Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 3: Was der Schutz elektronischer Daten mit dem Finanzaufsichtsrecht zu tun hat

Diese Woche werfen wir noch einmal einen Blick auf die künftige ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dienen soll. Wir hatte bereits in Teil 1 dieser Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet und erklärt, was die ePrivacy-Verordnung ist. In Teil 2 ging es darum, welche Daten überhaupt geschützt sind und wen die neue Verordnung konkret betrifft.

Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus Übergangsvorschriften bis 2022. Dennoch lohnt es sich, sich frühzeitig mit den Auswirkungen der ePrivacy-Vorgaben auf den Finanzmarkt auseinanderzusetzen. Eine gute Vorbereitung kann am Ende viel Zeit und Geld sparen. Darum betrachtet dieser dritte Teil unserer Reihe zur ePrivacy-Verordnung die Frage, was das alles mit dem Finanzaufsichtsrecht zu tun hat.

ePrivacy und Finanzaufsichtsrecht

Was auf den ersten Blick nicht richtig zusammen passen mag, macht auf den zweiten Blick durchaus Sinn. Denn immer mehr Bank-, Finanz- und Zahlungsdienstleistungen verlagern sich in die digitale Welt. Das gilt für Bankdienstleistungen (z.B. das Online-Banking) und Finanzdienstleistungen (z.B. Robo Advice oder automatisierte Portfolioverwaltung), vor allem aber für die zahlreichen Bezahldienste wie z.B. SOFORT Überweisung, die als Zahlungsauslösedienste seit der zweiten Zahlungsdienstrichtlinie (PSD2) reguliert sind. Immer wenn ein solcher Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung in Zukunft geschützt werden.

Um es etwas anschaulicher zu machen, sollen im Folgenden am Beispiel der Zahlungsauslösedienste die Pflichten aus der ePrivacy-Verordnung exemplarisch dargestellt werden, die für das Finanzaufsichtsrecht relevant werden können.

Zahlungsauslösedienste als regulierte Zahlungsdienste

Seit der Umsetzung der PSD2 in das deutsche Zahlungsdiensteaufsichtsgesetz (ZAG) sind auch sog. Zahlungsauslösedienste reguliert. Ein Zahlungsauslösedienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstenutzers (also z.B. desjenigen, der eine Ware oder Dienstleistung im Internet kauft) ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird. Der Nutzer kann den Dienst in der Regel über eine Webseitenoberfläche oder über eine App nutzen. Der Zahlungsauslösedienst stößt den Zahlungsvorgang bei der Bank des Kunden an. Er steht insofern zwischen der Autorisierung des Zahlungsvorganges durch den Kunden und seiner Bank. Der Vorteil ist, dass damit dem Zahlungsempfänger (also z.B. dem Händler, der seine Ware im Internet anbietet) zeitnah die Gewissheit darüber gegeben wird, dass der Zahlungsauftrag von seinem Kunden an dessen Bank übermittelt wurde. Das kann den Zahlungsempfänger dazu veranlassen, die Ware oder die Dienstleistung unverzüglich freizugeben.

Wie in unserem letzten Beitrag erklärt, fallen elektronische Kommunikationsdienste, elektronische Kommunikationsdaten und –inhalte unter die ePrivacy-Verordnung.

Bezahldienste als elektronische Kommunikationsdienste

Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen. Unabhängig davon, ob der Nutzer seine Daten auf einer Webseitenoberfläche oder in einer App eingibt; sie werden in beiden Fällen an den entsprechenden Empfänger als Signale übertragen und stellen von der ePrivacy-Verordnung geschützte elektronische Daten dar.

Bezahldaten als elektronische Kommunikationsdaten und -inhalte

Elektronische Kommunikationsdaten sind Kommunikationsdaten, die mittels elektronischer Kommunikationsdienste übermittelt werden. Die Informationen, die der Nutzer in die Oberfläche eingibt, wie den Namen des Zahlungsempfängers oder den Zahlungsbetrag, liegen den Kommunikationsdaten zugrunde und stellen elektronische Kommunikationsinhalte dar.

Und damit sind Zahlungsdienstleister sehr schnell direkt von der ePrivacy-Verordnung betroffen.

Was bedeutet das? Welche Pflichten nach der ePrivacy-Verordnung kommen auf die Zahlungsdienstleister zu?

Für die Zahlungsauslösedienste als Adressaten der ePrivacy-Verordnung gelten dann vor allem zwei Dinge:

Elektronische Kommunikationsdaten dürfen sie nur dann verarbeiten, wenn das entweder zur Durchführung oder Übermittlung der Kommunikation oder zur Fehlererkennung o.ä. nötig ist. Die den elektronischen Kommunikationsdaten zugrunde liegenden elektronischen Kommunikationsinhalte, also die Informationen, die der Endnutzer über den anzustoßenden Bezahlvorgang offenlegt, dürfen im Wesentlichen nur dann verarbeitet werden, wenn die Verarbeitung dem alleinigen Zweck der Bereitstellung des Zahlungsauslösedienstes für den Endnutzer dient, er eingewilligt hat und der Zahlungsauslösedienst ohne die Verarbeitung dieser Inhalte nicht erbracht werden könnte.

Daneben werden die Zahlungsauslösedienste auch die Regelungen zu Cookies und Direktwerbung (zumindest indirekt) treffen. Nimmt der Endnutzer etwa entsprechende Einstellungen bei seinem Browser vor, wird ein Tracking des Surfverhaltens des Nutzers nicht mehr ohne Weiteres möglich sein. Gleiches gilt für Werbung via E-Mail oder Telefon: Auch diese steht unter der Grundvoraussetzung, dass der Endnutzer seine Einwilligung dazu erteilt hat.

Für die entsprechende Einwilligung des Endnutzers sind die bereits jetzt geltenden, in der DSGVO aufgestellten Grundsätze zu beachten. Die Einwilligung muss insbesondere freiwillig und unmissverständlich sein, sie muss für einen bestimmten Zweck abgegeben worden sein, dem Endnutzer muss ein Recht zum Widerruf eingeräumt werden und der Zahlungsauslösedienst muss nachweisen können, dass der Endnutzer eine Einwilligung erteilt hat.

Fazit

Durch die ePrivacy-Verordnung werden zusätzliche Anforderungen an den Schutz elektronischer Daten erhoben, die die Regelungen der DSGVO ergänzen. Soll die Verarbeitung elektronischer Daten zulässig sein, muss in den meisten Fällen daher vor allem die Einwilligung des Endnutzers eingeholt werden. Dafür sind die entsprechenden technischen und organisatorischen Anforderungen zu schaffen. Auch die Verwendung von Cookies und das Zusenden von Direktwerbung wird zukünftig wesentlich von der Einwilligung des Endnutzers abhängen. Das gilt nicht nur für die exemplarisch dargestellten Zahlungsauslösedienste, sondern auch für andere Zahlungsdienstleister, Finanzdienstleistungsinstitute und Banken, sobald sie elektronische Daten übertragen und verarbeiten wollen.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 2: Die wesentlichen Regelungen im Überblick

Diese Woche werfen wir einen genaueren Blick auf die ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dient. Wir hatten bereits in Teil 1 der Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet hat und erklärt, was die ePrivacy-Verordnung ist. Wofür aber brauchen wir die ePrivacy-Verordnung konkret und welche Daten werden geschützt, die jetzt noch nicht geschützt sind?

Was sind eigentlich elektronische Kommunikationsdaten?

Schutzgut der ePrivacy-Verordnung ist die Vertraulichkeit elektronischer Kommunikationsdaten.

Der Begriff elektronische Kommunikationsdaten umfasst elektronische Kommunikationsinhalte und Kommunikationsmetadaten. Kommunikationsinhalt ist das, was mittels elektronischer Kommunikationsdienste wie z.B. Textnachrichten, Sprache, Videos, Bilder und Ton übermittelt wird. Kommunikationsmetadaten sind etwa die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Uhrzeit, Datum, Dauer und Art der Kommunikation. Die elektronischen Kommunikationsdaten können personenbezogen sein, müssen es aber nicht. Geschützt sind daher z.B. auch elektronische Daten in Bezug auf juristische Personen.

Vertraulichkeit bedeutet, dass Eingriffe in die Übermittlung elektronischer Kommunikationsdaten, ob durch menschliches Zutun oder durch eine automatische Verarbeitung durch Maschinen oder KI, ohne Einwilligung aller an der Kommunikation Beteiligten, also auch dem Nutzer des Kommunikationsdienstes, untersagt sind. Auch das Abfangen, Mithören oder das Lesen, Scannen und Speichern der Kommunikationsinhalte und Kommunikationsmetadaten zu anderen Zwecken als dem Kommunikationsaustausch ist verboten. Das ist also ein sehr weiter Anwendungsbereich.

Wen betrifft die ePrivacy-Verordnung?

Adressaten der ePrivacy-Verordnung sind vor allem Betreiber elektronischer Kommunikationsnetze und Kommunikationsdienste. Ein elektronisches Kommunikationsnetz ist ein Übertragungssystem, das die Übertragung von Signalen über Kabel, Funk, optische und andere elektromagnetische Einrichtungen ermöglicht, z.B. das Internet. Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen.

Diese Definitionen sind in dem Vorschlag zur ePrivacy-Verordnung bewusst weit und technologieneutral gewählt. Erfasst sind daher nicht nur herkömmliche Kommunikationsdienste für Sprachtelefonie, SMS und E-Mail, sondern auch Internetzugangsdienste (Browser) und neuere Internetdienste wie z.B. VoIP-Telefonie, Instant-Messaging und webgestützte Dienste wie WhatsApp oder Skype (sog. Over-the-top-Kommunikationsdienste, OTT-Dienste).

Unter die Definition der elektronischen Kommunikationsdienste fallen daher z.B. auch Dienste wie SOFORT Überweisung oder PayPal. Erfasst werden zudem etwa auch öffentlich zugängliche Hotspots, die sich etwa in Kaufhäusern, Einkaufszentren und Krankenhäusern befinden.

Wie wird künftig die Vertraulichkeit der elektronischen Kommunikation sichergestellt?

Die wesentlichen Regelungen, die die Vertraulichkeit der elektronischen Kommunikation bei der Nutzung elektronischer Kommunikationsnetze oder -dienste sicherstellen sollen, befinden sich in Art. 6, Art. 8, Art. 10 und Art. 12 ff. des finalen Vorschlags zur ePrivacy-Verordnung.

(i) Durch Vorgaben zur Verarbeitung elektronischer Kommunikationsdaten

Art. 6 der ePrivacy-Verordnung regelt, wann die Verarbeitung elektronischer Kommunikationsdaten erlaubt ist; nämlich nur dann, wenn dies zur Übermittlung der Kommunikation nötig ist. Kommunikationsmetadaten dürfen nur verarbeitet werden, wenn dies zur Einhaltung verbindlicher Qualitätsanforderung erforderlich, zur Rechnungsstellung oder Erkennung betrügerischer Nutzung nötig ist oder wenn der Nutzer eingewilligt hat. Nur aus diesen Gründen dürfen daher bspw. der Standort des Nutzers und das Datum der Kommunikation verarbeitet werden. Elektronische Kommunikationsinhalte dürfen nur verarbeitet werden, wenn entweder der Dienst vom Nutzer angefordert wurde, dieser eingewilligt hat und die Dienstleistung ohne Verarbeitung vom Anbieter nicht erbracht werden kann.

Zahlungsinformationen, die ein Nutzer etwa über die Oberfläche eines digitalen Zahlungsdienstes wie SOFORT Überweisung eingibt, sind Kommunikationsinhalte und müssen vom Anbieter verarbeitet werden, um den Zahlungsauftrag für den Nutzer abwickeln zu können. 

(ii) Durch die Cookie-Regelung

Art. 8 der ePrivacy-Verordnung enthält die sog. Cookie-Regelung. Jede vom Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktion seiner Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen, auch über deren Software und Hardware, ist künftig untersagt. Ausgenommen sind u.a. die Fälle, in denen der Nutzer eingewilligt hat oder der Kommunikationsvorgang ohne Cookies nicht möglich ist. Das Tracking des Surfverhaltens der Nutzer wird durch diese Regelung deutlich erschwert werden.

(iii) Durch den Browser als Gate Keeper

Artikel 10 der ePrivacy-Verordnung regelt die bereitzustellenden Einstellungsmöglichkeiten zur Privatsphäre für in den Verkehr gebrachte Software, die eine elektronische Kommunikation erlaubt. Diese Software (der Browser) muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen aus der Endeinrichtung eines Endnutzers speichern oder bereits dort gespeicherte Informationen verarbeiten. Vorgesehen ist deshalb, dass der Nutzer seine Zustimmung zu Cookies durch allgemeine Voreinstellungen im Browser geben kann. Den Browsern kommt dann eine sog. Gatekeeper-Funktion zu, die das Tracking des Surfverhaltens des Nutzers ebenfalls erschweren wird.

(iv) Durch den Schutz vor unerbetener Kommunikation  

Art. 12 ff. der ePrivacy-Verordnung stellen schließlich Regelungen auf, die den Endnutzer vor unerbetener Kommunikation wie Werbeanrufen oder Werbe-E-Mails schützen. Direktwerbung über elektronische Kommunikationsdienste ist nur zulässig, wenn der Nutzer eingewilligt hat. Dabei muss der Endnutzer über Werbecharakter der Nachricht und Identität des Werbenden so informiert werden, dass er die Einwilligung jederzeit widerrufen kann. Direktwerbeanrufe dürfen nicht mit unterdrückter Nummer durchgeführt werden.

Der Endnutzer muss also in jede Datenverarbeitung und -nutzung freiwillig einwilligen

Soweit die Einwilligung des Endnutzers zur Datenverarbeitung erforderlich ist, verweist die ePrivacy-Verordnung auf die Regelungen der DSGVO. Die Einwilligung des Nutzers muss vor allem freiwillig sein. Bei der Beurteilung der Freiwilligkeit muss dem Umstand Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung von der Einwilligung zu einer Verarbeitung personenbezogener Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Zudem hat die betroffene Person das Recht, ihre Einwilligung jederzeit für die Zukunft zu widerrufen. Hier wird sich künftig zeigen, wieviel Schlagkraft die ePrivacy-Verordnung haben wird. Wenn – wie bisher – eine allumfassende Einwilligung erforderlich ist, um die jeweiligen Webdienste überhaupt nutzen zu können, wird die ePrivacy-Verordnung ihre Stärke verlieren.

Es kommt noch ein Teil 3!

Nachdem wir nun die Grundlagen erläutert haben, erfahren Sie im dritten Teil der Beitragsreihe, wo die Schnittstelle der Regelungen der ePrivacy-Verordnung und des Finanzaufsichtsrechts liegt.