Exklusiv

Hier kommen die Nutzerzahlen für die PSD2-Schnittstellen

6. April 2020

Von Heinz-Roger Dohms

Die neuen „XS2A“ genannten PSD2-Schnittstellen werden in der Praxis erst in sehr überschaubarem Ausmaß genutzt. Das geht aus Finanz-Szene.de vorliegenden Dokument im Zusammenhang mit einem Bafin-Workshop von vergangener Woche hervor. Daneben gibt es (wie am vergangenen Freitag bereits angedeutet) ein paar weitere News-Schnipsel zur neuen Zahlungsdienste-Richtlinie. Hier der Überblick in FAQ-Form:

1.) Wie stark werden die PSD2-Schnittstelle überhaupt schon genutzt?

Noch nicht wirklich stark – so zumindest liest sich das besagte 13-seitige Schriftstück, das auf Angaben der drei großen Universalbanken (also Deutsche Bank, Commerzbank und HVB) sowie der beiden großen Verbünde beruht. Hier die Kernaussagen:

  • Am stärksten wird die PSD2-Schnittstelle bei den Sparkassen genutzt. Sie registrierten zuletzt zwischen 560.000 und 610.000 Zugriffe täglich. Das klingt nach viel – allerdings schätzen Marktkenner, dass damit höchstens ein Viertel der „Gesamtlast“ bereits von den alten auf die neue Schnittstelle übertragen wurde
  • Die Commerzbank spricht von insgesamt 3,4 Mio. Zugriffen „seit Beginn des Markttests“. Auch dieser Wert ist durchaus steigerungsfähig. Das zeigt sich daran, dass laut Coba bis zum 25. März erst 27 der insgesamt 228 registrierten „Third Party Provider“ (also Drittdienstleister, die berechtigt sind im Auftrag von Enkunden auf deren Konten zuzugreifen) die „XS2A“ überhaupt schon aktiv nutzten.
  • Die Fiducia & GAD (also der zentrale IT-Dienstleister der Volks- und Raiffeisenbanken) verzeichnete über die fünf Wochen bis zum 26. März rund 1,6 Mio. Zugriffe über die PSD-Schnittstelle
  • Die Deutsche Bank registrierte in den 30 Tagen bis zum 25. März gerade mal 61.777 Zugriffe. Heißt: Die Schnittstelle wurden von TPPs kaum angenommen. Das mag damit zu tun haben, dass die größte Bank des Landes anfangs dem Vernehmen nach auf eine Lösung setzt, die die Eingabe der Iban erforderte.

Was dabei neben den absoluten Zahlen auffällt: Die verschiedenen API-Dienstleister nutzen die PSD2-Schnittstellen bislang offenbar in sehr unterschiedlichem Maße. Bei der Deutschen Bank etwa entfielen von den rund 62.000 Zugriffen etwa 58.000 (94%) auf einen einzigen „Third Party Provider“ (TPP). Bei der Hypo-Vereinsbank (die in dem Dokument keine absoluten Zahlen nennt) machte ein einziger „TPP“ 62% aller Zugriffe aus, bei den Genobanken waren es 35-40%. Und bei den Sparkassen war der Abstand zwischen dem aktivsten Drittdienstleister und den übrigen so frappierend, dass unter einer grafischen Darstellung geschrieben: „Der aktivste TPP ist aus Lesbarkeitsgründen nicht in der Grafik enthalten.“ Addiert man die Werte der übrigen Player und gleicht die Summe mit den besagten rund 600.000 täglichen Zugriffen insgesamt ab – dann ergibt sich auch hier für einen einzigen Anbieter ein Anteil von grob geschätzt mehr als 75%.

Hört man sich in der Szene um, wer denn der „Third Party Provider“ ist, der die PSD2-Schnittstelle zuletzt offenbar schon relativ konsequent ansteuerte, dann fällt der Namen FinAPI – das ist der Münchner API-Spezialist, der seit Ende 2018 mehrheitlich der Schufa gehört. Offiziell bestätigen will das niemand. FinAPI-Chef Florian Haagen antwortet auf Anfrage: „Was definitiv richtig ist: Wir haben sehr früh viel investiert, um unseren Kunden auch weiterhin aufsichtsrechtlich konforme Dienstleistungen in hoher Qualität bereitstellen zu können. Hier führt an der Nutzung der neuen XS2A-Schnittstellen kein Weg vorbei. “

Die Bafin will sich zu dem gesamten Komplex nicht äußern. Was allerdings aus Aufseher-Kreisen zu vernehmen ist: Die Nutzungszahlen für die PSD2-Schnittstelle seien zuletzt Banken- und TPP-übergreifend sukzessive nach oben gegangen. Die Botschaft: Auch wenn sich die Dinge eher schleppend entwickeln, so wähnt die Bafin die diversen Marktteilnehmer immerhin auf dem richtigen Kurs.

2.) Warum dürfen die Sparkassen ihre alten Schnittstellen diese Woche noch nicht abschalten?

Wie letzten Freitag exklusiv bei Finanz-Szene.de vermeldet, müssen die Sparkassen ihre alten Schnittstellen (also v.a. FinTS) erst einmal für die TPPs offenhalten – auch wenn die dreimonatige sogenannte „Marktbewährungs-Phase“ am 6. April endete und die Bafin den Sparkassen jetzt theoretisch erlauben könnte, den Kontenzugriff ab jetzt auf die „XS2A“ zu beschränken.

Tatsächlich wird den Sparkassen von der Mehrzahl der Marktteilnehmer bescheinigt, ihre PSD2-Schnittstelle habe in den vergangenen drei Monaten ordentlich funktioniert. Aus Aufsichtskreisen allerdings ist zu hören, es gebe keinerlei Automatismus, wonach dem Ende der Bewährungsphase gleich die Erlaubnis folgt, die alten Schnittstellen dichtzumachen. Stattdessen will die Bafin den Verlauf der vergangenen drei Monate zunächst in Ruhe bewerten, um dann zu einer Entscheidung zu kommen – ein Prozess, der sich durchaus noch ein paar Wochen hinziehen kann.

3.) Was hat es mit der „neuen“ dreimonatigen Bewährungsfrist auf sich?

In einem Brief, den die Bafin Ende März an diverse Marktteilnehmer verschickte, ist von einer neuen Dreimonats-Frist die Rede. Damit das Ganze nicht zu verwirrend wird, wollen wir einmal am Beispiel der Sparkassen aufdröseln, was es damit auf sich hat:

  • Am 6. Januar war die PSD2-Schnittstelle der Sparkassen nach Ansicht der Bafin zumindest so funktionstüchtig, dass die dreimonatige Marktbewährungsphase begann
  • Am 6. April (siehe oben) endete diese
  • Im Lauf der nächsten Wochen dürfte die Bafin (nochmal siehe oben) entscheiden, ob sie den Banken erlaubt, die alten Schnittstellen abzuklemmen (die aufsichtsrechtliche Formulierung hierfür lautet „von der Bereitstellung eines Notfallmechanismus befreien“)
  • Sobald das passiert, beginnt die neue Dreimonats-Phase.

Hierzu schrieb ein Bafin-Aufseher den Banken und TPPs Ende März wörtlich:

„Sollte ich einzelne kontoführende Zahlungsdienstleister demnächst von der Bereitstellung eines Notfallmechanismus […] befreien, so werde ich es für einen Zeitraum von drei Monaten ab Erteilung der Ausnahme aber aufsichtlich nicht beanstanden, wenn Zugriffe durch Zahlungsauslöse- oder Kontoinformations-Dienstleister in begrenztem Umfang weiter über einen evtl. noch bestehenden Notfallmechanismus oder die bisher genutzten Zugangswege erfolgen.“

Für uns liest sich die Formulierung so, als stünde es Banken und Sparkassen dennoch frei, die Schnittstellen dichtzumachen, wenn sie das möchten – also auch gegen den Willen der TPPs. Tatsächlich dürfte es aber die Intention der Bafin sein, jede weitere Eskalation zu vermeiden. Heißt: Kreditinstitute und Drittdienstleister sollen die drei Monate nutzen, um die endgültige Migration auf die „XS2A“ sicherzustellen.

4.) Was wurde aus der Generalkritik von FintecSystems?

In einem Gastbeitrag für das „IT-Finanzmagazin“ hatte Hannes Rogall, COO des API-Dienstleisters FintecSystems, Anfang März deutliche Kritik an den Banken (und vielleicht implizit auch an der Bafin) geübt. Die Überschrift gab den Ton vor: „Erwartung trifft auf Realität: PSD2-Schnittstellen sind weiterhin nicht marktreif.“

Im Kern galt Rogalls Kritik zwei Punkten, nämlich der sogenannten „Datenparität“ und dem sogenannten „Multiple User Consent“. Was ist hieraus nun geworden?

  • Mit „Datenparität“ ist gemeint, dass die Banken jene Informationen, die sie den Kontoinhabern im Online-Banking zur Verfügung stellen, auch für die Drittanbieter zugänglich machen. Rogall hatte moniert: „Vorgemerkte Umsätze, Disporahmen oder Umsatz-Zeiträume werden über die PSD2-Schnittstelle nicht übertragen.“ Damit sei zum Beispiel „eine professionelle Online-Kreditentscheidung einfach nicht möglich“. Nach Finanz-Szene.de-Informationen gab die Bafin bei dem Workshop vergangene Woche zu verstehen, dass sie der Argumentation von FintecSystems in diesem Punkt zwar grundsätzlich folgt – dass sie das Thema allerdings nicht als essentiell erachtet. Könnte bedeuten, dass die Reibereien zwischen Banken und TPPs (oder wenigstens: zwischen einzelnen Banken und FintecSystems) an diesem Punkt weitergehen.
  • Das „Multiple User Consent“-Problem tritt auf, wenn ein Endkunde zwei Drittdienste nutzt (z.B. eine Multibanking-App und ein Buchhaltungs-Tool), die über denselben API-Spezialisten auf das Konto des Kunden zugreifen. Rogall hatte beklagt, in solchen Fällen „überschreibe“ jeder weitere Dienst die für den vorherigen Dienst bereits erteilte Zugriffsberechtigung („Consent“). Die Folge: Mit dem zweiten „Consent“ werde der erste „Consent“ unwirksam, womit bei jedem einzelnen Zugriff das komplette Procedere von vorn beginne. Bei diesem Punkt allerdings gab die Bafin beim Workshop klar zu verstehen, dass es an den „TPP“ sei, das Problem auf technische Weise zu lösen – was einzelne API-Spezialisten wohl auch schon getan haben. FintecSystems ist mit der Bafin-Entscheidung verständlicherweise eher unglücklich: „Die TPPs müssen hier jetzt einen kompletten Workaround aufbauen. Das ist außerdem nicht im Sinne der eigentlich durch die PSD2 angestrebten Transparenz“, sagt Chefjuristin Caroline Jenke.

5.) Wie geht es jetzt weiter?

Bis wirklich alle Drittdienstleister bei allen Banken regulär über die PSD2-Schnittstelle auf die Konten zugreifen, werden noch viele Monate vergehen. Das lässt sich schon allein daran erkennen, dass die dreimonatige Marktbewährungs-Phase, die bei den Sparkassen diese Woche endet, bei etlichen Banken noch gar nicht begonnen hat.

Hier die Übersicht über die Banken, die sich bereits in der dreimonatigen Marktbewährungs-Phase befinden oder diese sogar schon durchlaufen haben:

Sparkassen, NordLB und LBBW 6. Januar – 5. April
Weberbank 10. Januar – 9. April
Ebase 27. Januar – 26. April
Norisbank 6. Februar – 5 Mai
Volks- und Raiffeisenbanken 15. Februar – 14. Mai
Deutsche Bank 4. März – 3 Juni
Postbank 3. April – 2. Juli

Was derweil auch eine Lehre der letzten Monate ist: So verhärtet, wie es zwischenzeitlich schien, sind die Fronten vielleicht gar nicht mehr. Einige TPPs jedenfalls schauen demonstrativ nach vorn. So spricht Felix Baaken vom Open-Banking-Spezialisten BANKSapi mittlerweile von einem „gut strukturierten Abschluss eines vom Markt schlecht begonnenen Reifeprozesses der PSD2-APIs“. Die BaFin sei in den vergangenen Monaten „als durchaus objektiver Vermittler“ aufgetreten. Das Problem sei eher die sogenannte „Berlin-Group-API“ (also die bankenseitige PSD-Schnittstelle) gewesen. „Mehr Involvement aller Marktteilnehmer, vor allem auch der TPPs, wäre hier zielführend gewesen. Die Schnittstelle wurde von Anfang an nicht von den Use Cases her gedacht“

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing