(1) Der Kontoinformationsdienstleister darf seine Dienste nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers erbringen. Er darf nur auf Informationen von Zahlungskonten, die der Zahlungsdienstnutzer bezeichnet hat, und mit diesen im Zusammenhang stehenden Zahlungsvorgängen zugreifen. Er darf keine sensiblen Zahlungsdaten anfordern, die mit den Zahlungskonten in Zusammenhang stehen. Er darf Daten nur für die Zwecke des vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienstes speichern, verwenden oder darauf zugreifen.
(2) Ein Kontoinformationsdienstleister ist verpflichtet, sich gegenüber dem kontoführenden Zahlungsdienstleister des Zahlungsdienstnutzers jedes Mal, wenn er mit ihm kommuniziert, zu identifizieren. Er muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und demjenigen, der die personalisierten Sicherheitsmerkmale ausgegeben hat, zugänglich sind.
(3) Der Kontoinformationsdienstleister hat mit dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer auf sichere Weise zu kommunizieren. Soweit die Übermittlung der personalisierten Sicherheitsmerkmale erforderlich ist, darf dies nur über sichere und effiziente Kanäle geschehen.
(4) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.
zurück