Datenschutz, APIs und Geschäftsmodelle: Worüber EU, Fintechs und Banken streiten

Inhaltsverzeichnis

2018 soll eigentlich der Beginn eines neuen Zeitalters für das Bankwesen in der EU sein. Dann müssen die Mitgliedsstaaten die bereits 2015 beschlossene neue Richtlinie zu Zahlungsdiensten (Payment Service Directive, PSD2) in nationales Recht umgesetzt haben. Noch allerdings sind wichtige Teile der technischen Rahmenbedingungen offen, über die sich EU-Institutionen, Banken und Finanzdienstleister in den Haaren liegen. Wenigstens hat die Bundesrepublik schnell vor der Wahl im September die deutsche Umsetzung der PSD2 (PDF-Dokument) beschlossen.

Klare Regeln für Banken und Fintechs

Die PSD2 (EU 2015/2366 – PDF) ersetzt eine Richtlinie aus dem Jahr 2009 und legt Regeln für "Zahlungsauslösedienste" (Payment Initiation Service Provider, PISP) und "Kontoinformationsdienste" (Account Information Service Provider, AISP) fest. Beide heißen oft Third Party Provider (TPP). Sie gehören zu den Firmen, die seit einiger Zeit als "Fintechs" bezeichnet werden und den als lahm wahrgenommen Banken digitale Konkurrenz machen wollen. Ein typischer PISP ist etwa die zur schwedischen Klarna-Gruppe gehörende deutsche Sofort GmbH mit ihrem Dienst Sofortüberweisung, der mit einem einheitlichen Interface das Bezahlen bei Onlineshops vom eigenen Konto aus ermöglicht.

Hierzulande hatten sich Banken zunächst dagegen gewehrt, dass solche Dienstleister auf die Daten ihrer Kunden zugriffen. Sowohl Gerichte als auch das Kartellamt hatten jedoch keine Einwände dagegen, und die PSD2 regelt die Situation nun gesetzlich. So dürfen Banken Fintechs nicht mehr daran hindern, im Auftrag von Kontoinhabern tätig zu werden und dafür deren Daten zu nutzen – vorausgesetzt, sie haben die Anforderungen für starke Authentifizierung erfüllt. Das ist ein Kernbereich der Richtlinie, die jedoch wichtige Details ausspart. Um die soll sich die (noch) in London ansässige Europäische Bankenaufsicht (EBA) kümmern. Sie hat den Auftrag, einen technischen Standard (Regulatory Technical Standard, RTS) zu erarbeiten, den die EU-Kommission als nachgeordnetes Recht beschließt – die Parlamente bleiben dabei außen vor.

Streit über Programmierschnittstellen und Screen Scraping

Insbesondere beschreibt der RTS die von den Banken bereitzustellenden Schnittstellen (PDF-Dokument), deren Verfügbarkeit, und die Nutzungsrechte von Dienstleistern daran. Um diese Fragen ist ein heftiger Streit entbrannt, dessen Details auf IT-Fachleute bizarr wirken dürften.

Kern von RTS sind zwei mögliche Banken-Interfaces: Das allgemein übliche Online-Banking via Browser, das die Kontoinhaber nutzen, und eine fakultative Programmierschnittstelle (API). Letztere gibt es bereits bei vielen deutschen Banken unter dem Namen FinTS, früher als HBCI bekannt. Ob Banken eine API anbieten, bleibt ihnen laut RTS selbst überlassen. Ist sie jedoch vorhanden, müssen Drittanbieter sie nutzen. Das jedoch gefällt denen nicht.

Fintechs misstrauen einer API von Banken

So verlangen die über 60 in "Future of European Fintech" zusammengeschlossenen Firmen nachdrücklich, der RTS solle ihnen weiterhin den Zugriff auf die Web-Schnittstellen der Banken sichern (PDF-Dokument) – wenigstens als Fallback-Lösung, falls die Programmierschnittstelle ausfalle. Dieses Verfahren wird auch als "Screen Scraping" bezeichnet und ist genauso antiquiert, wie es sich anhört: Software analysiert ähnlich wie der Browser eine Webseite und extrahiert daraus die benötigten Daten. Schon kleinere Änderungen an der Website erfordern Anpassungen an der Software. Das erfahren jetzt schon deutsche Nutzer einer Miles&More-Kreditkarte und eines Banking-Programms immer wieder, da die Kreditkartendaten eben nicht per FinTS verfügbar sind.

Dass Screen Scraping einer definierten, stabilen API technisch weit unterlegen ist, gestehen auch Fintechs ein, zumindest hinter vorgehaltener Hand. Darin sind sie sich mit der EBA einig. Sie fürchten jedoch, Banken könnten absichtlich langsame Schnittstellen anbieten, um der Konkurrenz das Leben schwer zu machen.

Welche Kundendaten sollen Fintechs sehen dürfen?

Außerdem schützt eine API die Hoheit der Banken über Kundendaten: Per Screen Scraping kann ein Anbieter alles erfahren, was eigentlich nur der Kontoinhaber im Online-Banking sehen würde. Das passt weder der EBA noch den Banken und dem Europäischen Verbraucherverband BEUC (PDF-Dokument). Kein Problem mit dem Datenschutz sehen hingegen die Fintechs: Schließlich gebe es Gesetze, an die sie sich halten müssten. Schränkten Banken den Zugriff auf Kundendaten ein, gefährde dies das Geschäftsmodell der Newcomer. Dieses Argument brachte ihnen viel mediale Aufmerksamkeit: Zukunftsprojekt Digitalisierung in Gefahr, böse Dinosaurier verhindern das Entstehen neuer, überlegener Arten. Dabei ging unter, dass Screen Scraping eine technische Altlast ist und das Auslösen eine Überweisung keinen Blick auf das Depot erfordert.

So sinnvoll aus Sicht des Datenschutzes und einer robusten Technik das Beharren des EBA auf einer Banken-API ist, so wenig verständlich sind die Vorgaben der EU dafür – es gibt nämlich keine. Irgendwie soll so eine Schnittstelle entstehen. Es dürfen aber auch mehrere sein. Selbst wenn sich jede europäische Bank eine eigene strickte, widerspräche das nicht dem jetzigen Stand des RTS. Technisch wären einige tausend APIs jedoch genauso albern wie das Auslesen von Webseiten. Aber unter dem Vorwand, die Richtlinie müsse "technologieneutral" sein, drückt sich die EU vor dem Standardisieren einer API und hofft, "der Markt" werde es schon richten.

Der Markt soll die API entwickeln

Absehbare Folge: Inzwischen arbeiten mehrere Gruppen daran. Einen ersten Vorschlag machte Anfang Juli 2017 die britische Organisation Open-Banking. Es folgte wenig später die französische Stet-Gruppe mit einem API-Vorschlag. Kurz darauf kündigte die Berlin Group, an der sich die deutsche Kreditwirtschaft beteiligt, ihre eigene offene und kostenfrei nutzbare API an, und auch von der CAPS-Gruppe (an der Paypal teilnimmt) soll etwas kommen. Wie Beteiligte berichteten, wollen die drei letztgenannten Organisationen ihre Varianten so abstimmen, dass andere möglichst wenig Aufwand mit der Nutzung haben. Allerdings war von einem deutschen Fintech zu erfahren, "ein Regulator" habe sich befremdet gezeigt, dass "Marktteilnehmer" sich ihre eigene API basteln. Wer das stattdessen tun sollte, habe er jedoch nicht sagen können. Der deutsche Sonderweg FinTS dürfte die Entwicklung jedenfalls nicht überleben: Diese Schnittstelle wird sehr wahrscheinlich nicht weiter entwickelt.

Frühestens 2019 gelten sämtliche neuen Regeln

Angesichts der Querelen und offenen Fragen wird die PSD2 nicht wie geplant Ende 2018 in Kraft treten: Das kann frühestens 18 Monate nach Verabschiedung des RTS geschehen. Wenigstens einige Verbesserungen für Verbraucher gelten jedoch vorher schon, etwa niedrigere Haftungsbeträge bei Verlust oder Missbrauch der Kreditkarte. (ck)