Im Windschatten von unzähligen Initiativen der EU-Kommission und weltpolitischer Krisenbewältigung segelt fast unbemerkt das Vorhaben Open Finance durch die Europäischen Gremien. Inzwischen finden Trilog-Verhandlungen der EU-Kommission, des Europäischen Parlaments und der Mitgliedstaaten über einen Rahmen für den Zugang zu Finanzdaten, der sogenannten FiDA-Verordnung, statt. Die EU-Kommission hatte einen Entwurf vorgelegt und die neue Kommission greift diese Initiative wieder auf.
Immer noch geht es um einen der größten Schätze der Finanzindustrie, nämlich die Kundendaten. Der Datenzugang zum Finanzdienstleistungssektor sei eine der wichtigsten Initiativen der Kommission. Kunden hätte keine effektive Kontrolle über den Zugang zu ihren Daten und deren Austausch. Unternehmen, die auf Kundendaten zugreifen wollen, um innovative Dienstleistungen zu erbringen, hätten Schwierigkeiten beim Zugang zu den Daten. Selbst wenn Kunden es wünschten, hätten sie keinen umfassenden Zugang zu datengesteuerten Finanzdienstleistungen. Kunden würden durch Risiken abgeschreckt und aufgrund des fehlenden Regulierungsrahmens ihre Daten nicht freigeben. Dadurch würde die Entwicklung von Fintech Unternehmen gebremst. Durch die FiDA sollen finanzdatengesteuerte Geschäftsmodelle beschleunigt werden. Verbraucher und Unternehmer sollen Zugang zu Kundenfinanzdaten erhalten, damit maßgeschneiderte Finanzprodukte und Dienstleistungen angeboten werden können. Es klingt wie Versprechungen aus einer besseren Welt, unter Wahrung des Datenschutzes soll die Interoperabilität zwischen den Datenräumen von Kunden hergestellt werden und der Kundennutzen für innovative Datengeschäftsmodelle verbessert werden.
Werfen wir also einen Blick auf die geplanten Regelungen:
Etwas überrascht ist man schon, wenn man sich die Liste der Daten ansieht, die demnächst ausgetauscht werden sollen. Das sind Kundendaten über Darlehen und Konten, auch zu Saldo, Konditionen und Transaktionen, über Ersparnisse, Wertpapieranlagen, Versicherungsanlagenprodukte, Kryptowerte, Immobilien sowie auch der WpHG-Bogen über Eignung und Zweckmäßigkeit von Finanzanlagen, Ruhegehaltsansprüche aus betrieblichen Altersversorgungssystemen, aus privaten Pensionsprodukten, Sachversicherungsprodukte (Krankenversicherungsprodukte sind ausgenommen), auch Daten zu den Wünschen und Bedürfnissen der Kunden zu Versicherungsprodukten und Daten zur Beurteilung der Kreditwürdigkeit eines Unternehmens einschließlich des Antrags auf Bonitätsprüfung. Einem gestandenen Datenschützer müsste es die Schweißperlen auf die Stirn treiben.
Alle Dateninhaber der oben genannten Daten sollen verpflichtet werden, diese Daten unverzüglich, unentgeltlich und kontinuierlich in Echtzeit zur Verfügung zu stellen. Der Kunde soll verlangen können, dass ein Dateninhaber diese Daten mit einem sogenannten Datennutzer austauscht. Datennutzer sind lizenzierte Institute, Banken, Wertpapierinstitute, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Ratingagenturen, Schwarmfinanzierungsdienstleister, Anbieter von Krypto-Dienstleistungen aber auch lizenzierte Finanzinformationsdienstleister. Nur mit einer Lizenzierung durch eine Aufsichtsbehörde darf der Datennutzer auf die Daten zugreifen. Der Kunde kann die Berechtigung jederzeit entziehen. Der Datennutzer wird verpflichtet, die Kundendaten nur für die vom Kunden ausdrücklich gewünschten Dienstleistungen zu verarbeiten, Vertraulichkeit zu wahren und technische und organisatorische Maßnahmen zu ergreifen, um die Integrität der Daten zu sichern.
Der Kunde erhält ein Dashboard, um die erteilten Berechtigungen für die jeweiligen Daten überwachen zu können und um einen Überblick über die von ihm erteilten Berechtigungen zu erhalten.
Vorgesehen ist ein System für den Austausch von Finanzdaten, in dem Governancevorgaben enthalten sind, die Haftung geregelt wird, eine Streitbeilegung vorgesehen ist und die Entwicklung gemeinsamer Standards für den Datenaustausch und die Einrichtung technischer Schnittstellen dafür vorgesehen werden. Die Systeme werden bei der EBA registriert. Durch dieses System werden Dateninhabern auch Entgelte für die Bereitstellung der Daten gemäß den Bedingungen des Systems eingeräumt. Diese Entgelte müssen angemessen sein und auf einer transparenten Methode beruhen und die Kosten widerspiegeln, die für die zur Verfügungstellung der Daten oder technischen Schnittstelle anfallen.
Ein weiterer Abschnitt enthält Anforderungen an die neuen Finanzinformationsdienstleister. Das umfasst den Antrag auf Zulassung und organisatorische Anforderungen an die Finanzinformationsdienstleister.
In der Fachwelt ist ein Diskurs über das Vorhaben entbrannt. Die einen erhoffen sich von den Daten innovative Geschäftsmodelle und neue Chancen sowie verbesserte Rechte für Kunden. Andere sehen ein Einfallstor, vor allem für angelsächsische Datenkraken, um endlich an die wertvollsten Daten überhaupt zu gelangen. Nicht ganz zu Unrecht ruft die deutsche Kreditwirtschaft zur Vorsicht. Ungeeignete Daten müssten ausgenommen werden, z.B. der WpHG-Bogen des Kunden, die Bonitätsdaten des Kunden beim Antrag auf Kreditentscheidung oder die Daten des Kunden zu seinen Immobilienwerten. Nachvollziehbar ist auch die Forderung, den Datenaustausch auf Produkte und Dienstleistungen im Retail-Massengeschäft zu beschränken, aber z.B. die Kreditdaten von Unternehmen auszunehmen. Ob tatsächlich die Notwendigkeit besteht, die Daten aus den Kreditanträgen von DAX-Unternehmen auszutauschen, kann man bezweifeln.
Vor allem muss man auch praktische Gesichtspunkte würdigen. Die Daten sind jetzt nicht aufbereitet und schnittstellentauglich verfügbar. Es ist eine Sisyphusarbeit, diese Daten zu harmonisieren, in einheitliche Datenformate zu übertragen und Schnittstellen dafür in den Informationssystemen zu definieren. Die DORA-Umsetzung lässt erahnen, welcher Arbeitsaufwand sich hinter dem Vorhaben verbirgt. Alle Banken arbeiten mit verschiedenen IT-Systemen, Datensätzen, Verschlüsselungstechniken usw.
Natürlich klingt es verlockend für den Kunden, die Daten gegenüber einem Anbieter freizugeben und dann die besten Konditionen für Versicherungsprodukte oder sogar maßgeschneiderte Produkte zu einem halben Kostensatz zu erhalten. Auf der anderen Seite sollte wohl überlegt werden, ob man dem Datenschutz einen solchen schweren Schlag versetzen will. Es liegt auf der Hand, dass es ein Vorteil für die Großen ist. Kleine und mittelständische Wertpapierinstitute werden nicht in der Lage sein, den Datensatz auszuwerten, und maßgeschneiderte Produkte individuell zu liefern. Große Häuser mit mächtigen KI-Systemen dürften eindeutig im Vorteil sein.
Eine spannende politische Diskussion, zu der ich sie gerne auf dem Laufenden halte.
Mit den besten Grüßen
Ihr
Dr. Christian Waigel
Rechtsanwalt