eIDAS, PSD2, DSGVO & Co – Der europäische Rechtsrahmen für digitale Identitäten und Kommunikation

Die EU hat in letzten Jahren eine Reihe von Verordnungen und Direktiven auf den Weg gebracht, die gemeinsam und in Wechselwirkung den Rahmen für den digitalen europäischen Wirtschaftsraum mit Fokus auf Identitäsdaten und personenbezogene Daten setzen werden. Einzelne Rahmenwerke werden erst in 2019 in Kraft treten, die kommenden zwei Jahre markieren den schrittweisen Übergang in das avisierte Zielbild.

Einleitung

Der Umgang mit Identitätsdaten und personenbezogenen Daten ist staatlicher Regulierung unterworfen. In den letzten Jahren sind in Europa eine Reihe von Gesetzesinitiativen gestartet worden, die jeweils mit unterschiedlichem Fokus, den Rahmen für digitale Identitätsdienste neu setzen. Die Diskussionsprozesse und Gesetzgebungsverfahren zu den Initiativen zogen sich über mehrere Jahre, die europaweite Umsetzung der beschlossenen Vorgaben wird ebenso einen längeren Zeitraum in Anspruch nehmen. Die ePrivacy-Verordnung befindet sich noch im Gesetzgebungsverfahren. Die nachstehende Grafik gibt einen groben Überblick über das Inkrafttreten der Regelungen.

Übersicht regulatorischer Vorgaben im Bereich e-Identity & Kommunikation

Diese Regulierungen werden einzeln und in Wechselwirkung in den nächsten zwei Jahren maßgeblich neue Rahmenbedingungen für digitale Identitätsdienste in Europa setzen. Die eIDAS setzt den Rahmen für die Interoperabilität von Identitäts- und Vertrauensdiensten mit Blick auf die Nutzung in nationalen Verwaltungsverfahren, schafft damit aber ebenso einen verlässlichen Rahmen für die Anwendung im Wirtschaftsbereich. Die PSD2 öffnet das Onlinebanking für Drittanbieter, auch für den Abruf von Daten zum Kontoinhaber. Ziel der DSGVO und der ePrivacy-Verordnung ist es, den Umgang mit personenbezogenen Daten europaweit einheitlich zu regeln.

eIDAS – Einheitlicher europäischer Rahmen für elektronische Geschäftsprozesse zwischen Behörden und Bürgern und Unternehmen

Die eIDAS-Verordnung (electronic IDentification, Authentication and trust Services) zielt auf die Schaffung eines europaweit belastbaren rechtlichen Umfeldes für sichere und vertrauenswürdige elektronische Geschäftsprozesse im öffentlichen Bereich. Die elektronische Interaktion zwischen Bürgern, Unternehmen und Behörden soll mittels der im September 2014 in Kraft getretenen Verordnung verbessert und grenzüberschreitend ermöglicht werden. Dabei unterscheidet die eIDAS zwei Bereiche: den Bereich der elektronischen Identifizierung und den der elektronischen Vertrauensdienste. Für beide Bereiche wurden bis September 2015 eine Reihe von Durchführungsrechtsakten verabschiedet, die Details der Umsetzung der Identitäts- und Vertrauensdienste regeln. Dazu gehören neben den Mindeststandards für Dienste auch Regelungen für den Informationsaustausch der Länder und die Etablierung des Systems zur Zusammenschaltung der elektronischen Identifizierungssysteme (eIDAS Knoten). Anbieter eIDAS-konformer Dienste müssen sich einer Prüfung durch dedizierte Konformitätsbewertungsstellen unterziehen, um Vertrauensdienste anbieten zu dürfen und in die Liste der nationalen Vertrauensdienstanbieter aufgenommen zu werden. Die Liste wird jeweils von einer nationalen Behörde geführt, für Deutschland obliegt diese Aufgabe der Bundesnetzagentur. Die Trusted List der Trusted Lists (LOTL) gewährt europaweiten Überblick auf alle geprüften und zugelassenen nationalen Anbieter.

Die Regeln der eIDAS für Vertrauensdienste gelten bereits seit dem 01.06.2016. Gemäß eIDAS (Kapitel III Art. 13 – Art. 45) gehören hierzu sowohl elektronische Signaturen, Siegel, Zeitstempel, Validierungs-, Einschreibe-, Zustellungs- und Bewahrungsdienste, als auch Website Authentifizierungsdienste. Artikel 25 der eIDAS stellt qualifizierte elektronische Signaturen (QES) in ihrer Rechtswirkung einer handschriftlichen Unterschrift gleich. Sofern diese auf einem in einem Mitgliedsstaat ausgestellten Zertifikat beruht, ist die Signatur in allen Mitgliedsstaaten anzuerkennen. Wesentlich ist, dass die eIDAS nicht mehr zwingend das Vorhandensein einer Signaturkarte in der Hand des Nutzers erfordert. Signaturen können auch erstellt werden, wenn die Signaturdatei auf sicheren Servern des Vertrauensdiensteanbieters liegt. Dies senkt den Aufwand zur Nutzung einer QES erheblich und macht ihren breiten Einsatz möglich. Alle Hürden sind damit jedoch noch nicht überwunden, die Ausstellung des Zertifikats für eine QES erfordert die Identitätsprüfung des Nutzers in Präsenz oder durch ein elektronisches Identifizierungsmittel auf dem Sicherheitsniveau „substanziell“ oder „hoch“.

EU-Mitgliedsstaaten können elektronische Identifizierungsmittel auf freiwilliger Basis notifizieren. Haben diese Identifizierungsmittel das Notifizierungsverfahren erfolgreich durchlaufen, so sind sie, beginnend mit dem 29. September 2018, spätestens 12 Monate nach Veröffentlichung der Notifizierung in den Verwaltungsverfahren der Mitgliedsstaaten gemäß notifiziertem Vertrauensniveau anzuerkennen. Deutschland war das erste Land, das das Notifizierungsverfahren durchlaufen hat. Die Notifizierung der Online-Ausweisfunktion des Personalausweises und des Aufenthaltstitels auf dem höchstmöglichen Vertrauensniveau wurde am 26.09.2017 im Amtsblatt der EU Kommission veröffentlicht. Italien hat am 24.11.2017 als zweites Land den Antrag auf Prä-Notifizierung des italienischen eID-Schemes SPID (Sistema Pubblico per la gestione dell‘ Identita Digitale) gestellt und befindet sich im Notifizierungsverfahren, dass nicht vor Mai 2018 abgeschlossen sein wird.

Damit die eIDAS die beabsichtigten Effekte auf die Kommunikation zwischen Bürgern und Unternehmen und öffentlichen Verwaltungen entfalten kann, ist eine breite Beteiligung aller Mitgliedsstaaten erforderlich. Jeder Mitgliedsstaat trägt für seine Bürger die Verantwortung für die Förderung und/oder Entwicklung eIDAS-konformer Identitäts- und Vertrauensdienste und für die Digitalisierung der eigenen Verwaltungsverfahren. Ihre Bereitschaft, die Digitalisierung der Verwaltungen auf nationaler Ebene, wie auch auf internationaler Ebene zu fördern, haben die Ministerpräsidenten der EU Mitgliedsländer und der EFTA Länder auf dem Ministertreffen in Tallin bekräftigt. Gemeinsam unterzeichneten sie am 6. Oktober 2017 die „Declaration on eGovernment“. Ausgerichtet an fünf grundlegenden Prinzipien beinhaltet die Deklaration einen Aktionsplan zur Etablierung offener, effizienter, grenzüberschreitend nutzbarer, interoperabler, benutzerfreundlicher, digitaler öffentlicher Services bis 2022. Ob die Deklaration mehr als nur ein politisches Signal ist, wird sich in den nächsten Monaten und Jahren zeigen. Die Deklaration betont ausdrücklich die Bedeutung elektronischer Behördendienste für den digitalen Binnenmarkt und die digitale Innovation und damit auch die wirtschaftliche Entwicklung in den europäischen Ländern.

Novelle der Anti-Geldwäscherichtlinie – Digitalisierung der KYC-Prozesse

Ein besonders enges Wechselspiel besteht zwischen öffentlicher digitaler e-Identity-Infrastruktur und Diensten des Finanzsektors: Die Identifizierung des Kunden ist verpflichtender Bestandteil der Onboarding-Prozesse für Kunden von Finanzinstituten. Insofern ist es nicht verwunderlich, dass der Richtlinienvorschlag für die neue Anti-Geldwäscherichtlinie, auf die sich Vertreter des Europäischen Parlaments, der Europäischen Kommission und des Rates der Mitgliedstaaten im Dezember vergangenen Jahres einigten, explizit auf die Nutzung der elektronischen Identifizierungsmittel gemäß eIDAS für die KYC-Prozesse abstellt. Darüber hinaus wurde eine europäische Expertengruppe ins Leben gerufen, die sich dediziert mit der grenzüberschreitenden Nutzung elektronischer Identifizierungsmittel für KYC-Prozesse beschäftigen soll.

PSD2 – Neue Geschäftsmodelle für Banken und Drittdienstleister

Mit der Nutzung qualifizierter Website-Zertifikate und qualifizierter Siegel zur Identifizierung von Drittdienstleistern (TPP‘s) greift die seit Januar 2018 wirksame zweite Novelle der Payment Service Direktive (PSD2) ebenso auf die durch die eIDAS geschaffenen Strukturen zurück. Die PSD2, welche die Banken verpflichtet auf Kundenwunsch regulierten Drittdienstleistern Zugang zu den von ihnen im Online-Banking geführten Zahlungskonten zu gewähren, ist seit Jahren Gegenstand zahlreicher Diskussionen. Und auch wenn die PSD2 ab Januar in Kraft getreten ist, so ist sie doch noch nicht im vollem Umfang wirksam. Die EBA verfügt über 12 Mandate zur Ausarbeitung von Instrumenten im Rahmen der PSD2, die sich auf technische Standards, Guidelines für das Reporting, das aufzubauende Register, den Verbraucherschutz und weitere Themen beziehen. Mit Inkrafttreten der PSD2 sind drei der Instrumente anwendbar, andere sind noch in der Erstellung oder treten nach einer Übergangsphase in Kraft, für die die EBA im Dezember 2017 Empfehlungen gegeben hat. Die Übergangsphase gilt auch für die intensiv diskutierten technischen Regulierungsstandards (Regulatory Technical Standards – RTS) zur starken Kundenauthentifizierung (strong customer authentifikation – SCA) und sicheren Kommunikation (common and secure communication – CSC). Auf das im August 2016 veröffentlichte Consultation Paper für die RTS on SCA and CSC erhielt die EBA 224 Rückmeldungen – die höchste Zahl an Rückmeldungen, die je in einem derartigen Prozess erzielt wurde. Nach einem intensiven Konsultationsprozess wurde der finale Entwurf der RTS am 27.11.2017 von der EBA an die EU Kommission übergeben. Die RTS werden somit voraussichtlich erst gegen Ende des dritten Quartals 2019 wirksam und Banken gewinnen Zeit zur Anpassung.

In der Diskussion zur PSD2 stehen zwei Themen im Vordergrund: Der Paradigmenwechsel im Banking im Allgemeinen – gemeint ist hier die durch den Druck in Richtung API-Banking beförderte Bildung von Wertschöpfungsnetzwerken im Bereich Financial Services – sowie die Veränderungen im Zahlungsverkehr im Besondern. Der Zahlungsauslösedienste (Payment Initiation Service – PIS) ermöglicht die Initiierung von Zahlungen von online erreichbaren Zahlungsverkehrskonten. Mindestens ebenso relevant sind jedoch die sich aus dem Zugriff auf die Kontodaten (Account Information Service AIS) ergebenden Veränderungen für elektronisch übermittelte verifizierte Identitätsdaten und Transaktionsdaten aus dem Banking. Über den Zugriff auf die Kontoschnittstellen können TPP’s mit Zustimmung der Kunden sowohl Transaktionsdaten, als auch Daten zum Kontoinhaber abrufen, wobei der unter der PSD2 zu ermöglichende Datenabruf auf die im Onlinebanking erreichbaren Daten beschränkt ist. Diese Daten müssen Banken mit Zustimmung des Account-Inhabers ohne Entgelt an TPP’s übermitteln. Angelehnt an etablierte Freemium Modelle, können Banken kostenpflichtige Services anbieten, die diese Daten um weitere Banken-spezifische Daten anreichern und auf Wunsch des Kunden via API an TPPs übermitteln. Mit e-Identifikation, Giropay-ID und identityTM Giro existieren bereits funktional vergleichbare Angebote. Die Möglichkeit der Bereitstellung angereicherter, respektive aufbereiteter Daten bezieht sich auch auf Transaktionsdaten. Hier ist auch das Gegenteil denkbar, Kunden möchten ggf. einem Drittanbieter nicht alle aus den Transaktionsdaten ableitbaren Informationen übermitteln. Die passgenaue Bereitstellung von Daten auf Kundenwunsch bildet für Banken eine direkte Möglichkeit der Monetarisierung und darüber hinaus die Möglichkeit, allein oder gemeinsam mit Kooperationspartnern Services anzubieten, die die Banking-Daten integrieren.

Eine API ist zwar noch kein Geschäftsmodell, die Diskussion um die PSD2-API gibt jedoch Einblick in mögliche Geschäftsmodelle unterschiedlicher Stakeholder. Die PSD2 selbst gibt keinen API-Standard vor und auch die RTS definieren keinen technischen API-Standard. In Reaktion auf die PSD2 sind im Markt eine Reihe von Initiativen entstanden, die einen PSD2-API-Standard entwickeln. Dazu gehören unter anderem die britische Open Banking Initiative, die französische Stet-Gruppe und die Berlin Group, um nur einige zu nennen. Um die PSD2-API wurde in den letzten Monaten vergleichsweise viel diskutiert, wobei die Diskussion sich nicht auf Vor- und Nachteile der vorgeschlagenen Standards ausrichtete, sondern darauf, ob parallel zum Zugriff über die API das bisher von Drittanbietern praktizierte Screen Scraping weiterhin erlaubt sein soll. Die Forderung zur Beibehaltung der Nutzungsmöglichkeit dieser Zugriffsmethode begründen die unter „Future of European Fintech“ zusammengeschlossen Unternehmen damit, dass sie auf Grund ungenügender Verfügbarkeit der Bank-API’s eine Behinderung ihres Zugriffs fürchten. Aus diesem Grund forderten die FinTechs die Fortexistenz des Screen Scrapings mindestens als Fallback-Lösung. Die RTS haben insofern einen Kompromiss entwickelt, als das sie vorsehen, dass Banken von der Pflicht der Bereitstellung einer Fallback-Lösung befreit werden können, wenn ihre API bestimmte Leistungskennzahlen einhält. In diesem Fall darf der Zugriff ausschließlich über die API angeboten werden und Banken und Kunden bleiben im Driver Seat und können den Zugriff auf die Banking-Daten transparent steuern.

Die EU–DSGVO – Strenge Regeln für die Verarbeitung personenbezogener Daten in Europa

Die Datenschutz-Grundverordnung (DSGVO) ist ein wesentlicher Baustein zur Etablierung des digitalen Binnenmarkts. Sie zielt sowohl auf den Schutz personenbezogener Daten, als auch auf die Gewährleistung des freien Datenverkehrs zwischen den Mitgliedsstaaten. Bereits im Januar 2012 legte die Europäische Kommission die ersten Vorschläge für eine Reform des Datenschutzrechtes vor. Die Vorschläge wurden sowohl innerhalb des regulären Gesetzgebungsverfahrens, als auch in Wirtschaft, Wissenschaft und Zivilgesellschaft intensiv diskutiert. Nach Abschluss der Beratungen des ordentlichen Gesetzgebungsverfahrens wurde die DSGVO am 14.04.2016 vom Europäischen Parlament beschlossen und trat am 24. Mai 2016 in Kraft. Nach einer zweijährigen Übergangszeit wird die Verordnung am 25. Mai für Unternehmen und Verwaltungen in allen Mitgliedsländern der EU direkt wirksam.

Allgemeiner Grundsatz zur Verarbeitung personenbezogener Daten bleibt das Verbot mit Erlaubnisvorbehalt – eine Verarbeitung personenbezogener Daten ist also immer nur dann zulässig, wenn eine Einwilligung oder eine in der DSGVO aufgeführte Ausnahme vorliegt. Die DSGVO setzt auf der Struktur und den Grundprinzipien der Vorgängerverordnung auf, erweitert diese jedoch an einigen wesentlichen Stellen. Zu diesen Erweiterungen und Neuerungen gehören unter anderem nachstehende Punkte:

Marktortprinzip (Art. 3)

Die DSGVO gilt für alle Unternehmen, die auf dem europäischen Markt tätig sind. Wesentlich ist dabei nicht der Sitz des Unternehmens oder der Ort der Datenverarbeitung, sondern die Tatsache, dass sich das Angebot auf einen oder mehrere nationale Märkte in der EU richten. Sie gilt damit auch für außereuropäische Unternehmen und sorgt für gleiche Bedingungen für Unternehmen, die Angebote auf dem europäischen Markt anbieten.

Privacy by Design / Privacy by Default (Art. 25)

Die Prinzipien Privacy by Design / Privacy by Default bauen die bisher geltenden Prinzipien der Datenvermeidung und Datensparsamkeit aus und führen ausdrücklich einen „Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen“ ein. Sie stellen damit Anforderungen sowohl an das Design, als auch an die Implementierung von Produkten und Services. Voreinstellungen von Anwendungen dürfen nur auf die für den Zweck notwendigen Daten ausgerichtet sein. Sowohl in der Erfassung, der Verarbeitung, als auch in der Speicherung der Daten sind die Grundsätze zu berücksichtigen.

Verschärfung der Sanktionsmöglichkeiten und Geldbußen (Art. 83)

Verstöße gegen die DSGVO können mit Strafen in Höhe von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet werden; je nachdem, welcher Wert der höhere ist. Die damit deutlich erhöhten finanziellen Risiken zielen darauf, das Gewicht des Datenschutzes zu erhöhen und damit die gelebten Standards zu verbessern.

Meldefristen von Datenschutzvorfällen (Art. 33)

Datenschutzvorfälle sind unverzüglich, möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Sofern der Vorfall einen Auftragsverarbeiter betrifft, muss dieser den Auftraggeber unverzüglich informieren. Über Datenschutzvorfälle sind Aufzeichnungen zu führen, die der Aufsichtsbehörde ermöglichen, die Einhaltung der Bestimmung zu kontrollieren.

Bedingungen für die Einwilligung zur Verarbeitung personenbezogener Daten & Bedingungen für die Einwilligung eines Kindes (Art. 7 und 8)

Verarbeiten Unternehmen persönliche Daten, müssen sie dazu eine ausdrückliche Zustimmung von ihren Kunden besitzen und diese nachweisen können. Eine Zustimmung durch ein Kind gilt nur dann als rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Die Mitgliedstaaten können eine niedrigere Altersgrenze vorsehen, diese darf jedoch das vollendeten dreizehnten Lebensjahr nicht unterschreiten.

Recht auf Löschung und Datenübertragbarkeit (Art. 17 & Art. 20)

Unternehmen müssen zukünftig persönliche Daten auf Wunsch der Betroffenen löschen. Kunden haben darüber hinaus das Recht ihre Daten von einem Dienstleister zu einem anderen mitzunehmen.

Mit den ausgebauten Informations- und Aufzeichnungspflichten, sowie den verschärften Sanktionsmöglichkeiten auf der Unternehmensseite und Stärkung der Nutzerrechte auf der anderen Seite, zielt die DSGVO auf eine verstärkte Aufmerksamkeit für datenschutzrelevante Themen und Standards im Umgang mit personenbezogenen Daten. Die durch Regelungen und/oder Rechtspraxis innerhalb Europas existierenden Unterscheide in der Bewertung von Datenschutzthemen werden beseitigt. An ihre Stelle tritt mit der DSGVO eine europaweit einheitliche Regelung, die einen einheitlichen Rahmen für alle auf dem europäischen Markt aktiven Unternehmen setzt.

ePrivacy-Verordnung – Datenschutz für die digitale Kommunikation

Ziel der ePrivacy-Verordnung ist es, die DSGVO im Bereich der elektronischen Kommunikation zu ergänzen. Bislang ergänzten die Vorschriften der ePrivacy-Richtlinie aus dem Jahr 2002 und der Cookie-Richtlinie aus dem Jahr 2009 die Datenschutzrichtlinie. Mit der Überführung dieser in eine in Europa direkt und einheitlich wirksame Verordnung, die DSGVO, soll auch der Bereich der elektronischen Kommunikation neu und einheitlich geregelt werden, um die Rahmenbedingungen für den digitalen europäischen Binnenmarkt neu zu setzen. Darüber hinaus hat sich die elektronische Kommunikation seit Inkrafttreten der Richtlinien stark verändert. Auch dieser Veränderung soll mit der ePrivacy Rechnung getragen werden.

Für e-Identity-Lösungen ist die ePrivacy-Verordnung von hoher Relevanz, da sie sich speziell auf den Schutz der Daten der elektronischen Kommunikation richtet, also nicht nur die per Telefon, sondern auch die via Internet ausgetauschten Daten betrachtet. Auch für diese Daten soll künftig das Verbot mit Erlaubnisvorbehalt der DSGVO gelten. Die Erfassung und Verarbeitung der Daten muss von einem Ausnahmetatbestand gedeckt oder vom Nutzer explizit erlaubt sein. Das bezieht sich nicht nur auf Cookies, sondern generell auf alle Lösungen zur Identifikation des Nutzers. IT-Lösungen müssen mit datenschutzfreundlichen Grundeinstellungen ausgeliefert werden, Kommunikationsdienste sollen die sichere End-to-End-Verschlüsselung ermöglichen.

Um die Regelungen der ePrivacy-Richtlinie gab es im letzten Jahr intensive Debatten. Während Befürworter strenger Regeln auf die Auswirkungen der Datensammlung und -verarbeitung auf die Privatsphäre, mögliche Diskriminierung (Stichwort Scoring) und Auswirkungen auf gesellschaftliche Meinungsbildungsprozesse verweisen, sehen Kritiker die wirtschaftliche Entwicklung Europas als Ganzes und die einzelner Wirtschaftssektoren im Besonderen gefährdet.

Am 26. Oktober hat das EU Parlament den Entwurf der ePrivacy-Verordnung verabschiedet. Dieser verabschiedete Entwurf kann jedoch in den Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und dem Rat der europäischen Union nochmals Änderungen erfahren. Da sich die Schutzbereiche der DSGVO und der ePrivacy überlappen, sollten ursprünglich beide Verordnungen zur gleichen Zeit wirksam werden. Dieses Ziel wird jedoch nicht mehr erreicht werden: Aktuell wird von einer Wirksamkeit in 2019 ausgegangen.

Fazit

In Europa ist in den letzten Jahren mit der eIDAS, der PSD2, der DSGVO und der ePrivacy-Verordnung die Setzung von einheitlichen europäischen Rahmenbedingungen für den Austausch personenbezogener Daten und Identitätsdaten maßgeblich vorangetrieben worden. Damit setzt Europa ein klares Signal in Richtung einheitlicher und verlässlicher rechtlicher Regelungen für alle europäischen Länder. Die Regelungen werden über den versetzten Begin der Wirksamkeit erst schrittweise ihre volle Wirkung entfalten. Das Fundament zur Entwicklung von Angeboten ist damit jedoch weitestgehend gelegt.

 

Quellen

  1. Amtsblatt der Europäischen Union, Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, abgerufen am 31.01.2018, Link
  2. Europäische Union, Connecting Europe Facility Trusted List Browser, abgerufen am 31.01.2018, Link
  3. Amtsblatt der Europäischen Union vom 26.09.2017, Veröffentlichung über „nach Artikel 9 Absatz 1 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt notifizierte elektronische Identifizierungssysteme“, abgerufen am 31.01.2018, Link
  4. Ministererklärung zu elektronischen Behördendiensten – die Erklärung von Tallinn, abgerufen am 31.01.2018, Link
  5. Vorschlag für eine RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung und zur Änderung der Richtlinie 2009/101/EG, abgerufen am 31.01.2018, Link
  6. Entscheidung der EU Kommission zur Bildung einer Expertengruppe für elektronische Identifizierung und remote KYC-Prozesse, abgerufen am 31.01.2018, Link
  7. European Banking Authority (EBA), Stellungnahme zum Übergang von der PSD1 zur PSD2, abgerufen am 31.01.2018, Link
  8. The Future of European FinTech, Manifesto for the impact of PSD2 on the future of European Fintech, abgerufen am 31.01.2018, Link
  9. European Commission, Directive 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication, abgerufen am 31.01.2018, Link
  10. Amtsblatt der Europäischen Union vom 04.05.2016, VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), abgerufen am 31.01.2018, Link
  11. Das Europäische Parlament, Legislative Observatory, Procedure File zu 2017/0003(COD) “Respect for private life and the protection of personal data in electronic communications”, abgerufen am 31.01.2018, Link

2 Kommentare

  • Markus
    Vielen Dank an die Autoren! Ihr Artikel hat mir einen leichten Einstieg in das Thema verschafft. Intensiv recherchiert, die richtigen Prioritäten gesetzt und leserfreundlich formuliert.

Schreibe einen Kommentar