Die Kund:innendaten, um die es im Kommissionsvorschlag geht, sind vielfältig: Sparguthaben, Darlehen, Konten, Rentenansprüche in der betrieblichen Altersvorsorge, Immobilien oder Anlagen in Finanzinstrumenten. Der Vorschlag zielt darauf ab, die Datenweitergabe zu ermöglichen und klare Rechte und Pflichten für den Austausch von Kund:innendaten festzulegen. Laut Kommission sollen die Kund:innen dadurch bessere Finanzprodukte erhalten, der Wettbewerb im Finanzsektor stimuliert und seine Produkte innovativer werden. Der proklamierte Handlungsbedarf wird unter anderem mit dem vermeintlich schlechten Zugang der Kund:innen zu ihren Daten begründet. Schon das ist kritisch zu hinterfragen, immerhin gab es in der Konsument:innenberatung der Arbeiterkammer bisher noch nie Beschwerden über einen unzureichenden Datenzugang. Das Vorhaben steht jedoch zweifellos in einem Spannungsverhältnis zum Grundrecht auf Datenschutz und Privatsphäre.

Recht auf Datenschutz und Privatsphäre wird ausgehöhlt
Konsument:innen müssen frei entscheiden können, ob sie ihre Daten Dritten überlassen wollen, um auf sie zugeschnittene Angebote zu erhalten. Das Ziel, den Wettbewerb und die Einführung neuer Finanzdienstleistungsprodukte zu fördern, stellt in der Regel kein überwiegendes berechtigtes Interesse im Sinne der Datenschutz-Grundverordnung dar, hinter dem die Geheimhaltungsinteressen der Konsument:innen pauschal und undifferenziert zurücktreten müssten. Weil es sich bei Finanzdienstleistungen um komplexe Produkte und meistens um hohe Geldbeträge handelt, ist bei der Gesetzgebung besondere Vorsicht geboten.

Der Vorschlag der EU Kommission spiegelt das Bild der rationalen und souveränen Verbraucher:innen wider, wobei im digitalen Zeitalter grundsätzlich von Verletzlichkeit auszugehen ist. Hinzu kommt das große Kräfteungleichgewicht zwischen den Vertragsparteien, den Konsument:innen auf der einen Seite und den Finanzdienstleistern auf der anderen Seite. Es bestehen daher Zweifel, ob die Konsument:innen die Tragweite ihrer Entscheidungen hinreichend überblicken können. Demgegenüber würde ein besserer Zugang zu Daten es den Anbieter:innen von Finanzprodukten ermöglichen, ihre Vertriebspraktiken noch aggressiver zu gestalten.

Unklarheit bei der Zuständigkeit und unnötige Rechtsunsicherheit
Den gesamten Kommissionsvorschlag durchzieht der vergleichsweise undefinierte Begriff der Berechtigung zur Datenweitergabe, während die DSGVO eindeutig das Erfordernis der Zustimmung definiert. Die Absicht dahinter ist unklar. Die Einholung der Zustimmung der Konsument:innen ist aber schon deshalb wichtig, weil laut DSGVO nur dann ein Widerrufsrecht zusteht. Daher sollte auch in den vom Verordnungsvorschlag umfassten Bereichen eine wirksame Zustimmung eingeholt werden müssen.

Darüber hinaus ist kritisch anzumerken, dass auch die Aufgabenverteilung zwischen Datenschutz- und Finanzaufsichtsbehörden im Vorschlag nicht rechtssicher geklärt ist, weil bruchstückhaft Auszüge aus der Datenschutzgrundverordnung wiederholt werden. Um diese unnötige Rechtsunsicherheit zu vermeiden, sollte zunächst ausdrücklich klargestellt werden, dass die Datenschutzbehörden alle Datenschutzaspekte, die sich aus dem Kommissionsvorschlag ergeben, zu vollziehen haben. Zusätzlich wäre es wünschenswert, wenn über die allgemeinen DSGVO-Grundsätze hinausgehende, präzise sektorspezifische Vorgaben etwa zur Begrenzung der Verwendungszwecke, zur Datensicherheit oder zu Werbeverboten aufgenommen würden.

Systeme zur gemeinsamen Datennutzung sollten auf EU-Servern gespeichert sein
Die IT-Infrastruktur für den Austausch von Finanzdaten gehört zu den sensiblen Bereichen der Daseinsvorsorge und ist prinzipiell ein attraktives Ziel für Hackerangriffe. Systeme zur gemeinsamen Nutzung von Finanzdaten sollten daher bestenfalls verpflichtet werden, personenbezogene Daten auf Servern innerhalb der EU zu speichern. Im Allgemeinen gilt es, bestmöglich zu gewährleisten, dass Konsument:innen nicht von Datenmissbrauch oder Netzausfällen betroffen sind. Es muss daher als großes Defizit des Vorschlags angesehen werden, dass keine präventiven Maßnahmen gegen Missbrauch vorgesehen sind bzw. die Netz- und Datensicherheit überhaupt nicht berücksichtigt wird.

Auch im Rahmen einer Veranstaltung der europäischen Verbraucher:innenschutzorganisation BEUC wurde der Kommissionsvorschlag kürzlich ausführlich diskutiert. Patricia Suárez betonte, dass der Austausch von personenbezogenen Daten für Konsument:innen maximal transparent und nachvollziehbar gestaltet werden muss. Gerade wegen der großen Macht der Industrie in diesem Bereich ist die Vertretung der Konsument:inneninteressen im Gesetzgebungsverfahren besonders wichtig. In ihrem Positionspapier warnt die BEUC auch vor der Gefahr des Datenmissbrauchs durch finanzstarke Unternehmen.

Im März 2024 soll der Vorschlag im Ausschuss für Wirtschaft und Währung des EU Parlaments zur Abstimmung kommen. Aufgrund der im Positionspapier der Arbeiterkammer dargelegten Spannungsfelder ist eine grundlegende Überarbeitung des Kommissionsvorschlags dringend geboten.

Weiterführende Informationen:
AK EUROPA Positionspapier: Financial Data Access
EU Kommission: Modernisierung der Zahlungsdienstleistungen
EU Kommission: Financial data access and payments packages (Nur Englisch)
EU Kommission: Vorschlag für eine Verordnung über einen Rahmen für den Zugang zu Finanzdaten
BEUC Veranstaltung: Back to the Future – the promises and perils of digital finance (Nur Englisch)
BEUC: Position paper on the proposed Financial Data Access Regulation (Nur Englisch)
BEUC: The price of bad advice (Nur Englisch)
European Banking Authority: Discussion Paper on selected payment fraud (Nur Englisch)