Starke Kundenauthentifizierung via Apps – wer übernimmt Verantwortung für personenbezogene Daten?

Am 14. September 2019 ist das zweite Umsetzungsgesetz der Zahlungsdiensterichtlinie PSD2 in Kraft getreten. Dabei wurden insbesondere Vorschriften im ZAG angepasst. Die Änderungen sollen zu einer höheren Sicherheit im Online-Zahlungsverkehr beitragen und neuen Betrugsmethoden entgegenwirken. Als entsprechende Maßnahme sieht das Gesetz vor, dass Zahlungsdienstleister zu einer "starken Kundenauthentifizierung" verpflichtet werden. Mit Inkrafttreten des Umsetzungsgesetzes sollte die starke Kundenauthentifizierung für alle Online-Zahlungen verpflichtend sein. Jedoch gab die BaFin in einer Pressemitteilung vom 17.10.2019 bekannt, dass bis zum 31.12.2020 eine Karenzzeit für Zahlungsdienstleister mit Sitz in der Bundesrepublik gelte, während der eine Beanstandung durch die BaFin zunächst nicht zu fürchten sei.

Das Ende dieser Karenzzeit rückt nun näher und die Unsicherheit bei Unternehmen, die von der PSD2 betroffen sind, steigt. Denn beispielweise müssen bei der Umsetzung der starken Kundenauthentifizierung nicht nur die Finanzsektor-spezifischen Anforderungen, sondern auch weitere gesetzliche Regelungen berücksichtigt werden, wie etwa die Vorgaben der Datenschutz-Grundverordnung (DSGVO). Dies betrifft insbesondere und auch die Zusammenarbeit zwischen Zahlungsdienstleistern und anderen Anbietern, um den sog. zweiten Faktor im Rahmen der Authentifizierung verfügbar zu machen. Werden etwa die Verantwortlichkeiten nicht ordnungsgemäß erfasst und den betroffenen Personen mitgeteilt, können erhebliche Bußgelder durch die Datenschutzaufsichtsbehörden die Konsequenz sein.

Im ZAG finden sich keine Regelungen zur datenschutzrechtlichen Verantwortlichkeit bei der Verarbeitung von personenbezogenen Daten, sodass die allgemeinen datenschutzrechtlichen Regelungen anwendbar sind. Die DSGVO unterscheidet im Hinblick auf Datentransfers im Wesentlichen zwischen drei Fallkonstellationen: die Übermittlung zwischen zwei separat Verantwortlichen (Controller-Controller), die Auftragsverarbeitung nach Art. 28 DSGVO (Controller-Processor) sowie die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (Joint Controllership).

Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Eine gemeinsame Verantwortlichkeit liegt vor, wenn die Entscheidung über die Zwecke und Mittel gemeinsam mit anderen erfolgt. In Abgrenzung dazu verarbeitet der Auftragsverarbeiter die Daten lediglich im Auftrag des Verantwortlichen und hat keine Entscheidungsgewalt über die Zwecke, sondern ist vielmehr an die Weisungen des Verantwortlichen gebunden. Die Grenze zwischen den einzelnen datenschutzrechtlichen Rollen ist dabei jedoch häufig schwierig zu ziehen, sodass grundsätzlich jede Übermittlung einzeln und genau bewertet werden muss.

Als Indiz kann dabei die Vereinbarung zwischen den Parteien herangezogen werden, wobei jedoch die tatsächlichen Umstände, also die tatsächliche technische Ausgestaltung der Verarbeitungsprozesse, maßgeblich sind. Das bedeutet, dass, auch wenn die Parteien einen Auftragsverarbeitungsvertrag schließen, tatsächlich aber der „Auftragsverarbeiter“ eigene Zwecke bei der Datenverarbeitung verfolgt, keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame oder separate Verantwortlichkeit der Parteien vorliegt. Diese Bewertung ist insbesondere für die in der DSGVO geregelten Verpflichtungen gegenüber den Betroffenen, wie etwa Informationspflichten, von großer Bedeutung.

Sobald die Karenzzeit vorbei ist, wird eine starke Kundenauthentifizierung für alle Online-Transaktionen erforderlich sein. Als Online-Transaktionen verstehen sich gemäß § 55 Abs. 1 S. 1 ZAG der Online-Zugriff auf ein Zahlungskonto, das Auslösen eines elektronischen Zahlungsvorganges und jede Remote-Zugriffs-Handlung, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs beinhaltet.

Die starke Kundenauthentifizierung, auch zwei-Faktor-Authentifizierung genannt, meint, dass Online- und Kartenzahlungen in der Regel durch zwei unabhängige Faktoren bestätigt werden müssen. Dabei sind Merkmale aus den Kategorien Wissen (z.B. PIN, Passwort), Besitz (z.B. Handy, Karte, TAN-Generator) und Inhärenz (z.B. Fingerabdruck) denkbar.

Bei der Auslösung eines elektronischen Zahlungsvorganges besteht die Besonderheit, dass die Authentifizierung einen dynamischen Faktor umfassen muss. Wird also beispielsweise als Authentifizierungsfaktor eine TAN (Transaktionsnummer) verlangt, ist es notwendig, dass die TAN im Wege eines dynamischen TAN-Verfahren generiert wird – das heißt, in einem Verfahren, bei dem für jede Transaktion eine neue TAN generiert wird.

Dafür werden von den Zahlungsdienstleistern zunehmend Apps verwendet, wobei jedoch unterschiedliche Authentifizierungsmethoden angeboten werden. Bei TAN-Apps ist der Berechnungs-Algorithmus für die TAN in der Software enthalten. Erhält der Kunde zwei getrennte Apps, eine für das Online-Banking und eine für die starke Kunden-Authentifizierung, muss die TAN für die zu autorisierenden Vorgänge in die andere App übertragen werden, was in der Regel über eine App2App Kommunikation erfolgt. Das funktioniert allerdings bei Multibanking-Apps nicht. Daher erhält man mit neueren Apps über das Smartphone als separaten Kanal eine Push-Nachricht und erteilt die Freigabe über ein biometrisches Merkmal wie den Fingerabdruck oder tippt eine PIN ein. Bei neueren Smartphones kann auch die Consumer Device Cardholder Verification Method (CDCVM) für den Zugriff auf das Gerät und für die Authentifizierung von Zahlungen - insbesondere für mobile Near Field Communication (NFC)-Zahlungen - genutzt werden. Hierzu muss das Gerät samt CDCVM auf den Inhaber vorab registriert werden.

In eine Zahlung im Rahmen einer Online-Transaktion können eine Bank, ein Kreditkartenunternehmen, Internetbezahlverfahren (wie Sofort Überweisung) oder mobile Bezahlverfahren (wie Apple und Google Pay) als Zahlungsdienstleister eingebunden sein. In manchen Angeboten übernimmt ein weiterer Zahlungsdienstleister die Integration unterschiedlicher Zahlungsarten in den bestehenden Onlineshop.

Bei der Generierung der TAN via Apps werden von den App-Betreibern Autorisierungsdaten und Transaktionsdaten verarbeitet, sodass sich die Frage nach der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung sowie der Rechtsgrundlage für die Übermittlung der Transaktionsdaten stellt. Bei der Verarbeitung dieser Daten sind verschiedene Beteiligte involviert: der Online-Händler, der oder die Zahlungsdienstleister, der Entwickler und der Anbieter der Authentifizierungs-App im App-Store (die identisch sein können, aber nicht müssen), der Betreiber der App und ggf. ein technischer Dienstleister.

1. Rechtsgrundlage

Zahlungsdienstleister dürfen die personenbezogenen Daten, die für das Erbringen ihrer Zahlungsdienste notwendig sind, ausschließlich mit der ausdrücklichen Einwilligung des Zahlungsdienstnutzers verarbeiten (§ 59 Abs. 2 ZAG), soweit sie diese Daten nicht auf gesetzlicher Grundlage zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendigerweise verarbeiten (§ 59 Abs.1 ZAG). In diesem Zusammenhang hat der Europäische Datenschutzausschuss mit seinen Leitlinien 06/2020 über das Zusammenspiel von PSD2 und DSGVO klargestellt, dass es sich bei dieser Einwilligung um eine solche vertraglicher Natur und nicht um eine Einwilligung im engen Sinne der DSGVO handelt. Von einem Zahlungsdienstleister mit der Erbringung von Authentifizierungsleistungen beauftragte Dienstleister dürfen die Daten nach den allgemeinen Regelungen der DSGVO nur nach Weisung des jeweiligen Zahlungsdienstleisters auf der Grundlage einer Auftragsverarbeitung oder mit ausdrücklicher Einwilligung des Zahlungsdienstnutzers zur Verarbeitung übermittelt erhalten.

2. Datenschutzrechtliche Verantwortlichkeit und Informationspflichten

Zahlungsdienstleister, die über eine eigene Vertragsbeziehung mit dem Kunden jenseits des konkreten Online-Bezugs- und Bezahlvorgangs verfügen, verarbeiten Daten in ihrer Rolle als Verantwortliche im Sinne von Art. 4 Abs. 7 DSGVO und können ihre selbständigen Informationspflichten in diesem Rahmen erfüllen. Bei Zahlungsdienstleistern, die erst im Rahmen des Online-Bezahlvorgangs eingebunden werden, ist im Einzelfall zu prüfen, ob sie die Kundendaten unmittelbar als Verantwortlicher erheben und wie sie ihren Informationspflichten – etwa durch Ergänzung der Endkundendatenschutzhinweise des Händlers - nachkommen können. Inwieweit Anbieter von Authentifizierungs-Apps im Rahmen des App-Stores eine eigenständige Rechtsbeziehung mit den Kunden eingehen und die ihnen im Rahmen der Autorisierung von Transaktionen zur Verfügung gestellten Daten als selbständig Verantwortliche verarbeiten, wird für Kunden nicht immer ganz deutlich.

In den vertraglichen Vereinbarungen der App-Stores übertragen die App-Store-Betreiber die datenschutzrechtliche Verantwortlichkeit für Apps regelmäßig vollumfänglich auf die Anbieter der App. Beispielsweise heißt es bei den Bedingungen von Google: „Der Entwickler versichert und garantiert, dass er für die Einhaltung aller anwendbaren Gesetze und Bestimmungen weltweit allein verantwortlich ist“. Entwickler meint in diesem Fall jedoch nicht den Entwickler im engeren Sinne, sondern denjenigen, der die Rolle des Entwicklers durch das Anbieten der App im App-Store übernimmt. Ein ähnlicher Passus findet sich auch in den Bedingungen von Apple. Allein aus diesen Formulierungen kann jedoch noch nicht geschlossen werden, dass der Anbieter tatsächlich Verantwortlicher im Sinne der DSGVO ist, da dies von der tatsächlichen technischen Ausgestaltung der Verarbeitungsprozesse abhängig ist. Vielmehr ist also entscheidend, wer die Mittel und insbesondere die Zwecke der Verarbeitung bindend festlegen kann. Das bedeutet, dass also ein App-Anbieter, der aus tatsächlicher Sicht keinen Einfluss auf die Zwecke und Mittel der Verarbeitung hat, regelmäßig nicht Verantwortlicher im Sinne der DSGVO sein kann. Im Umkehrschluss gilt, dass derjenige Anbieter, der über Zwecke und Mittel der Verarbeitung entscheidet, als Verantwortlicher zu qualifizieren ist.

Soweit der Zahlungsdienstleister also nicht selbst Anbieter der Authentifizierungs-App im App-Store ist, hat er offenzulegen, ob der Anbieter der App die Daten als (selbständig oder sog. gemeinsam) Verantwortlicher erhält und verarbeitet. In diesem Fall hat der Zahlungsdienstleister die ausdrückliche Einwilligung der Zahlungsdienstnutzer in die Übermittlung der Transaktionsdaten einzuholen. Entsprechend müssen die Datenschutzhinweise des Zahlungsdienstleisters und die von diesem eingeholten Erklärungen des Zahlungsdienstnutzers sowie die vom App-Anbieter im App-Store veröffentlichten Datenschutzhinweise aufeinander abgestimmt sein. Alternativ kann der Zahlungsdienstleister den App-Anbieter auf Basis einer Auftragsverarbeitung einbinden, wenn ihm die Weisungsbefugnis über Zwecke und Mittel der Verarbeitung durch den App-Anbieter zustehen. Auch dies ist in den jeweiligen Datenschutzhinweisen konsistent abzubilden.

Wird Kunden im digitalen Zahlungsverkehr eine Authentifizierungs-App zur Verfügung gestellt, muss zwingend überprüft werden, welche konkreten Datenverarbeitungsvorgänge stattfinden und welche Parteien in welchem Umfang beteiligt sind. Maßgeblich sind dabei die vertraglichen Absprachen und tatsächlichen Umstände. Nachdem die Einflussmöglichkeiten der Beteiligten auf die Datenverarbeitungsvorgänge erfasst wurden, sollten vertragliche Vereinbarungen zwischen den Parteien getroffen werden – das bedeutet ggfs. also auch ein Joint-Controller-Agreement oder ein Auftragsverarbeitungsvertrag. Sobald dann die Verantwortlichkeiten und somit auch die Rechte und Pflichten der Parteien geregelt sind, sind diese den Betroffenen in den Datenschutzhinweisen kenntlich zu machen.