Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52023XX01019

    Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Zahlungsdiensteverordnung im Binnenmarkt und dem Vorschlag für eine Richtlinie über Zahlungsdienste und E-Geld-Dienste im Binnenmarkt (Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter https://edps.europa.eu erhältlich.)

    ABl. C, C/2023/1019, 16.11.2023, ELI: http://data.europa.eu/eli/C/2023/1019/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    European flag

    Amtsblatt
    der Europäischen Union

    DE

    Serie C

    C/2023/1019

    16.11.2023

    Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Zahlungsdiensteverordnung im Binnenmarkt und dem Vorschlag für eine Richtlinie über Zahlungsdienste und E-Geld-Dienste im Binnenmarkt

    (C/2023/1019)

    (Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter https://edps.europa.eu erhältlich.)

    Am 28. Juni 2023 legte die Europäische Kommission zwei Vorschläge vor: einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt und zur Änderung der Verordnung (EU) Nr. 1093/21 (der „Vorschlag für eine Zahlungsdiensteverordnung“) und einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Zahlungsdienste und E-Geld-Dienste im Binnenmarkt und zur Änderung der Richtlinie 98/26/EG und zur Aufhebung der Richtlinien 2015/2366/EU und 2009/110/EG (der „Vorschlag für eine dritte Zahlungsdiensterichtlinie“) – zusammen „die Vorschläge“.

    Bei Zahlungsdiensten werden häufig personenbezogene Daten verarbeitet, die sensible Informationen über eine betroffene Person enthalten können. Der EDSB begrüßt daher die Bemühungen, die unternommen wurden, um die Vereinbarkeit mit der Datenschutz-Grundverordnung (1) („DSGVO“) zu gewährleisten. Er unterstreicht zudem die Notwendigkeit einer klaren Unterscheidung zwischen den „Erlaubnissen“ gemäß den Vorschlägen und der Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung.

    Eines der Ziele der Vorschläge besteht darin, den Anbietern von Zahlungssystemen und Zahlungsdiensten die Möglichkeit zu geben, besondere Kategorien personenbezogener Daten im öffentlichen Interesse des reibungslosen Funktionierens des Binnenmarktes für Zahlungsdienste zu verarbeiten. Da die Verarbeitung solcher Daten einen schwerwiegenden Eingriff in das Recht auf Achtung des Privatlebens und den Schutz personenbezogener Daten darstellen kann, ist es wichtig, dass die Rechtsvorschriften präzise genug sind, um den objektiven Zusammenhang zwischen jeder Datenkategorie in einem bestimmten Zahlungskontext und dem zu erreichenden Ziel des öffentlichen Interesses aufzuzeigen.

    Der EDSB begrüßt, dass die Vorschläge kontoführende Zahlungsdienstleister dazu verpflichten würden, dem Nutzer ein Dashboard zur Verfügung zu stellen, mit dem er die von ihm erteilten Erlaubnisse überwachen und verwalten kann. Um das Risiko einer unrechtmäßigen Weitergabe personenbezogener Daten durch kontoführende Zahlungsdienstleister weiter zu verringern, empfiehlt der EDSB,

    sicherzustellen, dass im Dashboard auf den/die speziell benannten Zahlungsdienst(e) verwiesen wird, für den/die der Nutzer seine Erlaubnis erteilt hat;

    zu gewährleisten, dass Zugangsverlangen auf das für die Erbringung der erbetenen Dienstleistung erforderliche Maß beschränkt bleiben;

    Klarheit in Bezug auf die Rechtsgrundlage von Zugangsverlangen zu gewährleisten,

    dem kontoführenden Zahlungsdienstleister zu gestatten, die vom Zahlungsdienstnutzer erteilte Erlaubnis zu überprüfen oder geeignete alternative Garantien in den Vorschlag für eine Zahlungsdiensteverordnung aufzunehmen.

    Schließlich empfiehlt der EDSB, eine enge Zusammenarbeit zwischen den gemäß dem Vorschlag zuständigen Behörden und den Datenschutzaufsichtsbehörden sicherzustellen, um eine einheitliche Anwendung und Durchsetzung der Vorschläge und des EU-Datenschutzrechts zu gewährleisten. Der EDSB empfiehlt daher, in Artikel 93 Absatz 3 des Vorschlags für eine Zahlungsdiensteverordnung ausdrücklich auf die für die Überwachung und Durchsetzung des Datenschutzrechts zuständigen Aufsichtsbehörden zu verweisen.

    1.   Einleitung

    1.

    Am 28. Juni 2023 legte die Europäische Kommission zwei Vorschläge vor: einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt und zur Änderung der Verordnung (EU) Nr. 1093/21 (der „Vorschlag für eine Zahlungsdiensteverordnung“) (2) und einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Zahlungsdienste und E-Geld-Dienste im Binnenmarkt und zur Änderung der Richtlinie 98/26/EG und zur Aufhebung der Richtlinien 2015/2366/EU und 2009/110/EG (der „Vorschlag für eine dritte Zahlungsdiensterichtlinie“) (3) – zusammen „die Vorschläge“.

    2.

    Dem Vorschlag für eine Zahlungsdiensteverordnung und dem Vorschlag für eine dritte Zahlungsdiensterichtlinie sind jeweils drei Anhänge beigefügt (insgesamt sechs Anhänge), in denen die Arten der Zahlungsdienste (Anhang I) sowie die Art der E-Geld-Dienste (Anhang II) beschrieben werden, die in den Anwendungsbereich der Vorschläge fallen. Schließlich enthält Anhang III eine Entsprechungstabelle, die zeigt, welche Bestimmungen der Richtlinien (EU) 2015/2366 und 2009/110/EG welchen Bestimmungen der Vorschläge entsprechen.

    3.

    Der EDSB stellt fest, dass die von den Vorschlägen abgedeckten Arten von Diensten im Wesentlichen die gleichen zu sein scheinen wie die Dienste, die von der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG („zweite Zahlungsdiensterichtlinie“ bzw. „PSD2“) (4) erfasst werden.

    4.

    Die spezifischen Zielsetzungen des Vorschlags für eine Zahlungsdiensteverordnung lauten (5):

    a.

    Stärkung des Nutzerschutzes und des Vertrauens in den Zahlungsverkehr, insbesondere durch die Verbesserung der Anwendung einer starken Kundenauthentifizierung, die Schaffung einer Rechtsgrundlage für den Austausch von Informationen über Betrug, die Ausweitung der Überprüfung der internationalen Kontonummer (IBAN) auf alle Überweisungen und die Verbesserung der Nutzerrechte und -informationen;

    b.

    Verbesserung der Wettbewerbsfähigkeit von Open-Banking-Diensten durch: i) die Verpflichtung der kontoführenden Zahlungsdienstleister, eine dedizierte Datenzugangsschnittstelle und „Erlaubnis-Dashboards“ einzurichten, um den Nutzern die Verwaltung ihrer gewährten Open-Banking-Zugangserlaubnisse zu ermöglichen, und ii) die Festlegung detaillierterer Spezifikationen für Mindestanforderungen an Open-Banking-Datenschnittstellen;

    c.

    Verbesserung der Durchsetzung und Umsetzung des Rechtsrahmens für Zahlungsdienste in den Mitgliedstaaten, insbesondere durch die Ersetzung der zweiten Zahlungsdiensterichtlinie durch eine unmittelbar geltende Verordnung („Vorschlag für eine Zahlungsdiensteverordnung“), mit der unklare Aspekte der zweiten Zahlungsdiensterichtlinie präzisiert werden, und durch die Verbesserung der Zusammenarbeit zwischen den zuständigen Behörden und anderen Behörden;

    d.

    Verbesserung des (direkten oder indirekten) Zugangs zu Zahlungssystemen und Bankkonten für Nicht-Banken-Zahlungsdienstleister, einschließlich Zahlungsauslösedienstleistern (PISP) und Kontoinformationsdienstleistern (AISP).

    5.

    Die Vorschläge werden in Verbindung mit dem Vorschlag für eine Verordnung über den Zugang zu Finanzdaten („FiDA-Vorschlag“) (6) vorgelegt, der u. a. den Zugang zu anderen Finanzdaten als Zahlungskontodaten betrifft, die in den Anwendungsbereich der Vorschläge fallen, die Gegenstand dieser Stellungnahme sind (7).

    6.

    Im Wesentlichen würde der Vorschlag für eine Zahlungsdiensteverordnung:

    a.

    Anforderungen an die Transparenz der Bedingungen und Informationsanforderungen für Zahlungsdienste festlegen (8);

    b.

    Rechte und Pflichten in Bezug auf die Erbringung und Nutzung von Zahlungsdiensten festlegen, einschließlich Vorschriften über Datenzugangsschnittstellen für Kontoinformationsdienste und Zahlungsauslösedienste (9) und über das Datenzugangsmanagement durch Zahlungsdienstnutzer (10); Vorschriften über den Datenschutz (11); Vorschriften über Mechanismen für die Meldung und Überwachung von Betrugsfällen und den Austausch von Betrugsdaten (12); Vorschriften über die starke Kundenauthentifizierung (13); Vorschriften über Durchsetzungsverfahren, zuständige Behörden und Sanktionen (14); Vorschriften über Interventionsbefugnisse der Europäischen Bankenaufsichtsbehörde (EBA) (15).

    7.

    Der Vorschlag für eine dritte Zahlungsdiensterichtlinie stützt sich weitgehend auf Titel II der derzeitigen zweiten Zahlungsdiensterichtlinie über „Zahlungsdienstleister“, der nur für Zahlungsinstitute gilt. Der Vorschlag aktualisiert und präzisiert die Bestimmungen über Zahlungsinstitute und führt E-Geld-Institute als eine Unterkategorie von Zahlungsinstituten ein. Er enthält zudem Bestimmungen über Bargeldabhebungsdienste, die von Einzelhändlern oder unabhängigen Geldautomatenbetreibern angeboten werden (16).

    8.

    Mit der vorliegenden Stellungnahme des EDSB wird das Konsultationsersuchen der Europäischen Kommission vom 29. Juni 2023 gemäß Artikel 42 Absatz 1 der EU-DSVO beantwortet. Der EDSB begrüßt den Verweis auf diese Konsultation in Erwägungsgrund 147 des Vorschlags für eine Zahlungsdiensteverordnung und Erwägungsgrund 77 des Vorschlags für eine dritte Zahlungsdiensteverordnung. In diesem Zusammenhang stellt der EDSB erfreut fest, dass er bereits informell gemäß Erwägungsgrund 60 der EU-DSVO zu den Vorschlägen konsultiert wurde.

    12.   Schlussfogerungen

    52.

    		 Vor diesem Hintergrund empfiehlt der EDSB:

    (1)

    eine klare Unterscheidung zwischen dem Begriff „Erlaubnis“ und der Rechtsgrundlage für die Verarbeitung im Rahmen der DSGVO vorzunehmen, indem in Erwägungsgrund 62 der Vorschlags für eine Zahlungsdiensteverordnung klargestellt wird, dass die „Erlaubnis“ nicht als „Zustimmung“ oder „ausdrückliche Zustimmung“ im Sinne der Verordnung (EU) 2016/679 ausgelegt werden sollte;

    (2)

    in einem Erwägungsgrund klarzustellen, dass die Erteilung einer Erlaubnis durch den Zahlungsdienstnutzer insbesondere die Pflichten von Zahlungsauslösedienstleistern und Kontoinformationsdienstleistern gemäß den Artikeln 6 und 9 der Verordnung (EU) 2016/679 unberührt lässt;

    (3)

    das für kontoführende Zahlungsdienstleister geltende Verbot der Überprüfung der Erlaubnis gemäß Artikel 49 Absatz 4 der Vorschlags für eine Zahlungsdiensteverordnung zu überdenken oder im verfügenden Teil der Vorschläge geeignete alternative Garantien einzuführen, um die Zahlungsdienstnutzer vor der Gefahr einer möglichen unrechtmäßigen Weitergabe personenbezogener Daten durch kontoführende Zahlungsdienstleister zu schützen, die dieses Verbot mit sich bringen könnte;

    (4)

    Artikel 46 Absatz 2 Buchstabe a und Artikel 47 Absatz 2 Buchstabe a der Vorschlags für eine Zahlungsdiensteverordnung dahingehend zu ändern, dass festgelegt wird, dass Zahlungsauslösedienstleister und Kontoinformationsdienstleister keinen Zugang zu personalisierten Sicherheitsmerkmalen haben;

    (5)

    den Begriff „sensible Zahlungsdaten“ in Artikel 3 Absatz 38 des Vorschlags für eine Zahlungsdiensteverordnung zu präzisieren, insbesondere durch die Festlegung der Arten personenbezogener Daten, die unter diese Definition fallen;

    (6)

    anzugeben, für welche(n) bestimmte(n) Art(en) benannter Zahlungsdienste die Zahlungssysteme und der Zahlungsdienstleister zur Verarbeitung (welcher Kategorien) besonderer Kategorien personenbezogener Daten in Artikel 80 der Vorschlags für eine Zahlungsdiensteverordnung berechtigt wären;

    (7)

    (in einem Erwägungsgrund) zu begründen, warum die Verarbeitung der besonderen Kategorien personenbezogener Daten für die benannten Zahlungsdienste in Artikel 80 des Vorschlags für eine Zahlungsdiensteverordnung notwendig und verhältnismäßig ist und nicht mit alternativen technischen Mitteln vermieden werden kann;

    (8)

    einen Verweis auf die Registrierung in Bezug auf die Protokollierung von Anmeldevorgängen (um zu überprüfen, ob ein unrechtmäßiger Zugang stattgefunden hat) in Artikel 80 des Vorschlags für eine Zahlungsdiensteverordnung aufzunehmen;

    (9)

    in Artikel 43 Absatz 2 Buchstabe a einen Verweis auf den/die bezeichneten Zahlungsdienst(e) aufzunehmen, für den/die der Zahlungsdienstnutzer die Erlaubnis erteilt hat;

    (10)

    in Artikel 47 Absatz 2 in Bezug auf die Pflichten von Kontoinformationsdienstleistern die Anforderung gemäß Artikel 46 Absatz 2 Buchstabe b aufzunehmen, wonach Zahlungsdienstleister vom Zahlungsdienstnutzer nur die Daten anfordern können, die für die Erbringung der angeforderten Dienstleistung erforderlich sind;

    (11)

    von Zahlungsdienstleistern und Kontoinformationsdienstleistern gemäß Artikel 43 Absatz 4 Buchstabe b zu verlangen, kontoführende Zahlungsdienstleister über das Kundenkonto, zu dem Zugang beantragt wird, und über die Rechtsgrundlage gemäß Artikel 6 Absatz 1 der DSGVO und (gegebenenfalls) über die Ausnahme gemäß Artikel 9 Absatz 2 der DSGVO, auf die sie sich für den Zugang zu den personenbezogenen Daten des Zahlungsdienstnutzers verlassen würden, zu informieren;

    (12)

    dass in Artikel 43 Buchstabe b, festgelegt wird, dass das Dashboard nicht in einer Weise konzipiert werden sollte, die die Zahlungsdienstnutzer ermutigen oder auf unangemessene Weise dazu beeinflussen würde, Erlaubnisse zu erteilen oder zu widerrufen;

    (13)

    eindeutig die Kategorien personenbezogener Daten festzulegen, die Zahlungsdienstleister im Rahmen von Transaktionsüberwachungsmechanismen verarbeiten dürfen (insbesondere durch die Festlegung einer Definition des Begriffs „Informationen über den Zahlungsdienstnutzer“ gemäß Artikel 83 Absatz 2 Buchstabe a);

    (14)

    angemessene Speicherfristen für die gemäß Artikel 83 erhobenen personenbezogenen Daten festzulegen;

    (15)

    eine Definition des Begriffs „Vereinbarung über den Informationsaustausch“ in Artikel 3 der Vorschläge über eine Zahlungsdiensteverordnung aufzunehmen;

    (16)

    in dem Vorschlag für eine Zahlungsdiensteverordnung ausdrücklich vorzusehen, dass jede Verarbeitung personenbezogener Daten zum Zwecke der Einhaltung der rechtlichen Verpflichtungen zur Betrugsbekämpfung gemäß Artikel 83 ausschließlich zu diesem spezifischen Zweck erfolgen darf und nicht zu einer Beendigung der Beziehung zwischen dem Kunden und dem Zahlungsdienstleister führen oder die Annahme des Zahlungsdienstnutzers bei einem anderen Zahlungsdienstleister beeinträchtigen darf;

    (17)

    in Artikel 93 Absatz 3 des Vorschlags für eine Zahlungsdiensteverordnung die für die Überwachung und Durchsetzung des Datenschutzrechts zuständigen Aufsichtsbehörden ausdrücklich zu benennen.

    Brüssel, 22. August 2023.

    Wojciech Rafał WIEWIÓROWSKI

    (1)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

    (2)  COM(2023) 367 final.

    (3)  COM(2023) 366 final.

    (4)  Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. L 337 vom 23.12.2015, S. 35).

    (5)  COM(2023) 367 final, S. 5-6.

    (6)  COM(2023) 360 final.

    (7)  COM(2023) 367 final, S. 4.

    (8)  Artikel 4 bis 26 des Vorschlags für eine Zahlungsdiensteverordnung.

    (9)  Artikel 35 bis 38 des Vorschlags für eine Zahlungsdiensteverordnung.

    (10)  Artikel 43 des Vorschlags für eine Zahlungsdiensteverordnung.

    (11)  Artikel 80 des Vorschlags für eine Zahlungsdiensteverordnung.

    (12)  Artikel 82 bis 84 des Vorschlags für eine Zahlungsdiensteverordnung.

    (13)  Artikel 85 bis 86 des Vorschlags für eine Zahlungsdiensteverordnung.

    (14)  Kapitel 8 des Vorschlags für eine Zahlungsdiensteverordnung.

    (15)  Kapitel 9 des Vorschlags für eine Zahlungsdiensteverordnung.

    (16)  COM(2023) 367 final, S. 7.

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    ISSN 1977-088X (electronic edition)

    Top