Kaum ein Thema wird in der Finanzbranche aktuell kontroverser diskutiert als die PSD2, die „Payment Services Directive 2“ der EU, welche letzten Samstag, am 14. September, nach anderthalb Jahren Vorbereitungszeit in Kraft getreten ist. Die neue Richtlinie nimmt nun EU-weit alle Banken in die Pflicht, neue Sicherheitskonzepte und Schnittstellen umzusetzen und zwingt die Institute so indirekt, sich mit dem Thema der Marktöffnung der Branche gegenüber Drittanbieter und – im weiteren Kontext – mit der Digitalisierung und Umstrukturierung der Finanzwelt auseinander zu setzen. In Europa gilt PSD2 als treibende Kraft für das Konzept Open Banking und treibt auch international neue Denkanstöße voran.

Was ist PSD2?

Die PSD2 ist die neue Zahlungsdiensterichtlinie der EU, die bereits 2016 beschlossen und im Januar 2018 in nationales Gesetz umgesetzt wurde. Sie löst die alte Zahlungsdiensterichtlinie von 2007 ab und gilt seit dem 14. September 2019 verpflichtend für alle Banken innerhalb der EU.

Ziel der PSD2 ist in erster Linie, die Sicherheit im Zahlungsverkehr zu erhöhen und den Verbraucherschutz zu stärken. Gleichzeitig sollen aber auch Innovationen gefördert und der Wettbewerb im Bankenmarkt gesteigert werden, indem auch Drittanbietern, insbesondere FinTechs, mehr Möglichkeiten geboten werden, am Markt teilzunehmen.

Dazu besteht die Richtlinie im Wesentlichen aus drei essentiellen Bestandteilen:

• Die Strong Customer Authentification (SCA) beschreibt die Implementierung von stärkeren Sicherheitskonzepten und soll für mehr Sicherheit beim Zahlungsverkehr und stärkeren Verbraucherschutz sorgen. In der Praxis bedeutet dies die Einführung der sogenannten 3-D-Secure Authentifizierung. Beispielsweise müssen bei Online-Zahlungen oder Überweisungen künftig zwei von drei unabhängigen Sicherheitsmerkmalen aus den Kategorien Wissen (z.B. Pin, Passwort), Besitz (Handy, Karte) oder Inhärenz (Fingerabdruck) erfüllt sein.

• Account Information Services (AIS) bezeichnet die Bereitstellung von Kunden-, Konten- und Transaktionsdaten, mit denen Drittanbieter Kontoinformationsdienste anbieten können. Diese Informationen sind u.a. erforderlich, um Kontodeckung oder Bonität im Auftrag des Kunden zentral prüfen zu können, oder auch um Multi-Banking Apps zu nutzen.

• Payment Initiation Services (PIS) fassen die Einrichtung von Zahlungsauslöseschnittstellen zusammen, mit denen der Kunde über Drittanbieter Zahlungen und Überweisungen auslösen lassen kann, ohne direkt mit der Bank bzw. seinem Online Banking Account zu interagieren.

Insbesondere die AIS und PIS bedeuten im Klartext die verpflichtende Bereitstellung von dedizierten Schnittstellen, sogenannten APIs (Application Programming Interfaces), mithilfe derer Drittanbieter Daten des Kunden direkt von der Bank abrufen und Zahlungen auslösen können – natürlich nur nach ausdrücklichem Kundeneinverständnis (SCA).

Die Vorgaben für die Mindestanforderungen solcher APIs in Bezug auf Funktionalität und Sicherheit definiert die Europäische Bankenaufsicht durch die Technischen Regulierungsstandards (RTS). Diese Standards haben zum Ziel, gleiche Voraussetzungen für alle Marktteilnehmer zu schaffen und schreiben zum Beispiel vor, dass APIs keinerlei Hindernisse für Drittanbieter, wie etwa die erneute Identifizierung mit einer IBAN, enthalten dürfen. Da standardisierte Banking APIs als die technische Voraussetzung einer Digitalisierung und Marktöffnung der Finanzbranche ist, gilt PSD2 als Initiator und Wegbereiter für Open Banking in Europa.

Seit die RTS durch die EU-Kommission angenommen und die Richtlinie Anfang 2018 in nationales Recht umgesetzt wurde, hatten Banken einen engen Zeitplan bis zum Stichtag der PSD2 einzuhalten. So waren die Institute seit dem 14. März verpflichtet, Drittanbietern RTS-konforme APIs und eine Testumgebung zur Verfügung zu stellen. Seit 14. Juni 2019 mussten außerdem Marktdaten für Testläufe bereitgestellt werden, um den Go-Live am 14. September 2019 zu ermöglichen.

Level the playing field – PSD2 schafft neue Regeln für alle

PSD2 wirkt disruptiv und setzt einheitliche Maßstäbe für den Markt. Die verpflichtende Einführung von APIs bedeutet gleichzeitig auch die Öffnung des Bankenmarktes für neue Drittanbieter. Der Vorteil, den Banken gegenüber FinTechs bisher hatten, schrumpft gewaltig, da das Halten einer Banklizenz alleine kein Garant mehr für Zukunftsfähigkeit ist.

In der Branche herrscht deshalb neben Aufbruchstimmung auch Aufregung. Während die Institute bemüht sind, die strengen Vorgaben und engen Umsetzungszeitpläne einzuhalten, wird parallel nach neuen Strategien zur eigenen (Re-)Postitionierung in einem durch Open Banking revolutionierten Bankenmarktes gesucht. Um sich den digitalen Herausforderungen und den neuen Wettbewerbern zu stellen, wurden bereits einige Initiativen aus Banken und auch Drittanbietern gegründet, die gemeinsam an Standards und Zukunftsstrategien arbeiten, um eine Open-Banking-geprägte Finanzwelt zu gestalten.

Dabei ist die Nutzung von Kommunikationsschnittstellen in Europa prinzipiell nicht neu. Es existieren zahlreiche Vorläuferkonzepte, die den Weg für die Kooperation mit Drittanbietern, bzw. die dazu notwendige technische Infrastruktur, geebnet haben. So wurden bereits vor der verpflichtenden Einführung von APIs im Rahmen der PSD2 Methoden genutzt, die den Datenaustausch zwischen Banken und Drittanbietern ermöglichten. Beispiele hierfür sind Web-Schnittstellen (Screen-Scraping), oder auch der in Deutschland genutzte Standard Financial Transaction Services (FinTS) für Banken, der bereits seit 2002 Vorgaben für dezidierte Schnittstellen des Online-Bankings definiert.

Im Gegensatz zu diesen freiwilligen, marktgetrieben Lösungen, verpflichtet die PSD2 nun jedoch alle Banken, extern zugängliche Schnittstellen einzurichten und zur Verfügung zu stellen. Hinzu kommt, dass diese RTS-konform sein müssen. Da die bisher verwendeten Lösungen die neuen Vorgaben zumeist nicht erfüllen, müssen Schnittstellen kostenaufwendig neu entwickelt oder stark modifiziert werden. So ist beispielsweise ein anonymer Daten-Zugriff durch Drittanbieter, wie beim Screen-Scraping, nicht mehr erlaubt, sondern muss identifiziert und protokolliert werden. PSD2 schafft so neue Spielregeln am Markt.

Auch international sorgt der europäische Wirbel um PSD2 für Aufmerksamkeit und weckt das Interesse für Open Banking. Neben einigen Ausnahmen, wie in Hongkong oder in Australien, wird allerdings eher auf eine marktgetriebene Umsetzung von Open Banking plädiert und auf eine gesetzliche Vorlage verzichtet. In Singapur hat die Monetary Authority of Singapore ein API-Regelwerk herausgegeben, das den Austausch zwischen Banken und FinTechs anregen und erleichtern soll. In den USA veröffentlichte die Treasury im Juli 2018 einen Bericht, in dem eine regulatorische Vereinheitlichung von APIs empfohlen wird, jedoch beschränken sich Open Banking-Initiativen vorerst noch auf das freiwillige Engagement einzelner Institute, die unterschiedliche, nicht standardisierte APIs anbieten.

Herausforderungen der PSD2

Die verpflichtende Bereitstellung von APIs durch die PSD2-Richtlinie ruft derweil in Europa gemischte Gefühle hervor. Schuld daran könnte die Richtlinie selbst sein, da sie durch unzureichende Vorgaben immer wieder Unsicherheiten und Konflikte zwischen BaFin, Banken und Drittanbietern auslöst. Da die API-Entwicklung nicht marktgetrieben, sondern eine regulatorische Maßgabe ist, resultieren Probleme wie Unsicherheiten, mangelnde Bereitschaft und Zeitdruck bei der Umsetzung.

Für die Banken stellte der ambitionierte Zeitplan bisher eine der größten Herausforderungen dar: Während die eigene strategische Position im Konzept des Open Banking noch nicht vollständig gefunden ist, müssen funktionsfähige APIs bereits entwickelt und in die eigene IT Architektur integriert sein. Es besteht das Risiko, dass APIs aus Unsicherheit zu minimalistisch aufgesetzt und so Chancen zur eigenen (Re-)Positionierung verpasst werden. Gerade weil der erhebliche Entwicklungsaufwand von APIs auf Seiten der Banken liegt, werden oft auch Kosten für eine nachhaltige Entwicklung gescheut. Hinzu kommt, dass Banken durch die RTS verpflichtet sind, zusätzliche Ersatz-Schnittstellen zur Verfügung zu stellen, um einen konstanten Datenzugriff im Falle eines Ausfalls gewährleisten zu können.

Geringe (technische) Mindestanforderungen. Viele der Beteiligten wünschen sich umfangreichere und detailliertere RTS um eine reibungslose Inbetriebnahme der APIs zu ermöglichen. Insbesondere Drittanbieter warnen, das PSD2 die Situation am Markt im Gegensatz zu vorher genutzten Lösungen gar verschlimmern könnte. Aufgrund der Einführungsverpflichtung könnte sich herausstellen, dass Banken unbrauchbare und nicht funktionsfähige APIs zur Verfügung stellen, um den Einführungszeitplan einzuhalten.

Umfang der bereitgestellten Daten. Seitens der Drittanbieter wird außerdem bemängelt, dass die PDS2 ausschließlich den Zahlungsverkehr betrifft und daher auch nur die zugehörigen (Transaktions-)Daten von den Banken zur Verfügung gestellt werden. Auch verweisen Drittanbieter auf die mangelnde Kooperationsbereitschaft einiger Banken bei der Definition von API-Standards und sehen sich hier nur eingeschränkt in die Lage versetzt, die Wettbewerbsöffnung zu nutzen.

API Standardisierung. Die RTS geben zwar Mindestanforderungen im Sinne von Entwicklungszielen für die APIs vor, jedoch bleibt die Entwicklung und Umsetzung selbst den Banken und anderen Standardisierungsinitiativen überlassen. Dadurch ergibt sich das Problem, dass APIs oft im Alleingang einzelner Institute entwickelt werden und nicht ausreichend standardisiert sind, um für alle Akteure gleichermaßen und unkompliziert nutzbar zu sein. So wird nicht nur das Ziel der PSD2 verfehlt, mehr Wettbewerb zu schaffen. Auch die Entwicklung des Finanzmarktes hin zum Open Banking bekommt einen erheblichen Dämpfer.

Aktuelle Perspektiven und Entwicklungen

Seit Samstag ist die PSD2 verpflichtend. Viele Banken haben die Erfüllung der Vorgaben im Endspurt sichergestellt und geben sich nun zuversichtlich. Dabei haben sich nicht alle Banken den Herausforderungen im Alleingang gestellt, sondern den Zusammenschluss zu verschiedenen Initiativen genutzt, um API-Standards zu definieren und zu implementieren. Neben dem UK Open Standard im Vereinigten Königreich und STET aus Frankreich ist vor allem die Berlin Group beispielhaft, die mit ihrer NextGenPSD2-Initiative schon zahlreiche Finanzinstitute aus 20 Ländern versammelt hat, um gemeinsam API-Standards nach Maßgabe der RTS zu entwickeln. Laut einer Umfrage der EZB setzen etwa 78 Prozent aller Banken in EU-Staaten auf den NextGenPSD2-Standard der Berlin Group. Aber auch FinTechs drängen auf den Markt und bieten standardisierte APIs als outgesourcte Serviceleistung für Banken an, so z.B. FinTecSystems oder der NDGIT API-Marktplatz. So können sich Banken einfacher an Markstandards orientieren und aufwendige Entwicklungen, technische Unterhaltungskosten und regulatorische Prüfungen der APIs auslagern (Make or Buy).

Trotz dieser Initiativen gab es kurz vor der Einführung der PSD2 nochmals einen Affront. Am 14. August veröffentlichte die BaFin, welche für die Einführung der PSD2 in Deutschland verantwortlich ist, ein Rundschreiben, welches zusätzliche, neue Vorgaben für die Banking-APIs beschrieb.

Auslöser des Schreibens waren unter anderem Beschwerden von Drittanbietern bezüglich der Qualität der in den Testphasen zur Verfügung gestellten Schnittstellen. Die RTS sahen zudem vor, dass Banken von der Pflicht, zusätzliche Ersatz-Schnittstellen bereitzustellen, befreit werden können, sobald diese einen drei-monatigen reibungslosen Test ihrer PSD2-Schnittstellen nachweisen konnten. Diesen Umstand sah die BaFin bei den meisten Anträgen der Banken nicht gegeben.

Das Rundschreiben bedeutet nun unter anderem, dass bisherige, nicht RTS-konforme Schnittstellen bis auf weiteres als Rückfall-Lösungen von Drittanbietern genutzt werden dürfen, bzw. die Banken diese so lange zur Verfügung stellen müssen, bis die PSD2-APIs vollumfänglich zur Verfügung stehen. Drittanbieter begrüßen diesen Zeitaufschub der BaFin, und mahnen, dies als Chance für die Banken zu begreifen, an der Qualität ihrer APIs zu arbeiten.

PSD2 ist erst der Anfang

Als weltweit erste verpflichtende Maßnahme schafft PSD2 wichtige Grundvoraussetzungen, um den Finanzmarkt für das Thema Open Banking zu sensibilisieren und eine Wettbewerbsöffnung einzuleiten.
Die Herausforderungen der letzten anderthalb Jahre und auch aktuell zeigen jedoch, dass sich viele Banken ihrer strategischen Positionierung noch nicht sicher sind, während sich Drittanbieter durch die teils unklaren Regelungen der PSD2 benachteiligt sehen. Standardisierungsinitiativen schaffen hier Sicherheit und bieten zudem eine Plattform für Banken und Drittanbieter, sich anzunähern. PSD2 ist jedoch nur der Anfang. Fokussiert auf Sicherheit und Zahlungsverkehr, schafft sie das Fundament und das Bewusstsein zum Wandel der Branche in Richtung Open Banking.

TEAM

Mehr über Open Banking

Mehr Insights und Themen