Greifen #Kontoinformationsdienste auf dein Konto zu? – #Datenschutz

Mit der
„RICHTLINIE (EU) 2015/2366 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2015“
wurden sogenannte Kontoinformationsdienste eingeführt. Zum Beispiel gibt es diese in Form von Apps, mit denen man angeblich einen Überblick über Konten behalten soll.

Für einige sicherlich eine nette Idee, aber nicht jeder möchte den Zugriff von Datenkraken auf das eigene Konto. In den letzten Wochen, seit ich von dieser Gesetzesänderung erfahren habe, war ich auf der Suche nach Abwehrmöglichkeiten gegen diese Dummheit in Gesetzesform. Nur leider hat die EU Kommission den Datenschutz für Konten quasi abgeschafft und keine brauchbaren Abwehrrechte geschaffen.

Insbesondere in Artikel 67 und 68 steht etwas zu den neuen Vorgaben. Diese sind unten als Anhang zu finden. Ein wenig beruhigend finde ich, dass ein Recht nur bei einem online zugänglichen Konto besteht. Ich vermute mal, dass man dann per Passwort dem „Kontoinformationsdienstleister“ zugriff gewährt. Aber wie ist dies in anderen Fällen? Die Artikel sind nicht so konkret, dass man abschätzen kann, dass nicht doch ein „Kontoinformationsdienstleister“ einfach auf die Kontodaten zugreift.

Da gibt es einerseits sicherlich findige Kriminelle, die Geschäftsbeziehungen ausspionieren wollen. Im Zusammenhang mit Phishing oder mit anderem Betrug. Da hilft es zu wissen, mit wen man Geschäfte macht. Oder halt die üblichen Datenzecken, der gerne mehr wüssten, um den potentiellen „Kunden“ irgendwelche Verträge andrehen zu können. Es ist sicher, dass diese über kurz oder lang auch versuchen werden an die Daten zu gelangen.

Es wäre also durchaus möglich einfach zu behaupten, dass jemand zugestimmt hat. Erkennbar ob und wie solche Fälle abgesichert sind bleibt unklar. Und auch bei größeren Internetversandhändlern könnte man befürchten, dass dann plötzlich auf das Konto zugegriffen wird.

Bisherigen Entwicklungen deuten jeweils darauf hin, dass unsere informationelle Selbstbestimmung in Gefahr ist, denn wie es scheint, kann man den Banken angeblich nicht mal untersagen, dass ein Zugriff von Kontoinformationsdienstleister nicht zulässig ist. Egal was diese auch behaupten. Und eine zweite Frage stellt sich hier. Wie bekommt man überhaupt mit, dass eine Datenzecke das Konto beobachtet. Gibt es hier ein Auskunftsrecht? Irgendwie habe ich den Eindruck, dass hier nichts geregelt wurde, was zu Gunsten des Datenschutzes und der informationellen Selbstbestimmung spricht.

Die Richtlinie sagt zwar, dass Zugriff nur mit Erlaubnis stattfinden darf, aber in Anbetracht von Abofallen und ähnlichen Geschäftsmodellen muss man daran denken, dass es durchaus Menschen gibt, die sich nicht ans Gesetz halten wollen.

Ich werde jedenfalls dran bleiben.

Anhang
==============================================

Artikel 67
Vorschriften für den Zugang zu Zahlungskontoinformationen und deren Nutzung im Fall von
Kontoinformationsdiensten
(1) Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstnutzer das Recht hat, Dienste, die den Zugang zu Zahlungskontoinformationen gemäß Anhang I Nummer 8 ermöglichen, zu nutzen. Dieses Recht besteht nicht, wenn das Zahlungskonto nicht online zugänglich ist.
(2) Der Kontoinformationsdienstleister:
a) darf die Dienstleistungen nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers erbringen;
b) muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und dem Emittenten der personalisierten Sicherheitsmerkmale zugänglich sind und dass die Übermittlung durch den Kontoinformationsdienstleister über sichere und effiziente Kanäle erfolgt;
c) muss sich gemäß Artikel 98 Absatz 1 Buchstabe d gegenüber dem (den) kontoführenden Zahlungsdienstleister(n) des Zahlungsdienstnutzers bei jedem Kommunikationsvorgang identifizieren und mit dem (den) kontoführenden Zah­lungsdienstleister(n) und dem Zahlungsdienstnutzer auf sichere Weise kommunizieren;
d) darf nur auf Informationen von bezeichneten Zahlungskonten und damit in Zusammenhang stehenden Zahlungs­vorgängen zugreifen;
e) darf keine sensiblen Zahlungsdaten anfordern, die mit den Zahlungskonten in Zusammenhang stehen;
f) darf im Einklang mit den Datenschutzvorschriften Daten nicht für andere Zwecke als für den vom Zahlungsdienst­nutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern.
(3) Der kontoführende Zahlungsdienstleister muss in Bezug auf Zahlungskonten
a) gemäß Artikel 98 Absatz 1 Buchstabe d mit den Zahlungsauslösedienstleistern auf sichere Weise kommunizieren und
b) Datenanfragen, die über die Dienste eines Kontoinformationsdienstleisters übermittelt werden, ohne Diskriminierung behandeln, es sei denn, es liegen objektive Gründe für eine Andersbehandlung vor.
(4) Das Erbringen von Kontoinformationsdiensten ist nicht vom Bestehen einer vertraglichen Beziehung zu diesem Zweck zwischen den Kontoinformationsdienstleistern und den kontoführenden Zahlungsdienstleistern abhängig.

Artikel 68
Begrenzung der Nutzung des Zahlungsinstruments und des Zugangs von Zahlungsdienstleistern zu
Zahlungskonten
(1) Wenn eine Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt wird, können der Zahler und sein Zahlungsdienstleister Ausgabenobergrenzen für Zahlungsvorgänge, die durch dieses Zahlungsinstrument ausgeführt wer­den, vereinbaren.
(2) Bei einer entsprechenden Vereinbarung im Rahmenvertrag kann der Zahlungsdienstleister sich das Recht vorbehal­ten, ein Zahlungsinstrument zu sperren, wenn objektive Gründe im Zusammenhang mit der Sicherheit des Zahlungs­instruments es rechtfertigen, der Verdacht einer nicht autorisierten oder betrügerischen Nutzung des Zahlungsinstruments besteht oder im Fall eines Zahlungsinstruments mit einer Kreditlinie ein beträchtlich erhöhtes Risiko besteht, dass der Zahler seiner Zahlungspflicht nicht nachkommen kann.
(3) In diesen Fällen unterrichtet der Zahlungsdienstleister den Zahler möglichst vor, spätestens jedoch unverzüglich nach der Sperrung des Zahlungsinstruments in einer vereinbarten Form von der Sperrung und den Gründen hierfür, es sei denn, das würde objektiv gerechtfertigten Sicherheitserwägungen zuwiderlaufen oder gegen sonstiges einschlägiges Recht der Union oder der Mitgliedstaaten verstoßen.
(4) Der Zahlungsdienstleister hebt die Sperrung des Zahlungsinstruments auf oder ersetzt es durch ein neues Zahlungs­instrument, wenn die Gründe für die Sperrung nicht mehr gegeben sind.
(5) Ein kontoführender Zahlungsdienstleister kann einem Kontoinformationsdienstleister oder einem Zahlungsauslöse­dienstleister den Zugang zu einem Zahlungskonto verweigern, wenn objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang des Kontoinformationsdienstleisters oder des Zahlungsauslösedienstleisters zum Zahlungskonto, einschließlich der nicht autorisierten oder betrügerischen Auslösung eines Zahlungsvorgangs, es rechtfertigen. In diesen Fällen unterrichtet der kontoführende Zahlungsdienstleister den Zahler in einer vereinbarten Form über die Verweigerung des Zugangs und die Gründe hierfür. Diese Information wird dem Zahler möglichst vor, spätestens jedoch unverzüglich nach der Verweigerung des Zugangs zum Zahlungskonto gegeben, es sei denn, das würde objektiv begründeten Sicherheitserwägungen zuwiderlaufen oder gegen sonstiges einschlägiges
Recht der Union oder der Mitgliedstaaten verstoßen. Der kontoführende Zahlungsdienstleister gewährt Zugang zu dem Zahlungskonto, sobald die Gründe für die Verweige­rung des Zugangs nicht mehr bestehen.
(6) In den Fällen nach Absatz 5 meldet der kontoführende Zahlungsdienstleister der zuständigen Behörde unverzüglich
den Vorfall im Zusammenhang mit dem Kontoinformationsdienstleister oder dem Zahlungsauslösedienstleister. Die gemeldeten Informationen umfassen die einschlägigen Einzelheiten des Vorfalls und die Gründe für das Tätigwerden. Die zuständige Behörde bewertet den Fall und ergreift erforderlichenfalls geeignete Maßnahmen.

Artikel 94
Datenschutz
(1) Die Mitgliedstaaten gestatten die Verarbeitung personenbezogener Daten durch Zahlungssysteme und Zahlungs­dienstleister, sofern das zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist.
Die Unterrichtung natürlicher Personen über die Verarbeitung personenbezogener Daten sowie die Verarbeitung solcher personenbezogener Daten und jede andere Verarbeitung personenbezogener Daten für die Zwecke dieser Richtlinie erfolgt gemäß der Richtlinie 95/46/EG, den nationalen Vorschriften zur Umsetzung der Richtlinie 95/46/EG, und gemäß der Verordnung (EG) Nr. 45/2001.
(2) Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers abrufen, verarbeiten und speichern.

Dieser Beitrag wurde unter Grundrechte, Privatsphäre, Verbraucherschutz abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s