Warum ist PSD2 so komplex? Und worüber wird genau gestritten?

18. Juli 2019

Von Christian Kirchner

„Fintech-Lobby ruft den PSD2-Ausnahmezustand aus“, schreibt Finanz-Szene.de heute Morgen. Was sind die Hintergründe? Und wie geht es jetzt weiter? Unser FAQ:

Worum geht es allgemein bei PSD2?

Die Payment Services Directive 2 -kurz: PSD2 – regelt zwei miteinander verwobene Sachverhalte: Zum einen, dass Banken grundsätzlich eine Schnittstelle zur Verfügung stellen müssen, mit denen andere Banken und Drittanbieter auf die Kundendaten zugreifen können, sofern diese dies wünschen und erlauben.

In der Praxis bedeutet das etwa, dass Kunden auch mit einem Zugang bei der ING auf ihr Konto bei einer Sparkasse zugreifen und Überweisungen auslösen können – oder mit einer bankenunabhängigen Finanzapp auf alle ihre Konten.

Zum anderen schreibt PSD2 eine stärkere Kundenauthentifizierung vor. Login und Passwort genügen nicht mehr für ein „Einloggen“, eine papierne Tan-Liste nicht länger für Transaktionen. Ins Spiel kommen weitere Formen der Authentifizierung, etwa über eine zweite App, ein von einer App generierter Code oder eine mobile, eigens generierte TAN.

Die „Schnittstellenregelung“ sorgt, sofern sie funktioniert, im Prinzip für eine Marktöffnung, die Kundenauthentifizierung dienst zwar der Sicherheit, erschwert aber auch bisherige simple Zugänge, sorgt also tendenziell eher für eine Abschottung der Anbieter.

Was hat es mit der Deadline des 14.9. genau auf sich?

Die Umsetzung der 2018 bekannt gegebenen allgemeinen Richtlinien ist Sache der Staaten. Es gibt – anders als zeitweise erwogen wurde – keine europaweit einheitlichem Standard, was zur großen Verärgerung fast aller Beteiligter Effizienzgewinne schon vorab erschwert.

Den Bedarf nach neuen Richtlinien können Endkunden bislang kaum erkennen, Multibanking-Angebote von Aggregatoren (Numbrs, Check24, Miles and More, Outbank und Co.) und Banken selbst funktionieren häufig bereits reibungslos. Das liegt allerdings daran, dass bislang diverse Technologien für diesen Weg zulässig sind die Kundendaten  abzurufen- etwa den Befehl: Greife auf mein Konto bei Bank X zu – und die Authentifizierungsvorschriften noch nicht verschärft wurden.

In Deutschland haben sich weite Teile der Finanzbranche der Vereinigung „Berlin Group“ angeschlossen, die die Rahmenbedingungen definieren, wie die neuen gemeinsamen Schnittstellen aussehen sollen.

Der 14. September ist nun keine Deadline im eigentlichen Sinne, sondern der frühestmögliche Termin, zu dem sich eine Finanzdienstleister darauf zurück ziehen kann, lediglich noch einige einzige Schnittstelle zur Verfügung zu stellen für Interaktionen mit anderen Banken oder Drittanbietern – nämlich genau jenen Standard, den man nun gemeinsam technisch spezifiziert hat. Die übrigen Wege kann er anschließend technisch „unterbinden“ oder muss sie nicht länger „offen“ halten.

Im Klartext: Entweder klappt dann der neue Weg des einzigen gemeinsamen Standards. Oder aber es kommt praktisch zu einer Abschottung. Frühestmöglicher Termin heißt: Man dokumentiert gegenüber der damit beauftragten Finanzaufsicht, dass es die Schnittstelle gibt und sie den Anforderungen entspricht.

Warum stecken die Vorbereitungen in einer Sackgasse? 

Hier nennen die von Finanz-Szene.de befragten Beteiligten zwei Gründe: Weil erstens ein irrer Zeitdruck im Spiel sei und zweitens die Regelungen enorm viel Spielraum für die Umsetzung ließen, der faktisch zu einer Abschottung – also dem Gegenteil der geplanten Marktöffnung führe.

Der Zeitdruck ergibt sich aus der Zeitleiste: Erst im März begann das so genannte „Sandbox-Testing“ jener Regelungen, die erst 2018 präzisiert wurden. Seit Mitte Juni befindet man sich im „vorgezogenen Produktionsbetrieb“, und das ist nun jene Phase, in der alle Akteure merken, wie wenig tatsächlich bereits zu funktionieren scheint. Schon am 14. September kann nun aber jeder Akteur, der die formalen Kriterien an die neue Schnittstelle erfüllt, aus dem alten Regime diverser Zugänge zu Daten und Interaktion „abklemmen“ – ganz unabhängig, ob die neue sinnvoll ist oder nicht.

Der Spielraum für die Umsetzung ergibt sich aus den laut Meinung der Akteure zu hektisch definierten und damit teils wirklichkeitsfremden und abstrakten Formulierungen der Standards. Je nach Schätzung klappen bestenfalls 10 bis 20% der Schnittstellen wirklich reibungslos. Aber auch die Direktive selbst enthält von Beginn an Vorschriften, die in der Praxis große Schwierigkeiten machen…..

Wie sehen die konkreten Probleme aus?

…dazu fünf Beispiele:

  • Greift ein Kunde über seine Bank oder eine Multibanking-App auf ein anderes Konto zu, kommt künftig der Zwang zu einer weiteren, starken Authentifizierung sowie (optional) der erneuten Angabe der vollständigen  IBAN ins Spiel, wenn ein Kunde etwa über eine via Schnittstelle angepingte Bank Überweisung veranlassen will – also etwa aus dem Online-Banking der Deutschen Bank für ein Zweitkonto bei einer Sparkasse. Beide Schritte sind klassische „Conversion-Killer“, in der die Kunden diese wenige praktikable Lösung aus Zeit- und Bequemlichkeitsgründen mutmaßlich werden abbrechen und es sodann nicht mehr so schnell versuchen könnten. Faktisch also ein Rückschritt, der das Ziel der Marktöffnung konterkariert.
  • Der neue Standard schreibt nicht zwingend vor, dass Banken Kundennamen zurückmelden müssen, sofern eine andere Bank oder ein Drittanbieter auf die Kundendaten zugreift. Das ist, reichlich schwammig, laut Vorschrift der Aufseher nur dann nötig, wenn es das „Geschäftsmodell“ erfordere. Klassische B2B-Anwendungen zwischen Banken – etwa eine Bonitätsanfrage – werden so aber ad absurdum geführt, da Finanzdienstleister weitreichende Entscheidungen auf Basis von Drittanbieterdaten nur dann treffen werden, wenn sie die absolute Sicherheit haben, dass die Kundendaten auch mit dem Namen übereinstimmen. Eine praktische und populäre Anwendung (und mit auch ein Grund, warum selbst Banken unglücklich sind) ist hier etwa die klassische Bonitätsanfrage, wenn ein Kunde einen Immobilienkredit aufnimmt: Banken und Vermittler können bislang problemlos die Zahlungshistorie, Gehaltseingänge und mehr des Kreditinteressenten über seine Konten auch bei anderen Instituten abrufen, sofern diese(r) ihnen die Erlaubnis dazu erteilt. Das verbessert und beschleunigt den Entscheidungsprozess (und aus Kundensicht auch womöglich die Kreditkonditionen) in der Kreditvergabe. Anonyme Rückmeldungen sind hier aber quasi wertlos.
  • Mögliche „Tester“ sind teils bis heute noch nicht in der Lage, überhaupt praktisch und umfangreich zu „testen“, weil die Schnittstelle technisch schlicht (noch) nicht immer funktioniert
  • Die technische Spezifikation erlaubt es grundsätzlich, „Umleitungen“ zu legen, wenn es um Datenabfragen und Transaktionen von Kundendaten durch Dritte geht. Sie werden eher schwammig als „optional“ und „falls nötig“ erlaubt. Das kann dann allerdings praktisch die Abruf- und vor allem Transaktionsprozess so in die Länge ziehen, dass Abbrüche wahrscheinlich sind – und ebenfalls eher abschottend wirken.
  • Die Kombination aus einer Verengung auf nur noch eine, womöglich technisch nicht ausgereiften Schnittstelle auf der einen Seite, wie sie ab 14. September möglich ist und der eingeforderten „starken Authentifizierung“ auf der anderen verstärkt sich wechselseitig. Denn der Fluss der Daten und Transaktionen wird an gleich zwei Stellen verengt: An der Schnittstelle sowie bei der Authentifizierung – das Ziel einer Marktöffnung gerät so in Gefahr.

Darüber hinaus steht Akteuren eine breite Palette an Möglichkeiten zur Verfügung, den Datenaustausch zu unterlaufen – im britischen Blog Fintech Finance legt der Konzern „Salt Edge“ seine (deprimierenden) Erfahrungen mit 90% der 250 kontaktierten Finanzdienstleister offen.

Wie könnte eine Lösung aussehen?

Schlichtes Nichtstun ändert nichts. Wie aus dem Bankenumfeld verlautet und Rundschreiben der Aufsicht EBA nahe legen, sieht die Direktive keine weiteren Fristen oder Ausstiegsmöglichkeiten vor. In ihrer Not wurden insbesondere Drittanbieter, deren Geschäftsmodell nun in Frage steht, bereits beim Kartellamt vorstellig, da sie den eigentlich geplanten Wettbewerb nicht nur in Frage gestellt sehen, sondern im Gegenteil eine massive Abschottungsmöglichkeit seitens Banken erwarten.

Beim Kartellamt hält man sich diesbezüglich bedeckt. Man erwarte „eine diskriminierungs- und behinderungsfreie Umsetzung der PSD2 und deren Ziele“ und sei „in Gesprächen mit Bankenverbänden, dritten Zahlungsdienstleistern und der Bafin“.

Zugleich lässt man aber den Ball auch ins Feld jener Aufseher kullern: „Es ist vor allem Aufgabe der Bankaufsichtsbehörden in Deutschland und Europa, auf einen diskriminierungs- und behinderungsfreien Zugang hinzuwirken“; heißt es auf Anfrage von Finanz-Szene.de zum Sachverhalt. Erst wenn die Test- und Implementierungsphase Hinweise auf missbräuchliche Behinderungen geben, werde man prüfen ob man „in Ergänzung zu Maßnahmen der Finanzaufsicht mit der kartellrechtlichen Missbrauchsaufsicht eingreifen müssen.“

Aber was könnte die Aufsicht tun? Nach Recherchen von Finanz-Szene.de sehen die Optionen in Ermangelung von formalen Verlängerungs-Möglichkeiten wie folgt aus

  • Es passiert gar nichts – und die Geschäftsmodelle zahlreicher Drittanbieter wie B2C und B2B-Fintechs und Softwarekonzernen stehen ab Mitte September vor einer harten Prüfung, die Funktionalität der Multibanking-Angebote der Banken selbst litte auch.
  • Die Aufseher halten schlicht selbst völlig still und verzichten auf die formale Dokumentation, dass die neue Schnittstelle den Anforderungen entspricht – was dann auch in der Ableitung heißt, dass nicht die übrigen Zugangsmöglichkeiten abgeklemmt werden können, sondern weiter funktionieren
  • Der Ausschließlichkeitsanspruch an die neue Schnittstelle fällt durch Implementation einer „Fallback-Regelung“ – grundsätzlich sollte die neue Schnittstelle den Anforderungen entsprechen, allerdings auch alternative Lösungen weiter funktionieren im Falle von Schwierigkeiten, und das so lange, bis die neue, gemeinsame Schnittstelle sauber ausgereift ist

Wie sieht also die Finanzaufsicht das Thema, der nun offenbar eine entscheidende Rolle bei der rasanten Fahrt in die Sackgasse zukommt?

Zum Thema Schnittstelle will sich die Bafin nicht äußern – allerdings zum Thema „starke Authentifizierung“. Dazu teilt die Bafin mit, dass „das Anwendungsdatum für die Pflicht zur Starken Kundenauthentifizierung – der 14.09.2019 – durch den europäischen Gesetzgeber festgesetzt wurde und nur durch diesen geändert werden“ könne. Ein kürzlich veröffentlichter Brief der europäischen Finanzaufsicht EBA erkenne aber auch an, dass „nicht wenige Markteilnehmer am 14.09.2019 wahrscheinlich noch nicht ausreichend auf die neuen Anforderungen vorbereitet sein werden.“

Im Klartext: Wie vertrackt die Lage ist, erkennen inzwischen selbst die Aufseher an.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing

Tags