Zahlungsdienste Verbraucherschützer kritisieren mangelnden Datenschutz bei Kontodaten
Verbraucherschützer haben die Richtlinie auf Vor- und Nachteile für die Verbraucher untersucht.
Berlin Mehr als ein Jahr nach Einführung der letzten Regeln der Zweiten Zahlungsdiensterichtlinie (PSD2) haben Verbraucherschützer bei einer Untersuchung Probleme entdeckt. Das geht aus dem „Gutachten zur PSD2-Umsetzung in Deutschland“ hervor, das der Verbraucherzentrale Bundesverband (VZBV) beim Institut für Verbraucherpolitik, Conpolicy, in Auftrag gegeben hat. Es liegt dem Handelsblatt exklusiv vor.
„Das Gutachten bestärkt uns in der Einschätzung, dass die neuen Dienste Verbrauchern zwar einige Vorteile bringen können, sie dafür aber einen hohen Preis zu zahlen drohen“, urteilt Dorothea Mohn, Teamleiterin Finanzmarkt beim VZBV.
Die PSD2 bietet neue Freiheiten für Verbraucher, etwa durch weniger Bürokratie beim Kontowechsel. Gleichzeitig hebt sie aber auch das Bankenmonopol auf Kontodaten auf und verpflichtet die Kreditinstitute, speziellen Anbietern Zugang zu den Konten zu gewähren. Dabei handelt es sich meistens um Zahlungsauslöse- und Kontoinformationsdienste.
Diese Firmen bieten Verbrauchern und Händlern alternative Zahlungsarten zu Kreditkartenzahlungen oder Lastschriften an, müssen sich allerdings vorher bei der Finanzaufsicht Bafin registrieren. Werden ihre Dienste genutzt, greifen sie im Hintergrund auf das Konto des Verbrauchers zu. Sie konzentrieren sich vor allem auf die Aufschlüsselung und Aufbereitung von Konto- und Umsatzdaten. Die Auswertung kann dann beispielsweise zu Empfehlungen bei Energie-, Telekommunikations- oder Versicherungsanbietern führen.
Mit der PSD2-Richtlinie wollte die EU neben Innovationen vor allem den Verbraucherschutz stärken. Dieses Ziel wurde aus Sicht der Gutachter allerdings nur bedingt erreicht. „Eine effektive Kontrolle der Datenströme ist bislang nicht vorgesehen. Die Gefahr des durchleuchteten Verbrauchers ist real“, kritisiert Mohn.
Widersprüchliche Geschäftsmodelle
Nach Ansicht der Gutachter kann es zu Widersprüchen zwischen den Geschäftsmodellen der Anbieter und den Verbraucherinteressen kommen. Einige PSD2-Anbieter würden für die Vermittlung von Angeboten Provisionen erhalten. „Wenn die Provisionen jedoch beeinflussen, welche Empfehlungen etwa ein Kontoinformationsdienst einem Verbraucher ausspricht, dann besteht ein erheblicher Interessenkonflikt zwischen Verbrauchern und den PSD2-Anbietern“, heißt es in dem Gutachten.
Verbraucherschützer kritisieren beispielsweise bei der neuen Bank des Vergleichsportals Check24, der C24 Bank, dass deren Geschäftsmodell auf einer weitgehenden Datenanalyse ihrer Kunden basiert. Das werde zwar von der C24 Bank kommuniziert, doch den Verbrauchern dürfte nicht immer klar sein, dass die an Check24 weitergereichten Transaktionsdaten zahlreiche Rückschlüsse auf ihr Leben und Verhalten zulassen.
„Während es Verbrauchern nutzen kann, gezielt ausgewählte Daten weiterzugeben, profitieren Unternehmen in der Tendenz davon, so viele Daten wie möglich zu erlangen und gewinnbringend zu verarbeiten“, bemerkt Verbraucherschützerin Mohn. Kunden würden dabei nicht ausreichend geschützt.
In der Vergangenheit hatten nur Banken Zugriff auf den ökonomischen Fußabdruck ihrer Kunden. Das Girokonto gibt etwa Auskunft über Beschäftigung, Einkommen, Versicherungen, Fahrzeuge, Grundbesitz, Urlaub, Kredite und Bausparen.
Haben Kontoinformationsdienste Zugriff auf diesen Datenschatz, besteht die Gefahr, dass sie bei den Datenanalysen über das Ziel hinausschießen – indem sie beispielsweise Daten verwenden, die weit über das hinausgehen, was für die eigentliche Erbringung der Dienste für die einzelnen Verbraucher nötig wäre.
In der Praxis gibt es Zweifel
Formal soll die PSD2 vorrangig den Kontozugriff und das Handling der Log-in-Daten regulieren. Außerhalb des Kontozugriffs fällt die Datennutzung unter die Datenschutz-Grundverordnung (DSGVO), die die Verarbeitung personenbezogener Daten regelt.
Unter die DSGVO fallen auch Unternehmen, die nicht unter der Aufsicht der Bafin stehen. Schnittstellenanbieter wie Kontoinformationsdienste sind deshalb dazu angehalten, vor der Weitergabe von Daten an Drittanbieter zu prüfen, welche Daten für die Serviceerbringung notwendig sind, und nur dementsprechende Daten weiterzuleiten.
In der Praxis gibt es aber immer wieder Zweifel, ob Anbieter die bestehenden Leitplanken beachten. So beschwerten sich viele Kunden über den Zahlungsauslösedienst der Sofort GmbH, die zu Klarna gehört. Das Unternehmen nimmt Einsicht in das Kundenkonto und prüft die Bonität. Nach erfolgreich ausgelöster Zahlung habe die Sofort GmbH allerdings weiterhin Zugriff auf das betreffende Konto, lautete die Kritik.
Da stelle sich die Frage, wie viel Datenzugriff für einen Zahlungsauslösedienst notwendig sei und wofür die erhaltenen Daten genutzt würden, so die Gutachter von Conpolicy. Verbraucher könnten einer Kontrollillusion erliegen, befürchten sie. Die Aufsicht über Ausgestaltung und die Einhaltung datenschutzrechtlicher Vorgaben halten die Forscher für „noch nicht ausreichend ausgebaut“, schreiben sie.
Verbraucherschützer fühlen sich bestätigt. Die Bundesregierung solle sich in der EU dafür einsetzen, dass Verbraucher von den Versprechen digitaler Finanzdienstleistungen profitieren können, ohne ihre Privatsphäre aufs Spiel zu setzen. Dafür seien strengere Regeln und „eine wirksame Aufsicht über Kontoinformationsdienste erforderlich“, glaubt Mohn.
Das Kommentieren dieses Artikels wurde deaktiviert.