EUROPÄISCHE KOMMISSION

Brüssel, den 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Vorschlag für eine

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

über einen Rahmen für den Zugang zu Finanzdaten und zur Änderung der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010, (EU) Nr. 1095/2010 und (EU) 2022/2554

(Text von Bedeutung für den EWR)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

BEGRÜNDUNG

1. KONTEXT DES VORSCHLAGS

• Gründe und Ziele des Vorschlags

Um in einer datengesteuerten Wirtschaft im Dienste der Menschen und Unternehmen erfolgreich zu sein, muss Europa ein Gleichgewicht zwischen dem Austausch und der breiten Nutzung von Daten und der Wahrung hoher Datenschutz-, Sicherheits- und Ethik-Standards finden. In der Mitteilung über eine europäische Datenstrategie 1 hat die Kommission dargelegt, wie die Europäische Union (EU) attraktive wirtschaftspolitische Rahmenbedingungen schaffen sollte, damit ihr Anteil an der Datenwirtschaft bis 2030 mindestens ihrem wirtschaftlichen Gewicht entspricht.

Im Finanzbereich hat die Kommission die Förderung eines datengesteuerten Finanzwesens als eine der Prioritäten in ihrer Strategie für ein digitales Finanzwesen aus dem Jahr 2020 2 genannt und ihre Absicht bekundet, einen Legislativvorschlag für einen Rahmen für den Zugang zu Finanzdaten vorzulegen. In ihrer Mitteilung über eine Kapitalmarktunion aus dem Jahr 2021 3 hat die Kommission ihr Bestreben bekräftigt, ihre Arbeit zur Förderung datengesteuerter Finanzdienstleistungen zu beschleunigen. Sie kündigte die Einsetzung der Expertengruppe für den europäischen Finanzdatenraum an, die Beiträge zu einer ersten Reihe von Anwendungsfällen liefern soll. Kürzlich bestätigte Kommissionspräsidentin von der Leyen in ihrer Absichtserklärung zur Lage der Union 2022, dass der Datenzugang im Finanzdienstleistungssektor zu den wichtigsten neuen Initiativen für 2023 gehört.

Derzeit haben Kunden im Finanzsektor in der EU über Zahlungskonten hinaus keine effektive Kontrolle über den Zugang zu ihren Daten und deren Austausch. Datennutzer, d. h. Unternehmen, die auf Kundendaten zugreifen wollen, um innovative Dienstleistungen zu erbringen, haben Schwierigkeiten beim Zugang zu Daten, die sich im Besitz der Dateninhaber befinden, d. h. Finanzinstitute, die diese Kundendaten erheben, speichern und verarbeiten. Infolgedessen haben die Kunden, selbst wenn sie es wünschen, keinen umfassenden Zugang zu datengesteuerten Finanzdienstleistungen und Finanzprodukten. Der begrenzte Zugang zu Daten lässt sich durch eine Reihe miteinander verknüpfter Probleme erklären. Erstens vertrauen die Kunden nicht darauf, dass den potenziellen Risiken des Datenaustauschs begegnet wird, wenn es keine Vorschriften und Instrumente für die Verwaltung von Berechtigungen für den Datenaustausch gibt. Daher stehen sie einem Austausch ihrer Daten häufig zögerlich gegenüber. Zweitens, selbst wenn sie Daten austauschen wollen, gibt es keine oder nur unklare Vorschriften für diesen Austausch. Infolgedessen sind Dateninhaber wie Kreditinstitute, Versicherer und andere Finanzinstitute, die im Besitz von Kundendaten sind, nicht immer verpflichtet, Datennutzern wie etwa FinTech-Unternehmen, d. h. Unternehmen, die Technologien zur Unterstützung oder Erbringung von Finanzdienstleistungen einsetzen, oder Finanzinstituten, die Finanzdienstleistungen erbringen und Finanzprodukte auf der Grundlage des Austauschs von Daten entwickeln, den Zugang zu ihren Daten zu ermöglichen. Drittens wird der Datenaustausch dadurch verteuert, dass sowohl die Daten selbst als auch die technische Infrastruktur nicht standardisiert sind und daher erhebliche Unterschiede aufweisen.

Dieser Vorschlag zielt darauf ab, diese Probleme anzugehen, indem Verbrauchern und Unternehmen eine bessere Kontrolle des Zugangs zu ihren Finanzdaten ermöglicht wird. Dies würde es Verbrauchern und Unternehmen ermöglichen, von Finanzprodukten und ‑dienstleistungen zu profitieren, die auf der Grundlage der für sie relevanten Daten auf ihre Bedürfnisse zugeschnitten sind, wobei inhärente Risiken vermieden werden.

Das allgemeine Ziel dieses Vorschlags besteht darin, die wirtschaftlichen Ergebnisse für Finanzdienstleistungskunden (Verbraucher und Unternehmen) und Unternehmen des Finanzsektors zu verbessern, indem der digitale Wandel gefördert und die Übernahme datengesteuerter Geschäftsmodelle im EU-Finanzsektor beschleunigt wird. Sobald dieses Ziel erreicht ist, könnten die Verbraucher, die dies wünschen, auf personalisierte, datengesteuerte Produkte und Dienstleistungen zugreifen, die ihren spezifischen Bedürfnissen besser entsprechen. Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU), würden einen breiteren Zugang zu Finanzprodukten und ‑dienstleistungen erhalten. Finanzinstitute wären in der Lage, sich die Trends des digitalen Wandels in vollem Umfang zunutze zu machen, während Drittdienstleister von neuen Geschäftsmöglichkeiten im Bereich datengesteuerte Innovation profitieren würden. Verbraucher und Unternehmen erhalten Zugang zu ihren Finanzdaten, damit die Datennutzer maßgeschneiderte Finanzprodukte und ‑dienstleistungen anbieten können, die den Bedürfnissen der Kunden und Unternehmen besser entsprechen.

Der Vorschlag bringt keine Einsparungen bei den Verwaltungskosten mit sich, da es sich um eine neue Rechtsvorschrift handelt, durch die frühere EU-Vorschriften nicht geändert werden. Aus demselben Grund handelt es sich auch nicht um eine Initiative im Rahmen des Programms der Kommission zur Gewährleistung der Effizienz und Leistungsfähigkeit der Rechtsetzung, das darauf ausgerichtet ist, dass die Ziele der EU-Rechtsvorschriften zum Nutzen der Bürgerinnen und Bürger und der Unternehmen zu möglichst geringen Kosten erreicht werden.

• Kohärenz mit den bestehenden Vorschriften in diesem Bereich

Dieser Vorschlag baut auf der überarbeiteten Zahlungsdiensterichtlinie (Payment Services Directive, PSD2) auf, durch die der Austausch von Zahlungskontodaten ermöglicht wurde („Open Banking“). Dieser Vorschlag ermöglicht den Austausch eines breiteren Spektrums von Finanzdienstleistungsdaten und enthält die Vorschriften für den Datenaustausch. Ferner sind in diesem Vorschlag die Vorschriften festgelegt, die für die am Datenaustausch beteiligten Marktteilnehmer gelten.

• Kohärenz mit der Politik der Union in anderen Bereichen

Dieser Vorschlag steht im Einklang mit der Datenschutz-Grundverordnung (DSGVO), in der die allgemeinen Vorschriften für die Verarbeitung personenbezogener Daten betroffener Personen festgelegt sind und durch die der Schutz personenbezogener Daten sowie der freie Verkehr solcher Daten gewährleistet werden.

Der vorliegende Vorschlag ist auch ein sektoraler Baustein, der sich in die umfassendere europäische Datenstrategie einfügt und den Datenaustausch innerhalb des Finanzsektors und mit anderen Sektoren ermöglicht. Er stützt sich auf die in den sektorübergreifenden Initiativen der Kommission dargelegten Grundprinzipien für den Datenzugang und die Datenverarbeitung. Die Verordnung über europäische Daten-Governance zielt darauf ab, das Vertrauen in den Austausch von Daten zu stärken, die nahtlose Vernetzung („Interoperabilität“) zwischen Datenräumen zu verbessern und einen Rahmen für Anbieter von Datenvermittlungsdiensten zu schaffen. Eine weitere sektorübergreifende Initiative ist das Gesetz über digitale Märkte, in dem eine Reihe von datenbezogenen Verpflichtungen festgelegt ist, um der Macht von Torwächter-Plattformen entgegenzuwirken und die Bestreitbarkeit auf den digitalen Märkten zu gewährleisten, etwa indem Finanzinstituten im Namen ihrer Kunden oder bei der Nutzung von zentralen Torwächter-Plattformdiensten der Zugang zu Daten im Besitz von Torwächtern ermöglicht wird. Noch eine weitere sektorübergreifende Initiative ist der Vorschlag für ein Datengesetz 4 zur Festlegung neuer Datenzugangsrechte in Bezug auf Daten des Internets der Dinge, d. h. Daten, die Produkte über ihre Leistung, Nutzung oder Umgebung erlangen, erzeugen oder sammeln, sowohl für Produktnutzer als auch für Anbieter verbundener Dienstleistungen. Darin sind auch allgemeingültige Pflichten für Dateninhaber festgelegt, die nach EU-Recht oder nach nationalen Rechtsvorschriften, die im Einklang mit dem EU-Recht erlassen wurden, verpflichtet sind, Datenempfängern Daten bereitzustellen.

Dieser Vorschlag ergänzt zudem die EU-Strategie für Kleinanleger 5 . Er wird zu dem Ziel beitragen, das Funktionieren des Rahmens für den Schutz von Kleinanlegern zu verbessern, indem Schutzvorkehrungen bei der Nutzung von Kleinanlegerdaten im Finanzdienstleistungssektor vorgesehen werden. Darüber hinaus wird die Einhaltung der Vorschriften über Cybersicherheit und operationale Resilienz im Finanzsektor sichergestellt, wie in der Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA), die am 16. Januar 2023 in Kraft getreten ist, festgelegt.

2. RECHTSGRUNDLAGE, SUBSIDIARITÄT UND VERHÄLTNISMÄẞIGKEIT

• Rechtsgrundlage

Durch den Vertrag über die Arbeitsweise der Europäischen Union (AEUV) wird den EU-Organen die Befugnis übertragen, Vorschriften für die Angleichung der Rechtsvorschriften der Mitgliedstaaten festzulegen, die die Errichtung und das Funktionieren des Binnenmarkts zum Ziel haben (Artikel 114 AEUV). Dazu gehört auch die Befugnis, EU-Rechtsvorschriften zu erlassen, um die Anforderungen an die immer wichtigere Datennutzung für Finanzinstitute anzugleichen, da grenzüberschreitend tätige Finanzinstitute andernfalls mit unterschiedlichen nationalen Anforderungen konfrontiert wären, was die grenzüberschreitende Tätigkeit kostspieliger machen würde. Die Schaffung gemeinsamer Vorschriften für den Datenaustausch im Finanzsektor wird zum Funktionieren des Binnenmarktes beitragen. Durch gemeinsame Vorschriften wird ein harmonisierter Rechtsrahmen für die Finanzdaten-Governance im Einklang mit der europäischen Datenstrategie gewährleistet. Diese Ergebnisse lassen sich am besten durch den Erlass einer Verordnung erreichen, die in den Mitgliedstaaten unmittelbar gilt.

• Subsidiarität (bei nicht ausschließlicher Zuständigkeit)

Die Datenwirtschaft ist ein integraler Bestandteil des Binnenmarkts. Datenströme sind ein Kernstück digitaler Tätigkeiten und spiegeln bestehende Lieferketten und Kooperationen zwischen Unternehmen und Verbrauchern wider. Jede Initiative zur Organisation solcher Datenströme muss für den gesamten Binnenmarkt gelten. Da es sich bei den Dateninhabern im Allgemeinen um zugelassene Finanzinstitute handelt, die einem breiten und detaillierten Regelwerk unterliegen, das größtenteils in unmittelbar anwendbaren Verordnungen und Aufsichtsregelungen niedergelegt ist, deren Konvergenz auf EU-Ebene gewährleistet ist, sind Maßnahmen auf EU-Ebene erforderlich, um gemeinsame Bedingungen zu schaffen und gleiche Wettbewerbsbedingungen für Finanzinstitute zu gewährleisten, damit Marktintegrität, Verbraucherschutz und Finanzstabilität gewahrt bleiben. Ein weiterer Grund für Maßnahmen auf EU-Ebene ist das hohe Maß an Integration im Finanzsektor. Auch sind Finanzinstitute in erheblichem Umfang grenzüberschreitend tätig.

Die in der Folgenabschätzung zu diesem Vorschlag beschriebenen Probleme sind allen EU-Mitgliedstaaten gemein. Für die Regulierung von Finanzdienstleistungen sind die EU und ihre Mitgliedstaaten gemeinsam zuständig. Diese Probleme können nicht von den Mitgliedstaaten allein gelöst werden, da die Inhaber und potenziellen Nutzer von Kundendaten im Finanzsektor häufig in mehreren Mitgliedstaaten tätig sind. Daher kann ein Kunde über Daten verfügen, die sich im Besitz von Finanzinstituten in verschiedenen Mitgliedstaaten befinden. Um das Vertrauen zu stärken und die integrierte Nutzung dieser Daten zu ermöglichen, müssten alle diese Finanzinstitute demselben Rechtsrahmen und denselben technischen Standards unterliegen. Einzelne nationale Vorschriften würden sich überschneidende Anforderungen und unverhältnismäßig hohe Befolgungskosten für Unternehmen zur Folge haben, ohne dass dies für Unternehmen und Verbraucher von Vorteil wäre.

• Verhältnismäßigkeit

Entsprechend dem Grundsatz der Verhältnismäßigkeit geht der vorliegende Vorschlag nicht über das zur Erreichung seiner Ziele erforderliche Maß hinaus. Er deckt nur die Aspekte ab, bei denen der Verwaltungsaufwand und die Kosten in einem angemessenen Verhältnis zu den Zielen stehen, die erreicht werden sollen. Beispielsweise wird die Verhältnismäßigkeit im Hinblick auf Umfang und Strenge sorgfältig festgelegt. Der Vorschlag stützt sich auf qualitative und quantitative Bewertungskriterien, um sicherzustellen, dass die neuen Vorschriften eine breite Wirkung entfalten. In Anhang 5 der beiliegenden Folgenabschätzung wird erläutert, wie bei der Auswahl der Datensätze die Verhältnismäßigkeit gewahrt wurde. In Anhang 8 der beiliegenden Folgenabschätzung werden die Maßnahmen dargelegt, mit denen sichergestellt werden soll, dass die Auswirkungen auf KMU verhältnismäßig sind.

• Wahl des Instruments

Dieser Vorschlag sollte in Form einer Verordnung erlassen werden, die in allen Mitgliedstaaten unmittelbar gilt. Damit soll sichergestellt werden, dass in allen Mitgliedstaaten einheitliche Vorschriften für den Zugang zu und die Verarbeitung von Kundendaten im Finanzdienstleistungssektor gelten.

3. ERGEBNISSE DER EX-POST-BEWERTUNG, DER KONSULTATION DER INTERESSENTRÄGER UND DER FOLGENABSCHÄTZUNG

• Ex-post-Bewertung/Eignungsprüfungen bestehender Rechtsvorschriften

Dieser neue Vorschlag stützt sich nicht auf bestehende Rechtsvorschriften. Er baut auf der durch die Richtlinie (EU) 2015/2366 eingeführten Regelung für Open Banking auf, schafft aber ein neues Recht auf Datenzugang für Datensätze, die bisher von keinem anderen EU-Rechtsrahmen erfasst wurden.

• Konsultation der Interessenträger

Am 10. Mai 2022 veröffentlichte die Europäische Kommission eine Aufforderung zur Stellungnahme zum Zugang zu Finanzdaten. Diese endete am 2. August 2022; es gingen 79 Antworten ein. Die Personen, die in ihrer Eigenschaft als Einzelpersonen geantwortet haben, äußerten Bedenken über den Austausch von Daten in Ermangelung eines Rahmens mit klaren Schutzvorkehrungen (z. B. Datenschutz-Dashboards, klare Abgrenzung des Umfangs des Austauschs und gleiche Bedingungen für die Marktteilnehmer). Die Unternehmen äußerten sich eher positiv, solange angemessene Schutzvorkehrungen getroffen werden. Aus der Aufforderung zur Stellungnahme ging hervor, dass der Zugang zu Finanzdaten bei richtiger Gestaltung positive Auswirkungen haben könnte.

Am 10. Mai 2022 leitete die Europäische Kommission ferner eine gemeinsame öffentliche Konsultation zur Überprüfung der überarbeiteten PSD2 sowie zum Zugang zu Finanzdaten ein. Die öffentliche Konsultation endete am 2. August 2022. Durch die Antworten bezüglich des Zugangs zu Finanzdaten wurden die in der Aufforderung zur Stellungnahme geäußerten Ansichten bestätigt. Während die Mehrheit der befragten breiten Öffentlichkeit den Austausch ihrer Daten auf der Grundlage einer starken Zustimmung/Einwilligung der Verbraucher befürworten würde, wurden einige Bedenken hinsichtlich des Austauschs von Finanzdaten laut. Diesen Bedenken lag ein Mangel an Vertrauen in Fragen der Privatsphäre, des Datenschutzes und der digitalen Sicherheit sowie das allgemeine Gefühl zugrunde, keine Kontrolle darüber zu haben, wie die Daten genutzt werden.

Professionelle Interessenträger (gewerbliche Nutzer, FinTech-Unternehmen, Verbraucherverbände sowie einschlägige Behörden und nationale Regulierungsbehörden) standen dem Datenaustausch eher positiv gegenüber und nannten Vorteile für die Kunden in Form von mehr Wettbewerb und Innovation bei Finanzprodukten und ‑dienstleistungen. Eine erhebliche Minderheit der professionellen Befragten äußerte überdies Bedenken in Bezug auf Wettbewerb, Sicherheit und Datenmissbrauch.

Am 10. Mai 2022 leitete die Kommission außerdem eine gezielte Konsultation zum Zugang zu Finanzdaten und zum Datenaustausch im Finanzsektor ein. Die gezielte Konsultation endete am 5. Juli 2022; es gingen 94 Antworten von professionellen Interessenträgern ein.

Zweck der gezielten Konsultation war die Einholung von Expertenbeiträgen zum Datenaustausch im Finanzsektor. Zu den professionellen Interessenträgern, auf die die Konsultation ausgerichtet war, gehörten Finanzinstitute, Datenanbieter, FinTech-Unternehmen, gewerbliche Nutzer, Verbraucherschutzverbände sowie einschlägige Behörden und nationale Regulierungsbehörden. Insgesamt ging aus den Antworten hervor, dass die Mehrheit der professionellen Befragten die potenziellen Vorteile eines Rechtsrahmens für den Zugang zu Finanzdaten erkennen und daher regulatorische Maßnahmen in einigen Bereichen unterstützen. Die Antworten auf die gezielte Konsultation lassen jedoch darauf schließen, dass die Ansichten der Interessenträger weit auseinandergehen und die Unterstützung der Verbraucher und der Dateninhaber davon abhängt, wie diese Daten zugänglich gemacht und ausgetauscht werden.

• Einholung und Nutzung von Expertenwissen

Am 24. Oktober 2022 ging bei der Kommission ein Bericht der Expertengruppe für den europäischen Finanzdatenraum zum Thema offenes Finanzwesen ein. Die Expertengruppe setzt sich aus Experten aus der Wissenschaft, dem Verbraucherbereich und der Industrie zusammen (einschließlich Banken, Versicherungen, Pensionskassen, Investmentfirmen sowie Drittanbieter und FinTech-Unternehmen). In dem Bericht werden die Schlüsselkomponenten des Ökosystems für ein offenes Finanzwesen aus Sicht der Expertengruppe beschrieben (Datenzugänglichkeit, Datenschutz, Datenstandardisierung, Haftung, gleiche Wettbewerbsbedingungen und Hauptakteure), und es werden Überlegungen zu den einzelnen Elementen angestellt, wobei auch abweichende Ansichten innerhalb der Gruppe dargelegt werden. Zur Veranschaulichung der Herausforderungen und Chancen eines offenen Finanzwesens hat die Expertengruppe mehrere konkrete Anwendungsfälle untersucht, die in dem Bericht ausführlich beschrieben werden. Die Anwendungsfälle und die Ergebnisse des Berichts wurden zur Ausarbeitung dieses Vorschlags herangezogen, insbesondere zur Festlegung, welche Daten in den Anwendungsbereich des Vorschlags aufgenommen werden sollen.

• Folgenabschätzung

Dem Vorschlag liegt eine Folgenabschätzung bei, die dem Ausschuss für Regulierungskontrolle der Kommission am 3. Februar 2023 vorgelegt und von diesem am 3. März 2023 genehmigt wurde. Der Ausschuss für Regulierungskontrolle empfahl Verbesserungen in einigen Bereichen, um die Faktengrundlage zu stärken, das Vertrauen der Kunden und den Schutz schutzbedürftiger Verbraucher stärker in den Fokus zu rücken und die Einschränkungen und Unsicherheiten der Kosten-Nutzen-Analyse für diesen Vorschlag besser zu definieren. Die Folgenabschätzung wurde entsprechend geändert, um den ausführlicheren Erläuterungen des Ausschusses für Regulierungskontrolle Rechnung zu tragen.

Die politischen Optionen wurden auf der Grundlage der Beiträge der Expertengruppe der Kommission für den europäischen Finanzdatenraum und der Rückmeldungen der Interessenträger ausgewählt.

Mehrere der in Betracht gezogenen Optionen hatten die Stärkung des Vertrauens der Kunden in den Datenaustausch, die Klärung der Rechtslage, die Förderung der Standardisierung sowie die Schaffung von Anreizen zum Ziel. Im Hinblick auf das Vertrauen der Kunden umfassten die in Betracht gezogenen Optionen den obligatorischen Einsatz von Dashboards für die Zugriffsberechtigung auf Finanzdaten, die Festlegung von Vorschriften darüber, wer auf Kundendaten zugreifen darf, und die Ergänzung dieser Vorschriften durch andere Schutzvorkehrungen, einschließlich Leitlinien zum Schutz der Verbraucher vor unfairer Behandlung oder der Gefahr eines Ausschlusses.

Um Rechtsklarheit zu schaffen, wurde unter anderem geprüft, inwieweit die Dateninhaber verpflichtet werden könnten, ihre Kundendaten mit den Datennutzer auszutauschen. Dies könnte auf Ersuchen des Kunden obligatorisch erfolgen. Es wurde auch überlegt, welche Arten von Unternehmen zum Datenaustausch verpflichtet werden sollten (Kreditinstitute, Zahlungsdienstleister und andere Arten von Finanzinstituten im gesamten Finanzsektor).

Es wurden mehrere Optionen zur Förderung der Standardisierung von Kundendaten und Schnittstellen in Betracht gezogen. Eine Option bestand darin, dass die Marktteilnehmer im Rahmen von Systemen für den Austausch von Finanzdaten zusammen gemeinsame Standards für Kundendaten und Schnittstellen entwickeln. Es wurde geprüft, ob Marktteilnehmer für den Zugang zu Daten freiwillig oder verpflichtend an einem solchen System teilnehmen sollten. Eine weitere Option war die Entwicklung eines solchen Systems im Wege von delegierten Rechtsakten oder Durchführungsrechtsakten (sog. Stufe-II-Rechtsakte, durch die bestimmte nicht wesentliche Elemente von Basisrechtsakten ergänzt oder geändert werden).

Es wurde eine Reihe von Optionen für die Einrichtung hochwertiger Schnittstellen für den Austausch von Kundendaten geprüft. Eine Option könnte darin bestehen, dass die Dateninhaber verpflichtet werden, Anwendungsprogrammierschnittstellen (application programming interfaces, API) zur Umsetzung der gemeinsamen Standards für Daten und Schnittstellen einzurichten und diese den Datennutzern ohne Vertrag und entgeltfrei zur Verfügung zu stellen. Eine andere Option wäre, die Erhebung eines angemessenen Entgelts für die Einrichtung und Nutzung der Schnittstellen zu erlauben und eine vertragliche Haftung zu vereinbaren.

Nach Ansicht der Kommission ist die bevorzugte Option eine EU-Verordnung zur Schaffung eines Rahmens für den Zugang zu Finanzdaten, der folgende Merkmale aufweist:

· Verpflichtung der Marktteilnehmer, den Kunden Dashboards für die Zugriffsberechtigung auf Finanzdaten zur Verfügung zu stellen, Vorschriften darüber festzulegen, wer auf Kundendaten zugreifen darf, und die Europäischen Aufsichtsbehörden zu ermächtigen, Leitlinien zum Schutz der Verbraucher vor unfairer Behandlung oder der Gefahr eines Ausschlusses herauszugeben ,

· Gewährung des Zugangs für Datennutzer zu ausgewählten Kundendatensätzen im gesamten Finanzsektor, immer vorbehaltlich der Berechtigung durch die Kunden, auf die sich die Daten beziehen,

· Verpflichtung der Marktteilnehmer, im Rahmen von Systemen gemeinsame Standards für Kundendaten sowie Schnittstellen für Daten zu entwickeln, die dem obligatorischen Zugang unterliegen und

· Verpflichtung der Dateninhaber, gegen ein Entgelt API zur Umsetzung der gemeinsamen Standards für Kundendaten und Schnittstellen, die im Rahmen von Systemen entwickelt wurden, einzurichten, sowie die Verpflichtung der Systemteilnehmer, sich auf eine vertragliche Haftung zu einigen.

Die voraussichtliche wirtschaftliche Gesamtauswirkung dieses Vorschlags wären eine Verbesserung des Zugangs zu qualitativ besseren Finanzdienstleistungen und somit eine Verbesserung des Preis-Qualitäts-Verhältnisses insgesamt. Der Zugang zu Finanzdaten würde zu stärker nutzerorientierten Dienstleistungen führen: Personalisierte Dienstleistungen könnten Verbrauchern zugutekommen, die eine Anlageberatung wünschen, und eine automatisierte Kreditwürdigkeitsprüfung dürfte dazu beitragen, den Zugang zu Finanzmitteln für KMU zu erleichtern. Es werden positive Auswirkungen auf die Gesamtwirtschaft erwartet, da es infolge eines wirksameren Wettbewerbs zu einer effizienteren Erbringung von Dienstleistungen kommen wird. Damit diese positiven Auswirkungen zum Tragen kommen, muss jedoch sichergestellt werden, dass die Weiterverwendung von Daten nicht zu wettbewerbswidrigem Verhalten und geheimen Absprachen führt, vor allem, wenn die Einhaltung vertraglicher Regelungen vorgeschrieben ist, und dass insbesondere die Dateninhaber ihre Wettbewerber nicht durch hohe Entgelte für den Zugang zu Daten vom Markt abschotten.

Es ist davon auszugehen, dass der Vorschlag insgesamt positive soziale Auswirkungen haben wird, sofern sich die damit verbundenen Risiken in Grenzen halten. Der Austausch von Kundendaten würde kontrolliert, da er nur auf Ersuchen des Kunden stattfindet – der obligatorische Zugang würde erst dann erfolgen, wenn der Kunde um Austausch seiner Daten ersucht hat. Ein detaillierterer Datenaustausch könnte bisher ausgeschlossenen Nutzern den Zugang zu Finanzmitteln eröffnen. Er könnte gezieltes Sparen und Vorsorgen erleichtern, indem ein umfassender Überblick über private und betriebliche Rentenansprüche sowie über andere Altersvorsorgeleistungen ermöglicht wird. Ohne geeignete Schutzvorkehrungen könnte eine verstärkte Datennutzung in bestimmten Fällen jedoch zu höheren Kosten oder sogar zum weiteren Ausschluss von Kunden mit einem ungünstigen Risikoprofil führen. Besonderes Augenmerk ist auf Dienstleistungen mit inhärenter Risikoteilung wie Versicherungen zu legen. Die bevorzugte Option würde jedoch dazu beitragen, solche Auswirkungen abzuschwächen, da Datensätze, die in Bezug auf wesentliche Finanzdienstleistungen für Verbraucher unmittelbar relevant sind, vom Anwendungsbereich ausgenommen wären und die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority, EIOPA) zum Umfang der Nutzung personenbezogener Daten eine zusätzliche Schutzvorkehrung darstellen würden.

Insgesamt ist davon auszugehen, dass der Zugang zu Finanzdaten neutrale bis positive indirekte Auswirkungen auf die Umwelt haben wird, da die Akzeptanz innovativer Wertpapierdienstleistungen, einschließlich solcher, durch die Investitionen in nachhaltigere Tätigkeiten gelenkt werden, wahrscheinlich gefördert wird. Auch wenn eine intensivere Nutzung von Datenzentren, die mit einer umfassenderen Weiterverwendung von Daten einhergehen würde, möglicherweise einige negative Auswirkungen haben könnte, dürften sich diese in Grenzen halten, da die meisten der von diesem Vorschlag erfassten Daten bereits in digitaler Form vorliegen. Das zusätzliche Verarbeitungsvolumen würde hauptsächlich von den Datennutzern stammen, die auf diese Daten zugreifen.

Angesichts der begrenzten Datenverfügbarkeit und der Art dieses Vorschlags ist es naturgemäß schwierig, quantitative Vorhersagen darüber zu machen, wie er der Wirtschaft insgesamt zugutekommen würde. Ebenso schwierig ist es, die Auswirkungen der einzelnen politischen Maßnahmen von den potenziellen Gesamtauswirkungen abzugrenzen. Während die Kosten der einzelnen politischen Optionen bereits schwer abzuschätzen sind, ist der isolierte Nutzen noch schwieriger zu beurteilen. Es wurde versucht, eine makroökonomische Bewertung des potenziellen Nutzens auf der Grundlage einer Studie auf Makroebene vorzunehmen, deren Ziel es jedoch nicht war, den Nutzen dieses Vorschlags explizit zu quantifizieren. Daher sollten die nachstehend aufgeführten Spannen der Werte eher als Beispiel für den potenziellen Nutzen denn als konkrete Schätzung verstanden werden. Dieser makroökonomischen Bewertung zufolge liegt der jährliche Gesamtnutzen für die EU-Wirtschaft, der sich aus dem verbesserten Zugang zu und dem Austausch von Daten im EU-Finanzsektor ergibt, zwischen 4,6 Mrd. EUR und 12,4 Mrd. EUR, einschließlich der direkten Auswirkungen auf die EU-Finanzdatenwirtschaft in Höhe von 663 Mio. EUR bis 2 Mrd. EUR pro Jahr. Die geschätzten Gesamtkosten des Vorschlags könnten sich auf eine Spanne von 2,2 bis 2,4 Mrd. EUR an einmaligen Kosten und 147 bis 465 Mio. EUR an wiederkehrenden jährlichen Kosten belaufen.

Das digitale Finanzwesen weist zahlreiche Aspekte auf, die dazu beitragen können, die Funktionsweise von Volkswirtschaften zu verbessern und die nachhaltige Entwicklung zu fördern. Der Zugang zu Finanzmitteln ist eine der größten Herausforderungen der nachhaltigen Entwicklung. Es ist zwar kein direktes Ziel des Vorschlags, doch wird durch ein digitales Finanzwesen ein indirekter Beitrag dazu geleistet, integratives und nachhaltiges Wirtschaftswachstum und Beschäftigung zu fördern. Durch ein digitales Finanzwesen kann sozial ausgegrenzten Menschen zu einem besseren Zugang zu Finanzmitteln verholfen werden. Dieser Vorschlag steht im Einklang mit dem Aufbau einer widerstandsfähigen Infrastruktur, der Förderung einer nachhaltigen Industrialisierung und der Unterstützung von Innovation. Er kann wirtschaftliche Wettbewerbskräfte freisetzen, wodurch die Konnektivität im Finanzbereich verbessert wird. Überdies wird der Vorschlag einen Beitrag dazu leisten, den Klimawandel durch gezielte Anlageberatung zu bekämpfen, indem Anleger dabei unterstützt werden, fundiertere Entscheidungen zu treffen, die dazu beitragen können, Kapitalströme in nachhaltige Investitionen zu lenken.

• Effizienz der Rechtsetzung und Vereinfachung

• Grundrechte

4. AUSWIRKUNGEN AUF DEN HAUSHALT

Die Umsetzung dieses Vorschlags hätte keine Auswirkungen auf den Gesamthaushalt der Europäischen Union. Obwohl die Europäischen Aufsichtsbehörden einige Aufgaben wahrnehmen müssen, damit die Rechtsvorschriften ordnungsgemäß umgesetzt werden, fallen die meisten dieser Aufgaben unter ihre bestehenden Mandate, z. B. die Ausarbeitung von Entwürfen für Regulierungs- oder Durchführungsstandards oder Leitlinien für eine bessere Anwendung dieser Verordnung. Darüber hinaus müsste die EBA zwar ein Register mit Informationen etwa über Finanzinformationsdienstleister einrichten, doch die Kosten für die Einrichtung eines solchen Registers wären begrenzt und dürften durch die Kosteneinsparungen gedeckt werden, die sich aus den Synergien und Effizienzgewinnen ergeben, die alle Einrichtungen der Union voraussichtlich erzielen. Umgekehrt würden den Europäischen Aufsichtsbehörden durch die Rechtsvorschriften keine neuen Aufsichts- oder Überwachungsaufgaben übertragen. Daher dürften alle Kosten, die sich aus der Umsetzung der vorgeschlagenen Rechtsvorschriften ergeben, durch den bestehenden Haushalt der Europäischen Aufsichtsbehörden gedeckt werden.

Die Auswirkungen im Hinblick auf die Kosten und die administrative Belastung für die nationalen zuständigen Behörden halten sich in Grenzen. Ihr Umfang und ihre Verteilung werden von der Verpflichtung für Finanzinformationsdienstleister, eine Zulassung bei einer nationalen zuständigen Behörde zu beantragen, sowie von den damit verbundenen Aufsichts- und Überwachungsaufgaben abhängen. Diese Kosten für die nationalen zuständigen Behörden würden teilweise durch die Aufsichtsgebühren ausgeglichen, die die nationalen zuständigen Behörden von Finanzinformationsdienstleistern erheben würden.

Regulierte Finanzinstitute, die bereits über eine Zulassung verfügen, wären von der neuen, durch diesen Vorschlag eingeführten Zulassungsregelung nicht betroffen, und es gäbe keine zusätzlichen aufsichtsrechtlichen Melde-, Zulassungs- oder sonstigen Anforderungen. Für Unternehmen, die eine Zulassung beantragen müssten, werden die Gesamtkosten für die Beantragung einer Zulassung auf etwa 18,5 Mio. EUR geschätzt, angenommen, dass etwa 350 Unternehmen eine Zulassung als Finanzinformationsdienstleister beantragen, um auf Kundendaten zugreifen zu können. Diese Unternehmen müssten auch die Anforderungen der DORA erfüllen und die erforderlichen Cybersicherheitsstandards einführen.

5. WEITERE ANGABEN

• Durchführungspläne sowie Monitoring-, Bewertungs- und Berichterstattungsmodalitäten

Ein Überwachungs- und Bewertungsmechanismus ist notwendig, um sicherzustellen, dass die ergriffenen Regulierungsmaßnahmen wirksam zur Erreichung ihrer Ziele beitragen. Die Kommission wird die Auswirkungen dieser Verordnung bewerten und mit ihrer Überprüfung beauftragt werden (Artikel 31 des Vorschlags).

• Ausführliche Erläuterung einzelner Bestimmungen des Vorschlags

Mit diesem Vorschlag soll ein Rahmen für den Zugang zu und die Nutzung von Kundendaten im Finanzsektor (Zugang zu Finanzdaten) geschaffen werden. „Zugang zu Finanzdaten“ bezeichnet den Zugang zu und die Verarbeitung von Business-to-Business- und Business-to-Customer-Daten (einschließlich Verbraucherdaten) auf Ersuchen des Kunden in einer breiten Palette von Finanzdienstleistungen. Der Vorschlag ist in neun Titel unterteilt.

In Titel I sind der Gegenstand, der Anwendungsbereich und die Begriffsbestimmungen festgelegt. In Artikel 1 heißt es, dass in der Verordnung die Vorschriften festgelegt sind, nach denen bestimmte Kategorien von Kundendaten im Finanzsektor zugänglich gemacht, ausgetauscht und genutzt werden dürfen. Ferner enthält die Verordnung die Anforderungen in Bezug auf den Zugang zu sowie den Austausch und die Nutzung von Daten im Finanzsektor, die jeweiligen Rechte und Pflichten von Datennutzern und Dateninhabern sowie die jeweiligen Rechte und Pflichten von Finanzinformationsdienstleistern in Bezug auf die Erbringung von Informationsdienstleistungen als reguläre berufliche oder gewerbliche Tätigkeit. In Artikel 2 ist der Anwendungsbereich der Verordnung auf bestimmte, erschöpfend beschriebene Datensätze festgelegt, und es werden die Unternehmen aufgeführt, für die diese Verordnung gilt. In Artikel 3 sind die Begriffe und Begriffsbestimmungen festgelegt, die für die Zwecke dieser Verordnung verwendet werden, einschließlich „Dateninhaber“, „Datennutzer“, „Finanzinformationsdienstleister“ usw.

Durch Titel II wird eine rechtliche Verpflichtung für Dateninhaber eingeführt und die Art und Weise geregelt, wie diese Verpflichtung ausgeübt werden sollte. Artikel 4 besagt, dass der Dateninhaber dem Kunden die in den Anwendungsbereich dieser Verordnung fallenden Daten auf Ersuchen zur Verfügung stellen muss. In Artikel 5 ist festgelegt, dass der Kunde das Recht hat zu verlangen, dass der Dateninhaber diese Daten mit einem Datennutzer austauscht. Wenn es sich um personenbezogene Daten handelt, muss dieses Ersuchen gemäß der DSGVO eine gültige Rechtsgrundlage haben, die die Verarbeitung personenbezogener Daten ermöglicht. Durch Artikel 6 werden Datennutzern, die auf Ersuchen des Kunden Daten erhalten, bestimmte Verpflichtungen auferlegt. Es sollte nur Zugang gewährt werden zu Kundendaten, die gemäß Artikel 5 zur Verfügung gestellt werden, und diese Daten sollten nur für die mit dem Kunden vereinbarten Zwecke und zu den mit ihm vereinbarten Bedingungen genutzt werden. Die personalisierten Sicherheitsmerkmale des Kunden sollten nicht für andere Parteien zugänglich sein, und die Daten sollten nicht länger als nötig gespeichert werden.

In Titel III sind die Anforderungen zur Gewährleistung einer verantwortungsvollen Datennutzung und der Datensicherheit festgelegt. Artikel 7 enthält Leitlinien dazu, wie Unternehmen Daten für bestimmte Anwendungsfälle nutzen sollten, sowie Vorkehrungen, um sicherzustellen, dass es aufgrund der Nutzung der Daten zu keiner Diskriminierung oder Einschränkung beim Zugang zu Dienstleistungen kommt. Durch den Artikel wird gewährleistet, dass Kunden, die keine Berechtigung für die Nutzung ihrer Datensätze erteilt haben, der Zugang zu Finanzprodukten nicht allein deshalb verweigert wird. Durch Artikel 8 werden die Dashboards für die Zugriffsberechtigung auf Finanzdaten eingeführt, mit denen sichergestellt werden soll, dass die Kunden die von ihnen erteilten Berechtigungen in Bezug auf ihre Daten überwachen können, indem sie einen Überblick über die von ihnen erteilten Berechtigungen erhalten, neue Berechtigungen erteilen und Berechtigungen gegebenenfalls widerrufen können.

Titel IV enthält die Anforderungen in Bezug auf die Einrichtung und Governance von Systemen für den Austausch von Finanzdaten, deren Ziel es ist, Dateninhaber, Datennutzer und Verbraucherorganisationen zusammenzubringen. Im Rahmen solcher Systeme sollten Daten- und Schnittstellenstandards entwickelt werden, und es sollten die Koordinierungsmechanismen für den Betrieb von Dashboards für die Zugriffsberechtigung auf Finanzdaten sowie ein gemeinsamer standardisierter vertraglicher Rahmen für den Zugang zu bestimmten Datensätzen, die Governance-Vorschriften für diese Systeme, Transparenzanforderungen und Vorschriften über das Entgelt, die Haftung und die Streitbeilegung festgelegt werden. In Artikel 9 ist vorgesehen, dass die Daten, die in den Anwendungsbereich dieser Verordnung fallen, nur den Teilnehmern an einem System für den Austausch von Finanzdaten zur Verfügung gestellt werden dürfen, wodurch die Existenz eines solchen Systems und die Teilnahme daran obligatorisch werden. In Artikel 10 sind die Governance-Verfahren für ein solches System festgelegt, einschließlich der Vorschriften über die vertragliche Haftung der Teilnehmer und des Mechanismus zur außergerichtlichen Streitbeilegung. In Artikel 10 sind zudem die Entwicklung gemeinsamer Standards für den Datenaustausch sowie die Einrichtung technischer Schnittstellen für den Datenaustausch vorgesehen. Solche Datenaustauschsysteme müssen bei den zuständigen Behörden angemeldet werden, für sie muss eine Zulassung für den EU-weiten Betrieb eingeholt werden und zu Transparenzzwecken müssen die Systeme in ein von der EBA zu führendes Register aufgenommen werden. In den Mindestregelungen für ein System für den Austausch von Finanzdaten sollte auch festgelegt sein, dass die Dateninhaber Anspruch haben müssen auf ein Entgelt für die Bereitstellung der Daten an die Datennutzer gemäß den Bedingungen des Systems, an dem beide beteiligt sind. Das Entgelt muss in jedem Fall angemessen sein und auf einer klaren und transparenten Methode beruhen, die zuvor von den Teilnehmern des Systems vereinbart wurde, und sollte zumindest die Kosten widerspiegeln, die für die Bereitstellung einer technischen Schnittstelle zum Austausch der angeforderten Daten anfallen. In Artikel 11 ist festgelegt, dass die Kommission zum Erlass eines delegierten Rechtsakts befugt ist, wenn für eine oder mehrere Kategorien von Kundendaten kein System für den Austausch von Finanzdaten entwickelt wird.

Titel V enthält die Bestimmungen über die Zulassung und die Bedingungen für die Ausübung der Tätigkeit von Finanzinformationsdienstleistern. Diese Anforderungen betreffen den erforderlichen Inhalt eines Antrags (Artikel 12), die Benennung eines gesetzlichen Vertreters (Artikel 13) sowie den Umfang der Zulassung, einschließlich der EU-Zulassung für Finanzinformationsdienstleister (Artikel 14) und des Rechts der zuständigen Behörden, eine Zulassung zu entziehen. In Artikel 15 ist die Einrichtung eines von der EBA zu führenden Registers der Finanzinformationsdienstleister und Datenaustauschsysteme vorgesehen. In Artikel 16 sind die organisatorischen Anforderungen für Finanzinformationsdienstleister festgelegt.

Titel VI enthält Einzelheiten zu den Befugnissen der zuständigen Behörden. Durch Artikel 17 werden die Mitgliedstaaten verpflichtet, zuständige Behörden zu benennen. Artikel 18 enthält detaillierte Bestimmungen zu den Befugnissen der zuständigen Behörden, und in Artikel 19 ist die Befugnis zum Abschluss von Vergleichsvereinbarungen und zur Durchführung beschleunigter Durchsetzungsverfahren vorgesehen. In den Artikeln 20 und 21 sind die Verwaltungssanktionen und sonstigen Verwaltungsmaßnahmen sowie die Zwangsgelder dargelegt, die von den zuständigen Behörden verhängt werden können. In Artikel 22 sind die Umstände dargelegt, die von den zuständigen Behörden bei der Festlegung von Verwaltungssanktionen und sonstigen Verwaltungsmaßnahmen zu berücksichtigen sind. Artikel 23 betrifft das Berufsgeheimnis beim Informationsaustausch zwischen den zuständigen Behörden. Titel VI enthält Vorschriften über das Recht auf Einlegung von Rechtsmitteln (Artikel 24), die Veröffentlichung der verhängten Verwaltungssanktionen und ‑maßnahmen (Artikel 25), den Informationsaustausch zwischen den zuständigen Behörden (Artikel 26) und die Beilegung von Streitigkeiten zwischen ihnen (Artikel 27).

In Titel VII ist für Unternehmen, die von der Niederlassungsfreiheit und dem freien Dienstleistungsverkehr Gebrauch machen, ein Verfahren der Notifizierung an die zuständigen Behörden vorgesehen (Artikel 28), und den zuständigen Behörden wird eine Informationspflicht auferlegt, wenn sie Maßnahmen ergreifen, die eine Einschränkung der Niederlassungsfreiheit bedeuten (Artikel 29).

Titel VIII umfasst die Ausübung der Befugnisübertragung zum Erlass delegierter Rechtsakte der Kommission (Artikel 30), da der Vorschlag selbst eine Befugnis für die Kommission zum Erlass eines delegierten Rechtsakts gemäß Artikel 11 enthält. Dieser Titel enthält auch die Verpflichtung der Kommission, bestimmte Aspekte der Verordnung zu überprüfen (Artikel 31). Die Artikel 32 bis 34 enthalten die notwendigen Änderungen an den Verordnungen zur Einrichtung der Europäischen Aufsichtsbehörden, um diese Verordnung und Finanzinformationsdienstleister in ihren Anwendungsbereich aufzunehmen. Artikel 35 enthält eine Änderung der DORA. Artikel 36 besagt, dass diese Verordnung 24 Monate nach ihrem Inkrafttreten gültig wird, mit Ausnahme von Titel IV (über Systeme), der 18 Monate nach Inkrafttreten der Verordnung gültig wird.

2023/0205 (COD)

Vorschlag für eine

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

über einen Rahmen für den Zugang zu Finanzdaten und zur Änderung der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010, (EU) Nr. 1095/2010 und (EU) 2022/2554

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses 6 ,

gemäß dem ordentlichen Gesetzgebungsverfahren,

in Erwägung nachstehender Gründe:

(1) Eine verantwortungsvolle Datenwirtschaft, die durch die Erzeugung und Nutzung von Daten angetrieben wird, ist ein integraler Bestandteil des Binnenmarkts der Union, der sowohl den Bürgerinnen und Bürgern als auch der Wirtschaft der Union Vorteile bringen kann. Digitale, datengestützte Technologien treiben zunehmend den Wandel auf den Finanzmärkten voran, indem sie neue Geschäftsmodelle, Produkte sowie Möglichkeiten für Unternehmen schaffen, mit Kunden in Kontakt zu treten.

(2) Die Kunden von Finanzinstituten, sowohl Verbraucher als auch Unternehmen, sollten über eine effektive Kontrolle über ihre Finanzdaten verfügen und die Möglichkeit haben, von offenen, fairen und sicheren datengesteuerten Innovationen im Finanzsektor zu profitieren. Diese Kunden sollten selbst entscheiden können, wie und von wem ihre Finanzdaten genutzt werden, und sie sollten die Möglichkeit haben, Unternehmen auf ihren Wunsch Zugang zu ihren Daten zu gewähren, um Finanz- und Informationsdienstleistungen in Anspruch zu nehmen.

(3) Die Union hat ein erklärtes politisches Interesse daran, Kunden von Finanzinstituten den Zugang zu ihren Finanzdaten zu ermöglichen. In ihrer Mitteilung über eine Strategie für ein digitales Finanzwesen und in ihrer 2021 verabschiedeten Mitteilung über eine Kapitalmarktunion bestätigte die Kommission ihre Absicht, einen Rahmen für den Zugang zu Finanzdaten zu schaffen, um die Vorteile des Datenaustauschs im Finanzsektor für die Kunden zu nutzen. Zu diesen Vorteilen gehört die Entwicklung und Bereitstellung von datengesteuerten Finanzprodukten und Finanzdienstleistungen, die durch den Austausch von Kundendaten ermöglicht werden.

(4) Im Finanzdienstleistungssektor und infolge der überarbeiteten Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates 7 hat der Austausch von Zahlungskontodaten in der Union auf der Grundlage der Berechtigung durch die Kunden begonnen, die Art und Weise zu verändern, wie Verbraucher und Unternehmen Bankdienstleistungen nutzen. Um auf den Maßnahmen der genannten Richtlinie aufzubauen, sollte ein Rechtsrahmen für den Austausch von Kundendaten im Finanzsektor über Zahlungskontodaten hinaus geschaffen werden. Dies sollte auch ein Baustein für die vollständige Integration des Finanzsektors in die Datenstrategie der Kommission 8 sein, durch die der sektorübergreifende Datenaustausch gefördert wird.

(5) Um einen gut funktionierenden und wirksamen Rahmen für den Datenaustausch im Finanzsektor zu schaffen, müssen die Kontrolle und das Vertrauen der Kunden gewährleistet sein. Die Gewährleistung einer effektiven Kontrolle der Kunden über den Datenaustausch trägt zur Innovation sowie zum Vertrauen der Kunden in den Austausch von Daten bei. Eine effektive Kontrolle hilft daher, die Zurückhaltung der Kunden bezüglich des Austauschs ihrer Daten zu überwinden. Nach dem derzeitigen Unionsrahmen ist das Recht einer betroffenen Person auf Datenübertragbarkeit gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 9 auf personenbezogene Daten beschränkt und kann nur dann geltend gemacht werden, wenn die Datenübertragung technisch machbar ist. Kundendaten und technische Schnittstellen im Finanzsektor, die über Zahlungskonten hinausgehen, sind nicht standardisiert, was den Datenaustausch kostspieliger macht. Außerdem sind die Finanzinstitute gesetzlich nur verpflichtet, die Zahlungsdaten ihrer Kunden zur Verfügung zu stellen.

(6) Die Finanzdatenwirtschaft der Union ist daher nach wie vor fragmentiert und durch einen uneinheitlichen Datenaustausch, Hindernisse und eine große Zurückhaltung der Interessenträger bezüglich des Austauschs von Daten über Zahlungskonten hinaus gekennzeichnet. Entsprechend profitieren die Kunden nicht von individualisierten, datengesteuerten Produkten und Dienstleistungen, die ihren spezifischen Bedürfnissen entsprechen könnten. Durch den Mangel an personalisierten Finanzprodukten werden die Möglichkeiten für Innovationen eingeschränkt, die interessierten Verbrauchern eine größere Auswahl und mehr Finanzprodukte und ‑ dienstleistungen bieten würden; diese könnten dann von datengesteuerten Instrumenten profitieren, die sie dabei unterstützen können, fundierte Entscheidungen zu treffen, Angebote auf benutzerfreundliche Weise zu vergleichen und zu vorteilhafteren Produkten zu wechseln, die ihren Präferenzen auf der Grundlage ihrer Daten entsprechen. Durch die bestehenden Hindernisse für den Austausch von Geschäftsdaten werden Unternehmen, insbesondere KMU, davon abgehalten, von besseren, bequemeren und automatisierten Finanzdienstleistungen zu profitieren.

(7) Die Bereitstellung von Daten im Wege hochwertiger Anwendungsprogrammierschnittstellen ist eine wesentliche Voraussetzung für einen nahtlosen und wirksamen Datenzugang. Über den Bereich Zahlungskonten hinaus gibt jedoch nur eine Minderheit der Finanzinstitute, die Dateninhaber sind, an, dass sie Daten über technische Schnittstellen wie Anwendungsprogrammierschnittstellen zur Verfügung stellen. Da es keine Anreize für die Entwicklung solcher innovativer Dienstleistungen gibt, ist die Nachfrage nach Datenzugang auf dem Markt nach wie vor begrenzt.

(8) Daher bedarf es auf Unionsebene eines speziellen und harmonisierten Rahmens für den Zugang zu Finanzdaten, um den Bedürfnissen der digitalen Wirtschaft gerecht zu werden und Hindernisse für einen gut funktionierenden Binnenmarkt für Daten zu beseitigen. Um diese Hindernisse zu beseitigen, einen besseren Zugang zu Kundendaten zu fördern und damit Verbrauchern und Unternehmen die Möglichkeit zu geben, die Vorteile besserer Finanzprodukte und ‑ dienstleistungen zu nutzen, sind besondere Vorschriften erforderlich. Ein datengesteuertes Finanzwesen würde der Branche den Übergang von der traditionellen Bereitstellung standardisierter Produkte zu maßgeschneiderten Lösungen erleichtern, die besser auf die spezifischen Bedürfnisse der Kunden zugeschnitten sind, einschließlich verbesserter Schnittstellen auf Kundenseite, die den Wettbewerb fördern, das Nutzererlebnis verbessern und Finanzdienstleistungen gewährleisten, die auf den Kunden als Endnutzer ausgerichtet sind.

(9) Die in den Anwendungsbereich dieser Verordnung fallenden Daten sollten einen hohen Mehrwert für Innovationen im Finanzsektor und ein geringes Risiko der finanziellen Ausgrenzung von Verbrauchern aufweisen. Diese Verordnung sollte daher nicht für Daten im Zusammenhang mit der Krankenversicherung eines Verbrauchers gemäß der Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates 10 sowie für Daten über Lebensversicherungsprodukte eines Verbrauchers gemäß der Richtlinie 2009/138/EG gelten, ausgenommen Lebensversicherungsverträge, die durch Versicherungsanlageprodukte abgedeckt sind. Diese Verordnung sollte auch nicht für Daten gelten, die im Rahmen einer Kreditwürdigkeitsprüfung eines Verbrauchers erhoben werden . Beim Austausch von Kundendaten im Rahmen dieser Verordnung sollte der Schutz von vertraulichen Geschäftsdaten und Geschäftsgeheimnissen gewahrt werden.

(10) Der Austausch von Kundendaten im Rahmen dieser Verordnung sollte auf der Berechtigung durch den Kunden beruhen. Die rechtliche Verpflichtung der Dateninhaber zum Austausch von Kundendaten sollte zum Tragen kommen, sobald der Kunde um Austausch seiner Daten mit einem Datennutzer ersucht hat. Dieses Ersuchen kann von einem Datennutzer gestellt werden, der im Namen des Kunden handelt. Wenn es um die Verarbeitung personenbezogener Daten geht, sollte der Datennutzer eine gültige Rechtsgrundlage für die Verarbeitung gemäß der Verordnung (EU) 2016/679 vorweisen können. Die Kundendaten können für die vereinbarten Zwecke im Rahmen der erbrachten Dienstleistung verarbeitet werden. Bei der Verarbeitung personenbezogener Daten sind die Grundsätze des Schutzes personenbezogener Daten, einschließlich Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung und Datenminimierung, zu achten. Ein Kunde hat das Recht, die einem Datennutzer erteilte Berechtigung zu widerrufen. Wenn die Datenverarbeitung für die Erfüllung eines Vertrags erforderlich ist, sollte der Kunde die Möglichkeit haben, die Berechtigung gemäß den vertraglichen Verpflichtungen, die die betroffene Person eingegangen ist, zu widerrufen. Wenn die Verarbeitung personenbezogener Daten auf einer Einwilligung beruht, hat die betroffene Person gemäß der Verordnung (EU) 2016/679 das Recht, ihre Einwilligung jederzeit zu widerrufen.

(11) Wenn Kunden ihre Daten über ihre laufenden Anlagen austauschen können, kann dies Innovationen bei der Erbringung von Anlagedienstleistungen für Kleinanleger fördern. Die Primärdatenerhebung zur Beurteilung der Eignung und Angemessenheit eines Kleinanlegers ist für den Kunden zeitintensiv und stellt für Berater und Vertriebsstellen von Anlage-, Renten- und Versicherungsanlageprodukten einen erheblichen Kostenfaktor dar. Der Austausch von Kundendaten über Ersparnisse und Anlagen in Finanzinstrumenten, einschließlich Versicherungsanlageprodukten, sowie von Daten, die für Beurteilungen der Geeignetheit und der Angemessenheit erhoben werden, kann die Anlageberatung für die Verbraucher verbessern und birgt ein hohes Innovationspotenzial, unter anderem in Bezug auf die Entwicklung einer personalisierten Anlageberatung und von Anlageverwaltungsinstrumenten, die die Anlageberatung für Privatkunden effizienter machen können. Derartige Verwaltungsinstrumente werden bereits auf dem Markt entwickelt und können sich noch wirksamer weiterentwickeln, wenn ein Kunde anlagebezogene Daten austauschen kann.

(12) Kundendaten über die Bilanz, Konditionen oder Transaktionen im Zusammenhang mit Hypotheken, Darlehen und Ersparnissen können es den Kunden ermöglichen, einen besseren Überblick über ihre Einlagen zu erhalten und ihren Sparbedarf auf der Grundlage von Kreditdaten besser zu decken. Diese Verordnung sollte sich auf Kundendaten erstrecken, die über Zahlungskonten im Sinne der Richtlinie (EU) 2015/2366 hinausgehen. Kreditkonten, für die eine Kreditlinie besteht und die nicht für die Ausführung von Zahlungsvorgängen an Dritte genutzt werden können, sollten in den Anwendungsbereich dieser Verordnung fallen. Es sollte daher davon ausgegangen werden, dass diese Verordnung den Zugang zu Daten über die Bilanz, Konditionen oder Transaktionen im Zusammenhang mit Hypothekarkreditverträgen, Darlehen und Sparkonten sowie die Arten von Konten, die nicht in den Anwendungsbereich der Richtlinie (EU) 2015/2366 11 fallen, abdeckt.

(13) Die in den Anwendungsbereich dieser Verordnung fallenden Kundendaten sollten nachhaltigkeitsbezogene Informationen umfassen, die es den Kunden im Einklang mit der Strategie der Kommission zur Finanzierung einer nachhaltigen Wirtschaft 12 ermöglichen sollten, leichter Zugang zu Finanzdienstleistungen zu erhalten, die ihren Nachhaltigkeitspräferenzen und ihrem Bedarf an nachhaltiger Finanzierung entsprechen. Der Zugang zu Nachhaltigkeitsdaten, die in den Bilanz- oder Transaktionsdaten im Zusammenhang mit einem Hypotheken-, Kredit-, Darlehens- oder Sparkonto enthalten sein können, sowie der Zugang zu Nachhaltigkeitsdaten des Kunden im Besitz von Wertpapierfirmen können dazu beitragen, den Zugang zu Daten zu erleichtern, die für den Zugang zu nachhaltiger Finanzierung oder für Investitionen in den grünen Wandel benötigt werden. Darüber hinaus sollten die in den Anwendungsbereich dieser Verordnung fallenden Kundendaten auch Daten umfassen, die Teil einer Kreditwürdigkeitsprüfung von Unternehmen, einschließlich KMU, sind und die einen besseren Einblick in die Nachhaltigkeitsziele kleiner Unternehmen geben können. Durch die Einbeziehung von Daten, die für die Kreditwürdigkeitsprüfung von Unternehmen herangezogen werden, dürfte der Zugang zu Finanzmitteln verbessert und die Beantragung von Darlehen vereinfacht werden. Diese Daten sollten auf Daten über Unternehmen beschränkt sein und keine Rechte an geistigem Eigentum verletzen.

(14) Kundendaten im Zusammenhang mit der Erbringung von Nichtlebensversicherungen sind unerlässlich, um Versicherungsprodukte und ‑ dienstleistungen zu ermöglichen, die für die Bedürfnisse der Kunden wie den Schutz von Wohnungen bzw. Häusern, Fahrzeugen und anderem Eigentum wichtig sind. Gleichzeitig ist die Erhebung solcher Daten oftmals aufwendig und kostspielig und kann die Kunden davon abhalten, einen optimalen Versicherungsschutz anzustreben. Um dieses Problem anzugehen, müssen solche Finanzdienstleistungen daher in den Anwendungsbereich dieser Verordnung aufgenommen werden. Kundendaten über Versicherungsprodukte, die in den Anwendungsbereich dieser Verordnung fallen, sollten sowohl Informationen über das Versicherungsprodukt, z. B. Einzelheiten über den Versicherungsschutz, als auch spezifische Daten über die versicherten Vermögenswerte des Verbrauchers umfassen, die für die Zwecke eines Wunsch- und Bedürfnistests erhoben werden. Der Austausch solcher Daten sollte die Entwicklung personalisierter Instrumente für die Kunden ermöglichen, z. B. Dashboards für Versicherungen, die den Verbrauchern helfen könnten, ihre Risiken besser zu steuern. Er könnte auch dazu beitragen, dass die Kunden Produkte erhalten, die besser auf ihre Anforderungen und Bedürfnisse zugeschnitten sind, unter anderem durch eine bessere Beratung. Dies kann zu einem optimierten Versicherungsschutz für die Kunden und zu einer stärkeren finanziellen Inklusion von ansonsten unterversorgten Verbrauchern beitragen, indem ein neuer oder erweiterter Versicherungsschutz angeboten wird. Darüber hinaus kann der Austausch von Versicherungsdaten zu einer effizienteren Bereitstellung von Versicherungen beitragen, insbesondere in den Phasen der Produktgestaltung, der Übernahme und der Vertragsabwicklung, einschließlich Schadenmanagement und Risikominderung.

(15) Der Austausch von Daten über betriebliche und private Altersvorsorge birgt ein hohes Innovationspotenzial für die Verbraucher. Vorsorgesparer wissen oft nicht ausreichend über ihre Rentenansprüche Bescheid, was damit zusammenhängt, dass die Daten über diese Ansprüche oft auf verschiedene Dateninhaber verteilt sind. Der Austausch von Daten im Zusammenhang mit der betrieblichen und privaten Altersvorsorge dürfte zur Entwicklung von Instrumenten zur Pensions- und Rentenaufzeichnung beitragen, die den Sparern einen umfassenden Überblick über ihre Ansprüche und ihr Renteneinkommen sowohl innerhalb einzelner Mitgliedstaaten als auch grenzüberschreitend in der Union bieten. Die Daten über Rentenansprüche betreffen insbesondere die erworbenen Rentenansprüche, die voraussichtliche Höhe der Altersversorgungsleistungen sowie die Risiken und Garantien von Versorgungsanwärtern und Leistungsempfängern betrieblicher Altersversorgungssysteme. Der Zugang zu Daten im Zusammenhang mit der betrieblichen Altersversorgung erfolgt unbeschadet der nationalen sozial- und arbeitsrechtlichen Vorschriften über die Gestaltung der Altersversorgungssysteme, einschließlich der Mitgliedschaft in Systemen und der Ergebnisse von Tarifvereinbarungen.

(16) Daten für die Kreditwürdigkeitsprüfung von Unternehmens im Rahmen dieser Verordnung sollten Informationen umfassen, die ein Unternehmen Instituten und Kreditgebern im Rahmen des Kreditantragsverfahrens oder der Anforderung eines Ratings zur Verfügung stellt. Dies schließt Kreditanträge von Kleinstunternehmen sowie kleinen, mittleren und großen Unternehmen ein. Dazu können Daten zählen, die von Instituten und Kreditgebern gemäß Anhang II der Leitlinien der EBA bezüglich der Herkunft und Überwachung von Darlehen 13 erhoben werden. Zu diesen Daten können Jahresabschlüsse und Prognosen, Informationen über finanzielle Verbindlichkeiten und Zahlungsrückstände, Eigentumsnachweise für die Sicherheit, Nachweise für die Versicherung der Sicherheit und Informationen über Garantien gehören. Zusätzliche Daten können relevant sein, wenn sich der Zweck des Kreditantrags auf den Erwerb von Gewerbeimmobilien oder die Entwicklung von Immobilien bezieht.

(17) Da Finanzinstitute durch diese Verordnung verpflichtet werden sollen, auf Ersuchen des Kunden Zugang zu bestimmten Kategorien von Daten zu gewähren, wenn sie als Dateninhaber auftreten, und den Austausch von Daten auf der Grundlage der durch den Kunden erteilten Berechtigung zu ermöglichen, wenn sie als Datennutzer auftreten, sollte die Verordnung eine Liste der Finanzinstitute enthalten, die entweder als Dateninhaber, als Datennutzer oder als beides auftreten können. Finanzinstitute sollten daher als Einrichtungen verstanden werden, die Finanzprodukte und Finanzdienstleistungen anbieten oder einschlägige Informationsdienstleistungen für Kunden im Finanzsektor erbringen.

(18) Die von den Datennutzern angewandten Verfahren zur Kombination neuer und traditioneller Kundendatenquellen im Rahmen dieser Verordnung müssen verhältnismäßig sein, um sicherzustellen, dass sie nicht zu finanziellen Ausschlussrisiken für Verbraucher führen. Verfahren, die zu einer differenzierteren oder umfassenderen Analyse bestimmter schutzbedürftiger Verbrauchersegmente, z. B. Personen mit geringem Einkommen, führen, können das Risiko unfairer Bedingungen oder differenzierter Preisbildungspraktiken , darunter die Erhebung unterschiedlicher Prämien, erhöhen. Das Ausschlusspotenzial erhöht sich bei der Bereitstellung von Produkten und Dienstleistungen, deren Preise sich nach dem Profil eines Verbrauchers richten, insbesondere bei der Kreditpunktebewertung und der Kreditwürdigkeitsprüfung natürlicher Personen sowie bei Produkten und Dienstleistungen im Zusammenhang mit der Risikobewertung und der Preisgestaltung für natürliche Personen im Falle von Lebens- und Krankenversicherungen. Angesichts der Risiken sollte die Nutzung von Daten für diese Produkte und Dienstleistungen besonderen Anforderungen unterliegen, um die Verbraucher und ihre Grundrechte zu schützen.

(19) Der in dieser Verordnung und den beiliegenden Leitlinien (im Folgenden „Leitlinien“) der EBA und der EIOPA festgelegte Umfang der Datennutzung dürfte einen verhältnismäßigen Rahmen für die Nutzung personenbezogener Verbraucherdaten bilden, die in den Anwendungsbereich dieser Verordnung fallen. Durch die Begrenzungen der Datennutzung wird die Kohärenz zwischen dem Anwendungsbereich dieser Verordnung, von dem Daten für die Kreditwürdigkeitsprüfung eines Verbrauchers sowie Daten im Zusammenhang mit der Lebens-, Kranken- und Unfallversicherung eines Verbrauchers ausgeschlossen sind, und dem Anwendungsbereich der Leitlinien gewährleistet, die Empfehlungen dazu enthalten, wie Arten von Daten aus anderen Bereichen des Finanzsektors, die in den Anwendungsbereich dieser Verordnung fallen, für die Bereitstellung dieser Produkte und Dienstleistungen genutzt werden können. In den Leitlinien der EBA sollte dargelegt werden, wie andere Arten von Daten, die in den Anwendungsbereich dieser Verordnung fallen, zur Kreditpunktebewertung eines Verbrauchers genutzt werden können. In den Leitlinien der EIOPA sollte dargelegt werden, wie die Daten, die in den Anwendungsbereich dieser Verordnung fallen, für Produkte und Dienstleistungen im Zusammenhang mit der Risikobewertung und der Preisgestaltung bei Lebens-, Kranken- und Unfallversicherungsprodukten genutzt werden können. Die Leitlinien sollten so ausgearbeitet werden, dass sie den Bedürfnissen der Verbraucher entsprechen und in einem angemessenen Verhältnis zur Bereitstellung solcher Produkte und Dienstleistungen stehen.

(20) Bei der Ausarbeitung der Leitlinien, die auf den bestehenden Empfehlungen zur Nutzung von Verbraucherinformationen im Bereich Verbraucher- und Hypothekarkredite aufbauen sollten, insbesondere auf den Vorschriften für die Kreditwürdigkeitsprüfung gemäß der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates, den gemäß der Richtlinie 2014/17/EU ausgearbeiteten Leitlinien der EBA bezüglich der Herkunft und Überwachung von Darlehen bzw. bezüglich der Kreditwürdigkeitsprüfung sowie den Leitlinien des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten, sollten die EBA und die EIOPA eng mit dem Europäischen Datenschutzausschuss zusammenarbeiten.

(21) Die Kunden müssen über eine effektive Kontrolle über ihre Daten verfügen und Vertrauen in die Verwaltung der von ihnen erteilten Berechtigungen gemäß dieser Verordnung haben. Die Dateninhaber sollten daher verpflichtet werden, ihren Kunden einheitliche und kohärente Dashboards für die Zugriffsberechtigung auf Finanzdaten zur Verfügung zu stellen. Die Dashboards für Zugriffsberechtigungen sollten es den Kunden ermöglichen, ihre Berechtigungen auf informierte und unparteiische Weise zu verwalten, und ihnen ein hohes Maß an Kontrolle darüber geben, wie ihre personenbezogenen und nicht personenbezogenen Daten genutzt werden. Sie sollten nicht so gestaltet sein, dass der Kunde dazu ermutigt oder ungebührlich dahin gehend beeinflusst wird, Berechtigungen zu erteilen oder zu widerrufen. Die Dashboards für Zugriffsberechtigungen sollten gegebenenfalls den Barrierefreiheitsanforderungen gemäß der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates 14 entsprechen. Bei der Bereitstellung von Dashboards für Zugriffsberechtigungen könnten die Dateninhaber einen angemeldeten elektronischen Identifizierungs- und Vertrauensdienst nutzen, z. B. in Form einer von einem Mitgliedstaat ausgestellten Brieftasche für die europäische digitale Identität, wie sie mit dem Vorschlag zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität 15 eingeführt wurde. Für die Bereitstellung von Dashboards für Zugriffsberechtigungen, die den Anforderungen dieser Verordnung entsprechen, können die Dateninhaber auch auf Anbieter von Datenvermittlungsdiensten gemäß der Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates 16 zurückgreifen.

(22) Im Dashboard der Zugriffsberechtigungen sollten die von einem Kunden erteilten Berechtigungen angezeigt werden, einschließlich wenn personenbezogene Daten mit seiner Zustimmung ausgetauscht werden oder für die Erfüllung eines Vertrags erforderlich sind. Zwar sollte der Kunde im Dashboard der Zugriffsberechtigungen standardmäßig auf das Risiko möglicher vertraglicher Folgen des Widerrufs einer Berechtigung hingewiesen werden, doch sollte der Kunde für den Umgang mit diesem Risiko verantwortlich bleiben . Das Dashboard der Zugriffsberechtigungen sollte für die Verwaltung bestehender Berechtigungen verwendet werden. Die Dateninhaber sollten die Datennutzer in Echtzeit über den Widerruf einer Berechtigung unterrichten. Das Dashboard der Zugriffsberechtigungen sollte eine Aufzeichnung der Berechtigungen enthalten, die widerrufen wurden oder für einen Zeitraum von bis zu zwei Jahren abgelaufen sind, damit der Kunde seine Berechtigungen auf informierte und unparteiische Weise nachverfolgen kann. Die Datennutzer sollten die Dateninhaber in Echtzeit über vom Kunden neu oder wiederholt erteilte Berechtigungen unterrichten, einschließlich der Gültigkeitsdauer der Berechtigung und einer kurzen Zusammenfassung des Zwecks der Berechtigung. Die im Dashboard der Zugriffsberechtigungen bereitgestellten Informationen gelten unbeschadet der Informationspflichten gemäß der Verordnung (EU) 2016/679.

(23) Um die Verhältnismäßigkeit zu gewährleisten, fallen bestimmte Finanzinstitute aus Gründen, die mit ihrer Größe oder den von ihnen erbrachten Dienstleistungen zusammenhängen, die die Einhaltung dieser Verordnung zu schwierig machen würden, nicht in den Anwendungsbereich dieser Verordnung. Dazu gehören Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme betreiben, die insgesamt nicht mehr als 15 Mitglieder haben, sowie Versicherungsvermittler, die Kleinstunternehmen oder kleine oder mittlere Unternehmen sind. Darüber hinaus sollten kleine oder mittlere Unternehmen, die als Dateninhaber auftreten und in den Anwendungsbereich dieser Verordnung fallen, die Möglichkeit haben, gemeinsam eine Anwendungsprogrammierschnittstelle einzurichten, um ihre individuellen Kosten zu verringern. Sie können auch auf externe Technologieanbieter zurückgreifen, die Anwendungsprogrammierschnittstellen in gebündelter Weise für Finanzinstitute betreiben und ihnen nur ein geringes festes Nutzungsentgelt in Rechnung stellen und weitgehend auf Pay-per-Call-Basis arbeiten.

(24) Durch diese Verordnung wird Finanzinstituten, die als Dateninhaber auftreten, eine neue rechtliche Verpflichtung auferlegt, nach der sie bestimmte Kategorien von Daten auf Ersuchen des Kunden austauschen müssen. Die Verpflichtung der Dateninhaber, Daten auf Ersuchen des Kunden auszutauschen, sollte durch die Bereitstellung allgemein anerkannter Standards spezifiziert werden, um auch sicherzustellen, dass die ausgetauschten Daten von ausreichender Qualität sind. Der Dateninhaber sollte Kundendaten kontinuierlich für die Zwecke und unter den Bedingungen zur Verfügung stellen, für die der Kunde einem Datennutzer die Berechtigung erteilt hat. Der kontinuierliche Zugang könnte in mehreren Ersuchen zur Bereitstellung von Kundendaten bestehen, um die mit dem Kunden vereinbarte Dienstleistung zu erbringen. Er könnte auch in einem einmaligen Zugang zu Kundendaten bestehen. Während der Dateninhaber dafür verantwortlich ist, dass die Schnittstelle verfügbar ist und eine angemessene Qualität aufweist, kann die Schnittstelle nicht nur vom Dateninhaber, sondern auch von einem anderen Finanzinstitut, einem externen IT-Anbieter, einem Branchenverband oder einer Gruppe von Finanzinstituten oder von einer öffentlichen Stelle in einem Mitgliedstaat bereitgestellt werden. Bei Einrichtungen der betrieblichen Altersversorgung kann die Schnittstelle in Dashboards für die Altersversorgung integriert werden, die ein breiteres Spektrum an Informationen abdecken, sofern sie die Anforderungen dieser Verordnung erfüllt.

(25) Um die vertragliche und technische Interaktion zu ermöglichen, die für die Umsetzung des Datenzugangs zwischen mehreren Finanzinstituten erforderlich ist, sollten Dateninhaber und Datennutzer zur Teilnahme an Systemen für den Austausch von Finanzdaten verpflichtet werden. Im Rahmen dieser Systeme sollten Daten- und Schnittstellenstandards, gemeinsame standardisierte vertragliche Rahmenbedingungen für den Zugang zu bestimmten Datensätzen und Governance-Vorschriften für den Datenaustausch ausgearbeitet werden. Um sicherzustellen, dass die Systeme effektiv funktionieren, müssen allgemeine Governance-Grundsätze für diese Systeme festgelegt werden, einschließlich Vorschriften für eine integrative Governance und die Beteiligung von Dateninhabern, Datennutzern und Kunden (um eine ausgewogene Vertretung in den Systemen zu gewährleisten), Transparenzanforderungen und eines gut funktionierenden Rechtsbehelfs- und Überprüfungsverfahrens (insbesondere im Zusammenhang mit der Entscheidungsfindung im Rahmen der Systeme). Systeme für den Austausch von Finanzdaten müssen den Unionsvorschriften in den Bereichen Verbraucher- und Datenschutz, Privatsphäre und Wettbewerb entsprechen. Die Teilnehmer an solchen Systemen werden ferner aufgefordert, Verhaltensregeln zu erstellen, die den von Verantwortlichen und Auftragsverarbeitern gemäß Artikel 40 der Verordnung (EU) 2016/679 ausgearbeiteten Verhaltensregeln ähneln. Während solche Systeme auf bestehenden Marktinitiativen aufbauen können, sollten die in dieser Verordnung festgelegten Anforderungen speziell für Systeme für den Austausch von Finanzdaten oder Teile davon gelten, die die Marktteilnehmer nutzen, um ihren Verpflichtungen gemäß dieser Verordnung nach dem Inkrafttreten dieser Verpflichtungen nachzukommen.

(26) Ein System für den Austausch von Finanzdaten sollte aus einer kollektiven vertraglichen Vereinbarung zwischen Dateninhabern und Datennutzern bestehen, mit dem Ziel, Effizienz und technische Innovation beim Austausch von Finanzdaten zum Nutzen der Kunden zu fördern. Im Einklang mit den Wettbewerbsregeln der Union sollten den Teilnehmern eines Systems für den Austausch von Finanzdaten nur solche Beschränkungen auferlegt werden, die zur Erreichung der Ziele des Systems erforderlich sind und in einem angemessenen Verhältnis zu diesen Zielen stehen. Die Teilnehmer sollten nicht die Möglichkeit haben, den Wettbewerb auf einem wesentlichen Teil des relevanten Marktes zu verhindern, einzuschränken oder zu verfälschen.

(27) Um die Wirksamkeit dieser Verordnung zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union Rechtsakte zu erlassen, um die Modalitäten und Merkmale eines Systems für den Austausch von Finanzdaten für den Fall festzulegen, dass von den Dateninhabern und Datennutzern kein System entwickelt wird. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung 17 niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(28) Dateninhaber und Datennutzer sollten die Möglichkeit haben, bei der Entwicklung gemeinsamer Standards für den obligatorischen Datenaustausch auf bestehende Marktstandards zurückzugreifen.

(29) Um sicherzustellen, dass die Dateninhaber ein Interesse daran haben, den Datennutzern hochwertige Schnittstellen zur Verfügung zu stellen, sollten die Dateninhaber von den Datennutzern eine angemessene Vergütung für die Einrichtung von Anwendungsprogrammierschnittstellen verlangen können. Durch die Erleichterung des Datenzugangs gegen Vergütung würde eine gerechte Aufteilung der verbundenen Kosten zwischen Dateninhabern und Datennutzern in der Datenwertschöpfungskette gewährleistet. Handelt es sich bei dem Datennutzer um ein KMU, sollte die Verhältnismäßigkeit für kleinere Marktteilnehmer dadurch gewährleistet werden, dass die Vergütung strikt auf die Kosten für die Erleichterung des Datenzugangs beschränkt wird. Das Modell zur Bestimmung der Höhe der Vergütung sollte im Rahmen der in dieser Verordnung vorgesehenen Systeme für den Austausch von Finanzdaten festgelegt werden.

(30) Die Kunden sollten wissen, welche Rechte sie haben, wenn beim Austausch von Daten Probleme auftreten, und an wen sie sich wenden können, um eine Vergütung zu erhalten. Die Teilnehmer an Systemen für den Austausch von Finanzdaten, einschließlich der Dateninhaber und Datennutzer, sollten daher verpflichtet werden, die vertragliche Haftung für Datenschutzverletzungen zu vereinbaren und festzulegen, wie potenzielle Streitigkeiten zwischen Dateninhabern und Datennutzern bezüglich der Haftung beigelegt werden sollen. Diese Anforderungen sollten darauf ausgerichtet sein, als Teil eines jeden Vertrags Haftungsregeln sowie klare Pflichten und Rechte festzulegen, um die Haftung zwischen dem Dateninhaber und dem Datennutzer zu bestimmen. Für Haftungsfragen in Bezug auf Verbraucher als betroffene Personen sollte die Verordnung (EU) 2016/679 herangezogen werden, insbesondere der Artikel 82 über die Haftung und das Recht auf Schadenersatz.

(31) Um den Verbraucherschutz zu fördern, das Vertrauen der Kunden zu stärken und gleiche Wettbewerbsbedingungen zu gewährleisten, müssen Vorschriften darüber festgelegt werden, wer auf Kundendaten zugreifen darf. Durch diese Vorschriften sollte sichergestellt werden, dass alle Datennutzer von den zuständigen Behörden zugelassen sind und von diesen beaufsichtigt werden. Dadurch würde sichergestellt, dass nur regulierte Finanzinstitute oder Unternehmen, die über eine spezielle Zulassung als Finanzinformationsdienstleister nach dieser Verordnung verfügen, auf Daten zugreifen können. Die Zulassungsvorschriften für Finanzinformationsdienstleister sind notwendig, um die Finanzstabilität, die Marktintegrität und den Verbraucherschutz zu gewährleisten, da Finanzinformationsdienstleister Finanzprodukte und ‑ dienstleistungen für Kunden in der Union anbieten und auf Daten zugreifen, die sich im Besitz von Finanzinstituten befinden und deren Integrität von wesentlicher Bedeutung ist, um die Fähigkeit der Finanzinstitute zu erhalten, weiterhin Finanzdienstleistungen auf sichere und solide Weise zu erbringen. Solche Vorschriften sind auch erforderlich, um die ordnungsgemäße Beaufsichtigung von Finanzinformationsdienstleistern durch die zuständigen Behörden im Einklang mit ihrem Mandat zur Wahrung der Finanzstabilität und ‑ integrität in der Union zu gewährleisten, was es den Finanzinformationsdienstleistern ermöglicht, in der gesamten Union die Dienstleistungen zu erbringen, für die sie zugelassen sind.

(32) Datennutzer, die in den Anwendungsbereich dieser Verordnung fallen, sollten den Anforderungen der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates 18 unterliegen und daher verpflichtet werden, über strenge Standards für die Widerstandsfähigkeit gegenüber Cyberangriffen zu verfügen, um ihre Tätigkeiten ausüben zu können. Dazu gehören umfassende Kapazitäten, die ein leistungsfähiges und wirksames Risikomanagement im Bereich Informations- und Kommunikationstechnologien (IKT) sowie spezifische Mechanismen und Strategien für die Handhabung aller IKT-bezogener Vorfälle und für die Meldung schwerwiegender IKT-bezogener Vorfälle ermöglichen. Datennutzer, die gemäß dieser Verordnung als Finanzinformationsdienstleister zugelassen sind und als solche beaufsichtigt werden, sollten bei der Bewältigung von IKT-Risiken denselben Ansatz und dieselben grundsatzbasierten Regeln befolgen, wobei ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist. Finanzinformationsdienstleister sollten daher in den Anwendungsbereich der Verordnung (EU) 2022/2554 aufgenommen werden.

(33) Um eine wirksame Beaufsichtigung zu ermöglichen und die Möglichkeit einer Umgehung der Beaufsichtigung auszuschließen, müssen Finanzinformationsdienstleister entweder rechtmäßig in der Union gegründet werden oder, falls sie in einem Drittland gegründet werden, einen gesetzlichen Vertreter in der Union benennen. Für die Durchsetzung der Anforderungen dieser Verordnung ist eine wirksame Beaufsichtigung durch die zuständigen Behörden erforderlich, um die Integrität und Stabilität des Finanzsystems zu gewährleisten und die Verbraucher zu schützen. Die Anforderung, dass Finanzinformationsdienstleister in der Union rechtmäßig gegründet sein oder einen rechtlichen Vertreter in der Union benennen müssen, stellt keine Datenlokalisierung dar, da diese Verordnung keine weiteren Anforderungen in Bezug auf die Datenverarbeitung, einschließlich der Speicherung, in der Union enthält.

(34) Ein Finanzinformationsdienstleister sollte in der Gerichtsbarkeit des Mitgliedstaats zugelassen werden, in dem sich seine Hauptniederlassung befindet, d. h. in dem der Finanzinformationsdienstleister seine Hauptverwaltung oder seinen eingetragenen Sitz hat, wo die Hauptfunktionen und die betriebliche Kontrolle ausgeübt werden. In Bezug auf Finanzinformationsdienstleister, die keine Niederlassung in der Union haben, aber Zugang zu Daten in der Union benötigen und daher in den Anwendungsbereich dieser Verordnung fallen, sollte der Mitgliedstaat, in dem diese Finanzinformationsdienstleister ihren gesetzlichen Vertreter benannt haben, unter Berücksichtigung der Funktion der gesetzlichen Vertreter gemäß dieser Verordnung zuständig sein.

(35) Zur Erhöhung der Transparenz in Bezug auf den Datenzugang und Finanzinformationsdienstleister sollte die EBA ein Register der nach dieser Verordnung zugelassenen Finanzinformationsdienstleister sowie der zwischen Dateninhabern und Datennutzern vereinbarten Systemen für den Austausch von Finanzdaten erstellen.

(36) Die zuständigen Behörden sollten mit den Befugnissen ausgestattet werden, die für die Überwachung der Einhaltung der in dieser Verordnung festgelegten Verpflichtung der Dateninhaber, Zugang zu Kundendaten zu gewähren, durch die Marktteilnehmer sowie für die Beaufsichtigung von Finanzinformationsdienstleistern erforderlich sind. Der Zugang zu einschlägigen Datenverkehrsaufzeichnungen, die sich im Besitz eines Telekommunikationsbetreibers befinden, sowie die Möglichkeit, einschlägige Dokumente in den Räumlichkeiten zu beschlagnahmen, sind wichtige und notwendige Befugnisse, um Verstöße gegen diese Verordnung aufzudecken und nachzuweisen. Die zuständigen Behörden sollten daher befugt sein, solche Aufzeichnungen anzufordern, wenn sie für eine Untersuchung relevant sind, soweit dies nach nationalem Recht zulässig ist. Auch sollten die zuständigen Behörden mit den gemäß der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden bei der Wahrnehmung ihrer Aufgaben und der Ausübung ihrer Befugnisse im Einklang mit der genannten Verordnung zusammenarbeiten .

(37) Da Finanzinstitute und Finanzinformationsdienstleister in verschiedenen Mitgliedstaaten niedergelassen sein und von verschiedenen zuständigen Behörden beaufsichtigt werden können, sollte die Anwendung dieser Verordnung durch eine enge Zusammenarbeit zwischen den jeweils zuständigen Behörden im Wege des gegenseitigen Informationsaustauschs und der gegenseitigen Amtshilfe im Rahmen der jeweiligen Aufsichtstätigkeit erleichtert werden.

(38) Um im Bereich der Sanktionsbefugnisse gleiche Wettbewerbsbedingungen zu gewährleisten, sollten die Mitgliedstaaten verpflichtet werden, wirksame, verhältnismäßige und abschreckende Verwaltungssanktionen, einschließlich Zwangsgelder, und Verwaltungsmaßnahmen für Verstöße gegen die Bestimmungen dieser Verordnung vorzusehen. Bei diesen Verwaltungssanktionen, Zwangsgeldern und Verwaltungsmaßnahmen sollten bestimmte Mindestanforderungen erfüllt sein, die unter anderem die Mindestbefugnisse der zuständigen Behörden für die Verhängung solcher Maßnahmen betreffen sowie die Kriterien für die Anwendung durch die zuständigen Behörden und die Verpflichtung zur Veröffentlichung und Berichterstattung. Die Mitgliedstaaten sollten spezifische Vorschriften und wirksame Mechanismen für die Verhängung von Zwangsgeldern festlegen.

(39) Zusätzlich zu den Verwaltungssanktionen und ‑ maßnahmen sollten die zuständigen Behörden befugt sein, gegen Finanzinformationsdienstleister und die Mitglieder ihres Leitungsorgans, die für einen andauernden Verstoß verantwortlich sind oder die einer Anordnung einer zuständigen Ermittlungsbehörde Folge leisten müssen, Zwangsgelder zu verhängen. Da das Ziel der Zwangsgelder darin besteht, natürliche oder juristische Personen dazu zu bringen, einer Anordnung der zuständigen Behörde nachzukommen, z. B. einer Befragung zuzustimmen oder Informationen zu liefern, oder einen andauernden Verstoß zu beenden, sollte die Verhängung von Zwangsgeldern die zuständigen Behörden nicht daran hindern, wegen desselben Verstoßes weitere Verwaltungssanktionen zu verhängen. Sofern die Mitgliedstaaten nichts anderes vorsehen, sollten Zwangsgelder tageweise berechnet werden.

(40) Unabhängig von ihrer Bezeichnung im nationalen Recht gibt es in vielen Mitgliedstaaten Formen des beschleunigten Durchsetzungsverfahrens oder Vergleichsvereinbarungen, die als Alternative zu förmlichen Verfahren zur Verhängung von Sanktionen genutzt werden. In der Regel wird ein beschleunigtes Durchsetzungsverfahren eingeleitet, sobald eine Untersuchung abgeschlossen und die Entscheidung über die Einleitung eines Verfahrens zur Verhängung von Sanktionen ergangen ist. Ein beschleunigtes Durchsetzungsverfahren ist dadurch gekennzeichnet, dass es aufgrund vereinfachter Verfahrensschritte kürzer ist als ein förmliches Verfahren. Im Rahmen einer Vergleichsvereinbarung vereinbaren die Parteien, die Gegenstand der Untersuchung einer zuständigen Behörde sind, für gewöhnlich, die Untersuchung vorzeitig zu beenden, in den meisten Fällen indem sie die Haftung für das Fehlverhalten übernehmen.

(41) Auch wenn es aufgrund der unterschiedlichen rechtlichen Ansätze auf nationaler Ebene nicht angebracht erscheint, solche beschleunigten Durchsetzungsverfahren, die von vielen Mitgliedstaaten eingeführt wurden, auf Unionsebene zu harmonisieren, sollte anerkannt werden, dass solche Verfahren den zuständigen Behörden, die sie anwenden können, unter bestimmten Umständen eine schnellere, weniger kostspielige und insgesamt effizientere Bearbeitung von Verstößen ermöglichen und daher gefördert werden sollten. Allerdings sollten weder die Mitgliedstaaten verpflichtet werden, solche Durchsetzungsverfahren in ihren Rechtsrahmen aufzunehmen, noch sollten die zuständigen Behörden gezwungen werden, diese Verfahren anzuwenden, wenn sie dies nicht für angemessen erachten. Entscheiden sich die Mitgliedstaaten dafür, ihren zuständigen Behörden die Befugnis zur Anwendung solcher Durchsetzungsverfahren zu übertragen, so sollten sie die Kommission von dieser Entscheidung in Kenntnis setzen und ihr die einschlägigen Maßnahmen zur Regelung dieser Befugnisse mitteilen.

(42) Die nationalen zuständigen Behörden sollten von den Mitgliedstaaten ermächtigt werden, solche Verwaltungssanktionen und ‑ maßnahmen gegen Finanzinformationsdienstleister und andere natürliche oder juristische Personen zu verhängen, um im Falle eines Verstoßes Abhilfe zu schaffen. Die Sanktionen und Maßnahmen sollten ausreichend breit gefächert sein, damit die Mitgliedstaaten und die zuständigen Behörden den Unterschieden zwischen Finanzinformationsdienstleistern, was ihre Größe, Merkmale und Art der Geschäftstätigkeit anbelangt, Rechnung tragen können.

(43) Die Bekanntmachung einer Verwaltungssanktion oder ‑ maßnahme bei einem Verstoß gegen die Bestimmungen dieser Verordnung kann eine starke abschreckende Wirkung gegen die Wiederholung eines solchen Verstoßes haben. Zudem werden durch die Bekanntmachung andere Einrichtungen, noch bevor sie eine Geschäftsbeziehung eingehen, über die Risiken im Zusammenhang mit dem sanktionierten Finanzinformationsdienstleister informiert und zuständige Behörden in anderen Mitgliedstaaten im Hinblick auf Risiken, die von einem in ihrem Mitgliedstaat grenzüberschreitend tätigen Finanzinformationsdienstleister ausgehen, unterstützt. Aus diesen Gründen sollte die Bekanntmachung von Entscheidungen über Verwaltungssanktionen und ‑ maßnahmen zulässig sein, sofern sie juristische Personen betrifft. Die zuständigen Behörden sollten bei der Entscheidung über die Bekanntmachung einer Verwaltungssanktion oder ‑ maßnahme der Schwere des Verstoßes und der abschreckenden Wirkung, die mit der Bekanntmachung voraussichtlich erreicht werden kann, Rechnung tragen. Eine solche Bekanntmachung, die natürliche Personen betrifft, kann jedoch deren Rechte, die sich aus der Grundrechtecharta und den geltenden Datenschutzvorschriften der Union ergeben, in unverhältnismäßiger Weise beeinträchtigen. Die Bekanntmachung sollte in anonymisierter Form erfolgen, es sei denn, die zuständige Behörde hält die Bekanntmachung von Entscheidungen, die personenbezogene Daten enthalten, für die wirksame Durchsetzung dieser Verordnung für erforderlich; dies gilt auch im Falle öffentlicher Erklärungen oder vorübergehender Verbote. In diesen Fällen sollte die zuständige Behörde ihre Entscheidung begründen.

(44) Der Informationsaustausch und die Amtshilfe zwischen den zuständigen Behörden der Mitgliedstaaten sind für die Zwecke dieser Verordnung unabdingbar. Folglich sollte die Zusammenarbeit zwischen den Behörden keinen unangemessenen restriktiven Bedingungen unterliegen.

(45) Informationsdienstleister sollten im Rahmen der Dienstleistungs- oder Niederlassungsfreiheit grenzüberschreitenden Zugang zu Daten erhalten. Ein Finanzinformationsdienstleister, der beabsichtigt, Zugang zu Daten zu erhalten, die sich im Besitz eines Dateninhabers in einem anderen Mitgliedstaat befinden, sollte seine zuständige Behörde von seiner Absicht in Kenntnis setzen und dabei Informationen über die Art der Daten, auf die er zugreifen möchte, das System für den Austausch von Finanzdaten, an dem er teilnimmt, und die Mitgliedstaaten, in denen er auf die Daten zugreifen möchte, übermitteln.

(46) Die Ziele dieser Verordnung, nämlich dem Kunden effektive Kontrolle über die Daten zu verleihen und den Mangel an Rechten auf Zugang zu Kundendaten, die sich im Besitz der Dateninhaber befinden, zu beheben, können angesichts ihres grenzüberschreitenden Charakters nicht ausreichend von den Mitgliedstaaten erreicht werden, sondern lassen sich besser auf Unionsebene verwirklichen, indem ein Rahmen geschaffen wird, durch den ein größerer grenzüberschreitender Markt mit Datenzugang entwickelt werden könnte. Die Union kann im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(47) Durch den Vorschlag für ein Datengesetz [Verordnung (EU) XX] wird ein horizontaler Rahmen für den Zugang zu und die Nutzung von Daten in der gesamten Union geschaffen. Die Vorschriften des Vorschlags für ein Datengesetz [Verordnung (EU) XX] werden durch die vorliegende Verordnung ergänzt und präzisiert. Daher gelten diese Vorschriften auch für den in der vorliegenden Verordnung geregelten Austausch von Daten. Dazu gehören Bestimmungen über die Bedingungen, unter denen Dateninhaber den Datenempfängern Daten zur Verfügung stellen, über die Vergütungen, über Streitbeilegungsstellen zur Erleichterung von Vereinbarungen zwischen Parteien, die Daten austauschen, über technische Schutzmaßnahmen, über den grenzüberschreitenden Zugang und die grenzüberschreitende Übertragung von Daten sowie über die zulässige Nutzung oder Offenlegung von Daten.

(48) Die Verordnung (EU) 2016/679 findet im Falle der Verarbeitung personenbezogener Daten Anwendung. Darin sind die Rechte betroffener Personen geregelt, darunter das Auskunftsrecht hinsichtlich personenbezogener Daten und das Recht auf Übertragung personenbezogener Daten. Diese Verordnung lässt die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679, einschließlich des Auskunftsrechts und des Rechts auf Datenübertragbarkeit, unberührt. Durch diese Verordnung wird die rechtliche Verpflichtung geschaffen, personenbezogene und nicht personenbezogene Kundendaten auf Ersuchen des Kunden auszutauschen, und es wird die technische Machbarkeit des Zugangs und des Austauschs für alle Arten von Daten, die in den Anwendungsbereich dieser Verordnung fallen, vorgeschrieben. Die Berechtigung durch den Kunden berührt nicht die Pflichten der Datennutzer gemäß Artikel 6 der Verordnung (EU) 2016/679. Personenbezogene Daten, die einem Datennutzer zur Verfügung gestellt und mit ihm ausgetauscht werden, sollten nur dann für von einem Datennutzer erbrachte Dienstleistungen verarbeitet werden, wenn es eine gültige Rechtsgrundlage gemäß Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 gibt und gegebenenfalls die Anforderungen von Artikel 9 der genannten Verordnung über die Verarbeitung besonderer Kategorien von Daten erfüllt sind.

(49) Diese Verordnung baut auf den Bestimmungen für Open Banking gemäß der Richtlinie (EU) 2015/2366 auf und ergänzt diese; sie steht in vollem Einklang mit der Verordnung (EU) …./202… des Europäischen Parlaments und des Rates über Zahlungsdienste und zur Änderung der Verordnung (EU) Nr. 1093/2010 19 sowie der Richtlinie (EU) …./202… des Europäischen Parlaments und des Rates über Zahlungsdienste und E-Geld-Dienste und zur Änderung der Richtlinien 2013/36/EU und 98/26/EG sowie zur Aufhebung der Richtlinien 2015/2355/EU und 2009/110/EG 20 . Durch die Initiative werden die bereits bestehenden Bestimmungen für Open Banking gemäß der Richtlinie (EU) 2015/2366, durch die der Zugang zu Zahlungskontodaten im Besitz von kontoführenden Zahlungsdienstleistern geregelt wird, ergänzt. Die Initiative baut auf den im Rahmen der Überprüfung der Richtlinie (EU) 2015/2366 21 gewonnenen Erkenntnissen zum Open Banking auf. Durch diese Verordnung wird die Kohärenz zwischen dem Zugang zu Finanzdaten und Open Banking gewährleistet, wenn zusätzliche Maßnahmen erforderlich sind, unter anderem in Bezug auf Dashboards für Zugriffsberechtigungen, die rechtliche Verpflichtung, direkten Zugang zu Kundendaten zu gewähren, und die Verpflichtung der Dateninhaber, Schnittstellen einzurichten.

(50) Diese Verordnung lässt die in den Rechtsvorschriften der Union für Finanzdienstleistungen niedergelegten Bestimmungen über den Datenzugang und den Datenaustausch unberührt, insbesondere i) die Bestimmungen über den Zugang zu Referenzwerten und die Zugangsregelung für börsengehandelte Derivate zwischen Handelsplätzen und zentralen Gegenparteien gemäß der Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates 22 , ii) die Vorschriften über den Zugang von Kreditgebern zur Datenbank gemäß der Richtlinie 2014/17/EU des Europäischen Parlaments und des Rates 23 , iii) die Vorschriften über den Zugang zu Verbriefungsregistern gemäß der Verordnung (EU) 2017/2402 des Europäischen Parlaments und des Rates 24 , iv) die Vorschriften über das Recht, vom Versicherer eine Bescheinigung des Schadenverlaufs zu verlangen, sowie über den Zugang zu für die Schadenregulierung notwendigen grundlegenden Daten in Zentralregistern gemäß der Richtlinie 2009/103/EG des Europäischen Parlaments und des Rates 25 , v) das Recht auf Zugang zu allen erforderlichen personenbezogenen Daten und deren Übermittlung an einen Anbieter des Paneuropäischen Privaten Pensionsprodukts gemäß der Verordnung (EU) 2019/1238 des Europäischen Parlaments und des Rates 26 und vi) die Bestimmungen über Auslagerung und Inanspruchnahme Dritter gemäß der Richtlinie (EU) 2018/843 des Europäischen Parlaments und des Rates 27 . Darüber hinaus lässt diese Verordnung die Anwendung der EU- bzw. einzelstaatlichen Wettbewerbsvorschriften gemäß des Vertrags über die Arbeitsweise der Europäischen Union und etwaiger sekundärer Unionsrechtsakte unberührt. Auch berührt diese Verordnung nicht die Möglichkeit, auf Daten zuzugreifen, Daten auszutauschen und Daten zu nutzen, ohne von den in dieser Verordnung festgelegten Verpflichtungen zum Datenzugang auf rein vertraglicher Basis Gebrauch zu machen.

(51) Da der Austausch von Daten im Zusammenhang mit Zahlungskonten in der Richtlinie (EU) 2015/2366 anders geregelt ist, wird es als angemessen erachtet, in dieser Verordnung eine Überprüfungsklausel für die Kommission festzulegen, damit diese prüfen kann, ob die Einführung der Vorschriften im Rahmen dieser Verordnung Auswirkungen auf die Art und Weise hat, wie Kontoinformationsdienstleister auf Daten zugreifen, und ob es angemessen wäre, die für Kontoinformationsdienstleister geltenden Vorschriften über den Austausch von Daten zu straffen.

(52) Da die EBA, die EIOPA und die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) beauftragt werden sollten, von ihren Befugnissen in Bezug auf Finanzinformationsdienstleister Gebrauch zu machen, muss sichergestellt werden, dass sie in der Lage sind, alle ihre Befugnisse und Aufgaben wahrzunehmen, um ihr Ziel, das öffentliche Interesse zu schützen, indem sie für die Wirtschaft der Union, ihre Bürgerinnen und Bürger und ihre Unternehmen zur kurz-, mittel- und langfristigen Stabilität und Effizienz des Finanzsystems beitragen, zu erfüllen und um sicherzustellen, dass Finanzinformationsdienstleister unter die Verordnungen (EU) Nr. 1093/2010 28 , (EU) Nr. 1094/2010 29 und (EU) Nr. 1095/2010 30 des Europäischen Parlaments und des Rates fallen. Diese Verordnungen sollten daher entsprechend geändert werden.

(53) Der Geltungsbeginn dieser Verordnung sollte um XX Monate verschoben werden, damit die zur Festlegung bestimmter Punkte dieser Verordnung notwendigen technischen Regulierungsstandards und delegierten Rechtsakte erlassen werden können.

(54) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 2 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates 31 konsultiert und hat am [……….] eine Stellungnahme abgegeben ––

HABEN FOLGENDE VERORDNUNG ERLASSEN:

TITEL I
Gegenstand, Anwendungsbereich und Begriffsbestimmungen

Artikel 1
Gegenstand

Mit der vorliegenden Verordnung werden Vorschriften für den Zugang zu sowie die Weitergabe und die Nutzung von bestimmten Kategorien von Kundendaten im Rahmen von Finanzdienstleistungen festgelegt.

Es werden zudem Vorschriften für die Zulassung und die Geschäftstätigkeit von Finanzinformationsdienstleistern festgelegt.

Artikel 2
Anwendungsbereich

(1) Diese Verordnung gilt für Kundendaten der folgenden Kategorien:

a) Hypothekarkreditverträge, Darlehen und Konten, ausgenommen Zahlungskonten im Sinne der Richtlinie (EU) 2015/2366 über Zahlungsdienste, einschließlich Daten zu Saldo, Konditionen und Transaktionen ;

b) Ersparnisse, Investitionen in Finanzinstrumente, Versicherungsanlageprodukte, Kryptowerte, Immobilien und andere damit verbundene finanzielle Vermögenswerte sowie der wirtschaftliche Nutzen dieser Vermögenswerte; einschließlich Daten, die zur Beurteilung der Eignung und Zweckmäßigkeit gemäß Artikel 25 der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates 32 erhoben werden;

c) Ruhegehaltsansprüche aus betrieblichen Altersversorgungssystemen gemäß der Richtlinie 2009/138/EG und der Richtlinie (EU) 2016/2341 des Europäischen Parlaments und des Rates 33 ;

d) Ruhegehaltsansprüche aus Paneuropäischen Privaten Pensionsprodukten gemäß der Verordnung (EU) 2019/1238;

e) Nichtlebensversicherungsprodukte gemäß der Richtlinie 2009/138/EG, ausgenommen Krankenversicherungsprodukte; einschließlich Daten, die zur Ermittlung der Wünsche und Bedürfnisse des Kunden gemäß Artikel 20 der Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates 34 erhoben werden, sowie Daten, die zur Beurteilung der Eignung und Zweckmäßigkeit gemäß Artikel 30 der Richtlinie (EU) 2016/97 erhoben werden ;

f) Daten, die zur Beurteilung der Kreditwürdigkeit eines Unternehmens im Rahmen eines Kreditantragsverfahrens oder bei einem Antrag auf Bonitätsprüfung erhoben werden.

(2) Diese Verordnung gilt für die folgenden Stellen in ihrer Eigenschaft als Dateninhaber oder Datennutzer:

a) Kreditinstitute,

b) Zahlungsinstitute, einschließlich Kontoinformationsdienstleister und nach der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,

c) E-Geld-Institute, einschließlich nach der Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates 35 ausgenommene E-Geld-Institute,

d) Wertpapierfirmen,

e) Anbieter von Krypto-Dienstleistungen,

f) Emittenten vermögenswertereferenzierter Token,

g) Verwalter alternativer Investmentfonds,

h) Verwaltungsgesellschaften von Organismen für gemeinsame Anlagen in Wertpapieren,

i) Versicherungs- und Rückversicherungsunternehmen,

j) Versicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,

k) Einrichtungen der betrieblichen Altersversorgung,

l) Ratingagenturen,

m) Schwarmfinanzierungsdienstleister,

n) PEPP-Anbieter,

o) Finanzinformationsdienstleister.

(3) Die vorliegende Verordnung gilt nicht für die in Artikel 2 Absatz 3 Buchstaben a bis e der Verordnung (EU) 2022/2554 genannten Stellen.

(4) Die Anwendung anderer Rechtsakte der Union über den Zugang zu und die Weitergabe von Kundendaten gemäß Absatz 1 bleibt von der vorliegenden Verordnung unberührt, es sei denn, dies ist in dieser Verordnung ausdrücklich vorgesehen.

Artikel 3
Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1. „Verbraucher“ eine natürliche Person, die zu Zwecken handelt, die nicht ihrer gewerblichen oder beruflichen Tätigkeit zugerechnet werden können;

2. „Kunde“ eine natürliche oder juristische Person, die Finanzprodukte und ‑ dienstleistungen in Anspruch nimmt;

3. „Kundendaten“ personenbezogene und nicht personenbezogene Daten, die von einem Finanzinstitut im Rahmen seiner normalen Geschäftstätigkeit mit Kunden erhoben, gespeichert und anderweitig verarbeitet werden und sowohl Daten, die von Kunden übermittelt werden, als auch Daten, die infolge der Interaktion des Kunden mit dem Finanzinstitut generiert werden, umfassen;

4. „zuständige Behörde“ die gemäß Artikel 17 von den einzelnen Mitgliedstaaten benannten Behörden und in Bezug auf Finanzinstitute die in Artikel 46 der Verordnung (EU) 2022/2554 aufgeführten zuständigen Behörden;

5. „Dateninhaber“ ein Finanzinstitut, das kein Kontoinformationsdienstleister ist und die in Artikel 2 Absatz 1 aufgeführten Daten erhebt, speichert und anderweitig verarbeitet;

6. „Datennutzer“ eine der in Artikel 2 Absatz 2 aufgeführten Stellen, die nach Einwilligung des Kunden rechtmäßigen Zugang zu den in Artikel 2 Absatz 1 aufgeführten Kundendaten erhält;

7. „Finanzinformationsdienstleister“ einen Datennutzer, der zum Zwecke der Erbringung von Finanzinformationsdienstleistungen gemäß Artikel 14 berechtigt ist, auf die in Artikel 2 Absatz 1 aufgeführten Kundendaten zuzugreifen;

8. „Finanzinstitut“ die in Artikel 2 Absatz 2 Buchstaben a bis n aufgeführten Stellen, die für die Zwecke dieser Verordnung entweder Dateninhaber oder Datennutzer oder beides sind;

9. „Anlagekonto“ ein von einer Wertpapierfirma, einem Kreditinstitut oder einem Versicherungsmakler verwaltetes Register, das Angaben über die gegenwärtig von ihren Kunden gehaltenen Finanzinstrumente oder Versicherungsanlageprodukte enthält, einschließlich Angaben über bisherige Transaktionen und andere Datenpunkte im Zusammenhang mit Lebenszyklusereignissen dieses Instruments;

10. „nicht personenbezogene Daten“ Daten, bei denen es sich nicht um personenbezogene Daten im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) 2016/679 handelt;

11. „personenbezogene Daten“ personenbezogene Daten im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) 2016/679;

12. „Kreditinstitut“ ein Kreditinstitut im Sinne von Artikel 4 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates 36 ;

13. „Wertpapierfirma“ eine Wertpapierfirma im Sinne von Artikel 4 Absatz 1 Nummer 1 der Richtlinie 2014/65/EU;

14. „Anbieter von Krypto-Dienstleistungen“ einen Anbieter von Dienstleistungen im Zusammenhang mit Kryptowerten im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates 37 ;

15. „Emittent vermögenswertereferenzierter Token“ einen gemäß Artikel 21 der Verordnung (EU) 2023/1114 zugelassenen Emittenten vermögenswertereferenzierter Token;

16. „Zahlungsinstitut“ ein Zahlungsinstitut im Sinne von Artikel 4 Nummer 4 der Richtlinie (EU) 2015/2366;

17. „Kontoinformationsdienstleister“ einen Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der Richtlinie (EU) 2015/2366;

18. „E-Geld-Institut“ ein E-Geld-Institut im Sinne von Artikel 2 Nummer 1 der Richtlinie 2009/110/EG;

19. „nach der Richtlinie 2009/110/EG ausgenommenes E-Geld-Institut“ ein E-Geld-Institut, für das eine Ausnahme nach Artikel 9 Absatz 1 der Richtlinie 2009/110/EG gilt;

20. „Verwalter alternativer Investmentfonds“ einen Verwalter alternativer Investmentfonds (AIFM) im Sinne von Artikel 4 Absatz 1 Buchstabe b der Richtlinie 2011/61/EU des Europäischen Parlaments und des Rates 38 ;

21. „Verwaltungsgesellschaft für Organismen für gemeinsame Anlagen in Wertpapieren (OGAW)“ eine Verwaltungsgesellschaft im Sinne von Artikel 2 Absatz 1 Buchstabe b der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates 39 ;

22. „Versicherungsunternehmen“ ein Versicherungsunternehmen im Sinne von Artikel 13 Nummer 1 der Richtlinie 2009/138/EG;

23. „Rückversicherungsunternehmen“ ein Rückversicherungsunternehmen im Sinne von Artikel 13 Nummer 4 der Richtlinie 2009/138/EG;

24. „Versicherungsvermittler“ einen Versicherungsvermittler im Sinne von Artikel 2 Absatz 1 Nummer 3 der Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates 40 ;

25. „Versicherungsvermittler in Nebentätigkeit“ einen Versicherungsvermittler in Nebentätigkeit im Sinne von Artikel 2 Absatz 1 Nummer 4 der Richtlinie (EU) 2016/97;

26. „Einrichtung der betrieblichen Altersversorgung“ eine Einrichtung der betrieblichen Altersversorgung im Sinne von Artikel 6 Nummer 1 der Richtlinie (EU) 2016/2341;

27. „Ratingagentur“ eine Ratingagentur im Sinne von Artikel 3 Absatz 1 Buchstabe b der Verordnung (EG) Nr. 1060/2009 des Europäischen Parlaments und des Rates 41 ;

28. „PEPP-Anbieter“ einen PEPP-Anbieter im Sinne von Artikel 2 Nummer 15 der Verordnung (EU) 2019/1238 des Europäischen Parlaments und des Rates;

29. „Rechtsvertreter“ eine natürliche Person mit Wohnsitz in der Union oder eine juristische Person mit Sitz in der Union, die von einem Finanzinformationsdienstleister mit Sitz in einem Drittland ausdrücklich benannt wurde und im Namen dieses Finanzinformationsdienstleisters gegenüber den Behörden, Kunden, Stellen und Gegenparteien des Finanzinformationsdienstleisters in der Union im Hinblick auf die Verpflichtungen für Finanzinformationsdienstleister gemäß dieser Verordnung handelt.

TITEL II
Datenzugang

Artikel 4
Verpflichtung, Kunden Daten zur Verfügung zu stellen

Der Dateninhaber stellt dem Kunden auf dessen elektronisch übermittelten Antrag die in Artikel 2 Absatz 1 aufgeführten Daten unverzüglich, unentgeltlich, kontinuierlich und in Echtzeit zur Verfügung.

Artikel 5
Verpflichtung des Dateninhabers, Datennutzern Kundendaten zur Verfügung zu stellen

(1) Der Dateninhaber stellt einem Datennutzer auf elektronisch übermittelten Antrag eines Kunden die in Artikel 2 Absatz 1 aufgeführten Kundendaten für die Zwecke, für die der Kunde dem Datennutzer eine Zugriffsberechtigung erteilt, zur Verfügung. Die Kundendaten werden dem Datennutzer unverzüglich, kontinuierlich und in Echtzeit zur Verfügung gestellt.

(2) Ein Dateninhaber kann von einem Datennutzer nur dann eine Vergütung für die Bereitstellung von Kundendaten gemäß Absatz 1 verlangen, wenn die Kundendaten dem Datennutzer im Einklang mit den Regeln und Modalitäten eines Systems für den Austausch von Finanzdaten gemäß den Artikeln 9 und 10 zur Verfügung gestellt werden oder wenn ihre Bereitstellung gemäß Artikel 11 erfolgt.

(3) Für die Bereitstellung von Daten gemäß Absatz 1 muss der Dateninhaber

a) dem Datennutzer Kundendaten in einem auf allgemein anerkannten Standards beruhenden Format und mindestens in der Qualität bereitstellen, in der sie dem Dateninhaber vorliegen;

b) für eine sichere Kommunikation mit dem Datennutzer sorgen, indem er bei der Verarbeitung und Übertragung von Kundendaten ein angemessenes Maß an Sicherheit gewährleistet;

c) von Datennutzern verlangen, einen Nachweis zu erbringen, dass der Kunde dem Zugriff auf die Kundendaten des Dateninhabers zugestimmt hat;

d) dem Kunden ein Dashboard zur Überwachung und Verwaltung von Zugriffsberechtigungen gemäß Artikel 8 zur Verfügung stellen;

e) beim Zugriff auf Kundendaten gemäß Artikel 5 Absatz 1 die Vertraulichkeit von Geschäftsgeheimnissen und die Rechte des geistigen Eigentums wahren.

Artikel 6
Verpflichtungen der Datennutzer in Bezug auf den Erhalt von Kundendaten

(1) Ein Datennutzer ist nur dann berechtigt, gemäß Artikel 5 Absatz 1 auf Kundendaten zuzugreifen, wenn er zuvor gemäß Artikel 14 von einer zuständigen Behörde als Finanzinstitut oder Finanzinformationsdienstleister zugelassen wurde.

(2) Ein Datennutzer darf auf gemäß Artikel 5 Absatz 1 bereitgestellte Kundendaten nur für die Zwecke und unter den Bedingungen, denen der Kunde zugestimmt hat, zugreifen. Der Datennutzer löscht die Kundendaten, wenn diese für die Zwecke, denen der Kunde zugestimmt hat, nicht mehr erforderlich sind.

(3) Ein Kunde kann die Berechtigung, die er einem Datennutzer erteilt hat, entziehen. Ist eine Verarbeitung von Daten zur Vertragserfüllung erforderlich, kann ein Kunde entsprechend den vertraglichen Verpflichtungen, denen er unterliegt, die von ihm erteilte Berechtigung für die Bereitstellung von Kundendaten an einen Datennutzer widerrufen.

(4) Der Datennutzer ist im Sinne einer effektiven Verwaltung der Kundendaten verpflichtet,

a) Kundendaten für keine anderen Zwecken als die Erbringung der vom Kunden ausdrücklich gewünschten Dienstleistung zu verarbeiten;

b) beim Zugriff auf Kundendaten gemäß Artikel 5 Absatz 1 die Vertraulichkeit von Geschäftsgeheimnissen und die Rechte des geistigen Eigentums zu wahren;

c) angemessene technische, rechtliche und organisatorische Maßnahmen zu ergreifen, um eine Weitergabe von oder einen Zugang zu nicht personenbezogenen Kundendaten, die bzw. der nach Maßgabe des Unionsrechts oder des nationalen Rechts eines Mitgliedstaats rechtswidrig ist, zu verhindern;

d) die erforderlichen Maßnahmen zur Gewährleistung eines angemessenen Maßes an Sicherheit bei der Speicherung, Verarbeitung und Übertragung nicht personenbezogener Kundendaten zu ergreifen;

e) Kundendaten nicht zu Werbezwecken zu verarbeiten, mit Ausnahme der Direktwerbung im Einklang mit dem Unionsrecht und dem nationalen Recht;

f) wenn er einer Unternehmensgruppe angehört, sicherzustellen, dass die in Artikel 2 Absatz 1 aufgeführten Kundendaten nur von dem Unternehmen der Gruppe, das als Datennutzer fungiert, abgerufen und verarbeitet werden.

TITEL III
Verantwortungsvolle Datennutzung und Dashboards für Zugriffsberechtigungen

Artikel 7
Umfang der Datennutzung

(1) Die Verarbeitung von in Artikel 2 Absatz 1 dieser Verordnung genannten Kundendaten, die personenbezogene Daten sind, ist auf das für die Zwecke ihrer Verarbeitung notwendige Maß zu beschränken.

(2) Die Europäische Bankenaufsichtsbehörde (EBA) erarbeitet gemäß Artikel 16 der Verordnung (EU) Nr. 1093/2010 Leitlinien für die Anwendung von Absatz 1 des vorliegenden Artikels auf Produkte und Dienstleistungen im Zusammenhang mit der Bonitätsbewertung des Verbrauchers.

(3) Die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) erarbeitet gemäß Artikel 16 der Verordnung (EU) Nr. 1094/2010 Leitlinien für die Anwendung von Absatz 1 des vorliegenden Artikels auf Produkte und Dienstleistungen im Zusammenhang mit der Risikobewertung und der Preisgestaltung für den Verbraucher bei Lebens- und Krankenversicherungsprodukten.

(4) Bei der Ausarbeitung der in den Absätzen 2 und 3 des vorliegenden Artikels genannten Leitlinien arbeiten die EIOPA und die EBA eng mit dem mit der Verordnung (EU) 2016/679 eingesetzten Europäischen Datenschutzausschuss zusammen.

Artikel 8
Dashboards der Zugriffsberechtigungen auf Finanzdaten

(1) Der Dateninhaber stellt dem Kunden ein Dashboard zur Überwachung und Verwaltung der Zugriffsberechtigungen, die der Kunde Datennutzern erteilt hat, zur Verfügung.

(2) Ein Dashboard der Zugriffsberechtigungen muss

a) dem Kunden einen Überblick über alle aktiven Zugriffsberechtigungen geben, die Datennutzern erteilt wurden, einschließlich der folgenden Angaben:

i) der Name des Datennutzers, dem Zugang gewährt wurde,

ii) das Kundenkonto, das Finanzprodukt oder die Finanzdienstleistung, zu denen Zugang gewährt wurde,

iii) Zweck der Zugriffsberechtigung,

iv) die Kategorien der weitergegebenen Daten,

v) die Geltungsdauer der Zugriffsberechtigung;

b) es dem Kunden ermöglichen, eine einem Datennutzer erteilte Zugriffsberechtigung zu widerrufen;

c) es dem Kunden ermöglichen, eine widerrufene Zugriffsberechtigung erneut zu erteilen;

d) eine Aufstellung der im Laufe der beiden vergangenen Jahre widerrufenen oder abgelaufenen Zugriffsberechtigungen enthalten.

(3) Der Dateninhaber stellt sicher, dass das Dashboard der Zugriffsberechtigungen in seiner Nutzerschnittstelle leicht auffindbar ist und dass die im Dashboard enthaltenen Informationen klar, richtig und für den Kunden leicht verständlich sind.

(4) Der Dateninhaber und der Datennutzer, dem ein Kunde eine Zugriffsberechtigung erteilt hat, stellen dem Kunden in enger Zusammenarbeit über das Dashboard Informationen in Echtzeit zur Verfügung. Um die Verpflichtungen nach Absatz 2 Buchstaben a, b, c und d dieses Artikels zu erfüllen,

a) unterrichtet der Dateninhaber den Datennutzer über Änderungen der den Datennutzer betreffenden Zugriffsberechtigungen, die von Kunden über das Dashboard vorgenommen wurden;

b) unterrichtet der Datennutzer den Dateninhaber über von Kunden neu erteilte Zugriffsberechtigungen in Bezug auf Kundendaten, die sich im Besitz dieses Dateninhabers befinden, einschließlich der folgenden Angaben:

i) den Zweck der vom Kunden erteilten Berechtigung,

ii) die Geltungsdauer der Berechtigung,

iii) die betreffenden Datenkategorien.

TITEL IV
Systeme für den Austausch von Finanzdaten

Artikel 9
Mitgliedschaft in einem System für den Austausch von Finanzdaten

(1) Innerhalb von 18 Monaten nach Inkrafttreten dieser Verordnung werden Dateninhaber und Datennutzer Mitglied eines Systems für den Austausch von Finanzdaten, das den Zugang zu Kundendaten im Einklang mit Artikel 10 regelt.

(2) Dateninhaber und Datennutzer können Mitglied von mehr als einem System für den Austausch von Finanzdaten werden.

Der Austausch von Daten erfolgt im Einklang mit den Regeln und Modalitäten des jeweiligen Systems für den Austausch von Finanzdaten, dem sowohl der Datennutzer als auch der Dateninhaber angehören.

Artikel 10
Verwaltung und Aufbau des Systems für den Austausch von Finanzdaten

(1) Ein System für den Austausch von Finanzdaten erfüllt die folgenden Bedingungen:

a) Die Mitglieder eines Systems für den Austausch von Finanzdaten bestehen aus

i) Dateninhabern und Datennutzern, die einen erheblichen Anteil des Marktes für ein Produkt oder eine Dienstleistung darstellen, wobei beide Seiten in den internen Entscheidungsprozessen des Systems fair und gleichberechtigt vertreten sind und in allen Abstimmungsverfahren gleiches Stimmgewicht haben; ist ein Mitglied sowohl Dateninhaber als auch Datennutzer, so wird seine Mitgliedschaft für beide Seiten zu gleichen Teilen gezählt;

ii) Verbraucherorganisationen und ‑ verbänden;

b) die für die Mitglieder des Systems für den Austausch von Finanzdaten geltenden Vorschriften gelten in gleicher Weise für alle Mitglieder, und es darf keine ungerechtfertigte Bevorzugung oder Ungleichbehandlung von Mitgliedern geben;

c) mit den Vorschriften über die Mitgliedschaft in einem System für den Austausch von Finanzdaten wird sichergestellt, dass die Mitgliedschaft im System allen Dateninhabern und Datennutzern auf der Basis objektiver Kriterien offen steht und dass alle Mitglieder fair und gleich behandelt werden;

d) ein System für den Austausch von Finanzdaten darf keine anderen als die in dieser Verordnung oder in anderen geltenden Rechtsvorschriften der Union vorgesehenen Kontrollen oder zusätzlichen Auflagen für den Datenaustausch vorschreiben;

e) ein System für den Austausch von Finanzdaten beinhaltet einen Mechanismus, mit dem die für das System geltenden Vorschriften geändert werden können, nachdem eine Folgenabschätzung durchgeführt wurde und die Mehrheit jeder Gemeinschaft von Dateninhabern bzw. Datennutzern den Änderungen zugestimmt hat;

f) ein System für den Austausch von Finanzdaten enthält Bestimmungen über die Transparenz und erforderlichenfalls über die Berichtspflichten gegenüber seinen Mitgliedern;

g) ein System für den Austausch von Finanzdaten umfasst gemeinsame Standards für Daten und technische Schnittstellen, die es den Kunden zu ermöglichen, einen Datenaustausch gemäß Artikel 5 Absatz 1 in Auftrag zu geben; die gemeinsamen Standards für Daten und technische Schnittstellen, auf die sich die Mitglieder einigen, können von den Mitgliedern selbst oder von anderen Parteien oder Stellen ausgearbeitet werden;

h) im Rahmen eines Systems für den Austausch von Finanzdaten wird ein Modell zur Festlegung der maximalen Vergütung erarbeitet, die ein Dateninhaber für die Bereitstellung von Daten über eine geeignete technische Schnittstelle für den Datenaustausch mit Datennutzern im Einklang mit den gemäß Buchstabe g ausgearbeiteten gemeinsamen Standards verlangen kann. Dieses Modell beruht auf folgenden Grundsätzen:

i) Es sollte auf eine angemessene Vergütung begrenzt sein, die mit der Bereitstellung der Daten für den Datennutzer unmittelbar zusammenhängt und dem Auftrag zuzuordnen ist;

ii) es sollte auf einer objektiven, transparenten und nicht diskriminierenden Methode beruhen, die von den Mitgliedern vereinbart wurde;

iii) es sollte sich auf umfassende Marktdaten stützen, die von Datennutzern und Dateninhabern zu allen relevanten, im Modell eindeutig ermittelten Kostenfaktoren erhoben werden;

iv) es sollte regelmäßig überprüft und überwacht werden, um dem technischen Fortschritt Rechnung zu tragen;

v) es sollte so konzipiert sein, dass sich die Vergütung an den niedrigsten marktüblichen Werten orientiert; und

vi) es sollte auf Anfragen nach Kundendaten gemäß Artikel 2 Absatz 1 begrenzt sein oder im Falle zusammengefasster Datenanfragen in einem angemessenen Verhältnis zu den entsprechenden Datensätzen stehen, die in den Anwendungsbereich des genannten Artikels fallen.

Ist der Datennutzer ein Kleinstunternehmen oder ein kleines oder mittleres Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 42 , so darf die vereinbarte Vergütung nicht höher sein als die Kosten, die mit der Bereitstellung der Daten für den Datenempfänger unmittelbar zusammenhängen und dem Auftrag zuzuordnen sind.

i) ein System für den Austausch von Finanzdaten bestimmt die vertragliche Haftung seiner Mitglieder; dies gilt auch für Fälle, in denen die Daten unrichtig oder von unzureichender Qualität sind, die Datensicherheit gefährdet ist oder die Daten missbräuchlich verwendet werden. Bei personenbezogenen Daten stehen die Haftungsbestimmungen des Systems für den Austausch von Finanzdaten im Einklang mit den Bestimmungen der Verordnung (EU) 2016/679;

j) ein System für den Austausch von Finanzdaten umfasst ein unabhängiges , unparteiisches , transparentes und wirksames System zur Beilegung von Streitigkeiten zwischen Mitgliedern des Systems und zur Klärung von Problemen im Zusammenhang mit der Mitgliedschaft entsprechend den in der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates 43 festgelegten Qualitätsanforderungen.

(2) Die Mitgliedschaft in Systemen für den Austausch von Finanzdaten steht neuen Mitgliedern jederzeit zu den gleichen Bedingungen wie den bestehenden Mitgliedern offen.

(3) Ein Dateninhaber teilt der zuständigen Behörde des Mitgliedstaats, in dem er niedergelassen ist, innerhalb eines Monats nach dem Beitritt zu einem System mit, welchen Systemen für den Austausch von Finanzdaten er angehört.

(4) Ein gemäß diesem Artikel eingerichtetes System für den Austausch von Finanzdaten ist der zuständigen Behörde am Niederlassungsort der drei größten Dateninhaber, die zum Zeitpunkt der Einrichtung Mitglied dieses Systems sind, zu melden. Sind die drei größten Dateninhaber in verschiedenen Mitgliedstaaten niedergelassen oder gibt es in dem Mitgliedstaat, in dem die drei größten Dateninhaber niedergelassen sind, mehr als eine zuständige Behörde, so werden alle diese Behörden über die Einrichtung des Systems unterrichtet, und die Behörden vereinbaren untereinander, welche Behörde die in Absatz 6 genannte Prüfung durchführt.

(5) Die Meldung gemäß Absatz 4 erfolgt innerhalb eines Monats nach Einrichtung des Systems für den Austausch von Finanzdaten und beinhaltet die Verwaltungsmodalitäten und ‑ merkmale im Sinne von Absatz 1.

(6) Innerhalb eines Monats nach Eingang der Meldung gemäß Absatz 4 prüft die zuständige Behörde, ob die Verwaltungsmodalitäten und ‑ merkmale des Systems für den Austausch von Finanzdaten mit Absatz 1 im Einklang stehen. Im Rahmen der Prüfung der Vereinbarkeit des Systems für den Austausch von Finanzdaten mit Absatz 1 kann die zuständige Behörde andere zuständige Behörden konsultieren.

Nach Abschluss ihrer Prüfung unterrichtet die zuständige Behörde die EBA über das gemeldete System für den Austausch von Finanzdaten, wenn dieses die Bestimmungen von Absatz 1 erfüllt. Ein System, das der EBA gemäß diesem Absatz gemeldet wurde, wird in allen Mitgliedstaaten für Zwecke des Datenzugangs gemäß Artikel 5 Absatz 1 anerkannt und erfordert keine weitere Meldung in einem anderen Mitgliedstaat.

Artikel 11
Befugnis zum Erlass delegierter Rechtsakte bei Fehlen eines Systems für den Austausch von Finanzdaten

Für den Fall, dass für eine oder mehrere der in Artikel 2 Absatz 1 aufgeführten Kategorien von Kundendaten kein System für den Austausch von Finanzdaten entwickelt wird und keine realistische Aussicht besteht, dass ein solches System innerhalb eines angemessenen Zeitraums eingerichtet wird, wird der Kommission die Befugnis übertragen, gemäß Artikel 30 einen delegierten Rechtsakt zu erlassen, der diese Verordnung durch die folgenden Modalitäten ergänzt, nach denen ein Dateninhaber Kundendaten gemäß Artikel 5 Absatz 1 für die betreffende Datenkategorie zur Verfügung stellt:

a) gemeinsame Standards für Daten und gegebenenfalls technische Schnittstellen, die es den Kunden zu ermöglichen, einen Datenaustausch gemäß Artikel 5 Absatz 1 in Auftrag zu geben;

b) ein Modell zur Festlegung der maximalen Vergütung, die ein Dateninhaber für die Bereitstellung von Daten verlangen kann;

c) die Haftung der an der Bereitstellung der Kundendaten beteiligten Unternehmen.

TITEL V
Anspruch auf Datenzugang und Organisation

Artikel 12
Antrag auf Zulassung als Finanzinformationsdienstleister

(1) Ein Finanzinformationsdienstleister ist berechtigt, gemäß Artikel 5 Absatz 1 auf Kundendaten zuzugreifen, wenn er von der zuständigen Behörde eines Mitgliedstaats zugelassen wurde.

(2) Ein Finanzinformationsdienstleister reicht bei der zuständigen Behörde des Mitgliedstaats, in dem er niedergelassen ist, einen Zulassungsantrag ein, dem Folgendes beizufügen ist:

a) eine Beschreibung des Geschäftsmodells, aus der insbesondere die Art des geplanten Zugriffs auf Daten hervorgeht;

b) einen Geschäftsplan mit einer Budgetplanung für die ersten drei Geschäftsjahre, aus dem hervorgeht, dass der Antragsteller über geeignete und angemessene Systeme, Ressourcen und Verfahren verfügt, um seine Tätigkeit ordnungsgemäß auszuführen;

c) eine Beschreibung der Regelungen für die Unternehmensführung und der internen Kontrollmechanismen des Antragstellers, einschließlich der Verwaltungs-, Risikomanagement- und Rechnungslegungsverfahren, sowie der Vorkehrungen für die Nutzung von IKT-Diensten gemäß der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates, aus der hervorgeht, dass diese Regelungen für die Unternehmensführung, Kontrollmechanismen und Verfahren verhältnismäßig, angemessen, zuverlässig und ausreichend sind;

d) eine Beschreibung der vorhandenen Verfahren für Überwachung, Handhabung und Weiterverfolgung von Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden, einschließlich eines Mechanismus für die Meldung von Vorfällen, der den Meldepflichten nach Kapitel III der Verordnung (EU) 2022/2554 Rechnung trägt;

e) eine Beschreibung der Vorkehrungen zur Sicherstellung der Fortführung des Geschäftsbetriebs, einschließlich einer klaren Angabe der kritischen Vorgänge, der wirksamen IKT-Geschäftsfortführungsstrategie und ‑ pläne sowie IKT-Reaktions- und Wiederherstellungspläne und des Verfahrens für die regelmäßige Überprüfung der Angemessenheit und Wirksamkeit dieser Pläne gemäß der Verordnung (EU) 2022/2554;

f) ein Dokument zur Sicherheitsstrategie, einschließlich einer detaillierten Risikobewertung der Geschäfte und einer Beschreibung der Sicherheitskontroll- und Risikominderungsmaßnahmen, die zur Gewährleistung eines angemessen Schutzes der Kunden vor den ermittelten Risiken, einschließlich Betrug, ergriffen werden;

g) eine Beschreibung des organisatorischen Aufbaus des Antragstellers sowie eine Beschreibung der Auslagerungsvereinbarungen;

h) die Namen der Geschäftsleiter und der für die Geschäftsführung des Antragstellers verantwortlichen Personen und gegebenenfalls der für die Führung der Tätigkeiten des Antragstellers im Zusammenhang mit dem Zugang zu Daten verantwortlichen Personen sowie einen Nachweis, dass sie gut beleumundet sind und über ausreichend Kenntnisse und Erfahrung für den Zugriff auf Daten gemäß dieser Verordnung verfügen;

i) die Rechtsform und die Satzung des Antragstellers;

j) die Anschrift der Hauptverwaltung des Antragstellers;

k) gegebenenfalls die schriftliche Vereinbarung zwischen dem Finanzinformationsdienstleister und dem Rechtsvertreter, aus der die Bestellung, der Umfang der Haftung und die vom gesetzlichen Vertreter gemäß Artikel 13 wahrzunehmenden Aufgaben hervorgehen.

Für die Zwecke von Unterabsatz 1 Buchstaben c, d und g legt der Antragsteller eine Beschreibung seiner Prüfmodalitäten und der organisatorischen Vorkehrungen zur Ergreifung aller angemessen Maßnahmen zum Schutz der Interessen seiner Kunden und zur Gewährleistung der Kontinuität und Verlässlichkeit der von ihm erbrachten Tätigkeiten vor.

Bei den in Unterabsatz 1 Buchstabe f genannten Sicherheitskontroll- und Risikominderungsmaßnahmen ist anzugeben, auf welche Weise der Antragsteller ein hohes Maß an digitaler operationaler Resilienz gemäß Kapitel II der Verordnung (EU) 2022/2554 gewährleisten wird; dies gilt insbesondere in Bezug auf die technische Sicherheit und den Datenschutz unter Berücksichtigung der Software und der IKT-Systeme, die der Antragsteller oder die Unternehmen, an die er alle oder einen Teil seiner Tätigkeiten auslagert, verwenden.

(3) Finanzinformationsdienstleister müssen eine Berufshaftpflichtversicherung für die Gebiete, in denen sie auf Daten zugreifen, abschließen oder über eine andere vergleichbare Garantie verfügen, und sicherstellen, dass

a) sie in der Lage sind, ihre Haftung im Falle eines unbefugten oder missbräuchlichen Datenzugriffs oder einer unbefugten oder missbräuchlichen Datennutzung zu decken;

b) sie in der Lage sind, den Wert etwaiger Überschüsse, Schwellen oder Abzüge vom Versicherungsschutz oder einer vergleichbaren Garantie abzudecken ;

c) sie die Deckung des Versicherungsschutzes oder einer vergleichbaren Garantie laufend überwachen.

Als Alternative zum Abschluss einer Berufshaftpflichtversicherung oder zu einer vergleichbaren Garantie gemäß Unterabsatz 1 verfügen die im vorstehenden Unterabsatz genannten Unternehmen über ein Anfangskapital von 50 000 EUR, das unverzüglich durch eine Berufshaftpflichtversicherung oder eine andere vergleichbare Garantie ersetzt werden kann, nachdem das Unternehmen seine Tätigkeit als Finanzinformationsdienstleister aufgenommen hat.

(4) Die EBA arbeitet in Zusammenarbeit mit der ESMA und der EIOPA nach Konsultation aller einschlägigen Interessenträger Entwürfe technischer Regulierungsstandards aus, in denen Folgendes spezifiziert wird:

a) die Angaben, die der zuständigen Behörde bei der Beantragung der Zulassung als Finanzinformationsdienstleister zu übermitteln sind, unter Berücksichtigung der Anforderungen gemäß Absatz 1 Buchstaben a bis l;

b) eine gemeinsame Bewertungsmethode für die Erteilung der Zulassung als Finanzinformationsdienstleister gemäß dieser Verordnung;

c) die Bestimmung dessen, was unter einer in Absatz 2 genannten vergleichbaren Garantie, die mit einer Berufshaftpflichtversicherung austauschbar sein sollte, zu verstehen ist;

d) die Kriterien für die Festlegung der Mindestdeckungssumme der Berufshaftpflichtversicherung oder anderen vergleichbaren Garantie nach Absatz 2.

Bei der Ausarbeitung dieser technischen Regulierungsstandards berücksichtigt die EBA Folgendes:

a) das Risikoprofil des Unternehmens,

b) die etwaige Erbringung anderer Arten von Dienstleistungen oder Ausübung anderer gewerblicher Tätigkeiten durch das Unternehmen,

c) den Umfang der Tätigkeit,

d) die spezifischen Merkmale der vergleichbaren Garantien und die Kriterien für deren Anwendung.

Die EBA legt der Kommission die in Unterabsatz 1 genannten Entwürfe technischer Regulierungsstandards bis zum [OP: bitte Datum einfügen = 9 Monate nach Inkrafttreten dieser Verordnung] vor.

Der Kommission wird die Befugnis übertragen, die in Unterabsatz 1 dieses Absatzes genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnung (EU) Nr. 1093/2015 zu erlassen.

Gemäß Artikel 10 der Verordnung (EU) Nr. 1093/2010 überprüft die EBA diese technischen Regulierungsstandards und aktualisiert sie gegebenenfalls.

Artikel 13
Rechtsvertreter

(1) Finanzinformationsdienstleister, die keine Niederlassung in der Union haben, aber Zugang zu Finanzdaten in der Union beantragen, benennen schriftlich eine juristische oder natürliche Person in einem der Mitgliedstaaten, in denen der Finanzinformationsdienstleister Zugang zu Finanzdaten erhalten will, als ihren Rechtsvertreter.

(2) Die Finanzinformationsdienstleister ermächtigen ihre Rechtsvertreter, in allen für die Entgegennahme, Einhaltung und Durchsetzung dieser Verordnung wesentlichen Fragen neben dem Finanzinformationsdienstleister oder an dessen Stelle als Ansprechpartner der zuständigen Behörden zu fungieren. Die Finanzinformationsdienstleister übertragen ihren Rechtsvertretern alle erforderlichen Befugnisse und Mittel, damit sie mit den zuständigen Behörden zusammenarbeiten und die Einhaltung ihrer Beschlüsse sicherstellen können.

(3) Der benannte Rechtsvertreter kann für Verstöße gegen Verpflichtungen gemäß dieser Verordnung haftbar gemacht werden; die Haftung und die rechtlichen Schritte, die gegen den Finanzinformationsdienstleister eingeleitet werden können, bleiben hiervon unberührt.

(4) Die Finanzinformationsdienstleister melden der zuständigen Behörde in dem Mitgliedstaat, in dem ihr Rechtsvertreter ansässig oder niedergelassen ist, den Namen, die Anschrift, die E-Mail-Adresse und die Telefonnummer dieses Rechtsvertreters. Sie sorgen dafür, dass diese Angaben stets aktuell sind.

(5) Die Benennung eines Rechtsvertreters in der Union gemäß Absatz 1 gilt nicht als Niederlassung in der Union.

Artikel 14
Erteilung und Entzug der Zulassung von Finanzinformationsdienstleistern

(1) Die zuständige Behörde erteilt eine Zulassung, wenn die dem Antrag beigefügten Angaben und Nachweise die Anforderungen gemäß Artikel 11 Absätze 1 und 2 erfüllen. Vor Erteilung der Zulassung kann die zuständige Behörde gegebenenfalls andere einschlägige Behörden konsultieren.

(2) Die zuständige Behörde erteilt einem Finanzinformationsdienstleister aus einem Drittland eine Zulassung, sofern alle der folgenden Bedingungen erfüllt sind:

a) Der Finanzinformationsdienstleister aus einem Drittland erfüllt alle der in den Artikeln 12 und 16 festgelegten Bedingungen;

b) der Finanzinformationsdienstleister aus einem Drittland hat einen Rechtsvertreter gemäß Artikel 13 benannt;

c) unterliegt der Finanzinformationsdienstleister aus einem Drittland einer Aufsicht, so bemüht sich die zuständige Behörde um eine geeignete Kooperationsvereinbarung mit der jeweils zuständigen Behörde des Drittlands, in dem der Finanzinformationsdienstleister niedergelassen ist, um einen effizienten Informationsaustausch zu gewährleisten;

d) das Drittland, in dem der Finanzinformationsdienstleister niedergelassen ist, ist weder als nicht kooperatives Steuerhoheitsgebiet im Rahmen der einschlägigen Unionspolitik noch als Drittland mit hohem Risiko, das Mängel aufweist, gemäß der Delegierten Verordnung (EU) 2016/1675 der Kommission 44 eingestuft.

(3) Die zuständige Behörde erteilt die Zulassung nur dann, wenn das Informationsdienstleistungsgeschäft des Finanzinformationsdienstleisters auf soliden Regelungen für die Unternehmensführung beruht, die dem Erfordernis einer soliden und umsichtigen Führung des Finanzinformationsdienstleisters Rechnung tragen. Dazu gehören eine klare Organisationsstruktur mit genau festgelegten, transparenten und kohärenten Zuständigkeiten, wirksame Verfahren zur Ermittlung, Steuerung, Überwachung und Meldung der Risiken, denen er ausgesetzt ist oder ausgesetzt sein könnte, sowie angemessene interne Kontrollmechanismen, einschließlich solider Verwaltungs- und Rechnungslegungsverfahren. Die genannten Regelungen, Verfahren und Mechanismen müssen umfassend und der Art, dem Umfang und der Komplexität der vom Finanzinformationsdienstleister erbrachten Informationsdienstleistungen angemessen sein.

(4) Die zuständige Behörde erteilt die Zulassung nur dann, wenn sie bei der ordnungsgemäßen Erfüllung ihrer Aufsichtsaufgabe weder durch Rechts- und Verwaltungsvorschriften, denen eine oder mehrere natürliche oder juristische Personen, zu denen der Finanzinformationsdienstleister enge Verbindungen unterhält, unterliegen, noch durch Schwierigkeiten bei der Durchsetzung dieser Vorschriften behindert wird.

(5) Die zuständige Behörde erteilt eine Zulassung nur dann, wenn sie sich vergewissert hat, dass Auslagerungsvereinbarungen nicht dazu führen, dass der Finanzinformationsdienstleister zu einer Briefkastenfirma wird, und nicht als Mittel zur Umgehung der Bestimmungen dieser Verordnung eingesetzt werden.

(6) Die zuständige Behörde teilt dem Antragsteller binnen drei Monaten nach Eingang des Antrags oder, wenn dieser unvollständig ist, binnen drei Monaten nach Übermittlung aller für die Entscheidung erforderlichen Angaben mit, ob die Zulassung erteilt oder verweigert wird. Die zuständige Behörde begründet jede Verweigerung einer Zulassung.

(7) Die zuständige Behörde darf die einem Finanzinformationsdienstleister erteilte Zulassung nur dann entziehen, wenn er

a) nicht binnen zwölf Monaten von der Zulassung Gebrauch macht, ausdrücklich auf die Zulassung verzichtet oder seit mehr als sechs Monaten keine Geschäftstätigkeit ausgeübt hat;

b) die Zulassung aufgrund falscher Angaben oder auf andere Weise unrechtmäßig erlangt hat;

c) die Voraussetzungen für die Erteilung der Zulassung nicht mehr erfüllt oder seiner Pflicht zur Unterrichtung der zuständigen Behörde über wichtige Entwicklungen in diesem Zusammenhang nicht nachkommt;

d) eine Gefahr für den Verbraucherschutz und die Datensicherheit darstellt.

Die zuständige Behörde begründet jeden Entzug einer Zulassung und teilt den Betroffenen die Gründe mit. Die zuständige Behörde veröffentlicht eine anonymisierte Fassung des Zulassungsentzugs.

Artikel 15
Register

(1) Die EBA entwickelt, betreibt und führt ein zentrales elektronisches Register, das folgende Angaben enthält:

a) die zugelassenen Finanzinformationsdienstleister,

b) die Finanzinformationsdienstleister, die ihre Absicht mitgeteilt haben, auf Daten in einem anderen Mitgliedstaat als ihrem Herkunftsmitgliedstaat zuzugreifen,

c) die zwischen Dateninhabern und Datennutzern vereinbarten Systeme für den Austausch von Finanzdaten.

(2) Das in Absatz 1 genannte Register enthält nur anonymisierte Daten.

(3) Die EBA stellt das Register auf ihrer Website öffentlich zur Verfügung und ermöglicht eine einfache Suche nach und einen einfachen Zugang zu den darin enthaltenen Angaben.

(4) Die EBA trägt jeden Entzug der Zulassung eines Finanzinformationsdienstleisters und jede Beendigung eines Systems für den Austausch von Finanzdaten in das in Absatz 1 genannte Register ein.

(5) Die zuständigen Behörden der Mitgliedstaaten übermitteln der EBA unverzüglich die zur Erfüllung ihrer Aufgaben gemäß den Absätzen 1 und 3 erforderlichen Angaben. Die zuständigen Behörden sind dafür verantwortlich, dass die Angaben nach den Absätzen 1 und 3 richtig sind und auf dem neuesten Stand gehalten werden. Soweit technisch möglich, übermitteln sie diese Angaben auf automatisierte Weise an die EBA.

Artikel 16

Organisatorische Anforderungen an Finanzinformationsdienstleister

Finanzinformationsdienstleister erfüllen die folgenden organisatorischen Anforderungen:

a) sie legen hinreichende Regeln und Verfahren fest, um zu gewährleisten, dass sie, einschließlich ihrer Führungskräfte und Beschäftigten, ihren Verpflichtungen aus dieser Verordnung nachkommen;

b) sie treffen angemessene Vorkehrungen, um Kontinuität und Regelmäßigkeit ihrer Tätigkeiten zu gewährleisten. Zu diesem Zweck setzen sie geeignete und verhältnismäßige Systeme, Ressourcen und Verfahren ein, um die Kontinuität ihrer kritischen Tätigkeiten zu gewährleisten, und verfügen über Notfallpläne und ein Verfahren für die regelmäßige Überprüfung der Angemessenheit und Wirksamkeit dieser Pläne;

c) beim Rückgriff auf Dritte zur Wahrnehmung von Aufgaben, die für die kontinuierliche und zufriedenstellende Erbringung von Dienstleistungen für Kunden und Ausübung von Geschäftstätigkeiten ausschlaggebend sind, treffen sie angemessene Vorkehrungen, um unnötige zusätzliche Geschäftsrisiken zu vermeiden. Die Auslagerung wichtiger betrieblicher Aufgaben darf die Qualität ihrer internen Kontrolle und die Fähigkeit der Aufsichtsbehörde, die Einhaltung aller Anforderungen durch den Finanzinformationsdienstleister zu überwachen, nicht wesentlich beeinträchtigen;

d) sie verfügen über solide Unternehmensführungs-, Verwaltungs- und Rechnungslegungsverfahren, interne Kontrollmechanismen, wirksame Verfahren für Risikobewertung und ‑ management sowie wirksame Kontroll- und Sicherheitsmechanismen für Datenverarbeitungssysteme;

e) ihre Geschäftsleiter, die für ihre Geschäftsführung verantwortlichen Personen und die Personen, die Aufgaben im Zusammenhang mit der Verwaltung des Zugangs zu Daten wahrnehmen, sind gut beleumundet und verfügen sowohl individuell als auch kollektiv über ausreichende Kenntnisse, Fähigkeiten und Erfahrung für die Wahrnehmung ihrer Aufgaben;

f) sie geben sich wirksame und transparente Verfahren für eine umgehende, redliche und einheitliche Überwachung, Handhabung und Weiterverfolgung von Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden und erhalten diese aufrecht, einschließlich eines Mechanismus für die Meldung von Vorfällen, der den Meldepflichten nach Kapitel III der Verordnung (EU) 2022/2554 Rechnung trägt.

TITEL VI
Zuständige Behörden und Aufsichtsrahmen

Artikel 17
Zuständige Behörden

(1) Die Mitgliedstaaten benennen die zuständigen Behörden, die für die Wahrnehmung der in dieser Verordnung vorgesehenen Funktionen und Aufgaben verantwortlich sind. Die Mitgliedstaaten teilen der Kommission diese zuständigen Behörden mit.

(2) Die Mitgliedstaaten stellen sicher, dass die gemäß Absatz 1 benannten zuständigen Behörden mit allen zur Erfüllung ihrer Aufgaben notwendigen Befugnissen ausgestattet sind.

Die Mitgliedstaaten stellen sicher, dass diese zuständigen Behörden über die notwendigen Ressourcen verfügen, insbesondere über das entsprechende Personal, damit sie ihre Aufgaben gemäß den Anforderungen dieser Verordnung erfüllen können.

(3) Mitgliedstaaten, die in ihrem Hoheitsgebiet für die unter diese Verordnung fallenden Angelegenheiten mehr als eine zuständige Behörde ernannt haben, stellen sicher, dass diese Behörden eng zusammenarbeiten, damit sie ihre jeweiligen Aufgaben wirksam erfüllen können.

(4) Bei Finanzinstituten wird die Einhaltung dieser Verordnung von den in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden im Einklang mit den durch die in dem genannten Artikel aufgeführten Rechtsakte und durch die vorliegende Verordnung übertragenen Befugnissen sichergestellt.

Artikel 18
Befugnisse der zuständigen Behörden

(1) Die zuständigen Behörden verfügen über alle für die Wahrnehmung ihrer Aufgaben notwendigen Untersuchungsbefugnisse. Zu diesen Befugnissen gehören:

a) die Befugnis, von jeder juristischen oder natürlichen Person die Vorlage sämtlicher Informationen zu verlangen, die die zuständigen Behörden für die Wahrnehmung ihrer Aufgaben benötigen, einschließlich der Informationen, die in regelmäßigen Abständen und in festgelegten Formaten zu Aufsichts- und entsprechenden Statistikzwecken zur Verfügung zu stellen sind;

b) die Befugnis, alle erforderlichen Untersuchungen im Hinblick auf jede unter Buchstabe a genannte Person, die im betreffenden Mitgliedstaat niedergelassen oder ansässig ist, durchzuführen, sofern dies zur Wahrnehmung der Aufgaben der zuständigen Behörden erforderlich ist, einschließlich der Befugnis,

i) die Vorlage von Dokumenten zu verlangen,

ii) Daten jeglicher Form zu prüfen, einschließlich der Bücher und Aufzeichnungen der unter Buchstabe a genannten Personen, und Kopien oder Auszüge solcher Unterlagen anzufertigen,

iii) von jeder unter Buchstabe a genannten Person oder deren Vertretern oder Mitarbeitern schriftliche oder mündliche Erklärungen einzuholen und zum Erhalt von Informationen erforderlichenfalls jede derartige Person vorzuladen und zu befragen,

iv) jede andere natürliche Person zu befragen, die dieser Befragung zwecks Einholung von Informationen über den Gegenstand einer Untersuchung zustimmt,

v) die Befugnis, vorbehaltlich der vorherigen Unterrichtung der betroffenen zuständigen Behörden und vorbehaltlich anderer im Unionsrecht oder im nationalen Recht festgelegter Bedingungen die erforderlichen Prüfungen in den Geschäftsräumen juristischer Personen und in den Räumlichkeiten natürlicher Personen im Sinne von Buchstabe a, außer in der Privatwohnung dieser natürlichen Personen, sowie jeder anderen in die Beaufsichtigung auf konsolidierter Basis einbezogenen juristischen Person durchzuführen, wenn eine zuständige Behörde die konsolidierende Aufsichtsbehörde ist,

vi) die Räumlichkeiten natürlicher und juristischer Personen im Einklang mit dem nationalen Recht zu betreten, um Unterlagen und Daten gleich welcher Form zu beschlagnahmen, wenn der begründete Verdacht besteht, dass Unterlagen oder Daten, die sich auf den Gegenstand der Prüfung oder Untersuchung beziehen, für den Nachweis eines Verstoßes gegen diese Verordnung erforderlich und relevant sein könnten,

vii) soweit dies nach nationalem Recht zulässig ist, bestehende Datenverkehrsaufzeichnungen im Besitz einer Telekommunikationsgesellschaft anzufordern, wenn der begründete Verdacht eines Verstoßes besteht und wenn diese Aufzeichnungen für die Untersuchung eines Verstoßes gegen diese Verordnung relevant sein könnten,

viii) das Einfrieren oder die Beschlagnahme von Vermögenswerten oder beides zu beantragen,

ix) eine Sache zwecks strafrechtlicher Verfolgung weiterzuverweisen;

c) stehen keine anderen Mittel zur Verfügung, um einen Verstoß gegen diese Verordnung abzustellen oder zu verhindern und um die Gefahr einer ernsthaften Schädigung der Verbraucherinteressen abzuwenden, sind die zuständigen Behörden befugt, eine der folgenden Maßnahmen zu ergreifen, auch indem sie Dritte oder eine andere Behörde um deren Durchführung ersuchen:

i) Inhalte von Online-Schnittstellen zu entfernen oder den Zugang zu einer Online-Schnittstelle zu beschränken oder anzuordnen, dass den Verbrauchern beim Zugriff auf die Online-Schnittstelle ein ausdrücklicher Warnhinweis angezeigt wird,

ii) anzuordnen, dass Hostingdiensteanbieter den Zugang zu einer Online-Schnittstelle entfernen, sperren oder beschränken,

iii) anzuordnen, dass Register oder Registrierungsstellen für Domänennamen einen vollständigen Domänennamen entfernen, und der betreffenden zuständigen Behörde die Registrierung dieser Entfernung zu gestatten.

Die Durchführung und Ausübung der in diesem Abschnitt festgelegten Befugnisse muss verhältnismäßig sein und im Einklang mit dem Unionsrecht und dem nationalen Recht, einschließlich der geltenden Verfahrensgarantien und der Grundsätze der Charta der Grundrechte der Europäischen Union, stehen. Die gemäß dieser Verordnung ergriffenen Untersuchungs- und Durchsetzungsmaßnahmen müssen der Art und dem tatsächlichen oder potenziellen Gesamtschaden des Verstoßes angemessen sein.

(2) Die zuständigen Behörden üben ihre Befugnisse zur Untersuchung potenzieller Verstöße gegen diese Verordnung und zur Verhängung von in dieser Verordnung vorgesehenen Verwaltungssanktionen und anderen Verwaltungsmaßnahmen auf eine der folgenden Arten aus:

a) unmittelbar,

b) in Zusammenarbeit mit anderen Behörden,

c) durch Übertragung von Befugnissen auf andere Behörden oder Stellen,

d) durch Anrufung der zuständigen Justizbehörden eines Mitgliedstaats.

Übertragen die zuständigen Behörden die Ausübung ihrer Befugnisse nach Buchstabe c auf andere Behörden oder Stellen, so werden in der Befugnisübertragung die übertragenen Aufgaben, die Bedingungen, unter denen sie auszuführen sind, und die Bedingungen festgelegt, unter denen die Befugnisübertragung widerrufen werden kann. Die Behörden oder Stellen, auf die Befugnisse übertragen werden, müssen so organisiert sein, dass Interessenkonflikte vermieden werden. Die zuständigen Behörden überwachen die Tätigkeit der Behörden oder Stellen, denen die Befugnisse übertragen werden.

(3) Bei der Ausübung ihrer Untersuchungs- und Sanktionsbefugnisse, insbesondere auch in grenzüberschreitenden Fällen, arbeiten die zuständigen Behörden wirksam miteinander und mit anderen Behörden etwaiger betroffener Sektoren gemäß dem nationalen Recht und dem Unionsrecht zusammen, um den Informationsaustausch und die gegenseitige Amtshilfe, die für die wirksame Durchsetzung von verwaltungsrechtlichen Sanktionen und Verwaltungsmaßnahmen erforderlich sind, sicherzustellen.

Artikel 19
Vergleichsvereinbarungen und beschleunigte Durchsetzungsverfahren

(1) Unbeschadet des Artikels 20 können die Mitgliedstaaten Vorschriften erlassen, die es ihren zuständigen Behörden ermöglichen, die Untersuchung eines mutmaßlichen Verstoßes gegen diese Verordnung nach Erzielung einer Vergleichsvereinbarung einzustellen, um so eine Beendigung des mutmaßlichen Verstoßes und seiner Folgen zu erreichen, bevor ein förmliches Sanktionsverfahren eingeleitet wird.

(2) Die Mitgliedstaaten können Vorschriften erlassen, die es ihren zuständigen Behörden ermöglichen, die Untersuchung eines festgestellten Verstoßes durch ein beschleunigtes Durchsetzungsverfahren einzustellen, um die schnelle Annahme eines Beschlusses zur Verhängung einer verwaltungsrechtlichen Sanktion oder einer Verwaltungsmaßnahme zu erreichen.

Die Ermächtigung der zuständigen Behörden zu Vergleichsvereinbarungen oder beschleunigten Durchsetzungsverfahren lässt die Verpflichtungen der Mitgliedstaaten nach Artikel 20 unberührt.

(3) Erlassen die Mitgliedstaaten die in Absatz 1 genannten Vorschriften, so teilen sie der Kommission die einschlägigen Rechts- und Verwaltungsvorschriften, die die Ausübung der in jenem Absatz genannten Befugnisse regeln, sowie alle späteren Änderungen, die sich auf diese Vorschriften auswirken, mit.

Artikel 20
Verwaltungssanktionen und andere Verwaltungsmaßnahmen

(1) Unbeschadet der in Artikel 18 genannten Aufsichts- und Untersuchungsbefugnisse der zuständigen Behörden sehen die Mitgliedstaaten im Einklang mit dem nationalen Recht vor, dass die zuständigen Behörden befugt sind, angemessene verwaltungsrechtliche Sanktionen und andere Verwaltungsmaßnahmen zu verhängen, wenn folgende Verstöße begangen werden:

a) Verstöße gegen die Artikel 4, 5 und 6,

b) Verstöße gegen die Artikel 7 und 8,

c) Verstöße gegen die Artikel 9 und 10,

d) Verstöße gegen die Artikel 13 und 16,

e) Verstöße gegen Artikel 28.

(2) Die Mitgliedstaaten können beschließen, für Verstöße gegen diese Verordnung, die Sanktionen nach ihrem nationalen Strafrecht unterliegen, keine Vorschriften über verwaltungsrechtliche Sanktionen oder Maßnahmen zu erlassen. In diesem Fall teilen die Mitgliedstaaten der Kommission die einschlägigen strafrechtlichen Bestimmungen und alle späteren Änderungen dieser Bestimmungen mit.

(3) Die Mitgliedstaaten stellen im Einklang mit ihrem nationalen Recht sicher, dass die zuständigen Behörden befugt sind, bei den in Absatz 1 genannten Verstößen die folgenden verwaltungsrechtlichen Sanktionen und anderen Verwaltungsmaßnahmen zu verhängen:

a) öffentliche Bekanntgabe der verantwortlichen natürlichen oder juristischen Person und der Art des Verstoßes;

b) Anordnung an die verantwortliche natürliche oder juristische Person, das den Verstoß darstellende Verhalten einzustellen und von einer Wiederholung abzusehen;

c) Einzug der infolge des Verstoßes erzielten Gewinne oder vermiedenen Verluste, sofern diese sich bestimmen lassen;

d) vorübergehende Aussetzung der Zulassung eines Finanzinformationsdienstleisters;

e) Höchstgeldstrafe in mindestens zweifacher Höhe der infolge des Verstoßes erzielten Gewinne oder vermiedenen Verluste, soweit sich diese bestimmen lassen, auch wenn diese Geldstrafe im Falle von natürlichen Personen über die unter Buchstabe f dieses Absatzes und im Falle von juristischen Personen über die in Absatz 4 genannten Höchstbeträge hinausgeht;

f) im Falle einer natürlichen Person Höchstgeldstrafen von bis zu 25 000 EUR je Verstoß und bis zu einer Gesamthöhe von 250 000 EUR pro Jahr bzw. in den Mitgliedstaaten, deren Währung nicht der Euro ist, dem entsprechenden Gegenwert in der amtlichen Währung des betreffenden Mitgliedstaats zum ... [OP, bitte Datum einfügen: Datum des Inkrafttretens dieser Verordnung].

g) vorübergehendes Verbot für die Mitglieder des Leitungsorgans des Finanzinformationsdienstleisters oder für jede andere natürliche Person, die für den Verstoß verantwortlich gemacht wird, Leitungsaufgaben bei Finanzinformationsdienstleistern wahrzunehmen;

h) im Falle wiederholter Verstöße gegen die in Absatz 1 genannten Artikel mindestens zehnjähriges Verbot für die Mitglieder des Leitungsorgans eines Finanzinformationsdienstleisters oder für jede andere natürliche Person, die für den Verstoß verantwortlich gemacht wird, Leitungsaufgaben bei einem Finanzinformationsdienstleister wahrzunehmen.

(4) Die Mitgliedstaaten stellen im Einklang mit ihrem nationalen Recht sicher, dass die zuständigen Behörden befugt sind, bei den in Absatz 1 genannten Verstößen, die von juristischen Personen begangen werden, die folgenden Höchstgeldstrafen zu verhängen:

a) bis zu 50 000 EUR je Verstoß und bis zu einer Gesamthöhe von 500 000 EUR pro Jahr bzw. in den Mitgliedstaaten, deren Währung nicht der Euro ist, dem entsprechenden Gegenwert in der amtlichen Währung des betreffenden Mitgliedstaats zum ... [OP, bitte Datum einfügen: Datum des Inkrafttretens dieser Verordnung];

b) 2 % des jährlichen Gesamtumsatzes der juristischen Person laut dem zum letzten Bilanzstichtag verfügbaren, vom Leitungsorgan gebilligten Abschluss;

Handelt es sich bei der in Unterabsatz 1 genannten juristischen Person um eine Muttergesellschaft oder eine Tochtergesellschaft einer Muttergesellschaft, die nach Artikel 22 der Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates 45 einen konsolidierten Abschluss zu erstellen hat, so entspricht der relevante jährliche Gesamtumsatz den Nettoumsatzerlösen oder den gemäß den einschlägigen Rechnungslegungsstandards zu bestimmenden Nettoeinnahmen laut dem zum letzten Bilanzstichtag verfügbaren konsolidierten Abschluss des obersten Mutterunternehmens, für den die Mitglieder des Verwaltungs-, Leitungs- und Aufsichtsorgans des obersten Unternehmens verantwortlich zeichnen.

(5) Die Mitgliedstaaten können die zuständigen Behörden ermächtigen, weitere Arten von Verwaltungssanktionen und andere Verwaltungsmaßnahmen über die in den Absätzen 3 und 4 genannten Maßnahmen hinaus zu verhängen, und können höhere als die in diesen Absätzen festgelegten Verwaltungsgeldstrafen vorsehen.

Die Mitgliedstaaten teilen der Kommission den Betrag dieser höheren Strafen und jede spätere Änderung daran mit.

Artikel 21
Zwangsgelder

(1) Die zuständigen Behörden sind befugt, Zwangsgelder gegen juristische oder natürliche Personen zu verhängen, solange diese einem Beschluss, einer Anordnung, einer vorläufigen Maßnahme, einer Aufforderung, einer Verpflichtung oder einer anderen gemäß dieser Verordnung beschlossenen Verwaltungsmaßnahme nicht nachkommen.

Die in Unterabsatz 1 genannten Zwangsgelder müssen wirksam und verhältnismäßig sein und einen Betrag beinhalten, der täglich zu entrichten ist, bis die Regeltreue wiederhergestellt ist. Sie werden für einen Zeitraum von höchstens sechs Monaten ab dem im Beschluss über das Zwangsgeld genannten Zeitpunkt verhängt.

Die zuständigen Behörden sind befugt, die folgenden Zwangsgelder zu verhängen, die je nach Schwere des Verstoßes und den Bedürfnissen des Sektors angepasst werden können:

a) bei juristischen Personen 3 % des durchschnittlichen Tagesumsatzes;

b) bei natürlichen Personen 30 000 EUR.

(2) Der in Absatz 1 Unterabsatz 3 Buchstabe a genannte durchschnittliche Tagesumsatz entspricht dem jährlichen Gesamtumsatz, geteilt durch 365.

(3) Die Mitgliedstaaten können höhere als die in Absatz 1 Unterabsatz 3 festgelegten Zwangsgelder vorsehen.

Artikel 22
Umstände, die bei der Festlegung von Verwaltungssanktionen und anderen Verwaltungsmaßnahmen zu berücksichtigen sind

(1) Die zuständigen Behörden berücksichtigen bei der Festlegung von Art und Höhe von Verwaltungssanktionen und Verwaltungsmaßnahmen alle relevanten Umstände, um sicherzustellen, dass diese Sanktionen oder Maßnahmen wirksam und verhältnismäßig sind. Zu diesen Umständen gehören, sofern angemessen,

a) die Schwere und Dauer des Verstoßes,

b) der Grad an Verantwortung der für den Verstoß verantwortlichen juristischen oder natürlichen Person,

c) die Finanzkraft der für den Verstoß verantwortlichen juristischen oder natürlichen Person, wie sie sich unter anderem am jährlichen Gesamtumsatz der juristischen Person oder den Jahreseinkünften der natürlichen Person, die für den für den Verstoß verantwortlich ist, ablesen lässt,

d) die Höhe der erzielten Gewinne bzw. verhinderten Verluste der für den Verstoß verantwortlichen juristischen oder natürlichen Person, sofern diese sich bestimmen lassen,

e) die Verluste, die Dritten durch den Verstoß entstanden sind, sofern sich diese Verluste bestimmen lassen,

f) der Nachteil, der der für den Verstoß verantwortlichen juristischen oder natürlichen Person dadurch entsteht, dass für ein und dasselbe Verhalten sowohl strafrechtliche als auch verwaltungsrechtliche Verfahren und Strafen greifen,

g) die Auswirkungen des Verstoßes auf die Interessen der Verbraucher,

h) alle tatsächlichen oder potenziellen nachteiligen Auswirkungen des Verstoßes auf das System,

i) die Mittäterschaft oder organisierte Beteiligung von mehr als einer juristischen oder natürlichen Person an dem Verstoß;

j) frühere Verstöße der für den Verstoß verantwortlichen juristischen oder natürlichen Person,

k) das Maß der Bereitschaft der für den Verstoß verantwortlichen juristischen oder natürlichen Person zur Zusammenarbeit mit der zuständigen Behörde;

l) Abhilfemaßnahmen oder Handlungen der für den Verstoß verantwortlichen juristischen oder natürlichen Person mit dem Ziel, eine Wiederholung des Verstoßes zu verhindern.

(2) Zuständige Behörden, die nach Artikel 19 Vergleichsvereinbarungen oder beschleunigte Durchsetzungsverfahren nutzen, passen die in Artikel 20 festgelegten einschlägigen Verwaltungssanktionen und sonstigen Verwaltungsmaßnahmen an den betreffenden Fall an, um die Verhältnismäßigkeit der Strafen und Maßnahmen sicherzustellen, wobei sie insbesondere die in Absatz 1 genannten Umstände berücksichtigen.

Artikel 23
Geheimhaltungspflicht

(1) Alle Personen, die für die zuständigen Behörden tätig sind oder waren, sowie die von diesen Behörden beauftragten Sachverständigen unterliegen der beruflichen Geheimhaltungspflicht.

(2) Die gemäß Artikel 26 ausgetauschten Informationen unterliegen sowohl aufseiten der Behörde, die die Informationen weitergibt, als auch der Behörde, die sie empfängt, der beruflichen Geheimhaltungspflicht, um den Schutz der Rechte des Einzelnen und der Unternehmen sicherzustellen.

Artikel 24
Rechtsmittel

(1) Die gemäß dieser Verordnung ergangenen Beschlüsse der zuständigen Behörden können gerichtlich angefochten werden.

(2) Absatz 1 findet auch bei Untätigkeit Anwendung.

Artikel 25
Veröffentlichung von Beschlüssen zuständiger Behörden

(1) Die zuständigen Behörden veröffentlichen auf ihrer Website alle Beschlüsse zur Verhängung von Verwaltungssanktionen oder Verwaltungsmaßnahmen gegen juristische und natürliche Personen wegen Verstößen gegen diese Verordnung sowie gegebenenfalls alle Vergleichsvereinbarungen. Die öffentliche Bekanntmachung beinhaltet eine kurze Beschreibung des Verstoßes, der verhängten Verwaltungsstrafe oder anderen Verwaltungsmaßnahme oder gegebenenfalls eine Erklärung über die Vergleichsvereinbarung. Die Identität der natürlichen Person, die Gegenstand des Beschlusses zur Verhängung einer Verwaltungsstrafe oder Verwaltungsmaßnahme ist, wird nicht veröffentlicht.

Die zuständigen Behörden veröffentlichen den in Absatz 1 genannten Beschluss und die in Absatz 1 genannte Erklärung sofort, nachdem die juristische oder natürliche Person, die Gegenstand des Beschlusses ist, von dem betreffenden Beschluss in Kenntnis gesetzt oder die Vergleichsvereinbarung unterzeichnet wurde.

(2) Abweichend von Absatz 1 kann die zuständige nationale Behörde in Fällen, in denen sie die öffentliche Bekanntmachung der Identität oder anderer personenbezogener Daten der natürlichen Person für erforderlich hält, um die Stabilität der Finanzmärkte zu schützen oder die wirksame Durchsetzung dieser Verordnung zu gewährleisten, auch im Falle von in Artikel 20 Absatz 3 Buchstabe a genannten öffentlichen Bekanntgaben oder in Artikel 20 Absatz 3 Buchstabe g genannten vorübergehenden Verboten die Identität der Personen oder personenbezogene Daten veröffentlichen, sofern sie diesen Beschluss begründet und sich die öffentliche Bekanntmachung auf die personenbezogenen Daten beschränkt, die zwingend erforderlich sind, um die Stabilität der Finanzmärkte zu schützen oder die wirksame Durchsetzung dieser Verordnung sicherzustellen.

(3) Wird der Beschluss zur Verhängung einer Verwaltungsstrafe oder anderen Verwaltungsmaßnahme vor der einschlägigen Justiz- oder einer sonstigen Behörde angefochten, veröffentlichen die zuständigen Behörden auch diesen Sachverhalt und alle weiteren Informationen über das Ergebnis der Anfechtung unverzüglich auf ihrer offiziellen Website, sofern juristische Personen davon betroffen sind. Betrifft der angefochtene Beschluss natürliche Personen und kommt nicht die abweichende Regelung nach Absatz 2 zur Anwendung, veröffentlichen die zuständigen Behörden die Informationen über die Anfechtung nur in anonymisierter Form.

(4) Die zuständigen Behörden stellen sicher, dass öffentliche Bekanntmachungen nach diesem Artikel mindestens fünf Jahre lang auf ihrer offiziellen Website bleiben. Enthält die öffentliche Bekanntmachung personenbezogene Daten, so bleiben diese nur dann auf der offiziellen Website der zuständigen Behörde einsehbar, wenn eine jährliche Überprüfung ergibt, dass diese Daten öffentlich einsehbar bleiben müssen, um die Stabilität der Finanzmärkte zu schützen oder die wirksame Durchsetzung dieser Verordnung sicherzustellen, auf keinen Fall aber länger als fünf Jahre.

Artikel 26
Zusammenarbeit und Informationsaustausch zwischen den zuständigen Behörden

(1) Die zuständigen Behörden arbeiten miteinander und mit anderen einschlägigen zuständigen Behörden zusammen, die nach dem auf Finanzinstitute anwendbaren Recht der Union oder der Mitgliedstaaten benannt wurden, um für die Zwecke dieser Verordnung die Aufgaben der zuständigen Behörden wahrzunehmen.

(2) Die zuständigen Behörden und die für die Zulassung und Beaufsichtigung von Finanzinformationsdienstleistern zuständigen Behörden anderer Mitgliedstaaten dürfen für die Zwecke der Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung Informationen austauschen.

(3) Zuständige Behörden, die im Rahmen dieser Verordnung Informationen mit anderen zuständigen Behörden austauschen, können bei der Übermittlung darauf hinweisen, dass diese nur mit ihrer ausdrücklichen Zustimmung veröffentlicht werden dürfen; in diesem Falle dürfen sie nur für die Zwecke ausgetauscht werden, für die die Zustimmung erteilt wurde.

(4) Außer in gebührend begründeten Fällen darf die zuständige Behörde Informationen, die ihr von anderen zuständigen Behörden übermittelt wurden, nur mit ausdrücklicher Zustimmung dieser zuständigen Behörden an andere Stellen oder an natürliche oder juristische Personen und ausschließlich für die Zwecke weitergeben, für die die betreffenden Behörden ihre Zustimmung erteilt haben. In diesem Fall unterrichtet die betreffende Kontaktstelle unverzüglich die Kontaktstelle, von der die Information stammt.

(5) Betreffen die Verpflichtungen im Rahmen dieser Verordnung die Verarbeitung personenbezogener Daten, so arbeiten die zuständigen Behörden mit den gemäß der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden zusammen.

Artikel 27
Beilegung von Meinungsverschiedenheiten zwischen zuständigen Behörden

(1) Ist eine zuständige Behörde eines Mitgliedstaats der Auffassung, dass bei der grenzüberschreitenden Zusammenarbeit mit den zuständigen Behörden anderer Mitgliedstaaten nach den Artikeln 28 oder 29 der vorliegenden Verordnung in einer bestimmten Angelegenheit die einschlägigen Bedingungen jener Bestimmungen nicht eingehalten werden, so kann sie gemäß Artikel 19 der Verordnung (EU) Nr. 1093/2010 die EBA mit der Angelegenheit befassen und um ihre Unterstützung ersuchen.

(2) Wird die EBA auf ein Ersuchen nach Absatz 1 des vorliegenden Artikels hin tätig, so fasst sie unverzüglich einen Beschluss nach Artikel 19 Absatz 3 der Verordnung (EU) Nr. 1093/2010. Gemäß Artikel 19 Absatz 1 Unterabsatz 2 jener Verordnung kann die EBA den zuständigen Behörden auch von Amts wegen helfen, eine Einigung zu erzielen. In beiden Fällen setzen die beteiligten zuständigen Behörden ihre Beschlussfassung bis zur Beilegung de Meinungsverschiedenheit gemäß Artikel 19 der Verordnung (EU) Nr. 1093/2010 aus.

TITEL VII
Grenzüberschreitender Datenzugang

Artikel 28
Grenzüberschreitender Datenzugang von Finanzinformationsdienstleistern

(1) Finanzinformationsdienstleister und Finanzinstitute können im Rahmen der Dienstleistungsfreiheit oder der Niederlassungsfreiheit Zugang zu den in Artikel 2 Absatz 1 genannten Daten von Kunden in der Union, die sich im Besitz von in der Union niedergelassenen Dateninhabern befinden, erhalten.

(2) Ein Finanzinformationsdienstleister, der im Rahmen der Niederlassungsfreiheit oder der Dienstleistungsfreiheit erstmals in einem anderen Mitgliedstaat als seinem Herkunftsmitgliedstaat Zugang zu den in Artikel 2 Absatz 1 genannten Daten erhalten möchte, übermittelt den zuständigen Behörden seines Herkunftsmitgliedstaats die folgenden Angaben:

a) Name, Anschrift und gegebenenfalls Zulassungsnummer des Finanzinformationsdienstleisters;

b) Mitgliedstaat(en), in dem/denen der Finanzinformationsdienstleister Zugang zu den in Artikel 2 Absatz 1 aufgeführten Daten erhalten möchte;

c) Art der Daten, zu denen er Zugang erhalten möchte;

d) Systeme für den Austausch von Finanzdaten, denen er angehört.

Beabsichtigt der Finanzinformationsdienstleister, betriebliche Datenzugangsfunktionen an andere Stellen im Aufnahmemitgliedstaat auszulagern, setzt er die zuständigen Behörden seines Herkunftsmitgliedstaats hiervon in Kenntnis.

(3) Innerhalb eines Monats nach Erhalt aller in Absatz 1 genannter Angaben leiten die zuständigen Behörden des Herkunftsmitgliedstaats diese an die zuständigen Behörden des Aufnahmemitgliedstaats weiter.

(4) Der Finanzinformationsdienstleister teilt den zuständigen Behörden des Herkunftsmitgliedstaats unverzüglich jede relevante Änderung der nach Absatz 1 übermittelten Angaben mit, einschließlich Angaben zu zusätzlichen Stellen, an die Tätigkeiten in den Aufnahmemitgliedstaaten, in denen er tätig ist, ausgelagert werden. Das Verfahren nach den Absätzen 2 und 3 findet Anwendung.

Artikel 29
Begründung und Mitteilung

Jede gemäß den Artikeln 18 oder 28 von einer zuständigen Behörde ergriffene Maßnahme, die Sanktionen oder Einschränkungen des freien Dienstleistungsverkehrs oder der Niederlassungsfreiheit umfasst, wird ordnungsgemäß begründet und dem betroffenen Finanzinformationsdienstleister mitgeteilt.

TITEL VIII

Schlussbestimmungen

Artikel 30
Ausübung der Befugnisübertragung

(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2) Die Befugnis zum Erlass des in Artikel 11 genannten delegierten Rechtsakts wird der Kommission für einen Zeitraum von XX Monaten ab dem [OP, bitte Datum einfügen: Datum des Inkrafttretens dieser Verordnung] übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf dieses Zeitraums von XX Monaten einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

(3) Die Befugnisübertragung gemäß Artikel 11 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4) Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6) Ein delegierter Rechtsakt, der gemäß Artikel 11 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um drei Monate verlängert.

Artikel 31
Evaluierung dieser Verordnung und Bericht über den Zugang zu Finanzdaten

(1) Bis zum [OP, bitte Datum einfügen: vier Jahre nach dem Geltungsbeginn dieser Verordnung] führt die Kommission eine Evaluierung dieser Verordnung durch und übermittelt dem Europäischen Parlament und dem Rat sowie dem Europäischen Wirtschafts- und Sozialausschuss einen Bericht über deren wichtigste Ergebnisse. In dieser Evaluierung wird insbesondere Folgendes bewertet:

a) andere Datenkategorien oder Datensätze, die zugänglich gemacht werden sollten,

b) der Ausschluss bestimmter Kategorien von Daten und Stellen aus dem Anwendungsbereich;

c) Veränderungen der Vertragspraktiken von Dateninhabern und Datennutzern und die Funktionsweise von Systemen für den Austausch von Finanzdaten;

d) die Einbeziehung weiterer Arten von Stellen in den Kreis der Stellen, denen Datenzugangsrechte gewährt werden;

e) die Auswirkungen einer Vergütung auf die Möglichkeiten der Datennutzer, sich an Systemen für den Austausch von Finanzdaten zu beteiligen und von den Dateninhabern Datenzugang zu erhalten.

(2) Bis zum [OP, bitte Datum einfügen: 4 Jahre nach dem Datum des Inkrafttretens dieser Verordnung] legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht vor, in dem sie die gemäß dieser Verordnung und der Richtlinie (EU) 2015/2366 für Kontoinformationsdienstleister geltenden Bedingungen für den Zugang zu Finanzdaten bewertet. Dem Bericht wird gegebenenfalls ein Gesetzgebungsvorschlag beigefügt.

Artikel 32
Änderung der Verordnung (EU) Nr. 1093/2010

In Artikel 1 Absatz 2 der Verordnung (EU) Nr. 1093/2010 erhält Unterabsatz 1 folgende Fassung:

„Die Behörde handelt im Rahmen der ihr durch diese Verordnung übertragenen Befugnisse und innerhalb des Anwendungsbereichs der Richtlinie 2002/87/EG, der Richtlinie 2008/48/EG*, der Richtlinie 2009/110/EG, der Verordnung (EU) Nr. 575/2013**, der Richtlinie 2013/36/EU***, der Richtlinie 2014/49/EU****, der Richtlinie 2014/92/EU*****, der Richtlinie (EU) 2015/2366******, der Verordnung (EU) 2023/1114*******, der Verordnung (EU) 2024/…******** des Europäischen Parlaments und des Rates und, soweit diese Gesetzgebungsakte sich auf Kredit- und Finanzinstitute sowie die zuständigen Behörden, die diese beaufsichtigen, beziehen, der einschlägigen Teile der Richtlinie 2002/65/EG, einschließlich sämtlicher Richtlinien, Verordnungen und Beschlüsse, die auf der Grundlage dieser Gesetzgebungsakte angenommen wurden, sowie aller weiteren verbindlichen Rechtsakte der Union, die der Behörde Aufgaben übertragen. Die Behörde handelt ferner im Einklang mit der Verordnung (EU) Nr. 1024/2013 des Rates*********.“

* Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates (ABl. L 133 vom 22.5.2008, S. 66).

** Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1).

*** Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG (ABl. L 176 vom 27.6.2013, S. 338).

**** Richtlinie 2014/49/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über Einlagensicherungssysteme (ABl. L 173 vom 12.6.2014, S. 149).

***** Richtlinie 2014/92/EU des Europäischen Parlaments und des Rates vom 23. Juli 2014 über die Vergleichbarkeit von Zahlungskontoentgelten, den Wechsel von Zahlungskonten und den Zugang zu Zahlungskonten mit grundlegenden Funktionen (ABl. L 257 vom 28.8.2014, S. 214).

****** Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. L 337 vom 23.12.2015, S. 35).

******* Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (ABl. L 150 vom 9.6.2023, S. 40).

******** Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates vom... über einen Rahmen für den Zugang zu Finanzdaten und zur Änderung der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1095/2010 und (EU) 2022/2554 sowie der Richtlinie (EU) 2019/1937 (ABl. L ... vom..., S. ).

********* Verordnung (EU) Nr. 1024/2013 des Rates vom 15. Oktober 2013 zur Übertragung besonderer Aufgaben im Zusammenhang mit der Aufsicht über Kreditinstitute auf die Europäische Zentralbank (ABl. L 287 vom 29.10.2013, S. 63).“

Artikel 33
Änderung der Verordnung (EU) Nr. 1094/2010

In Artikel 1 Absatz 2 der Verordnung (EU) Nr. 1094/2010 erhält Unterabsatz 1 folgende Fassung:

* Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates vom... über einen Rahmen für den Zugang zu Finanzdaten und zur Änderung der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010, (EU) Nr. 1095/2010 und (EU) 2022/2554 sowie der Richtlinie (EU) 2019/1937 (ABl. L ... vom..., S. ).

** Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates vom 20. Januar 2016 über Versicherungsvertrieb (ABl. L 26 vom 2.2.2016, S. 19).

*** Richtlinie (EU) 2016/2341 des Europäischen Parlaments und des Rates vom 14. Dezember 2016 über die Tätigkeiten und die Beaufsichtigung von Einrichtungen der betrieblichen Altersversorgung (EbAV) (ABl. L 354 vom 23.12.2016, S. 37).

Artikel 34
Änderung der Verordnung (EU) Nr. 1095/2010

In Artikel 1 Absatz 2 der Verordnung (EU) Nr. 1095/2010 erhält Unterabsatz 1 folgende Fassung:

„Die Behörde handelt im Rahmen der ihr durch diese Verordnung übertragenen Befugnisse und innerhalb des Anwendungsbereichs der Richtlinien 97/9/EG, 98/26/EG, 2001/34/EG, 2002/47/EG, 2004/109/EG, 2009/65/EG, der Richtlinie 2011/61/EU des Europäischen Parlaments und des Rates*, der Verordnung (EG) Nr. 1060/2009 und der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates**, der Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates***, der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates****, der Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates***** und, soweit diese Gesetzgebungsakte sich auf Firmen, die Wertpapierdienstleistungen erbringen, oder Organismen für gemeinsame Anlagen, die ihre Anteilsscheine oder Anteile vertreiben, Emittenten oder Anbieter von Kryptowerten, Personen, die eine Zulassung zum Handel beantragen, oder Anbieter von Krypto-Dienstleistungen, Finanzinformationsdienstleister sowie die zuständigen Behörden, die diese beaufsichtigen, beziehen, der einschlägigen Teile der Richtlinien 2002/87/EG und 2002/65/EG, einschließlich sämtlicher Richtlinien, Verordnungen und Beschlüsse, die auf der Grundlage dieser Gesetzgebungsakte angenommen wurden, sowie aller weiteren verbindlichen Rechtsakte der Union, die der Behörde Aufgaben übertragen.

___________

* Richtlinie 2011/61/EU des Europäischen Parlaments und des Rates vom 8. Juni 2011 über die Verwalter alternativer Investmentfonds und zur Änderung der Richtlinien 2003/41/EG und 2009/65/EG und der Verordnungen (EG) Nr. 1060/2009 und (EU) Nr. 1095/2010 (ABl. L 174 vom 1.7.2011, S. 1).

** Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (ABl. L 173 vom 12.6.2014, S. 349).

*** Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über den Prospekt, der beim öffentlichen Angebot von Wertpapieren oder bei deren Zulassung zum Handel an einem geregelten Markt zu veröffentlichen ist und zur Aufhebung der Richtlinie 2003/71/EG (ABl. L 168 vom 30.6.2017, S. 12).

**** Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (ABl. L 150 vom 9.6.2023, S. 40).

***** Verordnung (EU) 2024/... des Europäischen Parlaments und des Rates vom... über einen Rahmen für den Zugang zu Finanzdaten und zur Änderung der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010, (EU) Nr. 1095/2010 und (EU) 2022/2554 sowie der Richtlinie (EU) 2019/1937 (ABl. L ... vom..., S. ).“

Artikel 35
Änderung der Verordnung (EU) 2022/2554

Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 wird wie folgt geändert:

1. Unter Buchstabe u wird der Punkt durch ein Semikolon ersetzt.

2. Der folgende Buchstabe v wird angefügt:

„v) Finanzinformationsdienstleister.“

Artikel 36
Inkrafttreten und Geltungsbeginn

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Sie gilt ab dem … [OP, bitte Datum einfügen: 24 Monate nach dem Datum des Inkrafttretens dieser Verordnung]. Die Artikel 9 und 13 gelten jedoch ab dem [OP, bitte Datum einfügen: 18 Monate nach dem Datum des Inkrafttretens dieser Verordnung].

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am […]

(1) Mitteilung der Kommission vom 19. Februar 2020 an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Eine europäische Datenstrategie (COM(2020) 66 final).

(2)

Mitteilung der Kommission vom 29. September 2020 an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen über eine Strategie für ein digitales Finanzwesen in der EU (COM(2020) 591 final).

(3) Mitteilung der Kommission vom 25. November 2021 an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Kapitalmarktunion – Umsetzung ein Jahr nach dem Aktionsplan (COM(2021) 720 final).

(4) Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) (COM(2022) 68 final).

(5) Die angenommene Strategie für Kleinanleger umfasst den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinien (EU) 2009/65/EG, 2009/138/EG, 2011/61/EU, 2014/65/EU und (EU) 2016/97 im Hinblick auf die Unionsvorschriften zum Schutz von Kleinanlegern sowie den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) Nr. 1286/2014 im Hinblick auf die Modernisierung des Basisinformationsblatts.

(6) ABl. C … vom …, S. ….

(7) Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG, 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. L 337 vom 23.12.2015, S. 35).

(8) https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1593073685620 &uri=CELEX%3A52020DC0066

(9) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(10) Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates vom 25. November 2009 betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit (Solvabilität II) (Neufassung) (ABl. L 335 vom 17.12.2009, S. 1).

(11) Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG, 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. L 337 vom 23.12.2015, S. 35).

(12) Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Strategie zur Finanzierung einer nachhaltigen Wirtschaft (COM(2021) 390 final).

(13) EBA Final Report on Guidelines on loan origination and monitoring.pdf (europa.eu) , 29.  Mai 2020.

(14) Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (ABl. L 151 vom 7.6.2019, S. 70).

(15) COM(2021) 281 final, 2021/0136(COD).

(16) Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt) (ABl. L 152 vom 3.6.2022, S. 1).

(17) ABl. L 123 vom 12.5.2016, S. 1.

(18) Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1).

(19) Verordnung (EU) … (ABl. …).

(20) Richtlinie (EU) … (ABl. …).

(21) Bericht der Kommission über die Überprüfung der Richtlinie 2015/2366/EU des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt.

(22) Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 173 vom 12.6.2014, S. 84).

(23) Richtlinie 2014/17/EU des Europäischen Parlaments und des Rates vom 4. Februar 2014 über Wohnimmobilienkreditverträge für Verbraucher und zur Änderung der Richtlinien 2008/48/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 (ABl. L 60 vom 28.2.2014, S. 34).

(24) Verordnung (EU) 2017/2402 des Europäischen Parlaments und des Rates vom 12. Dezember 2017 zur Festlegung eines allgemeinen Rahmens für Verbriefungen und zur Schaffung eines spezifischen Rahmens für einfache, transparente und standardisierte Verbriefung und zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU und der Verordnungen (EG) Nr. 1060/2009 und (EU) Nr. 648/2012 (ABl. L 347 vom 28.12.2017, S. 35).

(25) Richtlinie 2009/103/EG des Europäischen Parlaments und des Rates vom 16. September 2009 über die Kraftfahrzeug-Haftpflichtversicherung und die Kontrolle der entsprechenden Versicherungspflicht (ABl. L 263 vom 7.10.2009, S. 11).

(26) Verordnung (EU) 2019/1238 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über ein Paneuropäisches Privates Pensionsprodukt (PEPP) (ABl. L 198 vom 25.7.2019, S. 1).

(27) Richtlinie (EU) 2018/843 des Europäischen Parlaments und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU (ABl. L 156 vom 19.6.2018, S. 43).

(28) Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12).

(29) Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48).

(30) Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84).

(31) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(32) Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (Neufassung) (ABl. L 173 vom 12.6.2014, S. 349).

(33) Richtlinie (EU) 2016/2341 des Europäischen Parlaments und des Rates vom 14. Dezember 2016 über die Tätigkeiten und die Beaufsichtigung von Einrichtungen der betrieblichen Altersversorgung (EbAV) (Neufassung) (ABl. L 354 vom 23.12.2016, S. 37).

(34) Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates vom 20. Januar 2016 über Versicherungsvertrieb (Neufassung) (ABl. L 26 vom 2.2.2016, S. 19).

(35) Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates vom 16. September 2009 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten, zur Änderung der Richtlinien 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 2000/46/EG (ABl. L 267 vom 10.10.2009, S. 7).

(36) Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1).

(37) Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (ABl. L 150 vom 9.6.2023, S. 40).

(38) Richtlinie 2011/61/EU des Europäischen Parlaments und des Rates vom 8. Juni 2011 über die Verwalter alternativer Investmentfonds und zur Änderung der Richtlinien 2003/41/EG und 2009/65/EG und der Verordnungen (EG) Nr. 1060/2009 und (EU) Nr. 1095/2010 (ABl. L 174 vom 1.7.2011, S. 1).

(39) Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (Neufassung) (ABl. L 302 vom 17.11.2009, S. 32).

(40) Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates vom 20. Januar 2016 über Versicherungsvertrieb (Neufassung) (ABl. L 26 vom 2.2.2016, S. 19).

(41) Verordnung (EG) Nr. 1060/2009 des Europäischen Parlaments und des Rates vom 16. September 2009 über Ratingagenturen (ABl. L 302 vom 17.11.2009, S. 1).

(42) Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (K(2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36).

(43) Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (Abl. L 165 vom 18.6.2013, S. 63).

(44) Delegierte Verordnung (EU) 2016/1675 der Kommission vom 14. Juli 2016 zur Ergänzung der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates durch Ermittlung von Drittländern mit hohem Risiko, die strategische Mängel aufweisen.

(45) Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen und zur Änderung der Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (ABl. L 182 vom 29.6.2013, S. 19).