­ten ver­fü­gen kön­nen. Ver­se­hen mit ei­ner gu­ten User Ex­pe­ri­ence wä­re das Pri­va­cy Cock­pit ein Ver­fah­ren, das von Da­ten­schutz-sen­si­blen Kun­den als fair und fort­schritt­lich emp­fun­den wird. Ver­bun­den mit der pas­sen­den Tech­no­lo­gie an der PS­D2-Schnitt­stel­le wirkt es in Echt­zeit auf den Da­ten­ver­kehr. Soll­te der Kun­de ein­mal mehr Ka­te­go­ri­en von Trans­ak­tio­nen ge­gen­über ei­nem AISP frei­ge­ben wol­len, als ver­trag­lich er­for­der­lich, so könn­te dies der Kun­de im Pri­va­cy Cock­pit eben­falls ver­fü­gen.

Fazit

Bei­de Richt­li­ni­en er­öff­nen gro­ßen In­no­va­ti­ons­raum. Den­noch soll­te der Da­ten­schutz da­bei nicht zu kurz kom­men – im Kon­to ste­cken sen­si­ble Da­ten ver­schie­dens­ter Ka­te­go­ri­en und die lau­fen­de Dis­kus­si­on kann si­cher nicht als „eso­te­ri­sch“ be­zeich­net wer­den. Dem The­ma „Da­ten­nut­zungs­kon­trol­le“ (Da­ta Usa­ge Con­trol) kommt im Zu­sam­men­spiel Bank und AISP wie auch in Ban­king Plat­for­men bzw. Öko­sys­te­men, wie sie an we­ni­gen Stel­len be­reits im Auf­bau sind, be­son­de­re Be­deu­tung zu: als Ba­sis­tech­no­lo­gie für Da­ten­sou­ve­rä­ni­tät er­mög­licht sie ei­ne in­di­vi­du­el­le Steue­rung der Ver­ar­bei­tung von Da­ten. Auf die­se Wei­se kön­nen Kun­den selbst ent­schei­den, wel­che Kon­to­trans­ak­tio­nen von Ban­ken in wel­cher Form an Drit­te wei­ter­ge­ge­ben wer­den. Die tech­ni­schen Vor­aus­set­zun­gen hier­für sind be­reits ge­schaf­fen – u.a. vom Fraun­ho­fer IE­SE.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/63790

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert