Orientering om Finanstilsynets fortolkning af kontooplysningstjenester

Her finder du information om Finanstilsynets fortolkning af ”kontooplysningstjenester”. En ny type reguleret betalingstjeneste, som blev indført med PSD2 og lov om betalinger

1. Baggrund

Efter implementeringen af direktiv EU 2015/2366 om betalingstjenester i det indre marked (herefter PSD2) i lov nr. 652 af 8. juni 2017 om betalinger (herefter lov om betalinger), er to nye tjenesteudbydere og dertilhørende tilladelsesregimer indført; udbydere af betalingsinitieringstjenester og udbydere af kontooplysningstjenester. Finanstilsynet oplever et stadigt stigende antal henvendelser fra især virksomheder, der ønsker at søge om tilladelse som udbyder af kontooplysningstjenester.

Hertil er der flere hidtil uregulerede virksomheder, der efter implementeringen af lov om betalinger er blevet i tvivl om, hvorvidt deres aktivitet nu kan karakteriseres som en kontooplysningstjeneste, og at de således skal ansøge om tilladelse fra Finanstilsynet.

Finanstilsynet ønsker at orientere om Finanstilsynets fortolkning af definitionen af kontooplysningstjenester. Finanstilsynet understreger, at dette område fortsat er nyt, og nye forretningsmodeller opstår løbende. Finanstilsynets vil således tilpasse fortolkningen, såfremt den måtte afvige fra fremtidig vejledning fra Den Europæiske Banktilsynsmyndighed (EBA) eller EU-Kommissionen, eller dette nødvendiggøres af markedsudviklingen.


 
2. Det retlige grundlag

Af § 7, nr. 21 i lov om betalinger, fremgår det:

Kontooplysningstjeneste: En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere.

Af de specielle bemærkninger til § 7, nr. 21 i lov om betalinger, fremgår det:

(…) Kontooplysningstjenester samler og behandler oplysninger om en eller flere af brugerens betalingskonti, der føres af en eller flere kontoførende udbydere, og som er tilgængelige online, og stiller disse til rådighed for brugeren. En kontooplysningstjeneste er således en tjeneste, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti. Dette kan eksempelvis være i form af udarbejdelse af forbrugsoverblik eller et budget. Det er dog væsentligt at bemærke, at denne behandling kun sker med henblik på at give brugeren denne information. I det omfang en udbyder af kontooplysningstjenester anvender oplysningerne til andre formål, eksempelvis videregivelse til tredjemand, eller indhenter yderligere oplysninger, eksempelvis oplysninger om konti der ikke er betalingskonti, er dette ikke omfattet af definitionen af kontooplysningstjenester. En sådan yderligere behandling af oplysninger, er således ikke omfattet af dette lovforslag, bortset fra hvad der er fastsat i lovforslagets § 124.

(…) Ved konsolideret information forstås, at informationen hentes fra en eller flere konti og stilles til rådighed for brugeren på den måde, der er aftalt mellem udbyderen og brugeren. Dette kan ske med en høj såvel som lav detaljeringsgrad. Til forståelse af begrebet konsolideret ligger således ikke en forudsætning om, at informationen skal gives på et overordnet eller aggregeret niveau.

En udbyder af kontooplysningstjenester kan eksempelvis levere en softwareløsning, som giver brugeren mulighed for at indhente oplysninger om betalingstransaktion fra dennes betalingskonti hos et eller flere pengeinstitutter, hvorefter udbyderen på en samlet og overskuelige måde præsenterer brugeren for et forbrugsoverblik eller et budget eller opfølgning på disse, eksempelvis ved at sende brugeren besked om når månedens budget er overskredet. (Finanstilsynets fremhævninger)

Af § 87 i lov om betalinger, fremgår det:

En udbyder af kontooplysningstjenester må kun udbyde kontooplysningstjenester på baggrund af brugerens udtrykkelige samtykke, der er afgivet i overensstemmelse med § 82.

Stk. 2. En udbyder af kontooplysningstjenester må kun tilgå oplysninger fra specifikt angivne betalingskonti og dertil hørende betalingstransaktioner.

Stk. 3. Udbyderen af kontooplysningstjenesten skal i forbindelse med udførelsen af kontooplysningstjenesten gøre følgende:

1) Sikre, at brugerens personaliserede sikkerhedsforanstaltninger overføres gennem sikre og velfungerende kanaler, og at de ikke er tilgængelige for andre parter med undtagelse af brugeren og udstederen af de personaliserede sikkerhedsforanstaltninger, jf. de regler, der udstedes af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

2) Identificere sig over for brugerens kontoførende udbyder, hver gang en konto tilgås, jf. de regler, der udstedes af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

3) Kommunikere med den kontoførende udbyder, brugeren og betalingsmodtageren på en sikker måde i overensstemmelse med de regler, der udstedes af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

Af § 88 i lov om betalinger, fremgår det:

Udbyderen af kontooplysningstjenester må ikke tilgå, anvende eller lagre oplysninger med andre formål end levering af den kontooplysningstjeneste, som betaleren udtrykkeligt har anmodet om.

Stk. 2. Uanset stk. 1 må udbyderen af kontooplysningstjenester ikke anmode brugeren om følsomme betalingsdata i tilknytning til en betalingskonto.

Af artikel 4, nr. 16 i PSD2, fremgår det:

»kontooplysningstjeneste«: en onlinetjeneste, der leverer konsoliderede oplysninger om en eller flere betalingskonti, som betalingstjenestebrugeren har hos enten en anden betalingstjenesteudbyder eller hos flere end én betalingstjenesteudbyder. (Finanstilsynets fremhævninger)

Af præambelbetragtning nr. 28 i PSD2, fremgår det:

I takt med den teknologiske udvikling er der desuden fremkommet et udvalg af supplerende tjenester i de senere år, såsom kontooplysningstjenester. Disse tjenester giver betalingstjenestebrugeren samlede oplysninger på internettet om en eller flere betalingskonti, der føres hos en eller flere betalingstjenesteudbydere, og som er tilgængelige via onlinegrænseflader hos den kontoførende betalingstjenesteudbyder. Betalingstjenestebrugeren har således mulighed for hurtigt at få et overblik over sin finansielle situation på et hvilket som helst tidspunkt. Disse tjenester bør også være omfattet af dette direktiv for at give forbrugerne tilstrækkelig beskyttelse af deres betalings- og kontodata samt retssikkerhed om kontooplysningstjenesteyderes status.

Af præambelbetragtning nr. 35 i PSD 2, fremgår det:

Betalingsinitieringstjenesteudbydere og kontooplysningstjenesteudbydere, når de udelukkende leverer disse tjenester, er ikke i besiddelse af kunders midler. Derfor ville det være uforholdsmæssigt at pålægge disse nye markedsaktører kapitalgrundlagskrav. Ikke desto mindre er det vigtigt, at de kan leve op til deres ansvar med hensyn til deres aktiviteter. Det bør derfor kræves, at de enten har en erhvervsansvarsforsikring eller en tilsvarende garanti. EBA bør i overensstemmelse med artikel 16 i forordning (EU) nr. 1093/2010 udarbejde retningslinjer for kriterierne for medlemsstaternes fastsættelse af minimumsbeløb for erhvervsansvarsforsikring eller en tilsvarende garanti. EBA bør ikke skelne mellem en erhvervsansvarsforsikring og en tilsvarende garanti, da de bør være substituerbare.

Af præambelbetragtning nr. 48 i PSD2, fremgår det:

I lyset af aktivitetens særlige art og de risici, der er forbundet med ydelse af kontooplysningstjenester, bør der indføres særlige tilsynsregler for kontooplysningstjenesteudbydere. Kontooplysningstjenesteudbydere bør kunne få tilladelse til at udbyde tjenester på tværs af grænserne gennem »passporting«.

Af præambelbetragtning nr. 69 i PSD2, fremgår det:

Forpligtelsen til at beskytte personaliserede sikkerhedsoplysninger er af afgørende betydning for at beskytte betalingstjenestebrugerens midler og for at begrænse risici vedrørende svig og uautoriseret adgang til betalingskonti. Imidlertid bør vilkår og betingelser eller andre forpligtelser, som betalingstjenesteudbydere pålægger betalingstjenestebrugere med henblik på at beskytte personaliserede sikkerhedsoplysninger, ikke udformes på en sådan måde, at betalingstjenestebrugere forhindres i at drage fordel af tjenesteydelser, som tilbydes af andre betalingstjenesteudbydere, herunder betalingsinitieringstjenester og kontooplysningstjenester. Endvidere bør sådanne vilkår og betingelser ikke indeholde bestemmelser, der på nogen måde vil gøre det vanskeligere at anvende betalingstjenester hos andre betalingstjenesteudbydere, der er meddelt tilladelse eller registreret i henhold til dette direktiv.



3. Hvad udgør en kontooplysningstjeneste?

På baggrund af de juridiske definitioner af kontooplysningstjenester i PSD2 og lov om betalinger, er det Finanstilsynets opfattelse, at der som minimum skal være tre elementer til stede i den konkrete forretningsmodel, førend der er tale om en kontooplysningstjeneste:

Liste over elementer, der som minimum skal være til stede i den konkrete forretningsmodel.  


3.1Indsamling af kontooplysninger fra en betalingskonto

Første element i vurderingen indebærer, at følgende to kriterier skal være opfyldt i) at der er tale om oplysninger hidrørende fra en brugers betalingskonto, og ii) at udbyderen indsamler disse oplysninger.

i) Oplysninger hidhørende fra en brugers betalingskonto

I de tilfælde, hvor en tjenesteudbyder indhenter information fra en konti, der ikke er en betalingskonto, er det Finanstilsynets vurdering, at der ikke er tale om en kontooplysningstjeneste. Ved vurderingen af, hvorvidt en konto udgør en betalingskonto, henviser Finanstilsynet til Generaladvokat E. Tanchevs udtalelse i sag C-191/17, af den 19. juni 2018 samt EU-Domstolens afgørelse i sag C-191/17, af den 4. oktober 2018. Her tog Domstolen stilling til, hvad, der udgør en betalingskonto:

Beskrivelse af, hvad domstolen fastslog om, hvad der udgør en en betalingskonto. 

Det følger endvidere af bemærkningerne til § 7, nr. 16, i lov om betalinger, at en betalingskonto er en konto, der er oprettet i en eller flere brugeres navn med henblik på at gennemføre betalingstransaktioner. Ifølge dommens præmis 29 består det afgørende for klassificeringen som en betalingskonto i muligheden for at gennemføre daglige betalingstransaktioner fra en sådan konto.

Endelig er det en forudsætning, at de indsamlede oplysninger stammer fra en anden kontoførende udbyder end udbyderen af kontooplysningstjenesten. Eksempelvis vil et pengeinstitut, der præsenterer en kunde for et forbrugsoverblik, der alene er baseret på oplysninger fra konti, som instituttet selv fører, ikke være omfattet af definitionen. Finanstilsynet fremhæver i denne forbindelse, at en kontoførende udbyder ikke nødvendigvis er et pengeinstitut.

ii) Udbyderen indsamler disse oplysninger

Det er Finanstilsynets vurdering, at måden hvorpå en tjenesteudbyder indsamler brugerens kontooplysninger, også er afgørende for, hvorvidt denne skal ansøge om tilladelse som udbyder af kontooplysningstjenester. Det er en forudsætning, at virksomheden selv indsamler kontooplysningerne fra brugerens kontoførende udbyder.

I nogle tilfælde indsamler tjenesteudbyderen ikke oplysninger, men i stedet henter brugeren selv sine kontooplysninger, eksempelvis ved at downloade individuelle kontobevægelser via en netbank for derefter at videregive dem til udbyderen. Der kan også forekomme tilfælde, hvor den kontoførende udbyder selv indsamler kontooplysningerne efter aftale med brugeren og den pågældende tjenesteudbyder uden brug af eksempelvis et API. Det er Finanstilsynets vurdering, at tjenesteudbyderen i dette tilfælde ikke er omfattet af definitionen af en kontooplysningstjeneste.

Det er således Finanstilsynets vurdering, at tjenesteudbydere i nogle tilfælde kan behandle kontooplysninger og præsentere disse for brugeren uden at skulle have en tilladelse som kontooplysningstjeneste.


4.2 Behandling af kontooplysninger

Det andet element i vurderingen indebærer, at tjenesteudbyderen skal behandle oplysningerne og sammenstille dem. Der kan være tale om en sammenstilling med høj såvel som lav detaljeringsgrad, og det er således ikke en forudsætning, at informationen gives på et overordnet eller aggregeret niveau.

Det fremgår af §124-125 i lov om betalinger, at databeskyttelsesreglerne finder anvendelse på udbydere af betalingstjenester, udstedere af elektroniske penge samt andre erhvervsdrivende, der behandler betalingsoplysninger. For så vidt angår begrebet ”behandling” tager Finanstilsynet derfor udgangspunkt i databeskyttelsesrettens behandlingsbegreb. Begrebet er bredt, og omfatter: 

Citat om, hvad begrebet omfatter.

 Det er en forudsætning for at være omfattet af definitionen af en kontooplysningstjeneste, at tjenesteudbyderen konsoliderer, dvs. sammenstiller oplysningerne, idet formålet med tjenesten skal være at give brugeren mulighed for at få overblik over sin finansielle situation, førend der er tale om en kontooplysningstjeneste. Dette kan være overordnet eller detaljeret. Der kan eksempelvis være tale om konsolideret information, selvom tjenesteudbyderen alene behandler og sammenstiller udvalgte transaktioner, og således giver brugeren et overblik over dennes økonomi på et specifikt og nærmere afgrænset område.


4.3 Præsentation af kontooplysninger

Det tredje element i vurderingen indebærer, at udbyderen af tjenesten præsenterer brugeren for kontooplysningerne. Det er Finanstilsynet vurdering, at der er tale om en kontooplysningstjeneste i de tilfælde, hvor en virksomhed indhenter kontooplysninger, behandler disse og præsenterer dem for brugeren som led sin tjeneste. Der er derimod ikke tale om en kontooplysningstjeneste, hvis udbyderen ikke i sidste ende viser kontooplysningerne til brugeren. Dette vil eksempelvis være tilfældet, hvor tjenesteudbyderen benytter oplysningerne til at lave en kreditvurdering af brugeren, men uden at præsentere brugeren for kontooplysningerne. Hvis tjenesteudbyderen, der foretager en kreditvurdering af brugeren derimod også præsenterer brugeren for kontooplysninger, kan der være tale om en kontooplysningstjeneste.

Det er Finanstilsynets vurdering, at begrebet ”præsentere” bør fortolkes bredt, idet brugeren og udbyderen selv kan aftale, på hvilken måde oplysningerne skal stilles til rådighed for brugeren i det konkrete tilfælde, jf. de specielle bemærkninger til § 7, nr. 21 i lov om betalinger. Det er derfor Finanstilsynets vurdering, at ”præsentere” ikke kun omfatter tilfælde, hvor tjenesteudbyderen udarbejder et budget eller et andet skriftligt overblik over brugerens kontooplysninger, men også kan omfatte andre former for præsentation gennem forskellige typer af medier. Det kunne eksempelvis omfatte en situation, hvor brugeren modtager en besked eller anden form for notifikation, når der sker en specifik transaktion på vedkommendes konto.  

Eksempler på præsentation gennem medier kan være en lampe, der lyser, eller et bestemt stykke musik, der afspilles, i forbindelse med en bestemt kontooplysning. Det er imidlertid en forudsætning, at det er helt klart for brugeren, hvilken kontooplysning, der er tale om, førend det kan tænkes omfattet af definitionen af kontooplysningstjenester.

4.4Afgrænsning

Det fremgår af de almindelige bemærkninger til lov om betalinger, at formålet med at omfatte kontooplysningstjenester af lovgivningen først og fremmest er at sikre, at forbrugerne beskyttes, særligt når det kommer til behandlingen af følsomme betalingsdata og personoplysninger. Dernæst er formålet at sikre en tilstrækkelig sikkerhed i forbindelse med udbuddet af sådanne tjenester. Endelig er formålet med at omfatte kontooplysningstjenester af lovgivningen at sikre lige konkurrencemæssige vilkår for de nye tredjepartsudbydere og eksisterende udbydere af betalingstjenester. Sammenfattende opstiller lovgivningen en række rettigheder og pligter for de virksomheder, som omfattes.

Med dette menes, at lov om betalinger på den ene side giver udbydere af kontooplysningstjenester med tilladelse hertil en lovfæstet ret til at indhente kontooplysninger fra den kontoførende udbyder (typisk et pengeinstitut). Pengeinstituttet må således ikke nægte udbyderen adgang til kontooplysningerne, og må ikke betinge adgangen hertil af eksempelvis et aftaleforhold med udbyderen, jf. § 83 i lov om betalinger. Hvis udbyderen af kontooplysningstjenesten kan dokumentere sin tilladelse, og brugeren har givet sit udtrykkelige samtykke til behandling af oplysningerne, har udbyderen således en lovfæstet ret til at indhente oplysningerne. Såfremt adgang til en betalingskonto opnås på et svigagtigt eller uautoriseret grundlag, kan den kontoførende udbyder derimod nægte en udbyder af kontooplysningstjenester adgang, jf. § 90 i lov om betalinger.

Retten til at indhente brugerens kontooplysninger hos banken skaber særlige risici ved kontooplysningstjenester, og der gør sig derfor særlige beskyttelseshensyn gældende. Med retten til at indhente kontooplysninger, følger derfor på den anden side også tilsvarende retlige pligter for udbydere af kontooplysningstjenester.

Udbyderne skal særligt sikre beskyttelsen af brugernes personaliserede sikkerhedsoplysninger, blandt andet ved at sikre at brugerens personaliserede sikkerhedsforanstaltninger overføres gennem sikre og velfungerende kanaler, og kommunikere med den kontoførende udbyder på en sikker måde, jf. § 87, stk. 3, nr. 1 og 3 i lov om betalinger.

Det er imidlertid ikke i alle tilfælde, at de nævnte beskyttelseshensyn gør sig gældende, og regulering af en tjeneste er derfor ikke altid relevant. Et eksempel herpå er, hvis udbyderen ikke benytter retten til at indhente brugerens kontooplysninger hos en kontoførende udbyder, eksempelvis ved, som tidligere beskrevet, at brugeren selv downloader og sender sine oplysninger til udbyderen. I dette tilfælde er det Finanstilsynets vurdering, at udbyderen ud fra en formålsfortolkning ikke er omfattet af lovens tilladelseskrav og de dertil hørende pligter.

Det er således Finanstilsynets vurdering, at det ikke er hensigten med lov om betalinger at omfatte og regulere eksisterende tjenester, der minder om kontooplysningstjenester, men hvor de førnævnte forhold ikke gør sig gældende. Revisorer er et eksempel på eksisterende tjenesteudbydere, der behandler kontooplysninger, men som ikke opfylder de øvrige betingelser i definitionen af kontooplysningstjenester, hvorfor Finanstilsynet vurderer, at det ikke er hensigten at omfatte dem af reguleringen. Hvis en revisor omvendt ønsker selv at indhente kontooplysningerne hos den kontoførende udbyder, behandle dem og præsentere dem for brugeren, kan der derimod være tale om en kontooplysningstjeneste.

4. Sammenfatning

Det er Finanstilsynets vurdering, at tre elementer skal være til stede i den konkrete forretningsmodel, førend der er tale om en kontooplysningstjeneste: i) Udbyderen skal indsamle kontooplysninger hidhørende fra brugerens betalingskonto, der føres af en eller flere kontoførende udbydere, og som er tilgængelige online, ii) udbyderen skal behandle kontooplysningerne, og konsolidere dem på et mere eller mindre aggregeret niveau, og iii) udbyderen skal præsentere kontooplysningerne for brugeren.

Når Finanstilsynet vurderer, hvorvidt en konkret forretningsmodel er omfattet af definitionen af kontooplysningstjenester og dermed er underlagt tilladelseskravet i § 60 i lov om betalinger, tager Finanstilsynet udgangspunkt i et ”ret-pligt-princip” på baggrund af en formålsfortolkning af reguleringen. Det betyder, at hvis tjenesteudbyderen ikke indhenter brugerens kontooplysninger fra banken, men derimod får disse tilsendt af brugeren selv, bør tjenesteudbyderne ikke være underlagt krav om tilladelse. Det er Finanstilsynets vurdering, at der i disse tilfælde ikke bør gælde de samme pligter for udbyderen, idet beskyttelseshensynene i lovgivningen ikke finder anvendelse, når udbyderen får tilsendt oplysningerne – navnlig at sikre, at brugerens personaliserede sikkerhedsforanstaltninger overføres gennem sikre og velfungerende kanaler og at udbyderen kommunikerer med den kontoførende udbyder på en sikker måde, jf. § 87, stk. 3, nr. 1 og 3 i lov om betalinger.

Selvom udbyderen i sådanne tilfælde ikke er underlagt tilladelseskrav, understreger Finanstilsynet, at bestemmelsen om databeskyttelse i § 125 i lov om betalinger skal efterleves af tjenesteudbyderen, og at denne sætter nogle begrænsninger for, hvad oplysningerne må bruges til. Hvis udbyderen ikke har en tilladelse som udbyder af kontooplysningstjenester, fremhæver Finanstilsynet ligeledes, at udbyderen ikke har retskrav på at få adgang til brugerens kontooplysninger. Den kontoførende udbyder har derfor i dette tilfælde mulighed for at nægte adgang til brugerens kontooplysninger.

Finanstilsynet understreger afslutningsvist, at dette område fortsat er nyt, og nye forretningsmodeller opstår løbende. Finanstilsynet vil således tilpasse fortolkningen, såfremt den måtte afvige fra fremtidig vejledning fra EBA eller EU-Kommissionen, eller at markedsudviklingen tilsiger det.



5. Er din tjeneste tilladelsespligtig?

 Ansøgningsskema og vejledning kan findes her.


 
6. Hvis aktiviteten ikke er tilladelsespligtig

Hvis virksomheden ikke skal søge om tilladelse for at udøve aktiviteten, skal denne dog være opmærksom på, at udbyderen ikke har retskrav på at få adgang til brugerens kontooplysninger hos den kontoførende udbyder. Den kontoførende udbyder har derfor mulighed for at nægte adgang til kontooplysningerne, jf. § 83 i lov om betalinger modsætningsvist. Brugere har dog selv mulighed for at downloade og sende sine oplysninger til tjenesteudbyderen. Behandler tjenesteudbyderen brugerens betalingsoplysninger, skal denne efterleve reglerne om databeskyttelse i § 125 i lov om betalinger.


 
7. Kontakt

Finanstilsynets fintech-team tilbyder iværksættervirksomheder og finansielle virksomheder vejledning i den finansielle lovgivning. Finanstilsynet vil altid foretage en konkret vurdering af den enkelte virksomheds forretningsmodel for at vurdere, hvilke regler, der skal iagttages, samt hvilke tilladelser, der eventuelt skal ansøges om.

Kontooplysningstjenester er en ny virksomhedstype i reguleringen, og der opstår hele tiden nye forretningsmodeller, hvor spørgsmålet om tilladelsespligt kan være vanskeligt at afklare. Finanstilsynet henviser derfor i øvrigt også til Finanstilsynets initiativ ”FT Lab”, der er en regulatorisk sandkasse, som giver virksomheder mulighed for at teste deres innovation i et sikkert miljø, bl.a. med det formål at undersøge, hvilken virksomhedstype, der er tale om. FT Lab er åbent for alle finansielle innovationer, herunder nye forretningsmodeller i henhold til kontooplysningstjenester. Læs mere om initiativet her.

Fintech-teamet kan kontaktes på fintech@ftnet.dk