22.12.2016

Mehr digitaler Wettbewerb bei Banken und Finanzdienstleistern durch PSD2 - Wichtige Details zur Kontoschnittstelle lassen noch auf sich warten

TME Whitepaper PSD2 Kontoschnittstelle

Am 12. Januar 2016 trat die überarbeitete Zahlungsdiensterichtlinie (PSD2) in Kraft. Ein Jahr ­später plant die EBA (European Banking Authority) nun Anfang 2017 mit den „Regulatory ­Technical ­Standards on strong customer authentication and secure communication under PSD2“ – kurz RTS, die daraus abzuleitenden Anforderungen an eine technische Schnittstelle nachzureichen. Der ­digitale Kontozugriff durch Dritte soll so zukünftig geregelt werden. Derzeit bestehen jedoch in vielen Punkten noch Unklarheiten.

Die Novellierung der Zahlungsdiensterichtlinie (PSD2) sieht vor, dass kontoführende Finanzinstitute sogenannten dritten Zahlungsdienstleistern aus der gesamten europäischen Union den Zugang zu Bankdienstleistungen ermöglichen müssen. In Artikel 98 der PSD2 wird angekündigt, dass hierzu entsprechende technische Standards für eine sichere Authentifizierung und Kommunikation entwickelt werden sollen. Die EBA selbst stellt hier jedoch nur die Anforderungen. Die technische Spezifikation des Standards obliegt im Anschluss dem Markt.

PSD2 - Die neuen Vorschriften bringen ­unter anderem folgende Änderungen:

  • Es werden strenge Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen und den Schutz der Finanzdaten der Verbraucher eingeführt;
  • der EU-Zahlungsverkehrsmarkt wird für sogenannte „Zahlungsauslösedienstleister“ und „Kontoinformationsdienstleister“ geöffnet; das sind Dienstleister, die Zahlungsdienste für Verbraucher oder Unternehmen auf der Grundlage des Zugangs zu Informationen über das Zahlungskonto erbringen;
  • die Verbraucherrechte werden in zahlreichen Bereichen gestärkt, etwa durch die Verringerung der Haftung für nicht autorisierte Zahlungsvorgänge und die Einführung eines bedingungslosen Erstattungsrechts bei Lastschriften in Euro (ohne dass Fragen gestellt werden) und
  • die Berechnung von Aufschlägen (zusätzliche Kosten für das Recht, z. B. mit einer Karte zu bezahlen) wird untersagt, und zwar unabhängig davon, ob das jeweilige Zahlungsinstrument in einem Geschäft oder ­online genutzt wird.

Quelle: Europäische Kommission – Pressemitteilung, 2015, Internetquelle: http://europa.eu/rapid/press-release_IP-15-5792_de.htm

Warum ist ein Standard überhaupt notwendig?

Einige Anbieter ermög­lichen bereits heute den Zugriff auf das Online ­Banking des Kunden in dessen Auftrag. Jedoch gibt es hier immer wieder Diskussionen über Sicherheit, Haftung und Umfang des Zugriffs. Zudem versuchen einige Banken dies zu unterbinden. Das soll sich nun ­ändern. Der Gesetzgeber reguliert nach Inkrafttreten Art und Umfang des Zugriffs und verpflichtet Banken zukünftig auf ­europäischer Ebene den Dritten diese „virtuelle Tür“ zum Online Banking über eine technische Schnittstelle zu öffnen, wenn diese Dritte durch den Kunden dazu bemächtigt wurden. Ziel ist ein gesteigerter Wettbewerb unter den digitalen ­Finanzdienstleistern. Der Zugang muss diskriminierungsfrei ermöglicht werden. Es darf also keine zusätzliche Hürde geben, wenn der Kunde einen Drittdienst beauftragt, die Bankdienstleistung im Online Banking der Bank auszuführen.

Um welche Bankdienstleistungen handelt es sich dabei genau?

Die EBA unterschiedet hier grundsätzlich ­zwischen drei verschiedenen Diensten für die sich ein Dritter zertifizieren lassen kann:

  • Kontoinformationsdienst – z. B. zum Abruf von Umsätzen des Zahlungskontos über eine Kontostands-App, Push Notifications bei Zahlungseingängen, Multibanking-Aggregation oder digitales Haushaltsbuch
  • Zahlungsauslösedienst – z. B. zum Einreichen einer Zahlung beim E-Commerce Shopping
  • Deckungsabfragedienst – z. B. beim Einsatz einer Karte eines Drittemittenten am Point of Sale (PoS)

Der Zugang zu all diesen Diensten muss grundsätzlich unentgeltlich zur Verfügung gestellt werden. Die zugehörige Schnittstelle hierfür ist durch das kontoführende Kreditinstitut bereitzustellen, die somit auch die ­Kosten für die Entwicklung trägt. Drittanbieter müssen sich lediglich zertifizieren lassen.

Zum jetzigen Zeitpunkt sind noch viele Fragen offen

Die EBA hat in einer mehrmonatigen Konsultationsphase Marktteilnehmer aufgefordert, den Entwurf der RTS zu kommentieren. Über 260 Interessenvertreter aus allen Bereichen der ­Finanzbranche (u. a. Banken, FinTechs, Zahlungsdienstleister, Verbände, technische Dienstleister) nutzten diese Möglichkeit und reichten ihre ­Anmerkungen bei der EBA ein.

Im Ergebnis zeigt sich, dass verschiedenste ­Punkte im Konsultationspapier noch sehr viel ­Interpretationsspielraum bieten. Dies gilt es nun in den nächsten Wochen aufzulösen.

  • Wie gestaltet sich der Zugriff auf das ­Online-Konto genau?
  • Wird Screen Scraping zukünftig noch möglich sein?
  • Wird es eine europaweit einheitliche Schnittstellen-Lösung geben oder kocht jedes kontoführende Institut, jedes Mitgliedsland, jeder Bankenverband sein eigenes Süppchen?
  • Wie wird die Sicherheit der Zugangsdaten ­gewährleistet?
  • Welche Authentifizierungs-Verfahren (2FA)  werden akzeptiert und sind diese überhaupt sinnvoll über alle Kanäle anwendbar, z. B. am Smartphone?
  • Wie genau ist die Haftungsregelung im ­Betrugsfall?

Screen Scraping

Der Begriff Screen Scraping beschreibt ein Verfahren zum Auslesen von Texten auf Webseiten. Drittanbieter nutzen diese Technologie um über das browserbasierte Online Banking auf das Kundenkonto bei der jeweiligen Bank zuzugreifen. Mittels eines Scripts wird automatisiert die Login Seite aufgerufen und der Zugriff mit den vom Kunden erhaltenen Zugangsdaten ausgeführt. Nach Auslesen der gewünschten Daten/Durchführung der Transaktion wird die Sitzung wieder beendet.

Die Zeit für die EBA zur Beantwortung dieser ­Fragen drängt. Die detaillierten Anforderungen an den Zugriff sollen eigentlich im Januar 2017 veröffentlicht werden. Hier zeichnet sich möglicherweise eine Verschiebung ab. Interessant wird vor allem, ob alle offenen Punkte tatsächlich geklärt werden und wo es dem Markt selbst überlassen wird, sich zu regulieren. Alle Branchenvertreter – allen voran die kontoführenden Finanzinstitute – warten jetzt also gespannt auf das finale RTS Dokument. Denn die wesentliche Arbeit beginnt für die Banken erst im Anschluss. Es muss innerhalb von 18 ­Monaten nach Ver­öffentlichung eine Schnittstelle entwickelt werden, um Dritten den Zugriff zu den Kundenkonten zu ermöglichen. Zwar gibt es bereits länderübergreifende Allianzen einzelner Verbände und auch erste technische Dienstleister werben um den Auftrag zur Entwicklung einer Schnitt­stelle, aber die Entscheidung für eine gemein­same Entwicklung ist bislang noch nicht getroffen.

Einen Vorteil haben am Markt existierende Dritt­anbieter, die bereits heute den Kontozugriff in ihrem Geschäftsmodell verankert haben. Ihnen gewährt die EBA über die 18 Monate hinaus eine Übergangsfrist von weiteren 6 Monaten bis sie den Datenzugriff nur noch gemäß der neuen ­Regularien vornehmen dürfen.

Ausblick – wie sieht das digitale Banking der Zukunft aus?

Verkommen kontoführende Institute zukünftig nun zu reinen Datenlieferanten und verlieren den Kontakt zu ihren Kunden über das eigene Online Banking, die eigenen Kanäle? Nicht zwingend. Neben den regulatorischen Anforderungen zur Bereitstellung eigener Kontodaten bietet die PSD2 natürlich auch Chancen, die es nun zu nutzen gilt. Es besteht z. B. die Möglichkeit analog die Umsatzdaten von Fremdbankkonten in die eigenen Prozesse und Dienste zu integrieren. So kann z. B. bei der Online-Kredit-Vergabe an einen Neukunden mit Gehaltskonto bei einer Fremdbank durch Zugriff auf Kontoumsätze der Kreditentscheidungsprozess maßgeblich optimiert werden. Scoring und Kundenidentifikation können mit Hilfe der Information schneller und einfacher gestaltet werden. Weitere Ansatzpunkte sind die Verwendung von Umsätzen unterschiedlichster Bankkonten ­eines Kunden, insbesondere für eine ganzheitliche ­Finanzplanung oder Vertragsinformationen für vereinfachten Versicherungswechsel.

Die fortschreitende Digitalisierung in der Branche wird in den nächsten Jahren dazu führen, dass vorhandene digitale Bankdienstleistungen zwingend erweitert werden müssen. Eine einfache tabellarische Umsatzübersicht und Über­weisungsformulare sind hier nicht mehr zeitgemäß. Die PSD2 bietet den Banken also einige Chancen, die es nun auch zu nutzen gilt. Genau dies bezweckt die EU auch mit der PSD2. Mehr Wettbewerb fördert die digitale Weiterentwicklung der Branche.

PSD2 - Artikel 98 Absatz 2 - Technische Regulierungsstandards für die Authentifizierung und die Kommunikation:

(2) Die Entwürfe technischer Regulierungsstandards gemäß Absatz 1 werden von der EBA mit folgender Zielsetzung ausgearbeitet:

     a) Sicherstellung eines angemessenen ­Sicherheitsniveaus für Zahlungsdienstnutzer und Zahlungsdienstleister
         durch die Festlegung wirksamer und risiko­basierter Anforderungen,

     b) Gewährleistung der Sicherheit für die Gelder und die personenbezogenen ­Daten der Zahlungsdienstnutzer,

     c) Sicherstellung und Aufrechterhaltung eines fairen Wettbewerbs zwischen allen Zahlungsdienstleistern,

     d) Gewährleistung der Neutralität im Hinblick auf die Technologie und das ­Geschäftsmodell,

     e) Ermöglichung der Entwicklung benutzerfreundlicher, allgemein zugänglicher und innovativer Zahlungsmittel

Quelle: Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates, 2015 Internetquelle: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015L2366&from=DE

Autoren: Stefan Roßbach, Thomas Büttner

TME Whitepaper PSD2 Zahlungsdiensterichtlinie

Dezember 2016 | Stefan Roßbach, Thomas Büttner

Am 12. Januar 2016 trat die überarbeitete Zahlungsdiensterichtlinie (PSD2) in Kraft. Ein Jahr ­später plant die EBA (European Banking Authority) nun Anfang 2017 mit den „Regulatory ­Technical ­Standards on strong customer authentication and secure communication under PSD2“ – kurz RTS, die daraus abzuleitenden Anforderungen an eine technische Schnittstelle nachzureichen...