DSGVO vs. PSD2: Schutz sensibler Finanzdaten

PSD2 (Zahlungsdiensterichtlinie 2) und DSGVO (Datenschutz-Grundverordnung) sind zwei unterschiedliche Verordnungen der Europäischen Union (EU), die unterschiedliche Aspekte des Datenschutzes und der Privatsphäre behandeln. Obwohl sie sich in Bezug auf die Verarbeitung personenbezogener Daten teilweise überschneiden, dienen sie unterschiedlichen Zwecken. Schauen wir uns das genauer an.

Was ist PSD2?

PSD2 ist ein regulatorischer Rahmen, der Wettbewerb, Innovation und Sicherheit im Zahlungsdienstleistungssektor innerhalb der EU verbessern soll. Er führt Regeln für Zahlungsdienstleister (PSPs) ein und regelt verschiedene Aspekte elektronischer Zahlungen, darunter Kontozugriff, Zahlungsauslösung und die Sicherheit elektronischer Transaktionen. PSD2 bietet einen Rechtsrahmen für Open Banking und ermöglicht Drittanbietern den Zugriff auf und die Nutzung von Kundenbankdaten mit ihren ausdrückliche Zustimmung.

Was ist GDPR?

Die DSGVO ist eine umfassende Verordnung, die den Schutz von personenbezogene Daten und Datenschutzrechte von Einzelpersonen innerhalb der EUSie legt Regeln für die Verarbeitung, Speicherung und Übermittlung personenbezogener Daten durch Organisationen fest. Die DSGVO zielt darauf ab, Einzelpersonen die Kontrolle über ihre personenbezogenen Daten zu geben und sicherzustellen, dass Organisationen diese transparent, sicher und rechtmäßig verarbeiten. Sie gilt für eine Vielzahl von Branchen und Sektoren, nicht nur für Zahlungsdienste.

Aufdeckung der Überschneidungen zwischen PSD2 und DSGVO

PSD2 und DSGVO überschneiden sich bei der Verarbeitung personenbezogener Daten im Rahmen von Zahlungsdiensten. Im Rahmen von PSD2 können Drittanbieter auf Bankdaten von Kunden zugreifen, die personenbezogene Daten enthalten können. Beim Zugriff auf und der Verarbeitung dieser Daten müssen diese Anbieter die Anforderungen und Grundsätze der DSGVO einhalten. Das bedeutet, dass sie entsprechende Einwilligungen einholen, Datensicherheit gewährleisten und Grundsätze der Datenminimierungund respektieren die Rechte des Einzelnen, wie etwa das Recht auf Zugriff und Berichtigung seiner Daten.

PSD2 erkennt die Bedeutung des Datenschutzes an und verpflichtet Drittanbieter zur Einhaltung der relevanten Datenschutzbestimmungen, einschließlich der DSGVO. Durch die Anpassung an die DSGVO stellt PSD2 sicher, dass die Datenschutzrechte und personenbezogenen Daten von Einzelpersonen im Kontext von Open Banking und dem Zugriff Dritter auf Zahlungsdaten angemessen geschützt sind.

Während sich PSD2 auf die Verbesserung von Wettbewerb und Sicherheit im Zahlungsdienstleistungssektor konzentriert, trägt sie der Bedeutung des Datenschutzes Rechnung, indem sie die Einhaltung der Grundsätze und Anforderungen der DSGVO bei der Verarbeitung personenbezogener Daten vorschreibt. Dies stellt sicher, dass die Rechte und die Privatsphäre des Einzelnen im Rahmen von Open Banking und Zahlungsdiensten gemäß PSD2 gewahrt bleiben.

PSD2-Strafen bei Nichteinhaltung

Die Nichteinhaltung der Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) kann für die betroffenen Unternehmen verschiedene Strafen und Konsequenzen nach sich ziehen. Die konkreten Strafen können in den EU-Mitgliedstaaten unterschiedlich ausfallen, da jedes Land die PSD2 durch nationale Gesetzgebung umsetzt. Hier sind einige mögliche Strafen bei Nichteinhaltung:

1. Verwaltungsstrafen: Die für die Durchsetzung der PSD2 zuständigen Behörden und Regulierungsbehörden können gegen nicht konforme Unternehmen Bußgelder verhängen. Die Höhe dieser Bußgelder kann je nach Schwere des Verstoßes und den länderspezifischen Vorschriften variieren.
2. Aussetzung oder Widerruf der Zulassung: Unternehmen, die die Anforderungen der PSD2 nicht erfüllen, müssen mit der Aussetzung oder dem Entzug ihrer Zulassung als Zahlungsdienstleister (PSP) rechnen. Dies kann zu erheblichen Störungen des Geschäftsbetriebs und zum Verlust der Möglichkeit führen, Zahlungsdienste anzubieten.
3. Schadensersatzansprüche: Die Nichteinhaltung der PSD2-Richtlinien kann zu finanziellen Verlusten oder Schäden für Verbraucher oder andere Beteiligte führen. Betroffene Personen oder Organisationen können in solchen Fällen gerichtlich Schadensersatz fordern, was für das nicht konforme Unternehmen zusätzliche finanzielle Verpflichtungen nach sich ziehen kann.
4. Reputationsschaden: Die Nichteinhaltung der PSD2-Richtlinien kann den Ruf eines Unternehmens schädigen und das Vertrauen von Kunden und Partnern untergraben. Die negative Publicity, die mit der Nichteinhaltung einhergeht, kann langfristige Folgen haben und zum Verlust von Geschäftsmöglichkeiten und potenziellen Kunden führen.
5. Regulatorische Eingriffe und Sanierungsmaßnahmen: Regulierungsbehörden können gegen nicht konforme Unternehmen zusätzliche Abhilfemaßnahmen oder Interventionen verhängen, um die Situation zu bereinigen. Dies könnte die Umsetzung spezifischer Korrekturmaßnahmen, verstärkter Überwachung oder Compliance-Audits umfassen, die zusätzliche Kosten und operative Belastungen verursachen können.

Um diese Strafen zu vermeiden, ist es für Unternehmen, die der PSD2 unterliegen, wie z. B. Zahlungsdienstleister (PSPs), wichtig, die in der Verordnung festgelegten Anforderungen zu verstehen und einzuhalten. Die Einhaltung trägt dazu bei, die Sicherheit, Transparenz und Effizienz von Zahlungsdiensten zu gewährleisten und gleichzeitig die Rechte und Interessen der Verbraucher zu schützen.

Starke Kundenauthentifizierung gemäß PSD2

PSD2 Starke Kundenauthentifizierung (SCA) Die SCA bezieht sich auf eine regulatorische Anforderung der überarbeiteten Zahlungsdiensterichtlinie (PSD2) der Europäischen Union. Sie schreibt vor, dass Kunden bei elektronischen Zahlungen oder beim Zugriff auf ihre Zahlungskonten mehrere Authentifizierungsmethoden zur Bestätigung ihrer Identität angeben müssen. SCA zielt darauf ab, die Sicherheit von Online-Transaktionen durch eine zusätzliche Schutzebene gegen betrügerische Aktivitäten, wodurch sichergestellt wird, dass nur autorisierte Personen auf Finanztransaktionen zugreifen und diese durchführen können.

Regeln für Daten von Nicht-EU-Bürgern unter PSD2

Die Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) konzentriert sich in erster Linie auf die Regulierung von Zahlungsdiensten innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Daher gelten ihre Bestimmungen in erster Linie für Unternehmen, die in diesen Regionen tätig sind. Für Daten von Nicht-EU-Bürgern gibt es im Rahmen der PSD2 jedoch bestimmte Hinweise:

1. Grenzüberschreitende Transaktionen: PSD2 umfasst Zahlungsdienste mit grenzüberschreitenden Transaktionen, einschließlich Transaktionen zwischen EU-/EWR-Mitgliedstaaten und Ländern außerhalb der EU/des EWR. In solchen Fällen können die an der Zahlungstransaktion beteiligten Daten den Vorschriften und Anforderungen sowohl der EU/des EWR als auch des Rechtsraums des Nicht-EU-Bürgers unterliegen.
2. Datenschutz: Obwohl die PSD2 nicht speziell auf die Daten von Nicht-EU-Bürgern eingeht, steht sie im Einklang mit den umfassenderen Datenschutzgrundsätzen der EU-Datenschutz-Grundverordnung (DSGVO). Bei der Verarbeitung personenbezogener Daten, auch von Nicht-EU-Bürgern, müssen Unternehmen die einschlägigen Datenschutzbestimmungen einhalten und die rechtmäßige Verarbeitung, Einwilligungserfordernisse, Datensicherheit und die Rechte des Einzelnen gewährleisten.
3. Internationale Datenübertragungen: Wenn Zahlungsdienstleister (PSPs) personenbezogene Daten von Nicht-EU-Bürgern außerhalb der EU/des EWR übermitteln, müssen sie die Anforderungen für internationale Datenübertragungen gemäß DSGVO erfüllen. Dies kann die Verwendung geeigneter Schutzmaßnahmen wie Standardvertragsklauseln oder verbindlicher Unternehmensregeln beinhalten, um ein angemessenes Schutzniveau für die übermittelten Daten zu gewährleisten.

BigIDs Ansatz zur PSD2-Konformität

BigID ist der branchenführende Anbieter in Data-Intelligence-Lösung für Datenschutz, Sicherheitund SteuerungBigID bietet eine breite Palette leistungsstarker Tools in seinem Datenschutz-Suite die Unternehmen dabei unterstützen können, die PSD2-Konformität beim Umgang mit den finanziellen personenbezogenen Daten von EU-Bürgern zu erreichen.

Mithilfe fortschrittlicher KI und maschinellem Lernen bringt BigID automatisierte, robuste Entdeckung und Klassifizierung von Daten im großen Maßstab – für unstrukturierte, strukturierte und dunkle Daten sowohl vor Ort als auch in der Multi-CloudMit BigID können Unternehmen ihre personenbezogenen Daten identifizieren und verstehen, einschließlich der Daten, die den PSD2-Vorschriften unterliegen. Genaue und einfache Verfolgung und Verwaltung grenzüberschreitende Datenübertragungen, um die Einhaltung der relevanten Datenschutzgesetze sicherzustellen.

Um mehr Transparenz und Kontrolle über alle Ihre sensibelsten Daten zu erlangen und die PSD2-Konformität zu erreichen – Planen Sie noch heute eine 1:1-Demo mit BigID.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.