Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 3: Was der Schutz elektronischer Daten mit dem Finanzaufsichtsrecht zu tun hat

Diese Woche werfen wir noch einmal einen Blick auf die künftige ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dienen soll. Wir hatte bereits in Teil 1 dieser Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet und erklärt, was die ePrivacy-Verordnung ist. In Teil 2 ging es darum, welche Daten überhaupt geschützt sind und wen die neue Verordnung konkret betrifft.

Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus Übergangsvorschriften bis 2022. Dennoch lohnt es sich, sich frühzeitig mit den Auswirkungen der ePrivacy-Vorgaben auf den Finanzmarkt auseinanderzusetzen. Eine gute Vorbereitung kann am Ende viel Zeit und Geld sparen. Darum betrachtet dieser dritte Teil unserer Reihe zur ePrivacy-Verordnung die Frage, was das alles mit dem Finanzaufsichtsrecht zu tun hat.

ePrivacy und Finanzaufsichtsrecht

Was auf den ersten Blick nicht richtig zusammen passen mag, macht auf den zweiten Blick durchaus Sinn. Denn immer mehr Bank-, Finanz- und Zahlungsdienstleistungen verlagern sich in die digitale Welt. Das gilt für Bankdienstleistungen (z.B. das Online-Banking) und Finanzdienstleistungen (z.B. Robo Advice oder automatisierte Portfolioverwaltung), vor allem aber für die zahlreichen Bezahldienste wie z.B. SOFORT Überweisung, die als Zahlungsauslösedienste seit der zweiten Zahlungsdienstrichtlinie (PSD2) reguliert sind. Immer wenn ein solcher Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung in Zukunft geschützt werden.

Um es etwas anschaulicher zu machen, sollen im Folgenden am Beispiel der Zahlungsauslösedienste die Pflichten aus der ePrivacy-Verordnung exemplarisch dargestellt werden, die für das Finanzaufsichtsrecht relevant werden können.

Zahlungsauslösedienste als regulierte Zahlungsdienste

Seit der Umsetzung der PSD2 in das deutsche Zahlungsdiensteaufsichtsgesetz (ZAG) sind auch sog. Zahlungsauslösedienste reguliert. Ein Zahlungsauslösedienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstenutzers (also z.B. desjenigen, der eine Ware oder Dienstleistung im Internet kauft) ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird. Der Nutzer kann den Dienst in der Regel über eine Webseitenoberfläche oder über eine App nutzen. Der Zahlungsauslösedienst stößt den Zahlungsvorgang bei der Bank des Kunden an. Er steht insofern zwischen der Autorisierung des Zahlungsvorganges durch den Kunden und seiner Bank. Der Vorteil ist, dass damit dem Zahlungsempfänger (also z.B. dem Händler, der seine Ware im Internet anbietet) zeitnah die Gewissheit darüber gegeben wird, dass der Zahlungsauftrag von seinem Kunden an dessen Bank übermittelt wurde. Das kann den Zahlungsempfänger dazu veranlassen, die Ware oder die Dienstleistung unverzüglich freizugeben.

Wie in unserem letzten Beitrag erklärt, fallen elektronische Kommunikationsdienste, elektronische Kommunikationsdaten und –inhalte unter die ePrivacy-Verordnung.

Bezahldienste als elektronische Kommunikationsdienste

Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen. Unabhängig davon, ob der Nutzer seine Daten auf einer Webseitenoberfläche oder in einer App eingibt; sie werden in beiden Fällen an den entsprechenden Empfänger als Signale übertragen und stellen von der ePrivacy-Verordnung geschützte elektronische Daten dar.

Bezahldaten als elektronische Kommunikationsdaten und -inhalte

Elektronische Kommunikationsdaten sind Kommunikationsdaten, die mittels elektronischer Kommunikationsdienste übermittelt werden. Die Informationen, die der Nutzer in die Oberfläche eingibt, wie den Namen des Zahlungsempfängers oder den Zahlungsbetrag, liegen den Kommunikationsdaten zugrunde und stellen elektronische Kommunikationsinhalte dar.

Und damit sind Zahlungsdienstleister sehr schnell direkt von der ePrivacy-Verordnung betroffen.

Was bedeutet das? Welche Pflichten nach der ePrivacy-Verordnung kommen auf die Zahlungsdienstleister zu?

Für die Zahlungsauslösedienste als Adressaten der ePrivacy-Verordnung gelten dann vor allem zwei Dinge:

Elektronische Kommunikationsdaten dürfen sie nur dann verarbeiten, wenn das entweder zur Durchführung oder Übermittlung der Kommunikation oder zur Fehlererkennung o.ä. nötig ist. Die den elektronischen Kommunikationsdaten zugrunde liegenden elektronischen Kommunikationsinhalte, also die Informationen, die der Endnutzer über den anzustoßenden Bezahlvorgang offenlegt, dürfen im Wesentlichen nur dann verarbeitet werden, wenn die Verarbeitung dem alleinigen Zweck der Bereitstellung des Zahlungsauslösedienstes für den Endnutzer dient, er eingewilligt hat und der Zahlungsauslösedienst ohne die Verarbeitung dieser Inhalte nicht erbracht werden könnte.

Daneben werden die Zahlungsauslösedienste auch die Regelungen zu Cookies und Direktwerbung (zumindest indirekt) treffen. Nimmt der Endnutzer etwa entsprechende Einstellungen bei seinem Browser vor, wird ein Tracking des Surfverhaltens des Nutzers nicht mehr ohne Weiteres möglich sein. Gleiches gilt für Werbung via E-Mail oder Telefon: Auch diese steht unter der Grundvoraussetzung, dass der Endnutzer seine Einwilligung dazu erteilt hat.

Für die entsprechende Einwilligung des Endnutzers sind die bereits jetzt geltenden, in der DSGVO aufgestellten Grundsätze zu beachten. Die Einwilligung muss insbesondere freiwillig und unmissverständlich sein, sie muss für einen bestimmten Zweck abgegeben worden sein, dem Endnutzer muss ein Recht zum Widerruf eingeräumt werden und der Zahlungsauslösedienst muss nachweisen können, dass der Endnutzer eine Einwilligung erteilt hat.

Fazit

Durch die ePrivacy-Verordnung werden zusätzliche Anforderungen an den Schutz elektronischer Daten erhoben, die die Regelungen der DSGVO ergänzen. Soll die Verarbeitung elektronischer Daten zulässig sein, muss in den meisten Fällen daher vor allem die Einwilligung des Endnutzers eingeholt werden. Dafür sind die entsprechenden technischen und organisatorischen Anforderungen zu schaffen. Auch die Verwendung von Cookies und das Zusenden von Direktwerbung wird zukünftig wesentlich von der Einwilligung des Endnutzers abhängen. Das gilt nicht nur für die exemplarisch dargestellten Zahlungsauslösedienste, sondern auch für andere Zahlungsdienstleister, Finanzdienstleistungsinstitute und Banken, sobald sie elektronische Daten übertragen und verarbeiten wollen.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 2: Die wesentlichen Regelungen im Überblick

Diese Woche werfen wir einen genaueren Blick auf die ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dient. Wir hatten bereits in Teil 1 der Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet hat und erklärt, was die ePrivacy-Verordnung ist. Wofür aber brauchen wir die ePrivacy-Verordnung konkret und welche Daten werden geschützt, die jetzt noch nicht geschützt sind?

Was sind eigentlich elektronische Kommunikationsdaten?

Schutzgut der ePrivacy-Verordnung ist die Vertraulichkeit elektronischer Kommunikationsdaten.

Der Begriff elektronische Kommunikationsdaten umfasst elektronische Kommunikationsinhalte und Kommunikationsmetadaten. Kommunikationsinhalt ist das, was mittels elektronischer Kommunikationsdienste wie z.B. Textnachrichten, Sprache, Videos, Bilder und Ton übermittelt wird. Kommunikationsmetadaten sind etwa die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Uhrzeit, Datum, Dauer und Art der Kommunikation. Die elektronischen Kommunikationsdaten können personenbezogen sein, müssen es aber nicht. Geschützt sind daher z.B. auch elektronische Daten in Bezug auf juristische Personen.

Vertraulichkeit bedeutet, dass Eingriffe in die Übermittlung elektronischer Kommunikationsdaten, ob durch menschliches Zutun oder durch eine automatische Verarbeitung durch Maschinen oder KI, ohne Einwilligung aller an der Kommunikation Beteiligten, also auch dem Nutzer des Kommunikationsdienstes, untersagt sind. Auch das Abfangen, Mithören oder das Lesen, Scannen und Speichern der Kommunikationsinhalte und Kommunikationsmetadaten zu anderen Zwecken als dem Kommunikationsaustausch ist verboten. Das ist also ein sehr weiter Anwendungsbereich.

Wen betrifft die ePrivacy-Verordnung?

Adressaten der ePrivacy-Verordnung sind vor allem Betreiber elektronischer Kommunikationsnetze und Kommunikationsdienste. Ein elektronisches Kommunikationsnetz ist ein Übertragungssystem, das die Übertragung von Signalen über Kabel, Funk, optische und andere elektromagnetische Einrichtungen ermöglicht, z.B. das Internet. Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen.

Diese Definitionen sind in dem Vorschlag zur ePrivacy-Verordnung bewusst weit und technologieneutral gewählt. Erfasst sind daher nicht nur herkömmliche Kommunikationsdienste für Sprachtelefonie, SMS und E-Mail, sondern auch Internetzugangsdienste (Browser) und neuere Internetdienste wie z.B. VoIP-Telefonie, Instant-Messaging und webgestützte Dienste wie WhatsApp oder Skype (sog. Over-the-top-Kommunikationsdienste, OTT-Dienste).

Unter die Definition der elektronischen Kommunikationsdienste fallen daher z.B. auch Dienste wie SOFORT Überweisung oder PayPal. Erfasst werden zudem etwa auch öffentlich zugängliche Hotspots, die sich etwa in Kaufhäusern, Einkaufszentren und Krankenhäusern befinden.

Wie wird künftig die Vertraulichkeit der elektronischen Kommunikation sichergestellt?

Die wesentlichen Regelungen, die die Vertraulichkeit der elektronischen Kommunikation bei der Nutzung elektronischer Kommunikationsnetze oder -dienste sicherstellen sollen, befinden sich in Art. 6, Art. 8, Art. 10 und Art. 12 ff. des finalen Vorschlags zur ePrivacy-Verordnung.

(i) Durch Vorgaben zur Verarbeitung elektronischer Kommunikationsdaten

Art. 6 der ePrivacy-Verordnung regelt, wann die Verarbeitung elektronischer Kommunikationsdaten erlaubt ist; nämlich nur dann, wenn dies zur Übermittlung der Kommunikation nötig ist. Kommunikationsmetadaten dürfen nur verarbeitet werden, wenn dies zur Einhaltung verbindlicher Qualitätsanforderung erforderlich, zur Rechnungsstellung oder Erkennung betrügerischer Nutzung nötig ist oder wenn der Nutzer eingewilligt hat. Nur aus diesen Gründen dürfen daher bspw. der Standort des Nutzers und das Datum der Kommunikation verarbeitet werden. Elektronische Kommunikationsinhalte dürfen nur verarbeitet werden, wenn entweder der Dienst vom Nutzer angefordert wurde, dieser eingewilligt hat und die Dienstleistung ohne Verarbeitung vom Anbieter nicht erbracht werden kann.

Zahlungsinformationen, die ein Nutzer etwa über die Oberfläche eines digitalen Zahlungsdienstes wie SOFORT Überweisung eingibt, sind Kommunikationsinhalte und müssen vom Anbieter verarbeitet werden, um den Zahlungsauftrag für den Nutzer abwickeln zu können. 

(ii) Durch die Cookie-Regelung

Art. 8 der ePrivacy-Verordnung enthält die sog. Cookie-Regelung. Jede vom Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktion seiner Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen, auch über deren Software und Hardware, ist künftig untersagt. Ausgenommen sind u.a. die Fälle, in denen der Nutzer eingewilligt hat oder der Kommunikationsvorgang ohne Cookies nicht möglich ist. Das Tracking des Surfverhaltens der Nutzer wird durch diese Regelung deutlich erschwert werden.

(iii) Durch den Browser als Gate Keeper

Artikel 10 der ePrivacy-Verordnung regelt die bereitzustellenden Einstellungsmöglichkeiten zur Privatsphäre für in den Verkehr gebrachte Software, die eine elektronische Kommunikation erlaubt. Diese Software (der Browser) muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen aus der Endeinrichtung eines Endnutzers speichern oder bereits dort gespeicherte Informationen verarbeiten. Vorgesehen ist deshalb, dass der Nutzer seine Zustimmung zu Cookies durch allgemeine Voreinstellungen im Browser geben kann. Den Browsern kommt dann eine sog. Gatekeeper-Funktion zu, die das Tracking des Surfverhaltens des Nutzers ebenfalls erschweren wird.

(iv) Durch den Schutz vor unerbetener Kommunikation  

Art. 12 ff. der ePrivacy-Verordnung stellen schließlich Regelungen auf, die den Endnutzer vor unerbetener Kommunikation wie Werbeanrufen oder Werbe-E-Mails schützen. Direktwerbung über elektronische Kommunikationsdienste ist nur zulässig, wenn der Nutzer eingewilligt hat. Dabei muss der Endnutzer über Werbecharakter der Nachricht und Identität des Werbenden so informiert werden, dass er die Einwilligung jederzeit widerrufen kann. Direktwerbeanrufe dürfen nicht mit unterdrückter Nummer durchgeführt werden.

Der Endnutzer muss also in jede Datenverarbeitung und -nutzung freiwillig einwilligen

Soweit die Einwilligung des Endnutzers zur Datenverarbeitung erforderlich ist, verweist die ePrivacy-Verordnung auf die Regelungen der DSGVO. Die Einwilligung des Nutzers muss vor allem freiwillig sein. Bei der Beurteilung der Freiwilligkeit muss dem Umstand Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung von der Einwilligung zu einer Verarbeitung personenbezogener Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Zudem hat die betroffene Person das Recht, ihre Einwilligung jederzeit für die Zukunft zu widerrufen. Hier wird sich künftig zeigen, wieviel Schlagkraft die ePrivacy-Verordnung haben wird. Wenn – wie bisher – eine allumfassende Einwilligung erforderlich ist, um die jeweiligen Webdienste überhaupt nutzen zu können, wird die ePrivacy-Verordnung ihre Stärke verlieren.

Es kommt noch ein Teil 3!

Nachdem wir nun die Grundlagen erläutert haben, erfahren Sie im dritten Teil der Beitragsreihe, wo die Schnittstelle der Regelungen der ePrivacy-Verordnung und des Finanzaufsichtsrechts liegt.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 1: Nach der DSGVO ist vor ePrivacy!

Die Verordnung über Privatsphäre und elektronische Kommunikation (sog. ePrivacy-Verordnung)  sollte eigentlich zusammen mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft treten. Momentan befindet sie sich aber noch im europäischen Gesetzgebungsverfahren, die Zustimmung des EU-Parlaments steht noch aus. Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus voraussichtlich eine Übergangsfrist bis 2022.

Da die ePrivacy-Verordnung aber einen größeren Einschnitt im Datenschutz bringen wird als die DSGVO, die den Markt relativ überraschend traf, wollen wir schon mal einen Blick auf das werfen, was die ePrivacy-Verordnung bringen wird.

Die ePrivacy-Verordnung soll die bisherige e-Datenschutz-Richtlinie ersetzen, die in Deutschland vor allem im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt wurde. Als Verordnung ist die neue Datenschutzregelung unmittelbar geltendes Recht in allen EU-Mitgliedstaaten und gewährleistet dadurch einen einheitlichen Regelungsrahmen. Inhaltlich schützt die ePrivacy-Verordnung vor allem Daten, die bei der Nutzung neuerer Kommunikationsdienste wie z.B. Instant-Messaging-Dienste, webgestützte E-Mail Dienste, Internettelefonie und Personal-Messaging entstehen, während die bisherige e-Datenschutz-Richtlinie nur herkömmliche Telekommunikationsanbieter wie z.B. SMS erfasst. Da immer mehr Zahlungs-und Finanzdienstleistungen auf neuen, digitalen Wegen angeboten werden, wird sich auch die Finanzdienstleistungsbranche mit den Regelungen der ePrivacy-Verordnung auseinander setzen müssen. Da sich die EU-Mitgliedstaaten bis heute nicht auf eine gemeinsame Position hinsichtlich des finalen Vorschlags des Europäischen Parlaments und des Rates vom 10. Januar 2017 (abrufbar hier) geeinigt haben, können die Trilog-Verhandlungen zwischen der Europäischen Kommission, dem Rat und dem Parlament nicht beginnen und das Vorhaben verzögert sich weiter.

Diese Zeit wollen wir nutzen und in einer mehrteiligen Beitragsreihe die ePrivacy-Verordnung und ihre Auswirkungen im Finanzaufsichtsrecht vorstellen. Dieser Beitrag ist der Auftakt und beleuchtet die rechtlichen und gesellschaftlichen Hintergründe der ePrivacy-Verordnung sowie ihr Verhältnis zur DSGVO.

Rechtlicher Hintergrund der ePrivacy-Verordnung

Um den digitalen Binnenmarkt zu stärken, will die EU das Vertrauen von Bürgern und Unternehmen in digitale Dienste und deren Sicherheit erhöhen. Dafür sind umfassende Datenschutzregelungen – wie z.B. die ePrivacy-Verordnung – unerlässlich. Ihren rechtlichen Ursprung hat diese in Artikel 7 der Charta der Grundrechte der Europäischen Union, der das Grundrecht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation enthält. Die Achtung der Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt dieses Grundrechts. Denn vor allem die elektronische Kommunikation kann hochsensible Daten über die daran beteiligten Personen offenlegen, von persönlichen Erlebnissen, Gefühlen und Erkrankungen bis hin zu politischen Überzeugungen oder Zahlungsgewohnheiten.

Gleiches gilt auch für die Metadaten der elektronischen Kommunikation wie beispielsweise angerufene Nummern, besuchte Websites, geographischer Standort, Uhrzeit, Datum oder Dauer eines getätigten Anrufs. All diese Daten lassen präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen, z.B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten, ihren Lebensalltag, ihre Interessen und ihren Geschmack zu. Elektronische Kommunikation kann zudem auch Informationen über juristische Personen wie Geschäftsgeheimnisse oder andere sensible Informationen offenlegen, die einen wirtschaftlichen Wert haben.

Unterschiedliche Resonanz bei Verbrauchern und Unternehmen

Angesichts der Sensibilität persönlicher elektronischer Daten und jüngster Datenskandale wie dem Facebook-Cambridge Analytica Skandal, mit dem bekannt wurde, dass personenbezogene Daten von Millionen Facebook-Profilen ohne Zustimmung der betroffenen Personen gesammelt und für politische Zwecke verwendet wurden, ist es nicht verwunderlich, dass sich gerade Verbraucher einen stärkeren Schutz ihrer persönlichen elektronischen Daten wünschen.

In der Begründung des finalen Entwurfs der ePrivacy-Verordnung sind Ergebnisse einer öffentlichen Konsultationen der Europäischen Kommission vom 12. April bis 05. Juli 2016 veröffentlicht.1 Darin sehen 83,4% der teilnehmenden Bürger, Verbraucherschutzverbände und Organisationen der Zivilgesellschaft die Notwendigkeit besonderer Vorschriften für die Vertraulichkeit elektronischer Kommunikationsdaten, während 63,4% der teilnehmenden Unternehmen dem nicht zustimmten. Auch die Ausweitung des Datenschutzes auf neue Kommunikationsdienste wie Instant-Messaging oder VoIP-Telefonie stimmten 76% der Bürger zu, während nur 36,2% der Unternehmen eine solche Ausweitung befürworteten. 

Dass EU-Bürger ein erhöhtes Bedürfnis nach dem Schutz ihrer elektronischen Daten haben, ergibt sich auch aus einer EU-weiten Eurobarometer-Umfrage, die zum Thema Privatsphäre durchgeführt wurde.2 Darin erklärten 78% der Befragten, dass sie es für sehr wichtig halten, dass auf persönliche Daten auf ihrem Computer, Smartphone oder Tablet nur mit ihrer Einwilligung zugegriffen werden kann. 72% halten es für sehr wichtig, dass die Vertraulichkeit ihrer E-Mails und Online-Sofortnachrichten gewährleistet ist und 89% stimmten der Option zu, dass die Standardeinstellungen ihres Browsers eine Weitergabe ihrer Informationen verhindern sollte.

Verhältnis zur DSGVO

Um dem erhöhten Bedürfnis nach dem Schutz von Daten, die bei der Nutzung moderner Kommunikationsmittel und –dienste entstehen, zu entsprechen, ergänzt und präzisiert die ePrivacy-Verordnung  die Regelungen der DSGVO als lex specialis im Hinblick auf elektronische Kommunikationsdaten. Während die DSGVO sich auf den Schutz personenbezogener Daten beschränkt, schütz die ePrivacy-Verordnung umfassend elektronische Daten, unabhängig davon, ob sie personenbezogen sind oder nicht. Alle Fragen der Verarbeitung personenbezogener Daten, die in dem Vorschlag zur ePrivacy-Verordnung nicht spezifisch geregelt sind, werden weiterhin von der DSGVO erfasst. Anders formuliert bedeutet das, dass die DSGVO für Daten relevant ist, wenn sie als solche dem Daten-Endnutzer vorliegen, während sich die ePrivacy-Verordnung um den Weg der Daten zu dem Daten-Endnutzer kümmert.

Ausblick

Allein an dem Regelungsumfang der ePrivacy-Verordnung wird deutlich, dass diese große Auswirkungen auf das digitale Finanzdienstleistungsangebot haben wird. Mehr dazu gibt es demnächst hier auf dem Blog. 


1 Der vollständige Bericht ist abrufbar unter https://ec.europa.eu/digital-single-market/news-redirect/37204.

2 Eurobarometer-Umfrage 443 zum Thema „ePrivacy“ (SMART 2016/079), abrufbar unter https://ec.europa.eu/digital-single-market/en/news/eurobarometer-eprivacy.