Im Rahmen der Retail Payment Strategy veröffentlichte die EU-Kommission am 28. Juni 2023 das Financial Data Access and Payments Package. Das EU-Paket setzt sich zusammen aus den Vorschlägen zu PSD3 & PSR (Payments) und FiDA (Financial Data Access Regulation). Eine erste Einordnung der FiDA haben wir bereits in unserem Podcast Die Bedeutung der Financial Data Access Regulation | ALLES LEGAL FinTech-Recht kompakt und dem daran anknüpfenden Beitrag Einbahnstraße FiDA – warum gut gemeint nicht gut gemacht ist vom 19. April 2024 vorgenommen. In diesem Beitrag wollen wir uns die einzelnen Regelungen des Verordnungsentwurfs genauer ansehen.
Table of Contents
Was steckt hinter FiDA?
Die EU-Kommission hat einen Entwurf für eine „Verordnung über einen Rahmen für den Zugang zu Finanzdaten“ veröffentlicht. Damit verfolgt sie eines ihrer am 24.09.2020 im Rahmen der Digital Finance Strategy erklärten Ziele: die Förderung des Austausch von Daten zwischen Unternehmen im EU-Finanzsektor und darüber hinaus (offenes Finanzwesen).Mit dem Entwurf sollen unionsweit einheitliche Regeln für den Zugang, die gemeinsame Nutzung (über hierfür einzurichtende Schnittstellen) und die Verwendung bestimmter Kategorien von Kundendaten bei Finanzdienstleistungen festgelegt werden.
(R)Evolution: Von Open Banking zu Open Finance
Die PSD2 legte den Grundstein für die Nutzung technischer Schnittstellen zum Abruf und Austausch von Zahlungskontodaten (Open Banking).
Von der PSD2 umfasst sind jedoch nur Zahlungskontodaten, nicht aber Daten in Bezug auf Nicht-Zahlungskonten, wie etwa Sparkonten, reine Einlagenkonten (z.B. Tagesgeldkonten), reine Kredit- und Kreditkartenabrechnungskonten oder bloße Depots.
Durch FiDA sollen nun über Zahlungskontodaten hinaus auch (weitere) Finanzdaten (z.B. Depot- oder Versicherungsdaten) ausgetauscht werden (Open Finance).
Welche (Finanz-)Daten werden von FiDA erfasst?
Erfasst werden Kundendaten (a) aus bestimmten Kategorien (b).
(a) Kundendaten
Kundendaten iSd Art. 3 Nr. 3 FiDA sind personenbezogene und nicht personenbezogene Daten, die von einem Finanzinstitut im Rahmen seiner normalen Geschäftstätigkeit mit Kunden erhoben, gespeichert und anderweitig verarbeitet werden und sowohl Daten, die von Kunden übermittelt werden, als auch Daten, die infolge der Interaktion des Kunden mit dem Finanzinstitut generiert werden, umfassen.
(b) Kategorien
Dabei werden nach Art. 2 Abs. 1 FiDA Kundendaten der folgenden Kategorien erfasst:
- Hypothekarkreditverträge, Darlehen und Konten (ausgenommen Zahlungskonten iSd PSD2), einschl. Daten zu Saldo, Konditionen und Transaktionen;
- Ersparnisse, Investitionen in Finanzinstrumente, Versicherungsanlageprodukte, Kryptowerte, Immobilien und andere damit verbundene finanzielle Vermögenswerte sowie der wirtschaftliche Nutzen dieser Vermögenswerte (einschl. Daten, die zur Beurteilung der Eignung und Zweckmäßigkeit iSd Art. 25 der Finanzmarktrichtlinie erhoben werden);
- Ruhegehaltsansprüche aus betrieblichen Altersversorgungssystemen oder aus Paneuropäischen Privaten Pensionsprodukten;
- Nichtlebensversicherungsprodukte (ausgenommen Krankenversicherungsprodukte; einschl. erhobener Daten zur Ermittlung der Wünsche und Bedürfnisse der Kunden sowie erhobener Daten zur Beurteilung der Eignung und Zuverlässigkeit iSd EU-Richtlinie zum Versicherungsvertrieb) → Nicht Daten von Lebens- und Krankenversicherungen
- Daten, die zur Beurteilung der Kreditwürdigkeit eines Unternehmens im Rahmen eines Kreditantragsverfahrens oder bei einem Antrag auf Bonitätsprüfung erhoben werden → Nicht Bonitätsprüfungsdaten von natürlichen Personen
Wer fällt in den FiDA-Scope?
Persönlich erfasst werden die in Art. 2 Abs. 2 a) bis o) FiDA aufgeführten Stellen, also
- Finanzinstitute iSd Art. 3 Nr. 8 FiDA (wie z.B. Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen oder (Rück-)Versicherungsunternehmen)
und
- Finanzinformationsdienstleister iSd Art. 3 Nr. 7 FiDA (eine durch FiDA neu eingeführte Kategorie).
Erfasst werden sie jedoch nur in ihrer Eigenschaft als Dateninhaber oder Datennutzer.
Art. 2 Abs. 3 FiDA sieht Ausnahmen vor und verweist diesbezüglich auf Art. 2 Abs. 3 DORA. Die Ausnahmen betreffen im Grunde nur Kleinstunternehmen oder kleine oder mittlere Unternehmen (KMU).
Beteiligte Akteure im „FiDA-Dreieck“
Zentrale Akteure im Regelungsregime der FiDA sind
- der Kunde
- der Dateninhaber und
- der Datennutzer.
(Quelle: Annerton Rechtsanwaltsgesellschaft mbH)
Art. 3 FiDA definiert die Akteure wie folgt:
- „Kunde“ ist eine natürliche oder juristische Person, die Finanzprodukte und -dienstleistungen in Anspruch nimmt (Art. 3 Nr. 2 FiDA)
- „Dateninhaber“ ist ein Finanzinstitut, das kein Kontoinformationsdienstleister ist und Kundendaten (iSd Art. 2 Abs. 1 FiDA) erhebt, speichert und anderweitig verarbeitet.
- „Datennutzer“ sind die in Art. 2 Abs. 2 FiDA aufgeführten Stellen (d.h. Finanzinstitute und Finanzinformationsdienstleister), die nach Einwilligung des Kunden rechtmäßigen Zugang zu den in Art. 2 Abs. 1 FiDA aufgeführten Kundendaten erhalten.
Exkurs:
- „Finanzinstitut“ iSd Art. 3 Nr. 8 FiDA sind die in Art. 2 Abs. 2 a) bis n) aufgeführten Stellen, die für die Zwecke der FiDA entweder Dateninhaber oder Datennutzer oder beides sind.
Die in Art. 2 Abs. 2 a) bis n) aufgeführten Stellen sind:
(Quelle: Annerton Rechtsanwaltsgesellschaft)
- „Finanzinformationsdienstleister“ iSd Art. 3 Nr. 7 FiDA ist ein Datennutzer der zum Zwecke der Erbringung von Finanzinformationsdienstleistungen gemäß Art. 14 FiDA berechtigt ist, auf die in Art. 2 Abs. 1 aufgeführten Kundendaten zuzugreifen.
Rechte und Pflichten im FiDA-Dreieck?
Zunächst werden die Pflichten des Dateninhabers gegenüber dem Kunden in Art. 4 FiDA geregelt. Der Dateninhaber hat dem Kunden auf dessen elektronisch übermittelten Antrag die Kundendaten (iSd. Art 2 Abs. 1)
- unverzüglich
- unentgeltlich
- kontinuierlich und
- in Echtzeit
zur Verfügung zu stellen.
Zudem ist der Dateninhaber verpflichtet, dem Datennutzer auf den elektronisch übermittelten Antrag des Kunden die Kundendaten (iSd. Art 2 Abs. 1) zur Verfügung zu stellen, Art. 5 Abs. 1 FiDA. Im Gegenzug dafür ist der Dateninhaber berechtigt, für die Bereitstellung der Kundendaten an den Datennutzer eine Vergütung vom Datennutzer zu verlangen, Art. 5 Abs. 2 FiDA. Die Kundendaten werden dem Datennutzer
- unverzüglich
- kontinuierlich und
- in Echtzeit
zur Verfügung gestellt.
Art. 6 FiDA regelt detailliert die Verpflichtungen des Datennutzers in Bezug auf den Erhalt von Kundendaten. Ein Datennutzer ist danach nur dann berechtigt, auf Kundendaten zuzugreifen, wenn er
- zuvor als Finanzinstitut oder Finanzinformationsdienstleister zugelassen wurde, und
- die Zustimmung des Kunden vorliegt. Der Zugriff auf die Kundendaten darf nur für die Zwecke und unter den Bedingungen, denen der Kunde zugestimmt hat, erfolgen.
Anforderungen an die Bereitstellung von Daten
Nach Art. 5 Abs. 3 FiDA muss der Dateninhaber
- dem Datennutzer Kundendaten in einem auf allgemein anerkannten Standards beruhenden Format und mindestens in der Qualität bereitstellen, in der sie dem Dateninhaber vorliegen;
- für eine sichere Kommunikation mit dem Datennutzer sorgen, indem er bei der Verarbeitung und Übertragung von Kundendaten ein angemessenes Maß an Sicherheit gewährleistet;
- beim Zugriff auf Kundendaten die Vertraulichkeit von Geschäftsgeheimnissen und die Rechte des geistigen Eigentums wahren;
- dem Kunden ein Dashboard zur Überwachung und Verwaltung von Zugriffsberechtigungen zur Verfügung stellen (Art. 8 FiDA);
- von Datennutzern verlangen, einen Nachweis (idR Ermächtigung via Dashboard) zu erbringen, dass der Kunde dem Zugriff auf die Kundendaten des Dateninhabers zugestimmt hat.
Bereitstellung von Dashboards
Der Dateninhaber stellt dem Kunden ein Dashboard zur Überwachung und Verwaltung der Zugriffsberechtigungen zur Verfügung (Art. 8 Abs. 1 FiDA). Dieses muss dem Kunden einen Überblick über alle aktiven Zugriffsberechtigungen geben, die Datennutzern erteilt wurden. Zudem muss es bestimmte Angaben (u.a. Namen des Datennutzers, Kundenkonto, Zwecke und Dauer der Zustimmung etc.) enthalten.
Der Kunde muss die Möglichkeit haben, eine erteilte Zugriffsberechtigung zu widerrufen und eine widerrufene Zugriffsberechtigung erneut zu erteilen. Zudem muss das Dashboard eine Aufstellung der im Laufe der beiden vergangenen Jahre widerrufenen oder abgelaufenen Zugriffsberechtigungen enthalten.
Der Dateninhaber muss auch sicherstellen, dass das Dashboard in seiner Nutzerschnittstelle leicht auffindbar ist und dass die im Dashboard enthaltenen Informationen klar, richtig und für den Kunden leicht verständlich sind (Art. 8 Abs. 3 FiDA).
Damit dem Kunden die Informationen auch in Echtzeit zur Verfügung stehen, sieht der FiDA-Entwurf eine enge Zusammenarbeit zwischen Dateninhaber und Datennutzer vor (vgl. Art. 8 Abs. 4 FiDA). Dabei werden gegenseitige Unterrichtungspflichten vorgesehen, nach denen sich Dateninhaber und Datennutzer über Dashboard-relevante Vorfälle informieren müssen, etwa wenn der Kunde im Dashboard Änderungen vornimmt oder neue Zugriffsberechtigungen erteilt.
FiDA-Schemes
Das sog. Financial Data Sharing Scheme (FDSS) oder im FiDA-Wortlaut „System für den Austausch von Finanzdaten“ regelt den vertraglichen Rahmen für den Zugang zu Kundendaten verschiedener Finanzprodukte und -dienstleistungen.
Mitglieder eines FDSS (Schemes) sind
- einen Dateninhaber und Datennutzer, die einen wesentlichen Anteil des Marktes für das betreffende Produkt oder die betreffende Dienstleistung abdecken
- Verbraucherorganisationen und –verbände.
Dateninhabern und Datennutzer müssen Mitglieder in einem Scheme sein (Art. 9 Abs. 1); Dateninhaber und Datennutzer können auch Mitglieder in mehreren Schemes sein (Art. 9 Abs. 2).
Zentrale Aufgabe der Mitglieder eines FDSS ist die Erarbeitung gemeinsamer Standards für Kundendaten und Schnittstellen (APIs) zum Austausch der Daten zwischen Dateninhabern und Datennutzern (Art. 10 Abs. 1 g) FiDA). Darüber hinaus sollen die Schemes Regelungen zur angemessenen Vergütung der Dateninhaber für die Datenbereitstellung (insbesondere für Formatierung, Datenübermittlung und Speicherung) beinhalten (Art. 10 Abs. 1 h) FiDA). Fehlt eine entsprechende Regelung durch ein Scheme, entfällt der Vergütungsanspruch (Art. 5 Abs. 2 FiDA). Auch Regelungen zur Haftungsverteilung zwischen Datennutzer und Datenbesitzer (in Kohärenz mit den Haftungsvorschriften der DSG-VO) sollen beinhaltet sein (Art. 10 Abs. 1 i) FiDA).
Timeline?
Dateninhaber und Datennutzer sind nach Art. 9 Abs. 1 FiDA verpflichtet, innerhalb von 18 Monaten nach Inkrafttreten der FiDA Mitglieder eines Schemes, d.h. Systems für den Austausch von Finanzdaten, zu werden.
Und wenn die Timeline verstrichen ist?
Wird ein Scheme für eine oder mehrere Kategorien von Kundendaten nicht entwickelt, und besteht auch keine realistische Aussicht auf die Einrichtung eines solches Systems innerhalb eines angemessenen Zeitraums, greift nach Art. 11 FiDA der sog. “Fallback-Mechanismus“.
Nach dem “Fallback-Mechanismus” wird der Kommission dann die Befugnis übertragen, über einen delegierten Rechtsakt die FiDA-Vorgaben (insb. Art. 5 Abs. 1 FiDA) um folgende Modalitäten zu ergänzen:
- gemeinsame Standards für Daten und gegebenenfalls technische Schnittstellen, die es den Kunden ermöglichen, einen Datenaustausch gemäß Art. 5 Abs. 1 in Auftrag zu geben;
- ein Modell zur Festlegung der maximalen Vergütung, die ein Dateninhaber für die Bereitstellung von Daten verlangen kann;
- die Haftung der an der Bereitstellung der Kundendaten beteiligten Unternehmen.
Neue Kategorie: Finanzinformationsdienstleister
Der Zugriff auf Kundendaten ist nur durch zugelassene Stellen möglich, d.h. neben Finanzinstituten können dies auch die – mit dem FiDA-Entwurf neu geschaffenen – Finanzinformationsdienstleister sein. FiDA enthält diesbezüglich detaillierte Bestimmungen über
- das Zulassungsverfahren (Art. 12, 14),
- die Registerpflicht der Finanzinformationsdienstleister (Art. 15),
- sowie die organisatorischen Anforderungen an die Finanzinformationsdienstleister (Art. 16).
Der Antrag auf Zulassung ist bei der zuständigen Behörde des Mitgliedstaats zu stellen, in welchem der Finanzinformationsdienstleister niedergelassen ist. Art. 12 Abs. 2 FiDA enthält eine Übersicht über die Informationen, die einem Zulassungsantrag beizufügen sind.
Finanzinformationsdienstleister – ohne EU-Niederlassung
Finanzinformationsdienstleister ohne Niederlassung in der EU, die Zugriff auf Kundendaten erhalten wollen, müssen schriftlich einen Rechtsvertreter (juristische oder natürliche Person) in einem der Mitgliedstaaten, in denen der Zugang zu den Finanzdaten gewünscht ist, (Art. 13 Abs. 1 FiDA) benennen und die zusätzlichen Regelungen in Art. 13 Abs. 2 bis 5 FiDA hierzu beachten.
Finanzinformationsdienstleister – aus einem Drittstaat
Ein Finanzinformationsdienstleister aus einem Drittstaat erhält eine Erlaubnis zur Erbringung von Finanzinformationsdienstleistungen, wenn
- die Vorgaben aus Art. 12 (Zulassungsvoraussetzungen) und Art. 16 (organisatorische Anforderungen) erfüllt sind;
- ein Rechtsvertreter (Art. 13) benannt wurde;
- und der Drittstaat, in dem der Antragsteller niedergelassen ist, kein Drittstaat mit hohem Risiko gemäß Delegierten Verordnung (EU) 2016/1675 ist.
Die Erteilung der Erlaubnis erfolgt nur dann, wenn u.a.
- Wirksame Verfahren und Strukturen zur Ermittlung, Steuerung, Überwachung und Meldung von Risiken, denen er ausgesetzt ist, sichergestellt werden können,
- die Aufsichtsbehörde sich vergewissert hat, dass Auslagerungsvereinbarungen nicht dazu führen, dass der Finanzinformationsdienstleister zu einer Briefkastenfirma wird und nicht als Mittel zur Umgehung von Bestimmungen dieser Verordnung eingesetzt werden,
- und die Ausübung der Aufsichtsrechte uneingeschränkt möglich ist
Passporting
Art. 28 FIDA sieht ein sog. Passporting-Regime für Finanzinformationsdienstleister und Finanzinstitute vor. Finanzdienstleister und Finanzinstitute können im Rahmen der Dienstleistungsfreiheit oder Niederlassungsfreiheit(„Zweigniederlassung“) Zugang zu den Kundendaten in der EU erhalten, die sich im Besitz von Dateninhabern befinden, die in der EU niedergelassen sind. Finanzinformationsdienstleister haben danach Anspruch auf Datenzugriff von Dateninhabern innerhalb der gesamten Union (Art. 28 Abs. 1 FiDA).
Wie geht es weiter?
Bei der derzeitigen FiDA-Fassung handelt es sich um einen Entwurf der EU-Kommission, der erst noch das Gesetzgebungsverfahren durchlaufen muss. Die finale Fassung bleibt demnach abzuwarten. 24 Monate nach ihrem Inkrafttreten wird sie dann in den Mitgliedstaaten gelten. Wann die FiDA in Kraft treten wird, ist noch nicht absehbar. Eins dürfte bereits feststehen: Dieses Jahr wird die FiDA-Verordnung wohl nicht mehr in Kraft treten…
Fazit
Von Open Banking und zu Open Finance: Damit kommt der EU-Gesetzgeber seinem Ziel der Förderung von datenbasierten Finanzprodukten und -dienstleistungen wesentlich näher. Mit dem FiDA-Vorschlag wird also der Finanzdatenfluss geöffnet, Innovation und Wettbewerb gefördert, um so Nutzern von Finanzdienstleistungen maßgeschneiderte Produkte anbieten zu können. Dies wird jedoch nur gelingen, wenn entsprechende Financial Data Sharing Schemes (rechtzeitig) errichtet werden (Stichwort: Fallback-Mechanismus). Der FiDA-Entwurf stellt alle beteiligten Unternehmen vor organisatorische Herausforderungen, die u.a. nicht unerhebliche Einrichtungs- und Compliance-Kosten in Bezug auf Datenstandardisierung nach sich ziehen werden. Finanzinstitute sollten daher den FiDA-Entwurf zum Anlass nehmen und sich frühzeitig mit der Errichtung von Schemes auseinandersetzen.