28.9.2011   

DE

Amtsblatt der Europäischen Union

C 284/1


Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung der technischen Vorschriften für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009

2011/C 284/01

DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16,

gestützt auf die Charta der Grundrechte der Europäischen Union, insbesondere auf Artikel 7 und 8,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1),

gestützt auf das Ersuchen um eine Stellungnahme gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (2)

HAT FOLGENDE STELLUNGNAHME ANGENOMMEN:

1.   EINLEITUNG

1.

Am 16. Dezember 2010 verabschiedete die Kommission einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung der technischen Vorschriften für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009 („Vorschlag“).

1.1   Konsultation des EDSB

2.

Der Vorschlag wurde dem EDSB von der Kommission am 3. Januar 2011 übermittelt. Der EDSB versteht diese Übermittlung als Ersuchen um Beratung von Organen und Einrichtungen der Gemeinschaft, wie sie in Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 vom 18. Dezember 2000 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr („Verordnung (EG) Nr. 45/2001“) geregelt ist. Zuvor (3), also noch vor Annahme des Vorschlags, erhielt der EDSB Gelegenheit zu informellen Kommentaren. Der EDSB begrüßt die Offenheit des Verfahrens, die dazu beigetragen hat, schon in einer frühen Phase den Text aus datenschutzrechtlicher Sicht zu verbessern. Einige dieser Kommentare wurden in dem Vorschlag berücksichtigt. Der EDSB würde einen ausdrücklichen Verweis auf diese Konsultation in der Präambel des Vorschlags begrüßen.

1.2   SEPA und der Rechtsrahmen

3.

Seit Gründung der Europäischen Wirtschaftsgemeinschaft hat es eine schrittweise Entwicklung in Richtung eines stärker integrierten europäischen Finanzmarktes gegeben. Im Zahlungsverkehr waren die herausragenden Schritte die Einführung des Euro als gemeinsame Währung im Jahr 1999 und die Ausgabe von Euro-Banknoten und -Münzen im Jahr 2002.

4.

Dessen ungeachtet werden bis heute bargeldlose Zahlungen von geringem Wert in Euro (bis zu 50 000 EUR) in der EU höchst unterschiedlich gehandhabt und verarbeitet. Dies hat zur Folge, dass die Gebühren für grenzüberschreitende Zahlungen innerhalb der EU im Durchschnitt höher sind als die im inländischen Zahlungsverkehr. In einer europäischen Verordnung über grenzüberschreitende Zahlungen in Euro (Verordnung (EG) Nr. 2560/2001) heißt es unter anderem, dass die Gebühren für grenzüberschreitende Zahlungen in Euro in der EU nicht länger höher sein dürfen als für entsprechende inländische Zahlungen in Euro. Als Reaktion auf diese Verordnung richtete die europäische Bankenindustrie 2002 den Europäischen Zahlungsverkehrsausschuss (EPC) ein, ein Koordinierungs- und Entscheidungsgremium für Fragen des Zahlungsverkehrs, und legte das Projekt „Europäischer Zahlungsverkehrsraum (SEPA)“ auf. 2009 trat die Verordnung (EG) Nr. 924/2009 an die Stelle der Verordnung (EG) Nr. 2560/2001 und dehnte den Grundsatz der Gebührengleichheit auf Lastschriften aus, der grenzüberschreitend ab November 2009 galt.

5.

Des Weiteren strebt die Richtlinie 2007/64/EG (Richtlinie über Zahlungsdienste) die Harmonisierung der einzelstaatlichen Rechtsvorschriften über den Zahlungsverkehr in der Europäischen Union an. Ziel ist es, standardisierte Bedingungen und Rechte für Zahlungsdienste einzuführen und grenzüberschreitende Zahlungen so einfach, effizient und sicher wie „innerstaatliche“ Zahlungen innerhalb eines Mitgliedstaats zu gestalten. Mit der Richtlinie über Zahlungsdienste soll ferner der Wettbewerb durch Öffnung der Zahlungsmärkte für neue Marktteilnehmer gestärkt werden.

6.

Ziel des SEPA ist die Schaffung eines Binnenmarkts für den Massenzahlungsverkehr in Euro durch Überwindung der technischen, rechtlichen und marktbedingten Hemmnisse, die aus der Zeit vor der Einführung der einheitlichen Währung stammen. Nach der Vollendung des SEPA wird es keinen Unterschied zwischen innerstaatlichen und grenzüberschreitenden Zahlungen in Euro mehr geben: Sie werden alle zum Inlandszahlungsverkehr gehören. Dem SEPA gehört nicht nur die Euro-Zone an, sondern die Europäische Union (EU) insgesamt sowie Island, Liechtenstein, Monaco, Norwegen und die Schweiz. Das bedeutet, dass auch Gemeinschaften außerhalb der Euro-Zone SEPA-Standards und -Methoden für ihren Euro-Zahlungsverkehr übernehmen können.

7.

Der Vorschlag befasst sich mit Überweisungen und Lastschriften. Eine Überweisung ist eine vom Zahler ausgehende Zahlung, der seiner Bank einen entsprechenden Auftrag erteilt. Gemäß diesem Auftrag transferiert die Bank einen Geldbetrag an die Bank des Zahlungsempfängers. In diesen Prozess können mehrere Zwischenstellen eingeschaltet sein. Bei einer Lastschrift erteilt der Zahler dem Zahlungsempfänger vorab die Genehmigung, einen Geldbetrag von seinem Bankkonto abzubuchen. Der Zahler „ermächtigt“ also seine Bank, einen Geldbetrag auf das Konto des Zahlungsempfängers zu transferieren. Lastschriften kommen häufig bei wiederkehrenden Zahlungen wie Strom- und Gasrechnungen zum Einsatz, können aber auch für einmalige Zahlungen verwendet werden. In diesem Fall gibt der Zahler seine Ermächtigung für eine einzige Zahlung.

1.3   SEPA und der EU-Datenschutz

8.

Einführung und Ausbau des SEPA beinhalten mehrere Verarbeitungen von Daten: Namen, Kontonummern und Inhalte von Verträgen müssen unmittelbar zwischen Zahlern und Zahlungsempfängern sowie mittelbar über ihre jeweiligen Zahlungsdienstleister ausgetauscht werden, damit die Transfers reibungslos ablaufen können. Zu diesem Zweck enthält der Vorschlag einen Artikel über „Interoperabilität“, der die Abfassung von Standardbestimmungen für nationale und grenzüberschreitende Transaktionen unterstützt und ausdrücklich besagt, dass die Verarbeitung von Überweisungen und Lastschriften nicht durch technische Hindernisse erschwert werden darf. Die an den im Vorschlag behandelten Tätigkeiten beteiligten Wirtschaftsteilnehmer unterliegen den verschiedenen innerstaatlichen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG.

9.

Der EDSB weist darauf hin, dass beim Austausch und bei der Verarbeitung personenbezogener Daten von Zahlern und Zahlungsempfängern und mit den verschiedenen Zahlungsdienstleistern die Grundsätze der Notwendigkeit, Verhältnismäßigkeit und Zweckbindung einzuhalten sind. Bei der Weitergabe der Daten an die verschiedenen Zwischenstellen sind ferner die Grundsätze der Vertraulichkeit und der Sicherheit der Verarbeitung gemäß Artikel 16 und 17 der Richtlinie 95/46/EG einzuhalten.

10.

Der Vorschlag sieht ferner eine neue Aufgabe für die nationalen Behörden vor, die für die Überwachung der Einhaltung der Verordnung zuständig sind und mit allen erforderlichen Maßnahmen dafür zu sorgen haben, dass die Verordnung eingehalten wird. Diese Aufgabe spielt zwar eine grundlegende Rolle bei der Gewährleistung einer wirksamen Umsetzung des SEPA, doch könnte sie auch umfangreichere Befugnisse zur Weiterverarbeitung personenbezogener Daten von natürlichen Personen durch die Behörden beinhalten. Auch in diesem Bereich gilt für den Zugriff zuständiger nationaler Behörden auf personenbezogene Daten, dass die Grundsätze der Notwendigkeit, Verhältnismäßigkeit und Zweckbindung zu wahren sind.

11.

Der Vorschlag sollte zwar keine allzu detaillierten Bestimmungen zur Wahrung der Datenschutzgrundsätze enthalten, da diese bereits durch die Anwendbarkeit der einzelstaatlichen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG gewährleistet ist, doch möchte der EDSB einige Verbesserungen am Wortlaut vorschlagen, die der Klarstellung dienen.

2.   SPEZIFISCHE KOMMENTARE

2.1   Erwägungsgrund 26

12.

Der EDSB begrüßt, dass die Richtlinie 95/46/EG im Erwägungsgrund 26 des Vorschlags erwähnt wird. Um jedoch deutlich zu machen, dass eigentlich auf die verschiedenen nationalen Gesetze zur Umsetzung dieser Richtlinie verwiesen werden müsste, und um zu unterstreichen, dass jedwede Verarbeitung von Daten im Einklang mit diesen Bestimmungen erfolgen muss, sollte der Wortlaut des Erwägungsgrunds folgendermaßen geändert werden: „Jedwede Verarbeitung personenbezogener Daten gemäß dieser Verordnung hat im Einklang mit den nationalen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG zu erfolgen“.

2.2   Artikel 6, 8, 9 und 10: Befugnisse der nationalen zuständigen Behörden

13.

Artikel 6 des Vorschlags sieht das Verbot der Einführung multilateraler Interbankenentgelte (4) pro Lastschrift oder einer anderen Vergütung mit vergleichbarem Ziel oder vergleichbarer Wirkung vor. Darüber hinaus darf bei Lastschriften, die von einem Zahlungsdienstanbieter nicht ordnungsgemäß ausgeführt werden können, weil der Zahlungsauftrag zurückgewiesen, verweigert, zurückgegeben oder rücküberwiesen wird („R-Transaktionen“), ein multilaterales Interbankenentgelt erhoben werden, wenn eine Reihe von Voraussetzungen erfüllt ist.

14.

Artikel 8 des Vorschlags sieht Pflichten für den Zahler, der Überweisungen verwendet, und den Zahlungsempfänger, der Lastschriften verwendet, vor. Ein Zahler darf es nicht ablehnen, über in einem anderen Mitgliedstaat ansässige und gemäß Artikel 3 erreichbare Zahlungsdienstleister (5) Überweisungen auf Zahlungskonten vorzunehmen. Ein Zahlungsempfänger, der Geldbeträge über einen im selben Mitgliedstaat ansässigen Zahlungsdienstleister von anderen Zahlungskonten auf sein Zahlungskonto transferieren lässt, darf es nicht ablehnen, über in einem anderen Mitgliedstaat ansässige Zahlungsdienstleister Lastschriften von Zahlungskonten entgegenzunehmen.

15.

Gemäß Artikel 9 des Vorschlags benennen die Mitgliedstaaten die zuständigen Behörden, die für die Gewährleistung der Einhaltung der Verordnung verantwortlich sind. Diese Behörden sind mit allen zur Erfüllung ihrer Aufgabe notwendigen Befugnissen ausgestattet, überwachen die Einhaltung der Verordnung und treffen alle erforderlichen Maßnahmen, um diese Einhaltung sicherzustellen. Artikel 9 Absatz 3 besagt ferner: „Gibt es im Hoheitsgebiet der Mitgliedstaaten für den unter diese Verordnung fallenden Regelungsbereich mehr als eine zuständige Behörde, so stellen die betreffenden Mitgliedstaaten sicher, dass diese Behörden eng zusammenarbeiten, damit sie ihre jeweiligen Aufgaben effizient erfüllen können“. Artikel 10 sieht die Verpflichtung für die Mitgliedstaaten vor, Regeln für die im Falle eines Verstoßes gegen die Verordnung geltenden Sanktionen festzulegen und deren Anwendung sicherzustellen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

16.

Gestützt auf diese Artikel haben die nationalen Behörden die Befugnis, mögliche Verstöße gegen alle im Vorschlag aufgeführten Verpflichtungen zu überwachen und Sanktionen zu verhängen, einschließlich der Sanktionen im Zusammenhang mit der Verpflichtung in den Artikeln 6 und 8. Diese Befugnis kann aus datenschutzrechtlicher Sicht potenziell erhebliche Auswirkungen auf die Privatsphäre natürlicher Personen haben. Die Behörden hätten Zugriff auf alle Transfers von Geldbeträgen (ob als Überweisung oder als Lastschrift) zwischen natürlichen Personen, um zu kontrollieren, ob unrechtmäßig multilaterale Interbankenentgelte erhoben wurden oder ob im Widerspruch zu den Verpflichtungen in Artikel 6 und 8 Einspruch gegen eine Verweigerung eingelegt wurde. Eine solche Befugnis beinhaltet die Verarbeitung personenbezogener Daten (Namen der beteiligten natürlichen Personen, ihre Kontonummern und die erhaltenen oder transferierten Geldbeträge).

17.

Obwohl eine solche Verarbeitung personenbezogener Daten den nationalen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG entsprechen sollte, unterstreicht der EDSB, dass die Überwachungsverpflichtung schon im Vorschlag im Lichte der in der Richtlinie 95/46/EG (Artikel 6 Absatz 1 Buchstabe c) verankerten Grundsätze der Verhältnismäßigkeit und der Notwendigkeit beurteilt werden sollte. Insbesondere mit Blick auf Artikel 6 und 8 wäre nach Auffassung des EDSB ein System verhältnismäßiger, in dem die Verarbeitung personenbezogener Daten durch die zuständigen Behörden nur fallweise ausgelöst wird. Das würde bedeuten, dass die Behörde im Wesentlichen nur dann tätig wird — und damit die personenbezogenen Daten eines bestimmten Zahlers und/oder Zahlungsempfängers verarbeitet werden —, wenn ein besonderer Grund vorliegt, wenn also beispielsweise ein Zahler oder Zahlungsempfänger Beschwerde wegen eines Verstoßes gegen Artikel 6 oder 8 einlegt hat, oder auch im Rahmen einer gezielten Initiativuntersuchung, die möglicherweise aufgrund von Informationen Dritter eingeleitet wird.

18.

Die Wirksamkeit der Kontrolle der Einhaltung ließe sich durch einen Mechanismus gewährleisten, mit dessen Hilfe ein Beschwerdeführer eine Beschwerde einreichen oder ein Dritter Informationen vorlegen und eine schnelle Reaktion der Behörde erhalten könnte, möglicherweise eine Anordnung an den anderen Beteiligten, seinen Verpflichtungen nach Artikel 6 und 8 nachzukommen. Artikel 11 des Vorschlags enthält bereits Bestimmungen über angemessene und wirksame außergerichtliche Beschwerde- und Rechtsbehelfsverfahren zur Beilegung von Streitigkeiten zwischen Zahlungsdienstnutzern und ihren Zahlungsdienstanbietern (damit ist der in Artikel 6 genannte Fall abgedeckt). Zur Förderung der Einhaltung der Verpflichtungen nach Artikel 8 ohne die Einführung eines umfassenden allgemeinen Zugriffs nationaler Behörden auf personenbezogene Daten schlägt der EDSB vor, dass die Bestimmung von Artikel 11 auch Streitigkeiten zwischen Zahlern und Zahlungsempfängern abdeckt.

19.

Der EDSB stellt ferner fest, dass die Überwachungstätigkeiten auch Übermittlungen personenbezogener Daten zwischen zuständigen nationalen Behörden verschiedener Mitgliedstaaten im Rahmen der in Artikel 9 Absatz 3 erwähnten „engen Zusammenarbeit“ beinhalten können. In Anbetracht der den nationalen Behörden für die Überwachung der Einhaltung der Verordnung übertragenen umfangreichen Befugnisse (und selbst wenn die vorstehend angeregten Einschränkungen im Zusammenhang mit Artikel 6 und 8 vorgenommen würden) schlägt der EDSB vor, im Wortlaut ausdrücklich zu erwähnen, dass bei allen Übermittlungen personenbezogener Daten zwischen ihnen die einschlägigen Datenschutzgrundsätze einzuhalten sind. Derartige Übermittlungen sollten insbesondere nicht in großen Mengen, sondern nur im Zusammenhang mit Einzelfällen stattfinden, bei denen schon auf den ersten Blick ein Verdacht auf einen möglichen Verstoß gegen die Verordnung besteht. Artikel 9 Absatz 3 könnte daher der folgende Satz hinzugefügt werden: „Übermittlungen personenbezogener Daten zwischen zuständigen Behörden im Rahmen einer solchen engen Zusammenarbeit sollten nur fallweise, wenn begründeter Verdacht auf einen Verstoß gegen die Verordnung besteht, und unter Wahrung der Grundsätze der Notwendigkeit, Verhältnismäßigkeit und Zweckbindung erfolgen“.

2.3   Anhang

20.

Der Anhang des Vorschlags enthält die nach Artikel 5 des Vorschlags sowohl für Überweisungen als auch für Lastschriften geltenden technischen Anforderungen. Ziel dieser Anforderungen sind harmonisierte Identifikations- und Kommunikationsformate, die die Interoperabilität von Überweisungen und Lastschriften zwischen Mitgliedstaaten gewährleisten.

21.

In diesem Zusammenhang werden mehrfach personenbezogene Daten von Zwischenstellen (den Zahlungsdienstleistern) verarbeitet (6):

a)

Artikel 2 Buchstabe b: bei Überweisungen werden folgende Daten vom Zahler an seinen Zahlungsdienstleister und weiter über die Zahlungskette an den Zahlungsempfänger übermittelt: Name des Zahlers und/oder IBAN des Kontos des Zahlers, zu überweisender Betrag, Name und IBAN des Zahlungsempfängers und möglicherweise Angaben zum Transfer;

b)

Artikel 3 Buchstabe b: bei Lastschriften handelt es sich bei den vom Zahlungsempfänger an seinen Zahlungsdienstleister und von diesem an den Zahlungsdienstleister des Zahlers für jede Transaktion übermittelten Daten um Angaben aus dem Mandat (7);

c)

Artikel 3 Buchstabe g: bei Lastschriften werden folgende Daten vom Zahlungsempfänger an seinen Zahlungsdienstleister und weiter über die Zahlungskette an den Zahler übermittelt: Name des Zahlungsempfängers und IBAN des Zahlungskontos des Zahlungsempfängers, Name des Zahlers und IBAN seines Zahlungskontos.

22.

Obwohl bei jedweder Verarbeitung personenbezogener Daten die einschlägigen nationalen Vorschriften zur Umsetzung der Richtlinie 95/46/EG eingehalten werden müssen, heißt es in dem Vorschlag lediglich mit Blick auf Transfers entsprechend der vorstehend unter a) geschilderten Situation, dass sie „in Übereinstimmung mit den in den nationalen Vorschriften zur Umsetzung der Richtlinie 95/46/EG festgelegten Verpflichtungen“ vorzunehmen sind. Um jedes Missverständnis zu vermeiden, schlägt der EDSB vor, einen solchen Verweis auf die Richtlinie auch im Zusammenhang mit Artikel 3 Buchstabe b und Artikel 3 Buchstabe g aufzunehmen. Sollte der Wortlaut von Erwägungsgrund 26 dem weiter oben gemachten Vorschlag entsprechend geändert werden, könnte im Wortlaut von Artikel 2 Buchstabe b auf den Verweis auf die Richtlinie 95/46/EG verzichtet werden.

3.   SCHLUSSFOLGERUNG

23.

Der EDSB begrüßt den ausdrücklichen Verweis im Vorschlag auf die Richtlinie 95/46/EG. Er schlägt jedoch einige kleinere Änderungen im Wortlaut vor, um die Anwendbarkeit der Datenschutzgrundsätze auf die unter den Vorschlag fallenden Verarbeitungen klarzustellen. Insbesondere gilt:

Erwägungsgrund 26 sollte verdeutlichen, dass auf die nationalen Vorschriften zur Umsetzung der Richtlinie 95/46/EG verwiesen werden soll und unterstreichen, dass jedwede Verarbeitung personenbezogener Daten im Einklang mit diesen Umsetzungsvorschriften erfolgen muss;

die Überwachungsbefugnis der nationalen zuständigen Behörden bezüglich der Verpflichtungen in Artikel 6 und 8 sollte auf Fälle beschränkt werden, in denen ein begründeter Verdacht auf einen Verstoß gegen die Verordnung besteht, und zur Förderung der Einhaltung der Verpflichtungen in Artikel 8 sollte der in Artikel 11 vorgesehene Rechtsbehelfsmechanismus bei Streitigkeiten auf Auseinandersetzungen zwischen Zahler und Zahlungsempfänger erweitert werden;

zur Vermeidung von falschen Auslegungen sollten die Verweise auf die Richtlinie 95/46/EG im Anhang harmonisiert werden.

Geschehen zu Brüssel am 23. Juni 2011.

Giovanni BUTTARELLI

Stellvertretender Europäischer Datenschutzbeauftragter


(1)  ABl. L 281 vom 23.11.1995, S. 31, („Richtlinie 95/46/EG“).

(2)  ABl. L 8 vom 12.1.2001, S. 1.

(3)  im September 2010.

(4)  Ein multilaterales Interbankenentgelt ist ein Betrag, den bei einer Lastschrift der Zahlungsdienstleister des Zahlers an den Zahlungsdienstleister des Zahlungsempfängers zu entrichten hat.

(5)  Mit dieser Anforderung soll gewährleistet werden, dass ein Zahlungsdienstleister, der für eine Euro-Inlandsüberweisung oder -lastschrift erreichbar ist, auch für Transaktionen erreichbar ist, die über einen in einem beliebigen Mitgliedstaat ansässigen Zahlungsdienstleister veranlasst werden (Artikel 3 des Vorschlags).

(6)  Name und IBAN werden bei einer Überweisung direkt vom Zahlungsempfänger an den Zahler und bei einer Lastschrift direkt vom Zahler an den Zahlungsempfänger übermittelt. In beiden Fällen ist die Verarbeitung schon allein deshalb rechtmäßig, weil die betreffende betroffene Person ihre eigenen Daten freiwillig übermittelt.

(7)  Dazu können der Name des Zahlers, seine Anschrift, seine Telefonnummer und andere Informationen im Zusammenhang mit dem Vertrag gehören, der der Anlass für den Geldtransfer ist.