Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

EU-Regulierung Zugriff auf Kundendaten – Banken und Fintechs ringen um gemeinsame Lösung

Über die neuen Regeln für den Zugriff auf die Konten von Kunden haben Banken und Drittanbieter viel gestritten. Jetzt wollen sie kooperieren.
Kommentieren
Zugriff auf Kundendaten – Banken und Fintechs ringen um Lösung Quelle: mauritius images / Ikon Images
Vernetzte Bankgeschäfte

Drittanbieter, die im Auftrag von Bankkunden auf deren Konten zugreifen, sind mit den Datenschnittstellen der Geldhäuser unzufrieden.

(Foto: mauritius images / Ikon Images)

Frankfurt Wenn es um die neuen europäischen Regeln für den Zugriff auf Bankkonten ging, waren die Rollen zwischen Banken und Drittanbietern zuletzt klar verteilt: Die Drittanbieter, die im Auftrag von Bankkunden auf deren Konten zugreifen – etwa um eine Übersicht über die Finanzen ihrer Kunden zu erhalten oder vor einer Kreditvergabe deren Bonität zu bewerten –, stellten Forderungen, die Banken wehrten ab. Mit einer gemeinsamen Stellungnahme demonstrieren drei Verbände europäischer Banken und zwei Drittanbieter-Vereinigungen nun jedoch Geschlossenheit. Sie wollen ihre Zusammenarbeit und Kommunikation verbessern, heißt es in dem Schreiben, das dem Handelsblatt vorliegt.

Das drängendste Ziel ist jedoch ein anderes: Beide Gruppen wollen sich für ein Entgegenkommen der nationalen Aufsichtsbehörden einsetzen. Diese sollen ihre gesetzlichen Möglichkeiten maximal ausschöpfen und so insbesondere negative Folgen für die Kunden verhindern. Das eilt, denn die fraglichen Regeln sind Teil der EU-Regulierung mit dem sperrigen Namen PSD2 und werden schon am 14. September ihre volle Wirkung entfalten.

Die Stellungnahme wurde von einer Arbeitsgruppe formuliert, die Mitte Juli nach einem Treffen von Bankenverbänden, Drittanbietern und EU-Kommission zusammenkam. Bindend sind die Vereinbarungen nicht. Ralf Ohlhausen, Mitglied der Arbeitsgruppe und Vorstandsvize der Drittanbietervereinigung ETPPA, zeigt sich mit dem Ergebnis dennoch zufrieden. „Insbesondere freut es mich, dass wir unsere gemeinsamen Kunden in den Mittelpunkt stellen“, sagt er. „Und wir treten nun auch gemeinsam dafür ein, dass momentan noch zu befürchtende Schwierigkeiten rechtzeitig abgewendet werden können.“ Die Macht dazu liege allerdings vor allem in den Händen der Regulatoren.

Hürden für Verbraucher

Eines der zentralen Ziele der Zahlungsdiensterichtlinie PSD2 ist es, den Zahlungsverkehr in der EU für Verbraucher nicht nur sicherer, sondern auch bequemer zu machen. Tatsächlich könnten manche Abläufe aber deutlich unkomfortabler werden. Einige Drittanbieter befürchten sogar, dass sie ihre Dienste künftig gar nicht mehr anbieten können.

Ein Grund dafür sind neue Datenschnittstellen (API), die Banken nun bereitstellen müssen. Darüber sollen Drittanbieter auf Wunsch der Kunden künftig auf deren Konten zugreifen können. Alte Zugangswege wie das Onlinebanking, über das Anbieter mithilfe von „Screenscraping“ Daten abgreifen, gelten als nicht sicher genug – vor allem, weil die zugreifenden Firmen dabei anonym bleiben.

Doch die neuen Bankenschnittstellen sind nach Ansicht der Drittanbieter vielfach nicht funktionstüchtig und würden nicht die benötigten Daten liefern. So teilen offenbar viele Banken die Namen der Kontoinhaber nicht über die Schnittstelle mit. Ohne diese Angabe wäre künftig keine Bonitätsprüfung mehr über das Konto möglich. Auch Angaben zu Daueraufträgen werden nicht immer übermittelt. Sie werden etwa von Kontowechseldiensten benötigt. „Man kann schon den Eindruck gewinnen, dass Banken so wenig Informationen wie möglich preisgeben, um es Drittanbietern schwer zu machen“, sagt Alexander Christoph, Schnittstellenexperte der Unternehmensberatung EY. Die Leidtragenden seien letztlich die Verbraucher.

Für diesen Fall, dass die Datenübertragung via API nicht funktioniert, hat der Gesetzgeber eigentlich vorgesorgt: Banken müssen einen „Notfallmechanismus“ bereitstellen, über den Drittanbieter ersatzweise auf die Konten zugreifen können. Die meisten Banken hielten eine solche Ausweichmöglichkeit bisher nicht für nötig. „Die Deutsche Kreditwirtschaft (DK) geht davon aus, dass die technischen Schnittstellen der kontoführenden Zahlungsdienstleister für Drittdienste den regulatorischen Vorgaben entsprechen“, teilte die Interessenvertretung der deutschen Geldhäuser Anfang des Monats auf Anfrage des Handelsblatts mit. In der Folge bestehe kein Grund, einen Notfallmechanismus einzurichten. Eine Ausnahme bilden einige Sparda-Banken. Sie halten zusätzlich zur neuen Schnittstelle einen Notfallmechanismus bereit.

Um von der Pflicht befreit zu werden, können die Institute eine Ausnahme bei der Finanzaufsicht Bafin beantragen. Nach Angaben eines Bafin-Sprechers hat dies eine „geringe Anzahl“ von Geldhäusern schon getan, bisher hätten die Aufseher aber noch keine Ausnahme gewährt. Drittanbieter befürchten, dass es dazu trotz eingeschränkter Funktionen kommen könnte.

Doch es gäbe einen Ausweg: Wichtigste Vorgabe für künftige Kontozugriffe ist, dass die Drittanbieter dabei nicht anonym bleiben. Stefan Krautkrämer, Geschäftsführer des technischen Dienstleisters für Banken und Fintechs, Fintecsystems, schlägt daher vor: „Banken müssten eine Möglichkeit schaffen, dass sich Drittanbieter beim bisher üblichen Screenscraping identifizieren können.“ Die Anbieter könnten dafür ein notwendiges Zertifikat übermitteln, mit dem sie bestätigen, dass sie von der Bafin beaufsichtigt werden. Das könne eine „sinnvolle Übergangslösung“ sein, die den Druck aus dem Markt nehmen würde, solange die eigentlichen API noch nicht fertig seien. „Keinen großen technischen Aufwand“ sieht EY-Berater Christoph dabei für die Banken. „Wenn man es pragmatisch angeht, lässt sich das schnell umsetzen“, sagt er.

Doppelte Zugriffskontrolle

Sorgen bereitet den Anbietern zudem die „starke Kundenauthentifizierung“. Sie schreibt vor, dass Kunden beim Kontozugriff neben den üblichen Zugangsdaten einen zusätzlichen Sicherheitsfaktor angeben müssen – etwa einen Sicherheitscode oder eine Bestätigung per Fingerabdruck auf dem Smartphone. Banken könnten dies dank einer Ausnahmeregel nur alle 90 Tage verlangen, aktuell planen es viele aber bei jedem Zugriff. Anwendungen wie Multibanking-Apps würden damit sehr umständlich, meint Berater Christoph. Wer in einer solcher App mehrere Bankkonten hinterlegt hat, müsste sich bei jedem Zugriff für alle Konten neu identifizieren. „Letztlich schneiden sich die Geldhäuser damit ins eigene Fleisch, da sie selbst auch Multibanking anbieten“, so Christoph.

Hierzu schlägt etwa die Vereinigung ETPPA vor, dass die Drittanbieter die Authentifizierung der Kunden übernehmen könnten. So könnte zum Beispiel eine Multibanking-App eines Drittanbieters die Kunden alle 90 Tage authentifizieren und der Bank in der Zwischenzeit übermitteln, dass keine neue starke Authentifizierung notwendig ist.

Ob solche Änderungen vor dem 14. September tatsächlich noch umgesetzt werden können, ist offen. Eine bessere Kommunikation zwischen Banken und Drittanbietern allein genügt nicht. „Einige Fragestellungen können letztlich nur die Aufsichtsbehörden beantworten, und da hoffen wir auf schnelle Entscheidungen“, sagt Krautkrämer. Die Bafin hält sich zu möglichen Entscheidungen auf Anfrage noch bedeckt, ist involvierten Firmenvertretern zufolge aber um kurzfristige Lösungen bemüht.

Der zuständige EU-Kommissar Valdis Dombrovskis begrüßte die Stellungnahme der Banken und Drittanbieter und lobte den „partnerschaftlichen Prozess“. Zur Rolle der Regulierer äußerte er sich nicht.

Mehr: Viele Banken führen neue Sicherheitsverfahren für Online-Überweisungen ein. Für manche Verfahren können dabei unerwartete Kosten anfallen.

Finance Briefing
Startseite

Mehr zu: EU-Regulierung - Zugriff auf Kundendaten – Banken und Fintechs ringen um gemeinsame Lösung

0 Kommentare zu "EU-Regulierung: Zugriff auf Kundendaten – Banken und Fintechs ringen um gemeinsame Lösung"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote