Der Verbraucherzentrale Bundesverband (vzbv) kritisiert die aktuelle Umsetzung der europäischen Zahlungsdiensterichtlinie PSD2. Dadurch werde zwar die Digitalisierung im Finanzwesen beschleunigt, allerdings fehle es "an effektiven Kontrollen, um Verbraucher- und Datenschutz zu gewährleisten", wie es in einer Mitteilung des Verbandes heißt.

Zu diesem Schluss kommt auch ein Gutachten des Instituts für Verbraucherpolitik, ConPolicy, das der vzbv in Auftrag gegeben hat. Demnach droht das einst streng geschützte Bankkonto durch die Einführung von Kontoinformationsdiensten oder Online-Bezahlsystemen immer mehr zum Gegenstand kommerzieller Ausforschung zu werden.

So könne es etwa zu Interessenkonflikten zwischen den Geschäftsmodellen der Anbieter und dem Recht auf Privatsphäre der Verbraucher kommen, wenn PSD2-Anbieter für die Vermittlung von Angeboten Provisionen erhalten. "Wenn die Provisionen jedoch beeinflussen, welche Empfehlungen etwa ein Kontoinformationsdienst einem Verbraucher ausspricht, dann besteht ein erheblicher Interessenkonflikt zwischen Verbrauchern und den PSD2-Anbietern", heißt es in dem Gutachten.

Eigentlich soll die Richtlinie eine Belebung des B2B-Markt im Finanzwesen erreichen und Prozesse zwischen Banken und anderen (Finanz-)Dienstleistern erleichtern. Die Einführung von Schnittstellen hat aber nicht nur Kosten gespart und Prozesse beschleunigt, sondern auch neue Geschäftmodelle ermöglicht.

Banken bauen digitale Schnittstellen für Drittanbieter aus

Laut Gutachten bieten die neuen Angebote Verbrauchern zwar durchaus Komfort, etwa durch einen besseren Überblick über ihre Finanzen, maßgeschneiderte Kreditangebote, Identitäts-Checks oder den Wegfall von Bürokratie. Allerdings zahlen sie dafür mit dem Risiko, dass Kontodaten von Unternehmen an Werbenetzwerke weiterverkauft oder von ihnen selbst verarbeitet werden, um gezielter Produkte vertreiben oder die individuelle Zahlungsfähigkeit berechnen zu können.

Gefahr der "aufsichtsrechtlichen Kontrollillusion"

Die Verbraucherschützer warnen daher vor der Aushöhlung des Bankgeheimnisses und fordern strengere Regeln und eine wirksamere Aufsicht über Fintechs, Banken oder Auskunfteien, die solche neuen Finanzdienstleistungen anbieten.

Denn derzeit kollidieren aus ihrer Sicht die neuen Möglichkeiten für Dienstleister aufgrund der PSD2 mit den Vorgaben des Datenschutzgrundverordnung DSGVO. Das Verhältnis zwischen beiden sei "noch nicht austariert", schreiben die Gutachter des vzbv, bei Verbrauchern könne eine "aufsichtsrechtliche Kontrollillusion" entstehen.

Der Verbraucher wird durchleutet

"Denn obwohl sowohl die BaFin als auch die Datenschutzbehörden für den datenschutzrechtlichen Vollzug zuständig sind, muss derzeit davon ausgegangen werden, dass die datenschutzrechtliche Marktaufsicht und der Vollzug in diesem Bereich noch nicht ausreichend ausgebaut sind", so die Autoren des Gutachtens. Insbesondere sei es zu kritisieren, wenn Anbieter die Legitimität der BaFin-Lizenz dafür nutzen, um sich einen weitreichenden Zugang zu Daten zu verschaffen - denn das stünde im Widerspruch zu den Anforderungen der DSGVO.

"Die Zweite Zahlungsdienste-Richtlinie (PSD2) hat die Pipelines verlegt, durch die immer mehr sensible Daten von den Girokonten der Verbraucher zu den Kontoinformationsdiensten fließen sollen", sagt Dorothea Mohn, Leiterin Team Finanzmarkt beim vzbv in einer Mitteilung. "Da eine effektive Kontrolle der Datenströme bislang aber nicht vorgesehen ist, besteht die Gefahr des vollkommen durchleuchteten Verbrauchers."

Kritik an Check24

Die Verbraucherschützer haben bereits seit längerem einen Blick auf solche Interessenkonflikte geworfen, etwa wenn Vergleichsportale auch Finanzdienstleistungen anbieten.

So wurde der Schritt des Vergleichsportals Check24, ein eigenes Bankangebot zu starten, scharf kritisiert. "Check24 wird zum Akteur im Überwachungskapitalismus", sagt Niels Nauhauser, Abteilungsleiter Altersvorsorge, Banken und Kredite der Verbraucherzentrale Baden-Württemberg, im Oktober 2020 in einem Statement zu FinanzBusiness.

Verbraucherzentrale Baden-Württemberg sieht Check 24 als "Datenkrake" 

Der vzbv macht zudem auch auf europäischer Ebene ein Ungleichgewicht bei der Aufsicht zu Lasten des Kunden aus. Während die European Banking Authority (EBA) im Geiste des Wettbewerbs für einen möglichst ungehinderten Datenfluss eintrete, fehle es an einem Gegengewicht, das die Grundsätze der Datenschutzgrundverordnung (DSGVO) mit der gleichen Autorität durchsetzen könnte, heißt es in einem Positionspapier des vzdv.

Verbraucherschützer stellen Forderungskatalog

Konkret fordern die Verbraucherschützer nun die Europäische Kommission auf, die Evaluation der PSD2-Richtlinie "im Sinne der Verbraucher zu nutzen" und den Schutz der Privatsphäre sicherzustellen. Dazu müssten etwa dezidierte Schnittstellen so spezifiziert werden, dass sie den Prinzipien des Artikels 25 der DSGVO gerecht werden.

Kontoinformationsdienste dürften nur Zugriff auf Daten erhalten, für deren Verarbeitung sie eine Berechtigung haben. Über eine Ausweitung der Datenverarbeitung sollte erst dann nachgedacht werden, wenn der Datenschutz gewährleistet ist. Zudem müsse die Aufsicht über Kontoinformationsdienste auch die Einhaltung des Datenschutzes einschliessen. Eine Mindestvoraussetzung dazu sei die enge Verzahnung von Finanz-und Datenschutzbehörden, fordert der vzbv.