Kontoinformationsdienste sind im Kommen. Wir sind es gewohnt, überall und jederzeit auf unsere Daten zugreifen zu können, und so wollen wir es auch mit unseren Finanzdaten halten. Wer unsere Finanzdaten hat, kann damit aber noch viel mehr, als sie uns allein in aggregierter Form und „aufgehübscht“ anzuzeigen. Aber darf er das auch?

PSD2 & ZAG

Nach § 50 Abs. 1 Nr. 2 des Zahlungsdienstaufsichtsgesetzes (ZAG) in seiner ab dem 13. Januar 2018 geltenden Fassung müssen kontoführende Institute den Kontoinformationsdiensten diskriminierungsfrei den Zugang zu den Informationen aus Zahlungskonten gewähren. Aber § 50 Abs. 1 S. 4 ZAG bestimmt auch, dass der Kontoinformationsdienstleister diese Daten nur für die Zwecke des konkreten Dienstes benutzen darf. Was ein Kontoinformationsdienst ist, ist gesetzlich definiert und damit eng beschränkt:

Ein Kontoinformationsdienst ist danach ein Online-Dienst zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten des Zahlungsdienstnutzers bei einem oder mehreren anderen Zahlungsdienstleistern.

Alle diese Regelungen gehen auf die Zweite Zahlungsdiensterichtlinie 2015/2366 (PSD2) zurück, die ebenfalls am 13. Januar 2018 in Kraft tritt. Im Ergebnis gilt: Ein Online-Dienst, der mir beispielsweise Vorschläge für eine günstigere Kfz-Versicherung, ein Geldanlageprodukt oder ein Hotel am Ziel des eben bezahlten Fluges macht, ist kein Kontoinformationsdienst. PSD2 und ZAG erlauben es also nicht, Kontodaten zu diesen Zwecken auszulesen. Sie erlauben es auch nicht, Kontodaten zu diesen Zwecken auszuwerten, nachdem sie bereits in erlaubter Weise ausgelesen worden sind, um den Kontoinformationsdienst anzubieten.

Datenschutz

Dienste, die über den reinen Kontoinformationsdienst hinausgehen, sind damit aber nicht grundsätzlich verboten. Hier kommt das Datenschutzrecht ins Spiel. Denn die benötigten Daten sind personenbezogene Daten. Unter welchen Voraussetzungen personenbezogene Daten benutzt werden dürfen, ist momentan noch im Bundesdatenschutzgesetz (BDSG) geregelt. Ab 25. Mai 2018 ist die Datenschutzgrundverordnung 2016/679 (DSGVO) maßgeblich. Die Grundlagen für die Nutzung personenbezogener Daten bleiben dabei gleich: Vor allem bei gesetzlicher Erlaubnis und bei Vorliegen einer Einwilligung dürfen personenbezogene Daten benutzt werden. Wie wir gesehen haben, gibt uns das ZAG keine gesetzliche Erlaubnis zur Nutzung der Daten über die Zwecke des Kontoinformationsdienstes hinaus. Wenn ein Kontoinformationsdiensteanbieter mehr Service bieten will als die „Mitteilung konsolidierter Informationen“, muss er dafür also eine wirksame Einwilligung seines Kunden einholen.

Fazit

Es ist mehr möglich, als das ZAG und die PSD2 erlauben. Voraussetzung ist aber eine Einwilligung des Kunden, und die ist (ab 25. Mai 2018) nur wirksam, wenn sie die Bedingungen des Art. 7 DSGVO einhält. Die Einwilligung setzt daher vor allem voraus, dass der Kunde in „verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ darüber informiert wird, welche seiner Daten durch wen zu welchen Zwecken verarbeitet werden sollen.