Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner
Im Jahr 2018 markierten zwei Daten jeweils einen für das Zahlungsverkehrsrecht relevanten Zeitpunkt. Zum 13.01.2018 lief die Umsetzungsfrist für die am 12.01.2016 in Kraft getretene Richtlinie (EU) 201572366 (PSD II) ab. Seit dem 25.05.2018 ist die Verordnung (EU) 2016/679 (DS-GVO) vom 27.04.2016 in allen EU-Mitgliedstaaten unmittelbar anzuwenden.
Relevant sind die beiden Daten aus Sicht des Zahlungsverkehrsrechts aus folgendem Grund: Der regulierte Zahlungsverkehr ist derzeit ohne die Verarbeitung personenbezogener Daten nicht denkbar. Denkbar ist ein Zahlungsverkehr ohne Bezug zu personenbezogenen Daten allenfalls im Bereich der Distributed Ledger Technology. Zur Ausführung eines Zahlungsauftrages muss im innereuropäischen Zahlungsverkehr nämlich regelmäßig die IBAN des Zahlers sowie die IBAN des Zahlungsempfängers verarbeitet werden. Handelt es sich beim Zahler bzw. beim Zahlungsempfänger um natürliche Personen, liegt eine Datenverarbeitung i. S. d. DS-GVO vor und deren Anwendungsbereich ist eröffnet.
SEMINARTIPP
Aktuelle Praxisprobleme in Kontoführung & Zahlungsverkehr, 04.11.2021, Zoom.
Die Verarbeitung personenbezogener Daten ist unter der DS-GVO allerdings nur zulässig, wenn hierfür ein sich aus der DS-GVO ergebender Rechtfertigungsgrund vorliegt (Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 DS-GVO, sog. Verbot mit Erlaubnisvorbehalt). Praktikable Rechtfertigungsgründe im nicht-öffentlichen Bereich für die Verarbeitung personenbezogener Daten sind insbesondere die datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), die Erfüllung einer vertraglichen Verpflichtung (Art. 6 Abs. 1 lit. b DS-GVO) oder die auf einem berechtigten Interesse des Verpflichteten oder eines Dritten basierende Datenverarbeitung (Art. 6 Abs. 1 lit. f DS-GVO). Im Zusammenhang mit der Erbringung einer Zahlungsverkehrsdienstleistung liegt es somit nahe, die im Zusammenhang mit dem Zahlungsvorgang stehende Datenverarbeitung im Verhältnis zwischen Bank und eigenem Kunden mittels der Erfüllung einer vertraglichen Verpflichtung zu rechtfertigen (Art. 6 Abs. 1 lit. b DS-GVO).
Dem scheint bzw. schien indessen bislang Art. 94 Abs. 2 PSD II bzw. § 59 ZAG entgegenzustehen. In jedem Falle aber sorgte der Wortlaut der beiden Vorschriften für eine gewisse Rechtsunklarheit im Zusammenhang mit der Erbringung von Zahlungsdienstleistungen. Zurückzuführen ist dies darauf, dass es in Art. 94 Abs. 2 PSD II deutsche Fassung heißt, ein Zahlungsdienstleister dürfe die für das Erbringen seines Zahlungsdienstes erforderliche Datenverarbeitung „nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers“ vornehmen. Die englische Fassung hingegen spricht von „explicit consent.“ In redaktioneller Hinsicht ist dies problematisch, da jedenfalls nach deutschem Rechtsverständnis die Einwilligung als vorherige Zustimmung zu verstehen ist (§ 183 BGB), während eine Zustimmung in Form der Genehmigung grds. auch nachträglich erfolgen kann. In § 59 Abs. 2 ZAG heißt es hingegen wieder (zutreffend), die Datenverarbeitung im Zusammenhang mit der Erbringung eines Zahlungsdienstes dürfe nur mit der „ausdrücklichen Einwilligung“ des Kunden erfolgen.
BUCHTIPPS
Duncker/Hallermann/Maull (Hrsg.): Bearbeitungs- und Prüfungsleitfaden: Neues Datenschutzrecht, 2019.
Göhrig/Maull/Petersen (Hrsg.): Managementleitfaden Datenschutz, 2019.
Aus Sicht des Datenschutzrechts ist dies problematisch, da eine Einwilligung (nach dem englischen Wortlaut der DS-GVO „consent“) nach Art. 7 DS-GVO freiwillig erteilt werden muss, was nur dann der Fall ist, wenn der Kunde ein echtes Wahlrecht zwischen Erteilung der Einwilligung und deren Versagung hat (take it or leave it). Ein solches Wahlrecht des Kunden läge aber im Zusammenhang mit der Erbringung eines Zahlungsdienstes gerade nicht vor. Denn versagt der Kunde – dem Wortlaut der PSD II und des ZAG nach – die Einwilligung, ist die Bank an der Erbringung des Zahlungsdienstes gehindert und kann diesen somit auch nicht erbringen. Denn PSD II und ZAG geben ja vor, dass die durch den Zahlungsverkehr bedingte Datenverarbeitung nur bei Vorliegen einer „Einwilligung“ erfolgen darf. Dem Wortlaut der beiden Rechtsakte nach kämen somit die weiteren datenschutzrechtlichen Rechtfertigungsgründe nicht als Rechtsgrundlage für eine Datenverarbeitung in Betracht. Um diesen Konflikt zu lösen, wurde zum Teil vorgeschlagen, Art. 94 Abs. 2 PSD II sowie § 59 Abs. 2 ZAG „einschränkend“ auszulegen. Mit Blick darauf, dass der Wortlaut einer Norm grundsätzlich die Grenze der Auslegung bildet, ist eine solche „einschränkende“ Auslegung nicht unbedenklich.
Der Europäische Datenschutzausschuss (European Data Protection Board = EDPB) hat sich in der (Konsultationsfassung) seiner „Guidelines 06/2020 on the interplay of the PSD II and the GDPR“ vom 17.07.2020 zu dieser Frage nunmehr umfassend positioniert und stellt klar, dass er den Begriff der Einwilligung („explicit consent“) unter der PSD II anders auslegt, als den Begriff der Einwilligung („consent“) nach der DS-GVO, wobei der EDPB nicht zwischen explicit consent und consent unterscheidet. Konkret geht der EDPB davon aus, dass die Einwilligung nach Art. 94 Abs. 2 PSD II in einem vertraglichen Kontext gesehen werden müsse. Die bedeute, dass Art. 94 Abs. 2 PSD II dahingehend auszulegen ist, dass den Betroffenen bei Vertragsabschluss vor Augen geführt werden müsse, welche Kategorien personenbezogener Daten verarbeitet werden sollen und sie dem ausdrücklich zustimmen müssen, wobei die entsprechenden Hinweise klar von weiteren Vertragsklauseln getrennt werden sollen.
Ob sich der EuGH einer solchen gespaltenen Auslegung des Begriffs der Einwilligung anschließen wird, bleibt abzuwarten. Darauf hinzuweisen ist allerdings, dass der EuGH im Zusammenhang mit der ePrivacy-RL entschieden hat, dass im Sinne eines unionsweit maßgeblichen Auslegungsergebnisses der Begriff der „Einwilligung“ einheitlich im Sinne des Einwilligungsbegriffes der DS-GVO auszulegen ist (vgl. EuGH, Urt. v. 01.10.2019, Az. C-673/17).
PRAXISTIPP:
Nach Veröffentlichung der finalen Fassung der Guidelines sollte zunächst geprüft werden, ob der EDPB an seiner Rechtsauffassung festhält bzw. diese in die eine oder andere Richtung präzisiert. Im Anschluss daran sollte geprüft werden, ob die verwendeten AGB, Sonderbedingungen und Datenschutzhinweise die von Seiten der (Datenschutz-)Aufsicht geforderten Informationen enthalten und die gebotene „Trennung“ zu den übrigen Vertragsklauseln sichergestellt ist.
Beitragsnummer: 13987