Was wäre, wenn wir den digitalen Euro einem Datenschutzaudit unterziehen bzw. geht das überhaupt? Dazu skizzieren wir in groben Zügen die Durchführung eines Datenschutzaudits.
Der „digitale Euro“ – ein Überblick
Aktuell steht sog. „Zentralbankgeld“, Guthaben bei der Zentralbank und Bargeld, der Öffentlichkeit nur in Form von Bargeld zur Verfügung. Dies soll sich vermutlich ändern, die Europäische Zentralbank (EZB) untersucht derzeit die Einführung einer digitalen Zentralbankwährung – also einen „digitalen Euro“. Denn die EZB sieht das derzeitige Zahlungsmodell in seiner Ausgestaltung durch die weit verbreitete Nutzung digitaler Zahlungsmittel verdrängt. Nach dem aktuellen Zahlungsmodell („hybrides Zahlungsverkehrsmodell“) stellt die Zentralbank die „monetäre Basis in Form von Zentralbankeinlagen für Banken und Bargeld für die Menschen bereit, und der private Sektor bietet Zahlungslösungen an (z. B. Karten), die auf Geschäftsbankengeld (wie z.B. Einlagen) basieren“ (EZB, Argumente für einen digitalen Euro: Hauptziele und Gestaltungsaspekte, Juli 2022, S. 1). Ein digitaler Euro wäre ein elektronisches Zahlungsmittel, das sich gegenüber Kryptowährungen darin unterscheidet, dass es eins zu eins in Banknoten umgetauscht werden kann. Die Zentralbank steht also hinter dem Bezahlsystem, sodass Ansprüche gegenüber der EZB – anders als beim Einsatz von Krypto-Assets – geltend gemacht werden können. Ob der digitale Euro auf einer dezentralisierten Lösung wie der Distributed Ledger Technology, auf der die Blockchain basiert, oder einer zentralen Technologie laufen soll, ist noch offen.
Derzeit läuft die „Untersuchungsphase“ des Projekts digitaler Euro, die im Oktober 2023 abgeschlossen und auf deren Grundlage entschieden werden soll, ob und wie der digitale Euro eingeführt wird. Mit einer möglichen Einführung wäre nicht vor 2026 zu rechnen. Hier heißt es also: Abwarten und Tee trinken.
Datenschutzrechtliche Relevanz
Damit der Anwendungsbereich der DSGVO eröffnet ist, müssten personenbezogene Daten im Rahmen des Dienstes verarbeitet werden. Wie bei jedem anderen digitalen Dienst, der sich an Verbraucher*innen richtet, werden auch beim Einsatz des digitalen Euro als Zahlungsmittel personenbezogene Daten verarbeitet. Vorliegend stellt sich in datenschutzrechtlicher Hinsicht die Frage, inwieweit die Zahlung bzw. das Zahlungsverhalten der Menschen nachzuverfolgen ist und unter welchen Voraussetzungen eine Datenweitergabe an z. B. staatliche Stellen erfolgt.
Durchführung eines Datenschutzaudits
Voraudit
Zunächst müsste der exakte Geltungsbereich (Scope) bestimmt werden. Da sowohl im Rahmen eines Datenschutzaudits als auch bei der DSGVO-Zertifizierung keine Produkte evaluiert werden, sondern Verarbeitungsvorgänge, wird ein konkreter Datenverarbeitungsvorgang abgestimmt, der auditiert werden soll. Dafür identifizieren wir zunächst, welche konkreten Datenverarbeitungsvorgänge rund um die digitale Währung vorliegen.
Je nach konkreter Ausgestaltung wären dies z. B. (vgl. im Folgenden EZB, FAQ – Häufig gestellte Fragen zum digitalen Euro, Aufruf am 30.07.2022, sowie für weitere Informationen European Central Bank, Report on a digital euro, Oct. 2020)
- der Registrierungsprozess, da Nutzer*innen sich beim ersten Zugriff auf die Dienstleistung vermutlich identifizieren müssen,
- die Zahlungsabwicklungen, bei denen i. d. R. die Nutzeridentität, Daten zur einzelnen Zahlung wie die Höhe des Betrags und Metadaten, z. B. die IP-Adresse, verarbeitet werden oder
- die Verarbeitungsvorgänge rund um den Meldeprozess bei Verdacht auf kriminelle Aktivitäten.
Diese Datenverarbeitungsvorgänge könnten isoliert oder in einem gemeinsamen Audit als Scope festgelegt werden. Im nächsten Schritt müssten die verwendeten und relevanten Standorte der Datenverarbeitungsvorgänge angegeben werden. Im Rahmen dessen findet durch das Auditteam bereits eine Dokumentenprüfung statt.
Site Visit
Im nächsten Schritt findet die Auditierung statt. Dafür werden alle datenschutzrechtlichen Anforderungen identifiziert (Soll-Zustand) und der festgelegte Datenverarbeitungsvorgang (Ist-Zustand) auf Konformität hin überprüft. Folgende relevante Punkte werden geprüft (vgl. hierzu auch EZB, FAQ – Häufig gestellte Fragen zum digitalen Euro, Aufruf am 30.07.2022):
- Zulässigkeit der Datenverarbeitung
Je nach Datenverarbeitungsvorgang könnte die Datenverarbeitung im Rahmen des Registrierungsprozess z. B. zur Vertragsdurchführung notwendig sein (Art. 6 Abs. 1 lit. b DSGVO). Bei Verdacht krimineller Aktivitäten von Zahlungspflichtigen und Zahlungsempfänger*innen könnte die Verpflichtung zur Datenweitergabe aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) bestehen. - Verantwortung des Verantwortlichen
Die verantwortliche Stelle wäre vermutlich die EZB. - Aspekte der Auftragsverarbeitung
Je nachdem, auf welcher Technologie das Zahlungssystem basieren wird oder welche Prozesse an Dritte ausgelagert werden ggf. der Hosting-Anbieter. - Technische und organisatorische Maßnahmen
Als Beispiel nennt die EZB die getrennte Speicherung von Nutzeridentität und Zahlungsdaten, sodass nur zentrale Meldestellen für Finanztransaktionen Informationen erhalten würden, um bei Verdacht auf kriminelle Aktivitäten Zahlungspflichtige und Zahlungsempfänger*innen identifizieren zu können. - Datenschutz-Management
Regelmäßige Durchführung von Datenschutzaudits und Schulung von Mitarbeiter*innen. - Datenverarbeitung im EU-Drittland
Umsetzung der Voraussetzungen aus Art. 44 ff. DSGVO. - Umsetzung von Betroffenenrechten
Nennung einer Kontaktadresse auf der Website, an die sich Betroffene richten können, Ausgestaltung der Informationspflichten etc. - Förderung des Datenschutzes
Der Zahlungsverkehr ist so ausgestaltet, dass nur die tatsächlich erforderlichen Daten verarbeitet werden, soweit wie möglich werden Daten anonymisiert oder pseudonymisiert. Beachtung des Grundsatzes Privacy by Design.
Fazit
Im Ergebnis können Verarbeitungsvorgänge im Rahmen des digitalen Euros einem Datenschutzaudit unterzogen werden. Das ist auch sinnvoll: Sowohl zum Schutz der Betroffenen als auch zur Sicherheit des Zahlungssystems. So muss bspw. das Risiko von Datenzugriffen im Rahmen von Drittlandtransfers bei währungsübergreifenden Zahlungen im Audit genau betrachtet werden. Auch die technischen und organisatorischen Maßnahmen, z. B. gegen einen Identitätsmissbrauch, sind auf den Prüfstand zu stellen. Ein Datenschutzaudit – besser noch eine DSGVO-Zertifizierung – könnte bei den Nutzer*innen einen Vertrauensvorsprung in den digitalen Euro bewirken.
Weitere Beiträge aus dieser Reihe:
- Datenschutzaudit: Wieso, Weshalb, Warum?
- Muss ich ein Datenschutzaudit durchführen?
- Unterschiede und Gemeinsamkeiten: Datenschutzaudit vs. „DSGVO-Zertifikat“