Open Data für die Finanzwirtschaft – Nach dem Data Act jetzt auch ein Datengesetz für den Finanzsektor…?
Ein Datengesetz für den Finanzsektor
Mit Verabschiedung des Data Act hat die EU die Weichen für einen fairen Zugang zu einer regulierten Nutzung von Daten, die bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugt werden, gestellt. Der verabschiedete Rechtsrahmen regelt dabei sektorübergreifend Grundsätze und Leitlinien für den Austausch von Daten in der EU. Sektorspezifische Regulierungsanforderungen und -bedürfnisse können und sollen – unter Beachtung der allgemeinen Vorgaben des Data Act – gesondert geregelt werden.
Ein solches sektorspezifisches Regelwerk stellt die FIDA dar, die den Austausch von Finanzdaten – diese werden vom Data Act nicht erfasst – zum Gegenstand hat. Wir nehmen den kürzlich verabschiedeten Data Act zum Anlass, den für die Finanzbranche wichtigen Legislativvorschlag unter die Lupe zu nehmen.
Der Hintergrund der FIDA
Die FIDA ist eines von zwei Maßnahmenpaketen der Kommission, um auf den digitalen Wandel im Finanzdienstleistungssektor zu reagieren und die Bereiche Open Banking und Open Finance zu fördern. Während die FIDA ein wichtiger Baustein im Bereich Open Finance darstellt, besteht der zweite Teil des Maßnahmenpakets aus einem Änderungsvorschlag der zweiten Zahlungsdienste-Richtlinie (PSD2-Richtlinie) (PSD3) und einem Verordnungsvorschlag über Zahlungsdienstleistungen (PSR) zum Ausbau von Open Banking. Einen Überblick über PSD3 und PSR sind auf diesem Blog bereits hier zu finden.
Die Herausforderungen im Bereich Open Finance
Die Kommission identifiziert drei Hauptprobleme, die einem offenen Datenaustausch im Finanzsektor zwischen den beteiligten Akteuren – Kund*innen, Datennutzer (z.B. Fintech Unternehmen), Dateninhaber (z.B. Finanzinstitute) – derzeit entgegenstehen:
- Fehlendes Kundenvertrauen: Erstens fehlt es an Regeln und Instrumenten auf Kundenseite, um Einwilligungen zur Datennutzung zu steuern und zu verwalten. Folge hiervon ist, dass Kund*innen das notwendige Vertrauen fehlt, Daten bereitzustellen und zu teilen.
- Keine oder unklare Regeln für den Datenzugang: Zweitens gibt es derzeit keinen Regelungsrahmen – insbesondere auch keine Pflicht – für Dateninhaber, die Kundendaten mit Dritten zu teilen oder diesen zugänglich zu machen. In der Folge fehlt die Bereitschaft auf Seiten der Finanzinstitute, ihre Datensilos zu öffnen.
- Keine technische Infrastruktur: Drittens existiert keine standardisierte technische Infrastruktur zwischen Dateninhaber und Datennutzer, was den Austausch von Kundendaten in diesem Verhältnis teuer und aufwändig macht.
Die Ziele der FIDA
Die FIDA verfolgt das Ziel, durch ein klares Regelwerk einen offenen, europäischen Finanzdatenraum zu schaffen. Hierdurch sollen Innovationen sowie die Entwicklung maßgeschneiderter neuer Finanzinstrumente und damit insgesamt ein kompetitiverer Wettbewerb im Finanzsektor gefördert werden.
Zur Umsetzung dieses Ziels knüpft die Kommission an die von ihr identifizierten Hemmnisse an:
- Mehr Kontrolle für Kund*innen: Um die Bereitschaft der Kund*innen zum Datenaustausch zu fördern, sollen Kund*innen Datenzugangsrechte erhalten und über ein sog. Dashboard, Einwilligungen erteilen und verwalten können. Auf diesem Weg soll das Kundenvertrauen in einen sicheren und verantwortungsvollen Umgang mit ihren Daten gestärkt werden.
- Klare Regeln für den Datenzugang: Dateninhaber müssen zukünftig Datennutzern auf Anfrage von Kund*innen Daten bereitstellen. Diese Daten können sodann von den Datennutzern verwendet werden, um Kund*innen neue innovative Finanzprodukte anzubieten. Die Bereitstellung und Verwendung der Daten hat dabei gemäß des in der FIDA vorgesehenen Rahmens zu erfolgen.
- Schaffung von organisatorischen und technischen Standards: Den bestehenden, technischen Hürden zwischen Datennutzer und Dateninhaber soll durch Datenstandardisierung und einheitlichen Sicherheitsstandards entgegengewirkt werden. Zudem soll mit den sog. Systemen für den Austausch von Finanzdaten eine neue organisatorische Struktur geschaffen werden, in der Dateninhaber und Datennutzer zusammenwirken.
Von der FIDA umfasste Kundendaten
Die FIDA findet Anwendung auf sämtliche Finanzdaten von Kund*innen. Kund*innen im Sinne der FIDA sind natürliche und juristische Personen, die Finanzprodukte und -dienstleistungen in Anspruch nehmen. Die Daten können in der normalen Geschäftstätigkeit mit den Kund*innen erhoben oder infolge der Interaktion der Kund*innen mit dem Finanzinstitut generiert worden sein. Wichtig: In den sachlichen Anwendungsbereich fallen – wie auch beim Data Act – personenbezogene als auch nicht-personenbezogene Daten.
Die FIDA geht dabei weit über den Anwendungsbereich der Zahlungskontodaten, die Gegenstand der PSD2-Richtlinie sind, hinaus. Umfasst werden sollen von der FIDA unter anderem Kundendaten aus den Kategorien Sparkonten, Darlehenskonten, Kryptoinvestments, Versicherungsprodukte sowie private und betriebliche Altersvorsorgeprodukte. Die Aufzählung macht deutlich, welches Potenzial hierdurch für datenbasierte Geschäftsmodelle eröffnet wird.
Von der FIDA betroffene Akteure
Auch der persönliche Anwendungsbereich der Verordnung soll denkbar weit gefasst sein. Neben den Kund*innen stehen die Dateninhaber und Datennutzer im Zentrum der neuen Regelung.
Datennutzer und Dateninhaber im Sinne der FIDA können sämtliche Finanzinstitute sein, wie z.B. Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungs- und Rückversicherungsunternehmen sowie Versicherungsvermittler.
Ob man Datennutzer, Dateninhaber oder beides ist, ist abhängig von dem Verhältnis zu den jeweiligen Kunden*innen. Dateninhaber sind solche Finanzinstitute, die die Kundendaten speichern, erheben oder anderweitig verarbeiten; Datennutzer sind dagegen die Institute, die aufgrund der Einwilligung der Kunden*innen Zugang zu den Daten erhalten.
Über die in der FIDA aufgelisteten Finanzinstitute hinaus, können zudem sog. Finanzinformationsdienstleister Datennutzer sein. Dieser Begriff wird durch die FIDA definiert – es handelt sich dabei im Wesentlichen um eine neue regulierte Finanzentität. Die FIDA stellt eine Reihe spezifischer Anforderungen an die Organisationsstruktur solcher Entitäten auf (z.B. ein eingerichtetes Compliance-System zur Einhaltung der Anforderungen aus der FIDA). In der Verordnung sind auch konkrete Anforderungen an die Antragstellung zur Zulassung festgeschrieben. So muss z.B. das Geschäftsmodell derart beschrieben werden, dass daraus die Art des geplanten Datenzugriffs ersichtlich wird, und ein Geschäftsplan inklusive Budgetplanung für die ersten drei Geschäftsjahre beigefügt werden. Zudem müssen im Antrag konkrete Compliance-Systeme, insbesondere Sicherheitskontroll- und Risikominimierungsmaßnahmen beschrieben werden. Die europäische Bankenaufsicht (EBA) wird ein zentrales Register der zugelassenen Finanzinformationsdienstleister führen.
Mehr Kontrollrechte für Kund*innen
Zentrale Regelungsmechanismen, um das Vertrauen der Kund*innen in den Datenaustausch zu stärken, sind die ihnen erteilten Datenzugangsrechte sowie der Zugriff auf das sog. Dashboard. Bei beidem handelt es sich um Pflichten, die Dateninhaber gegenüber den Kund*innen zu erfüllen haben.
Das Datenzugangsrecht der Kund*innen besteht auf elektronisch übermittelten Antrag und ist von den Dateninhabern unverzüglich, unentgeltlich, kontinuierlich und in Echtzeit zu erfüllen. Kund*innen können zum einen die Bereitstellung der Daten an sich selbst oder an Datennutzer verlangen.
Mit der Pflicht zur Bereitstellung des sog. Dashboards über die Zugriffsberechtigung wird ein weiteres Novum eingeführt. Über das Dashboard haben Kund*innen die Option, ihre Einwilligung zur Datenweitergabe in Echtzeit zu erteilen, zu widerrufen und zentral über ein Dashboard einen Überblick über ihre erteilten Einwilligungen zu erhalten. Dabei müssen nicht nur der Name der zugriffsberechtigten Person und das konkrete Kundenkonto angegeben werden, sondern auch der Zweck der Zugriffsberechtigung, die Datenkategorie und die Geltungsdauer der Zugriffsberechtigung. Kund*innen müssen über das Dashboard auch eine Aufstellung zu den im Laufe der beiden vergangenen Jahre widerrufenen oder abgelaufenen Zugriffsberechtigungen erhalten. Das Dashboard muss zudem in der Nutzerschnittstelle integriert – also z.B. Teil des Onlinebanking-Interfaces – sein. Damit Kund*innen es im Alltag nutzen können, muss es zudem leicht auffindbar sein.
Was das im Detail für die Gestaltung von Nutzeroberflächen im Finanzsektor bedeutet, ist noch nicht abzusehen. Der Verordnungsentwurf lässt insoweit offen, wie die technische Ausgestaltung zu erfolgen hat; erwähnt jedoch ausdrücklich, dass für die Bereitstellung der Dashboards elektronische Identifizierungs- und Vertrauensdienste genutzt werden dürfen und auf Anbieter von Datenvermittlungsdiensten zurückgegriffen werden kann.
Klare Regeln für den Datenzugang
Den bisher fehlenden Datenzugangsregeln im Verhältnis Dateninhaber und Datennutzer will die FIDA mit einer neuen Regelungsarchitektur begegnen. Dateninhaber sind verpflichtet, Datennutzern Finanzdaten zur Verfügung zu stellen, wenn eine Einwilligung der Kund*innen vorliegt.
Die Daten müssen unverzüglich, kontinuierlich und in Echtzeit zur Verfügung gestellt werden. Implizit werden Dateninhaber dadurch zur Einrichtung einer Schnittstelle verpflichtet. Für die Bereitstellung enthält die FIDA weitere Anforderungen, z.B. Bereitstellung in einem auf allgemein anerkannten Standards beruhenden Format und in einer bestimmten Qualität, Gewährleistung eines angemessenen Maßes an Sicherheit für Kommunikation und Datenübertragung.
Anders als im Verhältnis Dateninhaber – Kund*in kann für die Bereitstellung der Daten an Datennutzer eine Vergütung verlangt werden.
Auch Datennutzer treffen bei der Verwendung der Kundendaten verschiedene Pflichten. Insbesondere dürfen sie die bereitgestellten Kundendaten nur im Rahmen der festgelegten Zwecke verarbeiten, müssen die Vertraulichkeit von Geschäftsgeheimnissen und die Rechte des geistigen Eigentums wahren und haben zum Schutz der Kundendaten angemessene technische, rechtliche und organisatorische Maßnahmen zu ergreifen.
Systeme zum Austausch von Finanzdaten
Um den vorgegebenen Pflichtenkatalog umzusetzen, führt die FIDA eine neue Organisationsstruktur ein, die sog. Systeme zum Austausch von Finanzdaten (Financial Data Sharing Schemes).
Mitgliedschaft, Verwaltung und Aufbau dieser Systeme unterliegen konkreten Anforderungen. Für Dateninhaber und Datennutzer ist die Mitgliedschaft verpflichtend, wobei die Verordnung die Möglichkeit zur Mitgliedschaft in mehreren Systemen vorsieht. Daneben können auch Verbraucherorganisationen und -verbände freiwillig Mitglied werden. Die Mitgliedschaft muss allen Inhabern und Nutzern offenstehen und es darf zu keiner ungerechtfertigten Bevorzugung oder Ungleichbehandlung kommen.
Die FIDA enthält Anforderungen an die interne Selbstverwaltung dieser Systeme. Sie müssen sich selbst Transparenz- und erforderlichenfalls auch Berichtspflichten auferlegen. Gemeinsame Standards für Daten und technische Schnittstellen sind intern gemeinsam auszuarbeiten. Auch muss ein Modell zur Festlegung der maximalen Vergütung festgelegt werden. Nach dem Inkrafttreten sollen Datennutzer und Dateninhaber 18 Monate Zeit haben, um einem solchen System für den Austausch von Finanzdaten beizutreten.
FIDA und Datenschutzrecht
Die FIDA orientiert sich an den Grundsätzen der DSGVO und ergänzt diese. Der Anwendungsbereich der DSGVO wird durch die FIDA nicht eingeschränkt.
Neue Pflichten enthält die FIDA aber mit Blick auf die nicht personenbezogenen Kundendaten. Ebenso wie im Datenschutzrecht unterliegen der Zugriff und die Verarbeitung der nicht personenbezogenen Kundendaten einer durch die Einwilligung festgelegten Zweckbindung. Zudem treffen Dateninhaber und Datennutzer an die DSGVO angelegte ähnliche Pflichten, rechtliche, organisatorische und technische Maßnahmen zu ergreifen, um eine rechtswidrige Weitergabe der Kundendaten zu verhindern. Eine Verarbeitung der Kundendaten zu Werbezwecken ist generell unzulässig – ausgenommen davon ist allerdings Direktwerbung.
Ausblick/nächste Schritte
Die FIDA wird das Datengesetz für den Finanzsektor. Sie schafft einen neuen Rahmen für die Nutzung von Finanzdaten, ebnet den Weg für neue innovative Geschäftsmodelle und ist damit ein wichtiger Schritt Richtung Open Finance. Da mit dem Entwurf erst der Anstoß im Gesetzgebungsverfahren erfolgt ist, ist frühstens 2025 mit dem Inkrafttreten der Verordnung zu rechnen. Es bleibt abzuwarten, inwieweit der derzeitige Vorschlag in diesem Zeitraum Änderungen und Anpassungen erfahren wird.
