1. Die EU und der digitale Euro
Der Hype rund um Kryptowährungen hat in den letzten Jahren für einige Bewegung gesorgt und Staaten auf den Plan gerufen, die Nützlichkeit und Umsetzbarkeit vergleichbarer Zahlungslösungen auf Zentralbankebene zu untersuchen. Dies gilt auch für den EU-Raum, wo seit Längerem mit dem Gedanken der Einführung eines "digitalen Euro" gespielt wird, womit man nicht zuletzt auch einen Gegenpol zur Verbreitung digitaler Zahlungsmittel aus Ländern außerhalb der Eurozone oder von Privaten bilden möchte.
Dazu sollte der digitale Euro, so die Idee, auch für seine Nutzer einige Vorteile mit sich bringen: So soll er ua im gesamten Euroraum akzeptiert werden, einfacher zu verwenden sein als bestehende digitale Zahlungslösungen, auch offline sowie ohne Bankkonto funktionieren und keinerlei Kosten für Bürger verursachen. Beim digitalen Euro würde es sich – wie bei Bargeld – um Zentralbank- anstatt Giralgeld handeln.
Der Anfang zur Etablierung des digitalen Zahlungsmittels wurde mit einem 50-seitigen Report von Anfang Oktober 2020 gemacht (abrufbar unter: https://www.ecb.europa.eu/pub/pdf/other/Report_on_a_digital_euro~4d7268b458.en.pdf). Im Anschluss wurden die Ergebnisse eines diesbezüglichen öffentlichen Konsultationsverfahrens in Form eines weiteren Reports veröffentlicht (abrufbar unter: https://www.ecb.europa.eu/pub/pdf/other/Eurosystem_report_on_the_public_consultation_on_a_digital_euro~539fa8cd8d.en.pdf, Stand 4. 2021). Daraus ergab sich bereits, dass für die Öffentlichkeit wie Fachleute der wichtigste zu berücksichtigende Faktor im Zusammenhang mit der Einführung eines digitalen Euro wohl der Datenschutz ist.
Die Untersuchungsphase des Projekts zum digitalen Euro wird im Herbst 2023 enden, danach wird die Europäische Zentralbank ("EZB") mögliche technische Lösungen und geschäftliche Regelungen für die Bereitstellung des digitalen Zahlungsmittels testen – dies allerdings nur, soweit der EZB-Rat die nächste Phase des Projekts entsprechend genehmigt (vgl häufig gestellte Fragen zum digitalen Euro: https://www.ecb.europa.eu/paym/digital_euro/faqs/html/ecb.faq_digital_euro.de.html, abgefragt 7. 8. 2023).
Die EU-Kommission hat im Juni 2023 inzwischen einen Gesetzesvorschlag für eine Verordnung zur Einführung des digitalen Euro ("Verordnungsvorschlag") veröffentlicht (Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Einführung des digitalen Euro, https://eur-lex.europa.eu/resource.html?uri=cellar:6f2f669f-1686-11ee-806b-01aa75ed71a1.0023.02/DOC_1&format=PDF, Stand 28. 6. 2023). Sollte dieser Verordnungsvorschlag vom EU-Parlament und dem Rat der EU angenommen werden, käme die Letztentscheidung über die Einführung des digitalen Euro (das "Ob") sowie dessen Zeitpunkt (das "Wann") dennoch der EZB zu. Bis sich ein digitaler Euro also tatsächlich in der eigenen Wallet befindet, werden zumindest noch ein paar Jahre vergehen.
Für nähere allgemeine Informationen zum Verordnungsvorschlag und der geplanten Funktionsweise des digitalen Euro vgl schon unseren Betrag "Verordnungsvorschlag für einen digitalen Euro" unter https://www.sv.law/verordnungsvorschlag-fuer-einen-digitalen-euro.
2. Schutz der Privatsphäre der Nutzer und ihrer personenbezogenen Daten
Der gegenständliche Beitrag setzt sich mit den datenschutzrechtlichen Überlegungen auseinander, welche mit der Einführung eines digitalen Euro zwingend verbunden sind. Da gerade der Schutz der Nutzerdaten im gegebenen Zusammenhang als essentiell eingestuft wurde, ist hier besondere Vorsicht bei der konkreten Ausgestaltung geboten. Es gilt einerseits im öffentlichen Interesse liegende Ziele wie die Verhinderung von illegalen Aktivitäten zu erreichen, andererseits aber lediglich so gering wie möglich in die Privatsphäre der Endanwender einzugreifen, um Vertrauen zu schaffen und nachhaltig aufrechtzuerhalten – schließlich wäre ein digitaler Euro anders als etwa Bitcoin zentralisiert, was weiterhin ein gewisses Vertrauen in die zuständigen Institutionen (allen voran die EZB) voraussetzt.
2.1 Allgemeine Zielsetzung
Im Verordnungsvorschlag über die Einführung des digitalen Euro wird proklamiert, dass ua der Schutz personenbezogener Daten als wichtige politische Maßnahme unterstützt werden soll – die Verarbeitung personenbezogener Daten durch Zahlungsdienstleister und die EZB soll auf das für das reibungslose Funktionieren erforderliche Maß beschränkt werden (etwa indem Zahlungsdienstleistern keine Transaktionsdaten weitergegeben werden, die sie Nutzern von Zahlungskonten zuordnen könnten, vgl etwa ErwGr 71 des Verordnungsentwurfs). Bei einer Offline-Nutzung des digitalen Euro soll das gleiche Maß an Privatsphäre bestehen, das Bürgern auch bei Bargeldbehebungen an Geldautomaten zukommt.
Eine für die Nutzung und Verbreitung des digitalen Euro als unerlässlich angesehene Verarbeitung personenbezogener Daten kann allerdings aufgrund von anerkannten Zielen des öffentlichen Interesses erfolgen (zB Verhütung und Aufdeckung von Betrug, Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Erfüllung von Verpflichtungen im Zusammenhang mit Steuern und Steuervermeidung). Die Anforderungen des Datenschutzrechts sollen dabei vollumfänglich eingehalten werden; dies ua auf Basis einer klaren Rollenverteilung und durch modernste begleitende Sicherheits- und Datenschutzmaßnahmen (zB Pseudonymisierung und Verschlüsselung, damit Einheiten des digitalen Euro identifizierten bzw identifizierbaren Nutzern nicht direkt zugeordnet werden können).
Soweit sich eine Datenverarbeitung im Anwendungsbereich der Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO") bewegt, muss sie gemäß ErwGr 12 des Verordnungsentwurfs auch im Einklang damit erfolgen und fällt in die Zuständigkeit der datenschutzrechtlichen Aufsichtsbehörden. In alle genutzten Datenverarbeitungssysteme soll der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen eingebettet und durch geeignete Garantien eine Umsetzung der Verarbeitungsgrundsätze der DSGVO sichergestellt sein (vgl auch ErwGr 72 des Verordnungsentwurfs).
2.2 Datenschutzrechtliche Bestimmungen im Verordnungsvorschlag
Konkret widmet sich das VIII. Kapitel des Verordnungsvorschlags mit dem Titel "Privatsphäre und Datenschutz" den datenschutzrechtlichen Aspekten hinsichtlich der Einführung des digitalen Euro. Darin wird festgelegt, zu welchen Zwecken verschiedene Entitäten, die an der Nutzbarmachung des digitalen Euro beteiligt sind, personenbezogene Daten verarbeiten dürfen. Konkret bestehen Vorschriften für (i)Zahlungsdienstleister (Art 34), (ii) die EZB und nationale Zentralbanken (Art 35) sowie (iii) Anbieter von Unterstützungsdiensten (Art 36). Diese Verordnungsbestimmungen werden wiederum durch die Anhänge III–V ergänzt, welche die einzelnen Daten aufzählen, die im Rahmen der entsprechenden Zwecke von der jeweiligen Entität konkret verarbeitet werden dürfen.
So wären Zahlungsdienstleister etwa ermächtigt, den Nutzer-Alias, die Nutzerauthentifizierung und den konkreten Euro-Betrag im Rahmen einer Aufladung bzw Auszahlung oder iZm Zahlungsvorgängen zu verarbeiten. Bei der Bereitstellung von digitalen Offline-Euro beschränkt sich die Verarbeitungsermächtigung dahingegen auf für die Falschgeldanalyse von Offline-Zahlungen erforderlichen Daten (Informationen zum lokalen Speichergerät einschließlich seiner Kennung). Weiters erlaubt sind Verarbeitungstätigkeiten zur Erfüllung der Pflichten, welche Zahlungsdienstleistern aus anderen Unionsrechtsakten erwachsen (zB bzgl der Bekämpfung von Geldwäsche und Terrorismusfinanzierung). Für die genannten Verarbeitungsvorgänge wird im Verordnungsvorschlag ausdrücklich festgelegt, dass der Zahlungsdienstleister der Verantwortliche für die Datenverarbeitung ist – als solcher soll er geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass an die EZB, nationale Zentralbanken oder Unterstützungsdienste übermittelte Daten keine direkte Identifizierung der Nutzer ermöglichen.
Gleiches gilt sinngemäß für Zentralbanken, denen lediglich teilweise andere Aufgaben zukommen – so etwa die Zugangsbereitstellung für Zahlungsdienstleister oder die Wahrung der Sicherheit und Integrität der Abwicklungsinfrastruktur, aber auch die Abwicklung von Online-Zahlungsvorgängen in digitalen Euro. Im Rahmen ihres übertragenen Aufgabenbereichs treten Zentralbanken ebenfalls als Verantwortliche auf und müssen geeignete technische und organisatorische Maßnahmen sicherstellen.
Die EZB wiederum kann Anbieter von Unterstützungsdiensten mit Aufgaben gemäß Art 27 und/oder Art 32 des Verordnungsvorschlags betrauen, welche dann als eigenständige Verantwortliche zur Verarbeitung bestimmter Informationen im Rahmen der Unterstützung (i) zur Verhütung und Aufdeckung von Betrug oder (ii) des Austausches von Nachrichten zur Beilegung von Streitigkeiten ermächtigt sind.
Die EU-Kommission soll im Wege von delegierten Rechtsakten die Befugnis erhalten, ua die Arten von personenbezogenen Daten, welche von Zahlungsdienstleistern, der EZB und den nationalen Zentralbanken sowie Anbietern von Unterstützungsdiensten verarbeitet werden, zu ergänzen.
3. Conclusio
Der Schutz von personenbezogenen Daten sowie der Privatsphäre von Nutzern ist eines der wesentlichen Anliegen der EU bei der Einführung eines digitalen Euro. Insoweit finden sich auch im Verordnungsvorschlag der EU-Kommission zahlreiche Bezugnahmen auf diese Zielsetzung. Da konkrete Umsetzungsmodalitäten allerdings noch untersucht werden, beschränkt man sich (derzeit) – wie so oft – auf vergleichsweise abstrakte Vorgaben. Es ist zu begrüßen, dass datenverarbeitenden Akteuren eine konkrete Rolle zugewiesen wird und sie durch dezidiert festgelegte Zwecke und Datenkategorien in ihrem Tun von vornherein limitiert werden. Darüber hinaus wird bislang allerdings lediglich die DSGVO für anwendbar erklärt und auf geeignete technische und organisatorische Maßnahmen abgestellt, welche die Erreichung der obengenannten Zielsetzung gewährleisten sollen. Es bleibt abzuwarten, welche Änderungen sich daran im Gesetzgebungsprozess noch ergeben und wie ein digitaler Euro in der Praxis schlussendlich ausgestaltet sein wird. Erst dann wird sich zeigen, mit wie viel Datenschutz das digitale Zahlungsmittel tatsächlich aufwarten kann.
