PSD2: Banken müssen Drittanbieter-APIs für Testphase freigeben
Die Umsetzung der Zweiten Zahlungsdiensterichtlinie der EU geht in ihre heiße Phase. Seit Donnerstag müssen Banken ihre APIs zum Testen freigeschaltet haben.
(Bild: dpa)
Seit Donnerstag läuft für die Banken innerhalb der EU die Testphase für die neuen dedizierten APIs, die sie im Rahmen der Zweiten Zahlungsdiensterichtlinie (Payment Service Directive II oder kurz PSD2) bereithalten müssen. Über die APIs sollen Drittanbieter direkt auf Zahlungskonten zugreifen können, die bei den Banken geführt werden – vorausgesetzt, der Kontoinhaber hat dafür sein Einverständnis erteilt.
In den nächsten drei Monaten werden nun Tester von Banken und interessierten Zahlungsdiensten die APIs auf Herz und Nieren prüfen – zunächst allerdings noch im Sandbox-Modus. Sie dürfen sämtliche Funktionen testen, erhalten jedoch noch keinen Zugriff auf reale Konten. Erst ab dem 14. Juni beginnt eine zweite Testphase mit echten Konten, die noch einmal drei Monate dauert.
Zeitdruck
Die Deutsche Kreditwirtschaft ist als Dachverband zuversichtlich, dass die Banken hierzulande den von der EU vorgegebenen Zeitplan einhalten. Auf Anfrage des Handelsblatts teilte die Deutsche Kreditwirtschaft mit, dass mehrere Kreditinstitute sogar schon vor dem Stichtag die Testumgebung für ihre APIs freigeschaltet hätten, darunter die Commerzbank und die Deutsche Bank. Um Kosten zu sparen und möglichst einheitliche Standards für die API zu schaffen, entwickeln fast alle deutschen Banken und Sparkassen zudem in der sogenannten Berlin Group gemeinsam eine technische Lösung.
Ab dem 14. September müssen die Banken die APIs für den freien Markt verfügbar haben – nutzen dürfen sie dann zudem nur von der Finanzaufsicht zugelassene Zahlungsdienste. Bislang haben in Deutschland vier Unternehmen eine solche Zulassung von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erhalten, gut zwei Dutzend weitere Anträge bearbeitet sie derzeit noch. Banken und E-Geld-Institute, die bereits eine Lizenz als Zahlungsdienst besitzen, benötigen keine Neuzulassung. Viele von ihnen planen ebenfalls, die APIs anderer Kreditinstitute für eigene Produkte zu nutzen.
Zeitdruck haben nun auch die Fintechs: Sie müssen ab sofort eine Vielzahl von Bank-APIs testen und gegebenenfalls ihre Systeme anpassen. Zwar sind die Banken verpflichtet, ihre APIs zu dokumentieren und zugelassenen Dritten die technischen Spezifikationen zur Verfügung zu stellen. Ein übergreifendes Verzeichnis aller in Europa implementierten Schnittstellen gibt es jedoch bislang nicht.
Fallback
Banken, die bis zum Stichtag nicht fertig sind, bekommen ein Problem: Eine "Fallback"-Regelung garantiert dritten Zahlungsdiensten bei unzuverlässigen Banken-APIs, dass sie dann wie bisher üblich über die normalen Kundenzugangsdaten auf deren Konten zugreifen dürfen – eine auch als "Screen Scraping" bezeichnete Methode.
Diese rechtlich umstrittene Praxis gehörte zu den ausschlaggebenden Motiven für die PSD2; folgerichtig will die EU mit der Fallback-Regelung verhindern, dass sich Banken der PSD2 entziehen. Umgekehrt werden solche Banken belohnt, die eine zuverlässige Schnittstelle bereitstellen: Sie werden von der Fallback-Regelung ausgenommen. In diesem Fall müssen sich die Drittdienstleister bei Zugriffen grundsätzlich immer an der Schnittstelle identifizieren, bevor sie Zugang erhalten.
Die PSD2
Bereits 2015 verabschiedet, ist die PSD2 am 13. Januar 2018 in Kraft getreten. Mit der Richtlinie entwickelt die EU die Erste Zahlungsdiensterichtlinie (PSD1) von 2007 weiter, die unter anderem die Grundlage für den europäischen Zahlungsraum (SEPA) mit IBAN und BIC bildete. Außerdem erweiterte die PSD1 die Regulierung im Finanzsektor und schuf dafür die Kategorie der sogenannten Zahlungsinstitute – Organisationen, die finanzielle Transaktionen vornehmen, aber keine Kreditinstitute sind. Insgesamt sollte durch eine Harmonisierung der nationalen Gesetzgebung der Wettbewerb gestärkt und der Verbraucherschutz harmonisiert werden.
Die PSD2 schreibt diese Ziele fort, indem sie unter anderem die sogenannten Fintechs in die Regulierung einbindet. Bei diesen handelt es sich meist um relativ junge, seit etwa 2010 vermehrt entstandene Start-ups im Finanzsektor. Sie drängen mit einer Vielzahl neuer Ideen und Produkte auf den Markt, beispielsweise Kontoanalysedienste, die die Kontobewegungen eines Kunden erfassen und auf Basis der Daten automatisiert Vertragswechsel oder Anlagestrategien vorschlagen. Dabei gibt es keineswegs nur Konfrontation, vielmehr gibt es schon seit einiger Zeit einen Trend zur Zusammenarbeit zwischen etablierten Banken und Fintechs.
Rechtssicherheit
Die PSD2 erfasst grundsätzlich alle Finanzdienstleister, die Zahlungsauslösedienste und Kontoinformationsdienste anbieten, und unterstellt sie der Zulassung und Aufsicht durch die nationalen Behörden. Die Banken müssen den Fintechs über dezidierte Schnittstellen umgekehrt einen verlässlichen Zugang zu den Zahlungskonten ihrer Kunden gewähren – immer unter der Voraussetzung, dass der Kunde dem Fintech den Zugriff erlaubt hat. Damit verlassen die bisher nicht regulatorisch erfassten Kontozugriffe durch dritte Finanzdienstleister eine rechtliche Grauzone und unterliegen einer klaren Regulierung und Aufsicht.
Die vollständige Einführung der Richtlinie erfolgt allerdings verzögert, da die Durchführungsbestimmungen für die PSD2 erst Ende 2017 vorlagen. Zur Umsetzung dieser sogenannten Technischen Regulierungsstandards (Technical Regulation Standards oder RTS) in konkrete APIs hat die EU Banken und Fintechs Übergangsfristen eingeräumt.
Die EU hofft, dass die Fintechs im Rahmen der PSD2 innovative Finanzprodukte schaffen und damit den Wettbewerb beleben. Zugleich will sie durch neue Anforderungen an die Datensicherheit Kunden, Händler und Geldhäuser besser vor Kriminalität schützen. Dazu schreibt die EU ab Mitte September 2019 beispielsweise auch für viele Arten des elektronischen Bezahlens eine Zwei-Faktor-Authentifizierung vor. (mon)
