Fintech-Regulierung, PSD II und Datenschutz-Bestimmungen: Fluch oder Segen?
Mai 7, 2019
Aus dem Unterricht des CAS Digital Finance mit Cornelia Stengel berichtet Thomas Lindauer:
Die Finanzbranche ächzt seit Jahren angesichts einer scheinbar nicht enden wollenden Flut an neuen Regulierungen. Während ein Grossteil dieser neuen Regulierungen sich Themen der „alten Bankenwelt“ annimmt, adressieren einige der jüngsten Gesetzgebungen durchaus Fragestellungen, die durch Fintechs aufgeworfen wurden. Im Rahmen dieses Kurses haben wir den Fokus insbesondere auf die neue Fintech-Regulierung sowie PSD II gelegt. Abgerundet wurde der Unterricht mit einem kurzen Exkurs in die (Rechts-)Welt des Datenschutzes.
Die 3 Säulen des Schweizer Finetech-Modells
Noch vor ein paar Jahren von vielen etablierten Playern der Finanzbranche belächelt – heutzutage mit einer Mischung aus Neid und Furcht beäugt: die Fintechs. Zusätzlich zu augenscheinlichen Vorteilen wie bspw.
- innovative Geschäftsmodelle
- von Altlasten befreite IT
- schlanke Strukturen und Prozesse
dieser aufstrebenden neuen Akteure profitieren diese teilweise von regulatorischen Erleichterungen. Konkret basiert die Fintech-Vorlage des Bundesrates auf drei Säulen:
Von besonderer Bedeutung sind die ersten beiden Säulen dieses Modells. Spezifische regulatorische Anpassungen sowie Sandbox-Ausnahmebestimmungen führen häufig dazu, dass keine der Akteure eines neuen Business-Modells einer speziellen Bewilligung bedarf. Elegant an diesen beiden Säulen ist, dass mit relativ wenig Aufwand ein grosser Effekt erreicht wird. Insbesondere die revidierte Anwendbarkeit des sog. Abwicklungskontos von 7 auf 60 Tage (seit 1.8.17) sowie Schaffung einer sog. Sandbox (seit 1.8.17) und die Ausdehnung dieser auch auch Konsumenten (seit 1.4.19) sind mächtige Instrumente. Und selbst wenn ein spezifisches Business-Modell die Notwendigkeit einer Lizenz nicht gänzlich umgehen kann, so besteht mit der dritten Säule, nämlich einer seit 1.1.2019 neu geschaffenen Fintech-Bewilligung ein Kompromiss zwischen gar keiner Lizenz und einer vollen Bank-Lizenz mit allem drum und dran.
Banken vs. Finetechs: Gleich lange Spiesse für alle?
Erste Erfahrungsberichte zur Fintech-Bewilligung in der Schweiz stehen noch aus, ist dieser Weg doch erst seit wenigen Monaten gangbar. Untenstehender (nicht abschliessender) Vergleich vermittelt aber bereits ein gutes Bild über die Unterschiede zur vollen Bank-Lizenz.
In diesem Lichte ist der Schrei der etablierten Banken nach gleichem „level playing field“ durchaus nachvollziehbar und nicht einfach nur als verzweifelter Protest eines sich auf dem absteigenden Astes wähnenden Akteurs zu verstehen, der dem neuen Konkurrenten einfach nur Steine in den Weg werfen will. Die Frage ob nun tatsächlich gleich lange regulatorische Spiesse für alle gelten, kann aber auch aus anderen Richtungen aufgeworfen werden: wer sind die Player, die man miteinander vergleichen möchte und soll? Was wenn eine Firma aus zig verschiedenen Tochterfirmen besteht, die jeweils in sehr spezifischen Nischen operieren?
Finetech-Vorlage: Ziele erreicht?
Die Entwicklung der Fintech-Szene hat in den letzten Jahren eine beachtliche Geschwindigkeit erreicht. Nachvollziehbar ist deshalb der Druck auf Politik und Regulator in nützlicher Zeit darauf zu reagieren. Tatsächlich rühmt sich die Schweiz nun, mit der oben beschriebenen Fintech-Vorlage in Rekordzeit eine Lösung geschaffen zu haben. So löblich diese geringe Reaktionszeit auch sein mag, bleibt aber eine grundsätzliche Frage aber doch noch offen: wurden die Ziele damit erreicht?
Diese Frage sollte wohl etwas präzisiert werden:
- Dient diese Vorlage der Innovationsförderung?
- Ist das Netto-Ergebnis nun eine zusätzliche Regulierung oder wie angestrebt tatsächlich Deregulierung?
- Wird der Konsumentenschutz dadurch gestärkt?
- Und wird dadurch wirklich „level playing field“ geschaffen? (und für wen?)
Vermutlich wird nur die Zeit diese Fragen beantworten können – und vermutlich auch dann nicht eindeutig. Aber bereits zum jetzigen Zeitpunkt treten Unschönheiten dieser Lösung zu Tage. So ist es bspw. im Rahmen des KKG erforderlich Verträge schriftlich abzuschliessen, was für app-basierte Angebote einen unschönen Medienbruch bedeutet. Zahlreiche weitere Unzulänglichkeiten werden wohl erst im künftigen Praxistest ersichtlich. Statt des Versuches die obige grundsätzliche Frage zu beantworten, rückt deshalb zum jetzigen Zeitpunkt eine andere Frage in den Vordergrund: im Sinne einer ganzheitlichen Bewertung, wäre es nicht sinnvoller gewesen sich etwas mehr Zeit gelassen zu haben zugunsten einer runderen Lösung?
Auch diese derivative Frage ist bloss als solche zu verstehen, ein Anstoss zur Reflexion und Diskussion und nicht als Kritik mit Fingerzeig und der gesetzten Antwort „ja“ im Hinterkopf.
PSD II – erhöhte Sicherheit durch offene Fenster und Türen?
Nach dem Hauptteil Fintech-Regulierung folgte alsdann ein Exkurs zum Thema PSD II. Im Wesentlichen verlangt PSD II, dass Banken auf Kundenwunsch authorisierten Zahlungsauslösediensten (ZAD resp. engl. PISP) und Kontoinformationsdienste (KID resp. engl. AISP) Zugang zu den erforderlichen Kundendaten gewähren müssen.
Die definierten Ziele und Zwecke der PSD II sind die folgenden:
- Förderung eines übergreifenden, effizienten Payments Market in Europa
- Senkung der Preise im Zahlungsverkehr
- Konsumentenschutz
- Förderung von Innovation im Online-Payment Markt
- Erhöhung der Sicherheit im Zahlungsverkehr
Die ersten drei Ziele gehen offensichtlich Hand in Hand einher. Durch die Eliminierung überschüssiger Player in der Wertschöpfungskette werden diese Ziele auch tatsächlich erreicht. So kann unter PSD II bspw. eine direkte Verbindung zwischen einem Onlinehändler und dem Konto eines Kunden hergestellt werden, wodurch die Acquiring Bank und das Kreditkartensystem zwischen diesen beiden Endpunkten obsolet werden.
Auch das nächste Ziel der Förderung von Innovation wird durch PSD II effektiv erreicht, da die Banken das Monopol über die Kundendaten verlieren und die Schnittstellen gegenüber authorisierten Drittparteien öffnen müssen.
Das letztgenannte Ziel einer Erhöhung der Sicherheit im Zahlungsverkehr mag auf den ersten Blick im direkten Widerspruch stehen zur Natur von PSD II: öffnet man die Fenster und Türen eines Hauses, erhöht das denn nicht die Gefahr, dass auch Unbefugte sich Zugang verschaffen? Gerade die Schweizerische Bankiervereinigung führt gerne das Argument der Sicherheit ins Felde gegen eine Schweizerische Version von PSD II. Und die Analogie mit der Haustüre scheint auf den ersten Blick auch intuitiv und die Antwort auf der Hand liegend. Bedenkt man jedoch, dass unter PSD II eine Zulassungs- und Registrierungspflicht für ZAD und KID besteht, was in der Schweiz hingegen nicht der Fall ist, relativiert sich diese Analogie. Ein fairer Vergleich müsste deshalb eher lauten: offene Schnittstellen für lizenzierte ZAD/KID vs Screen Scraping für nicht-lizenzierte ZAD/KID.
Datenschutz – EU vs CH
Abgerundet wurde der Vormittag mit einem letzten Exkurs in die Welt des Datenschutzes. In einem ersten Teil wurde die Geltung der EU-DSGVO in der Schweiz diskutiert. Die EU-DSGVO regelt das Vorgehen bei der Verarbeitung von personenbezogenen Daten und hat die informationelle Selbstbestimmung über persönliche Daten sowie den Schutz der Privatsphäre als Ziel.
Die Anwendbarkeit der EU-DSGVO basiert grundsätzlich auf der Niederlassung des Datenverarbeiters im EU-Raum (und nicht auf der Nationalität der Person, um deren Daten es geht). Aber selbst wenn die Niederlassung in der EU nicht gegeben ist, könnte die EU-DSGVO doch noch Anwendbarkeit finden. Dies ist auch dann der Fall wenn Waren oder Dienstleistungen an Kunden im EU Raum angeboten werden respektive wenn das Verhalten von Personen im EU Raum beobachtet wird.
Nachdem geklärt wurde ob die Anwendbarkeit der EU-DSGVO in einem spezifischen Fall gegeben ist (und wenn diese Frage bejaht werden kann), stellt sich als nächstes die Frage nach den Konsequenzen. Darunter fallen Themen wie welche Personendaten überhaupt verarbeitet werden dürfen (z.B. Prinzip der Zweckgebundenheit), Informationspflichten gegenüber den betroffenen Personen, Recht auf Berichtigung oder Recht auf Löschung. Und da Regeln und Vorschriften ohne Sanktionen bei Verletzung dieser wohl kaum befolgt würden, sind in der EU-DSGVO auch die entsprechenden Sanktionen definiert.
In einem zweiten Teil wurden die Grundlagen des Datenschutzes in der EU vs in der Schweiz miteinander verglichen (EU-DSGVO vs DSG). Dabei ist festzustellen, dass die EU und die Schweiz zunächst zwar von völlig gegensätzlichen Positionen aus starten (EU: grundsätzliches Verbot vs CH: grundsätzliche Erlaubnis). In der konkreten Umsetzung landen beide Vorgehensweisen schlussendlich jedoch auffallend nahe beieinander, nämlich in der Mitte.
Fazit
Neue Regulierungen schaffen in einer ersten Phase eigentlich immer erst einmal Unsicherheit und Extra-Aufwand für einige der Betroffenen. Aber gerade am Beispiel des Datenschutzes zeigt sich, dass sich in diesem augenscheinlichen Übel auch Gutes für die geplagten Unternehmen verbirgt. Statt nur den damit verbundenen Aufwand und die Kosten zu sehen, kann ein Unternehmen diese Situation auch als Chance wahrnehmen den bestehenden „Datensalat“ aufzuräumen und effizienter neuzugestalten. Dadurch schützen sich die Unternehem auch gleich gegen künftige Hackerangriffe. Und wer seine Hausaufgaben besonders gut macht, kann sich durch die neue Regulation auch einen Wettbewerbsvorteil verschaffen.