FiDA-Verordnung: Datenraum für die Finanz- und Versicherungsbranche

Was ist die FiDA-Verordnung?

Die FiDA-Verordnung ist ein Rechtsakt der EU, der die bislang fragmentierte Finanzdatenwirtschaft in der Union harmonisieren und die Zurückhaltung hinsichtlich der Nutzung und des Austausches von Finanzdaten durch die Schaffung eines rechtssicheren Rahmens beseitigen möchte.

Zum gegenwärtigen Zeitpunkt ist das Gesetzgebungsverfahren der FiDA-Verordnung noch nicht abgeschlossen. Es ist jedoch davon auszugehen, dass FiDA noch in diesem Jahr verabschiedet und verkündet wird. Während einige Pflichten bereits 18 Monate nach dem Inkrafttreten der Verordnung Geltung erlangen werden, wird der überwiegende Teil jedoch erst nach 24 Monate zur Anwendung kommen. Perspektivisch kann insofern davon ausgegangen werden, dass FiDA frühestens im 2. Halbjahr 2026 bzw. Anfang 2027 Geltung erlangt.

Ziel der FiDA-Verordnung

Mit der FiDA-Verordnung soll ein offener Finanzdatenraum in der EU geschaffen werden. Dieser offene Finanzdatenraum soll den Zugang zu und die Nutzung und Weitergabe von Finanzdaten erleichtern und fördern, um einen offenen und standardisierten Datenaustausch und Datenfluss herzustellen. Dadurch soll das bisher nur wenig oder gar nicht genutzte Potenzial der Finanzdaten nutzbar gemacht werden, um das Angebot von individualisierten Finanzprodukten und -dienstleistungen zu steigern und allgemein den Wettbewerb zu fördern.

Die bestehenden Hindernisse möchte FiDA durch drei Regelungsaspekte begegnen, und zwar indem

• dem Kunden mehr Kontrolle über seine Daten gegeben wird,
• das Verhältnis der Akteure zueinander klaren Regelungen unterliegt und
• technische Standards für den Datenzugang geschaffen werden.

Welche Unternehmen und Daten sind von der FiDA-Verordnung betroffen?

In sachlicher Hinsicht betrifft die FiDA-Verordnung den Zugang zu sowie die Weitergabe und die Nutzung von Kundendaten im Rahmen von Finanzdienstleistungen.

Kundendaten sind personenbezogene und nicht personenbezogene Daten, die von einem Finanzinstitut im Rahmen seiner normalen Geschäftstätigkeit mit Kunden erhoben, gespeichert und anderweitig verarbeitet werden und sowohl Daten, die von Kunden übermittelt werden, als auch Daten, die infolge der Interaktion des Kunden mit dem Finanzinstitut generiert werden, umfassen.

Um welche Daten es sich dabei konkret handelt, stellt Art. 2 Abs. 1 FiDA-Verordnung klar. Es handelt sich dabei um zahlreiche Kategorien aus der Finanz- und Versicherungsbranche.

So werden aus der Finanzbranche bspw. Daten zu Hypotheken, Krediten, Immobilien und Krypto-Investionen und aus der Versicherungsbranche Daten zu Versicherungsanlageprodukten und Altersversorgungsprodukte erfasst. Eine wichtige Ausnahme für die Versicherungsbranche betrifft Daten aus Krankenversicherungsprodukten. Diese werden ausdrücklich nicht erfasst.

In persönlicher Hinsicht ist die FiDA-Verordnung im Wesentlichen an vier Akteure adressiert:

• Kunde: eine natürliche oder juristische Person, die Finanzprodukte und -dienstleistungen in Anspruch nimmt.
• Dateninhaber: ein Finanzinstitut, das kein Kontoinformationsdienst ist und Kundendaten erhebt, speichert und anderweitig verarbeitet.
• Datennutzer: ein Finanzinstitut, das nach Einwilligung des Kunden rechtmäßigen Zugang zu den Kundendaten erhält
• Finanzinformationsdienstleister: ein Datennutzer, der zum Zwecke der Erbringung von Finanzinformationsdienstleistungen berechtigt ist, auf die Kundendaten zuzugreifen.

Dadurch werden im Wesentlichen alle Arten von Finanzinstituten erfasst (z. B. Zahlungs- und Kreditinstitute), aber auch Unternehmen der Versicherungsbranche. So gilt die FiDA-Verordnung auch für Versicherungsunternehmen, Versicherungsvermittler und Einrichtungen der betrieblichen Altersvorsorge.

Die Finanz- und Versicherungsinstitute können sowohl in der Rolle als Dateninhaber als auch als Datennutzer auftreten und dementsprechend nach der FiDA-Verordnung verpflichtet sein.

Was sind die wichtigsten Inhalte der FiDA-Verordnung?

Der regulatorische Rahmen von FiDA ist so ausgestaltet, dass jeweils für das Verhältnis der einzelnen Akteure zueinander Bestimmungen aufgestellt werden.

Hieraus ergeben sich die folgenden Pflichten und Anforderungen:

Anforderungen im Verhältnis Dateninhaber zu den Kunden:

Der Dateninhaber ist gegenüber den Kunden dazu verpflichtet, dem Kunden auf dessen Antrag unverzüglich, unentgeltlich, kontinuierlich und in Echtzeit seine Daten zur Verfügung zu stellen. Zudem muss den Kunden ein Dashboard zur Überwachung und Verwaltung der Zugriffsberechtigung zur Verfügung gestellt werden. Das Dashboard muss den Kunden ein Überblick über alle aktiven Zugriffsberechtigungen geben und dabei unter anderen Angaben über den Namen des Datennutzers, das Kundenkonto, das Finanzprodukt oder -dienstleistung, zu denen Zugang gewährt wurde sowie die Zwecke der Zugriffsberechtigung enthalten.

Anforderungen im Verhältnis Dateninhaber zu den Datennutzern:

Im Verhältnis zu den Datennutzern ist der Dateninhaber verpflichtet auf Antrag des Kunden den Datennutzern die Kundendaten zur Verfügung zu stellen. Wie auch gegenüber den Kunden muss der Zugang unverzüglich, kontinuierlich und in Echtzeit erfolgen. Der Dateninhaber hat dabei dafür Sorge zu tragen, dass ein angemessenen Sicherheitsniveau für die Kommunikation und den Zugang gewährleistet wird. Auch darf den Datennutzern der Zugang nur dann erteilt werden, wenn die Datennutzer einen Nachweis über die Zustimmung des Kunden erbringen.

Anforderungen im Verhältnis Datennutzer zu den Kunden:

Datennutzer dürfen die Daten nur für die vorab festgelegten Zwecke verwenden und nur soweit der Kunde dazu zugestimmt hat - sofern die Daten für die Zwecke nicht mehr erforderlich sind, hat der Datennutzer die Daten zu löschen. Die Zugangsberechtigung kann vom Kunden jederzeit entzogen werden. Der Datennutzer hat zudem angemessene Sicherheitsmaßnahmen zu ergreifen und insbesondere eine unrechtmäßige Weitergabe bzw. einen unrechtmäßigen Zugang zu verhindern.

Weitere Anforderungen

Neben diesen Anforderungen werden Dateninhaber und Datennutzer zudem verpflichtet, Mitglied eines "Systems für den Austausch von Finanzdaten" (Englisch: financial data sharing scheme; FDSS) zu werden. Diese Pflicht muss innerhalb von 18 Monaten nach Inkrafttreten, also sechs Monate vor dem eigentlichen Geltungsbeginn von FiDA, umgesetzt werden. Ein FDSS soll aus einer kollektiven vertraglichen Vereinbarung zwischen Dateninhabern und Datennutzern bestehen und das Ziel verfolgen, Effizienz und technische Innovation beim Austausch von Finanzdaten zum Nutzen der Kunden zu fördern.

Der Datenaustausch erfolgt dann im Einklang mit den selbstauferlegten Regeln und Modalitäten des jeweiligen FDSS. Dabei hat das FDSS zu gewährleisten, dass alle Mitglieder in gleicherweise am Datenaustausch teilnehmen können und fair und gleich behandelt werden. Daneben kann in dem FDSS auch festgelegt werden, unter welchen Umständen und in welcher Höhe der Zugang zu den Kundendaten einer Vergütung unterliegt.

Zu guter Letzt schafft die FiDA-Verordnung mit der Einführung des sogenannten "Finanzinformationsdienstleister" auch ein neues Geschäftsmodell. Dies ermöglicht Unternehmen, die keine Finanzinstitute sind, mit Zustimmung des Kunden Zugriff auf die Kundendaten zu erhalten. Um als Finanzinformationsdienstleister tätig zu werden, bedarf es jedoch der Zulassung durch die zuständige Aufsichtsbehörde.

Die möglichen Geschäftsmodelle, die sich hieraus ergeben können, sind vielfältig. Es ist lediglich erforderlich, dass die Finanzinformationsdienstleister Finanzdienstleistungen erbringen. Denkbar sind etwa Datenanalysen oder Dienstleistungen bzgl. der Finanz- oder Versicherungsberatung oder Entwicklung von Risikomanagement - oder Fraud-Prevention-Systeme.

Was müssen betroffene Unternehmen tun, um sich auf die FiDA-Verordnung vorzubereiten?

Zum gegenwärtigen Zeitpunkt besteht noch keine Pflicht, die Vorgaben der FiDA-Verordnung umzusetzen. Das Gesetzgebungsverfahren ist noch nicht abgeschlossen und auch nach dessen Abschluss besteht noch einige Zeit, die Compliance herzustellen. Dennoch sollte die Vorbereitung und Umsetzung der regulatorischen Anforderungen nicht auf die lange Bank geschoben werden.

Denn die Umsetzung wird Zeit in Anspruch nehmen, insbesondere hinsichtlich der technischen Voraussetzungen. Die Unternehmen sollen sich schon jetzt Maßnahmen zur Umsetzung ausarbeiten und Überprüfen, in welchem Umfang sie über Daten verfügen, die von der FiDA-Verordnung erfasst werden. Ebenso sollte sich mit der Frage beschäftigt werden, in welcher Rolle man tätig sein möchte - anders gesagt: möchte ich als Dateninhaber und / oder als Datennutzer auftreten.

Das frühzeitige Befassen mit FiDA und eine frühzeitige Umsetzung kann für die Unternehmen wesentliche Vorteile mit sich bringen. So können sich die Unternehmen am Markt als Vorreiter präsentieren und sich Wettbewerbsvorteile sichern.

Welche Sanktionen sieht die FiDA-Verordnung vor?

Eine mangelhafte oder gar gänzlich fehlende Umsetzung der Vorgaben sowie die Nichteinhaltung der Pflichten ist bußgeldbewehrt. Die Aufsichtsbehörden können bei Verstößen eine Geldbuße i. H. v. 50.000 EUR pro Verstoß und bis zu einer Gesamthöhe von 500.000 EUR pro Jahr oder bis zu 2% des jährlichen Gesamtumsatzes festlegen.

Überdies können die Aufsichtsbehörden auch Zwangsgelder erlassen, wenn den Anordnungen der Aufsichtsbehörde nicht gefolgt wird - bei juristischen Personen können die Zwangsgelder bis zu 3 % des durchschnittlichen Tagesumsatzes betragen.

Sofern keine anderen Mittel zur Verfügung stehen, um einen Verstoß abzustellen und um ernsthafte Schädigungen für Verbraucher abzuwenden, sind die Aufsichtsbehörde auch befugt, Inhalte von den Online-Schnittstellen zu entfernen oder den Zugang zu beschränken oder sogar gegenüber den Hostinganbietern anzuordnen, dass der Zugang zu der Online-Schnittstelle entfernt, gesperrt oder beschränkt wird.

Wie steht die FiDA-Verordnung im Verhältnis zur DSGVO?

Die Anwendungsbereiche der FiDA-Verordnung und der DSGVO können sich überschneiden. Denn der Begriff der "Kundendaten" erfasst sowohl Daten ohne als auch Daten mit Personenbezug. Folglich stellt sich die Frage nach dem Verhältnis der Verordnungen zueinander.

FiDA stellt insofern klar, dass der Anwendungsbereich der DSGVO durch FiDA nicht berührt wird. Das bedeutet, dass die DSGVO regulär neben den Vorgaben aus FiDA anzuwenden ist. Dies kann in Einzefällen zu einem Spannungsfeld führen. Ist bspw. der Dateninhaber zur Bereitstellung an den Datennutzer nach der FiDA-Verordnung verpflichtet und handelt es sich bei den Kundendaten (auch) um personenbezogene Daten muss der Dateninhaber auch eine datenschutzrechtliche Rechtsgrundlage für die Weitergabe der Daten vorweisen können.

In den Fällen, in denen der Kunde und die betroffene Person identisch sind, bereitet dies grundsätzlich keine wesentlichen Probleme. Rechtsgrundlage für die Datenübertragung an den Datennutzer wird regelmäßig die Einwilligung des Kunden oder die Vertragserfüllung sein (Art. 6 Abs. 1 Buchst. a bzw. b DSGVO).

Schwieriger sind hingegen die Fälle, in denen keine Personenidentität zwischen dem Kunden und der betroffenen Person besteht. Einwilligung und Vertragsdurchführung kommen hier nicht mehr als Rechtsgrundlage in Betracht, da nicht die betroffene Person in die Datenübertragung eingewilligt hat bzw. mit dieser kein Vertrag vorliegt.

Als Rechtsgrundlage bleiben insofern nur noch das berechtigte Interesse aus Art. 6 Abs. 1 Buchst. f DSGVO oder die Erfüllung einer rechtlichen Verpflichtung aus Art. 6 Abs. 1 Buchst. c DSGVO übrig. In diesem Bereich verbleibt ein gewisses Maß an Rechtsunsicherheit und wie diese Fälle künftig zu beurteilen sind, wird sich zeigen.

Bedeutung der FiDA-Verordnung für die Versicherungsbranche

Die Umsetzung der FiDA-Verordnung bedeutet für die betroffenen Unternehmen einen finanziellen und technischen Aufwand - insbesondere das Einrichten und Bereitstellen der Schnittstellen und des Dashboards wird eine Herausforderung darstellen.

Gleichwohl bringt die Verordnung auch erhebliche Vorteile mit sich. Regelmäßig sind die Kundendaten auf verschiedene Systeme verstreut und ein einheitlicher Überblick. Die von FiDA bezweckte Zusammenführung und Zentralisierung dieser Daten ermöglicht es den Versicherungsunternehmen einen vollumfänglichen Einblick zu erhalten und Produkte individuell für die Kunden und anhand ihrer Wünsche zu gestalten. Dadurch kann die Zufriedenheit der Kunden und die Kundenbindung gesteigert werden.

Gesteigert wird dieses Potential mit der Möglichkeit, Daten mit anderen Unternehmen auszutauschen. Durch den Zugang zu Finanzdaten kann ein Versicherungsunternehmen bspw. genauere Risikobewertung und damit einhergehend eine präzisere Prämienkalkulation vornehmen. Allgemein eröffnet sich durch den Datenaustausch und die Kooperation mit anderen Unternehmen eine Vielzahl von neuen Geschäftsmodellen. So können Zahlungs- oder Kreditinstitute etwa mit Versicherungsunternehmen kooperieren, um gemeinsam ein Produkt bzw. eine Dienstleistung entwickeln.

Wenngleich sich das endgültige Potenzial von FiDA erst mit der Zeit zeigen wird, ist der Nutzen einer harmonisierten und standardisierten Finanzdatenwirtschaft nicht kleinzureden.

Wie kann SRD Rechtsanwälte Sie dabei unterstützen?

Wir können Sie bei der Umsetzung der FiDA-Anforderung sowohl in rechtlicher, technischer als auch in strategischer Hinsicht unterstützen. Wir können für Sie klären, welche Rolle Sie nach der FiDA-Verordnung einnehmen, welche Daten erfasst sind und welche Chancen sich für Sie ergeben können. Auch beraten wir Sie gerne zu den Anforderungen einer FDSS, begleiten Sie bei der Mitgliedschaft und unterstützen Sie bei der Ausarbeitung eines Vergütungsmodells.

Zudem können wir Sie bei datenschutzrechtlichen Fragen und Problemstellungen, die sich im Rahmen der Anwendung von FiDA-Verordnung ergeben können, beraten und unterstützen.