1.
Diese Leitlinien richten sich in erster Linie an Zahlungsdienstleister (im Folgenden: Zahlungsdienstleister (ZDL) oder Verantwortliche) im Sinne des abgeänderten Gesetzes vom 10. November 2009 über Zahlungsdienste[1] (im Folgenden: Gesetz von 2009).[2]
2.
Die Zahlungsdienstleister erheben und verarbeiten zum Zeitpunkt der Kontaktaufnahme, während der gesamten Dauer der Beziehung und auch lange nach Beendigung der Beziehung mit dem Nutzer des Dienstes (im Folgenden: Nutzer oder betroffene Person) eine erhebliche Menge personenbezogener Daten. Darüber hinaus haben technologische Innovationen die Fähigkeit der Zahlungsdienstleister, ein breites Spektrum von Nutzerdaten zu erfassen, zu speichern, zu kombinieren und zu analysieren, erheblich verbessert.
3.
Personenbezogene Daten, die von Zahlungsdienstleistern verarbeitet werden können, können Informationen über die persönliche Situation der betroffenen Person (Alter, Staatsangehörigkeit, Familienstand usw.), ihre wirtschaftliche und finanzielle Situation, Zahlungsdaten (wie Transaktionsbetrag, Datum und Uhrzeit der Zahlung, Identität des Empfängers einer Transaktion, IBAN oder personalisierte Sicherheitsdaten), den Betrugsbekämpfungswert der betroffenen Person, Kontext- oder Verhaltensdaten (Konsumpräferenzen und -gewohnheiten, Geolokalisierung, Merkmale des für einen Online-Kauf verwendeten Endgeräts, Zeitaufwand für die Prospektion usw.) umfassen.
4.
Obwohl ihnen nach der Datenschutz-Grundverordnung (EU) 2016/679 (im Folgenden: DSGVO) kein besonderer Status zukommt, sind viele dieser Daten als „sensible“ Daten (im allgemeinen Sinne des Wortes) anzusehen, da ihre Verletzung schwerwiegende Auswirkungen auf das tägliche Leben der betroffenen Person haben könnte.[3]
5.
Angesichts des Umfangs dieser Verarbeitungen möchte die CNPD einige der wichtigsten Grundsätze von Artikel 5 der DSGVO in Bezug auf die Verarbeitung von Daten von Zahlungsdienstnutzern in Erinnerung rufen. Ein Zahlungsdienstleister darf personenbezogene Daten einer betroffenen Person nur verarbeiten, wenn die beabsichtigte Verarbeitung rechtmäßig ist; d. h. erforderlich für die Erfüllung des Vertrags mit dem Nutzer, erforderlich für die Erfüllung einer rechtlichen Verpflichtung, der der ZDL unterliegt, erforderlich für die Zwecke der vom ZDL verfolgten berechtigten Interessen oder in selteneren Fällen auf einer der anderen Rechtsgrundlagen für die Verarbeitung der in Artikel 6 der DSGVO genannten Daten. Nach dem Grundsatz der Transparenz müssen die betroffenen Personen die Kontrolle über die sie betreffenden Daten behalten. Dies setzt voraus, dass sie ab dem Zeitpunkt der Erhebung und während des gesamten Verarbeitungszyklus eindeutig über die Verwendung ihrer Daten informiert werden. Darüber hinaus dürfen die personenbezogenen Daten der Nutzer nur für festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist (Grundsatz der Zweckbindung). Die Daten müssen außerdem angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein (Grundsatz der Datenminimierung). Sie müssen auch genau sein und erforderlichenfalls auf dem neuesten Stand gehalten werden (Genauigkeitsgrundsatz).
6.
Schließlich müssen nach Art. 5 Abs. 1 Buchst. e der DSGVO personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen für einen Zeitraum ermöglicht, der nicht länger dauert, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Grundsatz der Beschränkung der Speicherung von Daten). In diesen Leitlinien wird nicht im Einzelnen auf die Frage eingegangen, welche Daten für die Erfüllung der Verträge erforderlich sind und während der Dauer des Vertragsverhältnisses gespeichert werden, sondern auf alle Aspekte der Aufbewahrungsfristen nach Beendigung des Vertragsverhältnisses mit der betroffenen Person. In der Tat speichern ZDLs in der Regel die personenbezogenen Daten ihrer Nutzer, um bestimmte gesetzliche Verpflichtungen zu erfüllen oder um sich vor bestimmten rechtlichen Schritten während der Dauer der gesetzlichen Vorschriften zu schützen.
7.
Ohne Anspruch auf Vollständigkeit zu erheben, zielen diese Leitlinien darauf ab, die betroffenen Akteure über die Dauer und die Modalitäten der Speicherung der personenbezogenen Daten zu informieren, die sie im Kontext eines stark regulierten Sektors verarbeiten. Der Schutz personenbezogener Daten ist zunehmend in den verschiedenen europäischen Vorschriften (auch den speziell für den Finanzsektor geltenden) verankert, und die CNPD möchte die betroffenen Verantwortlichen so weit wie möglich über die Anwendung einiger dieser Bestimmungen in Bezug auf die Anforderungen der DSGVO in Bezug auf die Aufbewahrungsfristen für personenbezogene Daten informieren. Angesichts der Präsenz zahlreicher Zahlungsdienstleister, die als in Luxemburg Ansässige für die Verarbeitung Verantwortliche fungieren,[4] und im Einklang mit den Empfehlungen des Europäischen Datenschutzausschusses (im Folgenden: EDSB) und des europäischen Gesetzgebers beabsichtigt die CNPD, in Zusammenarbeit mit den anderen zuständigen Behörden in Luxemburg einen ganzheitlichen[5][6]Ansatz für den für die Akteure des Finanzsektors geltenden Rechtsrahmen zu verfolgen.
-------------------------------------------------------------------------------------------------------------------------------------
[1] https://www.cssf.lu/fr/Document/loi-du-10-novembre-2009/
[2] Die in diesen Leitlinien dargelegten Grundsätze können zwar auch für andere Berufsangehörige des Finanzsektors gelten, doch sollen in dieser Leitlinie nicht die Besonderheiten dargelegt werden, die für andere Berufsangehörige gelten.
[3] Leitlinien der Artikel-29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (DSFA) und zur Feststellung, ob die Verarbeitung für die Zwecke der Verordnung (EU) 2016/679 „mit hohem Risiko verbunden sein kann“, WP248 rev.01 – vom EDSA gebilligt (S. 11); Leitlinien 6/2020 zum Zusammenspiel zwischen der Zweiten Zahlungsdiensterichtlinie und der DSGVO, Version 2.0, angenommen am 15. Dezember 2020 (§69)
[4] Im Mai 2025 gab es in Luxemburg 117 Kreditinstitute, 17 Zahlungsinstitute und 12 E-Geld-Institute (Quelle: https://www.cssf.lu/wp-content/uploads/newsletter292.pdf)
[5] Siehe EDPB Strategy 2024-2027: „Der EDSA wird sich bemühen, die Zusammenarbeit mit anderen Regulierungsbehörden zu verstärken, um das Recht auf Datenschutz in die gesamte Regulierungsarchitektur zu integrieren.“
[6] Siehe Erwägungsgrund 130 des Vorschlags für eine Verordnung über Zahlungsdienste im Binnenmarkt und zur Änderung der Verordnung (EU) Nr. 1093/2010, 28.06.2023 (2023/0210 (COD)): „Die Wirksamkeit des EU-Rahmens für Zahlungsdienste hängt von der Zusammenarbeit mehrerer zuständiger Behörden ab, darunter nationale Steuer-, Datenschutz-, Wettbewerbs-, Verbraucherschutz-, Audit-, Polizei- und andere Durchsetzungsbehörden. Die Mitgliedstaaten sollten sicherstellen, dass ihr Rechtsrahmen eine solche Zusammenarbeit ermöglicht und erleichtert, soweit dies für die Verwirklichung der Ziele des Unionsrahmens für Zahlungsdienste erforderlich ist, unter anderem durch die ordnungsgemäße Anwendung seiner Vorschriften. [...]“