Zahlungsverkehr

Open Banking

Open Banking
Geschrieben von David A.

Open Banking bezeichnet Online-Banking-Transaktionen, die Kontobesitzer unabhängig von der Plattform des kontoführenden Instituts durchführen können.

Open-Banking-Applikationen für Smartphones gibt es bereits seit ca. 2010. Seitdem gibt es immer mehr FinTechs, die Finanztransaktionen mit innovativen Technologien weiterentwickeln und verbessern möchten. Damit drängen sie sich “disruptiv” zwischen Bankkunde und Bank und haben prinzipiell das Potential, den Banken Marktanteile wegzunehmen.

Regulierung von Nicht-Banken

Die erste Zahlungsdienste-Richtlinie (PSD) bezog zwar bereits zum ersten Mal auch Nicht-Banken ein und begann beispielsweise PSPs (Payment Service Provider) zu regulieren. FinTechs, die Finanz-Apps anbieten, hatte sie dabei aber noch nicht im Blick. Sie lösen etwa Online-Überweisungen aus und bieten einen Echtzeit-Überblick über sämtliche Transaktionen eines Kontos. Zwar hielten sie aus Sicht der Europäischen Kommission einer juristischen Überprüfung stand. Dennoch waren Datenschutz und Datensicherheit bei der technischen Ausführung ihrer Geschäftsmodelle zum Teil gefährdet.

Problem: Screen Scraping

Das liegt auch daran, dass die Dienste aus den frühen Tagen des Mobile Banking mit Screen Scraping arbeiteten. Kontoinhaber mussten dem Dienst dafür ihre vollständigen Zugangsdaten geben. Die Technologie des FinTech konnte dann im Konto automatisch navigieren, lesen und Formulare, z. B. für Überweisungen, ausfüllen.

Kritikpunkt der Banken war, dass das FinTech dadurch auch an Kontoinformationen gelangte, die es für die Erbringung seines Services gar nicht brauchte. Die Banken weisen außerdem darauf hin, dass sich beim Screen Scraping auch nicht sicherstellen lasse, dass auch wirklich nur ein vom Kontoinhaber beauftragter Dritter Zugang zum Konto erhält.

Gesetzlicher Rahmen für Banken und Zahlungsdiensteanbieter

Diesen Bereich des Open Banking hat die Payment Services Directive 2 (PSD2) nun reguliert. Mit der Schaffung eines gesetzlichen Rahmens für alle Beteiligten – sowohl den Banken als auch den Zahlungsdiensteanbietern – möchte der Gesetzgeber das Vertrauen der Kunden in die neuen Technologien stärken und den Markt für Innovationen öffnen.

Einer der Profiteure ist zum Beispiel die Sofort GmbH in München. Denn für ihre Sofortüberweisung brauchte sie auch den vollen Zugang zu Banken wie der Postbank, die die Weitergabe der PIN bzw. TAN in ihren AGBs grundsätzlich untersagte. Jetzt dürfen solche PSPs auf einer regulierten Basis arbeiten und haben Rechtssicherheit.

API statt Screen Scraping

Die PSD2 regelt, dass Banken den Third Party Provider (TPPs) den Zugriff über Screen Scraping nicht mehr gewähren müssen, wenn sie ihn auch über eine Application Programming Interface anbieten. Sie muss dafür eine API für Deckungsabfragen, eine für Kontoinformationen und eine für Zahlungsauslösung entwickeln.

Den konkreten Leistungsumfang der APIs definiert die Richtlinie aber nicht. Allerdings fordert sie, dass diese Zugänge die TPPs nicht „diskriminieren“ sowie technikneutral und sicher sind. Funktion und Umfang müssen dem jeweiligen Online-Banking-Angebot des Geldhauses entsprechen. Außerdem müssen die APIs in der Lage sein, den TPP zu identifizieren.

Dedizierte oder modifizierte Schnittstellen

Mit den Regulatory Technical Standards (RTS) hat die European Banking Authority (EBA) festgelegt, dass die Banken für die Testphase eine modifizierte oder dedizierte Schnittstelle benötigen. Modifizierte Schnittstellen sind angepasste, bestehende Schnittstellen. Dedizierte Schnittstellen sind direkte Access-to-Account-Schnittstellen. Damit Banken auch nach der Testphase eine dezidierte Schnittstelle betreiben dürfen, müssen sie sich zunächst von der Bereitstellung eines Notfall-Mechanismus befreien lassen.

Der Zeitplan der PSD2

14.03.2019

Die Banken müssen die APIs für den ersten Probebetrieb freischalten und den TPPs eine Spezifikation und Dokumentation geben.

13.06.2019

In einem Markttest dürfen TPPs die APIs mit echten Transaktionen testen.

14.09.2019

Die APIs müssen für den laufenden Betrieb einsatzfähig sein.

Kommentieren