Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

PSD2 Brief an Bafin: Banken befürchten zusätzliche Vorgaben bei neuer Schnittstelle

Bis März müssen Banken Drittanbietern eine neue Schnittstelle für den Zugriff auf Konten bereitstellen. Doch neue Vorgaben gefährden den Termin.
Kommentieren
Bankenverbände fordern Rückendeckung von der Finanzaufsicht. Quelle: dpa
Bafin

Bankenverbände fordern Rückendeckung von der Finanzaufsicht.

(Foto: dpa)

FrankfurtSolche Briefe verschickt die Deutsche Kreditwirtschaft nicht alle Tage. In einem Brief an die Finanzaufsicht Bafin, der dem Handelsblatt vorliegt, bitten die hiesigen Bankenverbände gemeinschaftlich um Rückendeckung der Aufseher. Die deutsche Behörde möge sie vor zusätzlichen Vorgaben der Europäischen Bankenaufsicht (EBA) schützen – zumindest vorübergehend.

Es geht dabei um eine neue Schnittstelle (API), über die Drittanbieter künftig auf Zahlungskonten der Bankkunden zugreifen können – sofern die Kunden das wünschen. Ab Mitte März müssen die Institute den speziellen Zugang bereitstellen, damit Drittanbieter ihn testen können, spätestens ab Mitte Juni muss er live geschaltet werden. Die Zeit drängt und es drohen zusätzlicher IT-Aufwand und höhere Kosten.

Den Anstoß zu der Schnittstelle hat die zweite EU-Zahlungsdiensterichtlinie (PSD2) gegeben. Sie soll den Zahlungsverkehr in der EU für Verbraucher bequemer und sicherer machen und zugleich den Wettbewerb fördern. Die Initiative ist keineswegs neu. Schon Ende 2015 wurden die Regeln auf EU-Ebene beschlossen, zum 13. Januar 2018 mussten sie in nationales Recht umgesetzt werden.

Allerdings: In vielen Bereichen bietet die PSD2 nur einen groben Rahmen, die Details lieferte die EBA mit den sogenannten regulatorisch-technischen Standards (RTS). Bis Mitte September dieses Jahres müssen diese in die Praxis umgesetzt werden. Das Problem ist nur: Auch die RTS lassen noch viel Raum für Interpretationen.

In ihrem Schreiben an die Bafin betonen die Geldhäuser, dass sie „mit Hochdruck“ an der Umsetzung der PDS2-konformen Schnittstelle arbeiten. Als Grundlage dafür nutze die Mehrheit der Institute den Standard der Berlin Group – ein Zusammenschluss großer Banken und Zahlungsdienstleister aus zehn verschiedenen EU-Ländern.

Entscheidend für eine erfolgreiche und pünktliche Umsetzung seien „stabile IT-Anforderungen“, so die Kreditwirtschaft in ihrem Brief. Viele wichtige Rahmenbedingungen seien erst kürzlich geklärt worden. Und: „Wir betrachten mit großer Sorge, dass selbst bis Ende 2018 noch nicht alle Umsetzungsanforderungen geklärt werden konnten.“

Tatsächlich hat die EBA noch im Dezember Dokumente veröffentlicht, um offene Punkte zu ihren RTS zu klären. Zudem lief bei der Behörde bis Montag eine Bewerbungsfrist für Marktteilnehmer, die in einer Arbeitsgruppe zu PSD2-konformen Schnittstellen Probleme aus der Praxis aufzeigen sollen. Noch dazu gibt es ein Fragen-und-Antworten-Tool („Q&A-Tool“), in dem die EBA Fragen zur PSD2 beantwortet.

Das ist aus Sicht von Cornelia Schwertner, Regulierungsexpertin beim Bankdienstleister Figo, „eine unerschöpfliche Quelle zu weiteren PSD2-Klarstellungen“. Für die IT-Abteilungen der Banken bedeutet das größten Stress, denn große IT-Projekte haben dort oftmals etliche Monate Vorlauf – ohne dass sich die Vorgaben nochmal ändern.

So deutliche Briefe sind selten

Die Deutsche Kreditwirtschaft bittet die Bafin deshalb darum, „sich dafür einzusetzen, dass Kreditinstitute nunmehr mit keinen weiteren Anforderungen an die PSD2-Schnittstelle konfrontiert werden“. Eine mit dem Schreiben vertraute Person zeigte sich gegenüber dem Handelsblatt „überrascht von der Vehemenz der Banken“. Solch deutliche Briefe seien selten.

Tatsächlich binde die API aber insbesondere in kleineren Häusern viele Kapazitäten. Zu den konkreten Folgen möglicher neuer Anforderungen an eine Schnittstelle bleibt die DK auf Anfrage des Handelsblatts vage. Dies könne „sowohl bei Banken als auch bei Drittdienstleistern zu einer Verzögerung im gesamten Prozess führen, so dass entsprechende Produkte nicht zum September 2019 den Kunden zur Verfügung stünden“, so eine Sprecherin.

Noch viel größer dürfte aber die Sorge der Banken vor einer sogenannten Fallback-Schnittstelle sein. Dafür hatten sich Drittanbieter wie Fintechs lange eingesetzt. Deren Befürchtung: Banken könnten ihnen mittels schlechter Schnittstellen den Zugang zu den Zahlungskonten doch noch verwehren.

Um dies zu verhindern, schreiben die EBA-RTS einen Ersatzzugang zum Konto vor, falls die vorgesehene API nicht funktioniert. Auf diesen dürfen Banken nur dann verzichten, wenn ein Markttest mit Drittanbietern ergeben hat, dass die Schnittstelle ausreichend leistungsstark ist, alle gesetzlichen Vorgaben erfüllt sind, und die Bafin der Ausnahme zugestimmt hat.

Im Brief an die Bafin fordern die Banken, dass ihnen die Ausnahme nicht deshalb verweigert wird, weil sie neue Anforderungen an die Schnittstelle nicht berücksichtigen. Sie schlagen vor, dass diese erst „für eine zweite Stufe der Drittanbieterschnittstelle ab 2020 umgesetzt werden“.

Um auf die Bankkonten zuzugreifen, nutzen Anbieter bisher häufig das sogenannte Screen-Scraping. Mit den Konto-Login-Daten der Kunden greifen sie in ihrem Auftrag auf das Online-Banking zu. Die DK hatte sich gegen dieses Verfahren schon früher vehement gewährt. Zum einen sei es nicht sicher, da die Bank nicht kontrollieren könne, wer auf das Konto zugreift.

Zum anderen bekomme der Drittanbieter über das Konto-Login einen sehr breiten Zugriff auf die Kontodaten und der Kunde könne nicht vorgeben, welche Daten ein Drittanbieter auslesen darf. Diese Kritikpunkte bewegten auch die Regulierer, deshalb muss die PSD2-konforme Schnittstelle eine Einlasskontrolle bieten, bei der Drittanbieter ihre Erlaubnis der Finanzaufsicht vorweisen.

Auch muss der Kunde vorgeben können, welche Daten er preisgeben will. Zumindest die Zugangskontrolle müsste auch die Fallback-Variante des Screen-Scrapings ermöglichen. Cornelia Schwertner erklärt das vereinfacht so: „Wenn ein Dienstleister im Fallback-Fall per Screen-Scraping auf das Konto zugreifen will, müsste er zum Beispiel mehr oder weniger manuell anhand seiner IP-Adresse erkannt und über eine Umleitung gebeten werden, sich im Sinne der RTS zunächst sauber zu zertifizieren.“

Diese Umleitung müssten die Banken separat programmieren. Die Bafin wollte sich auf Anfrage des Handelsblatts nicht zu dem Brief der DK äußern. Völlig abwegig scheint ein Entgegenkommen der Behörde allerdings nicht. Auch Cornelia Schwertner erwartet, dass „Teile der feststehenden Regeln erst in der Verwaltungspraxis geschärft werden, weil sie meist interpretierbar sind“.

Zudem schätze sie die Bafin so ein, dass sie versuchen werde die Testphase der Schnittstellen eng zu begleiten, um „gemeinsam mit dem Markt Horrorszenarien wie flächendeckend nicht mehr funktionierende Dienste zu vermeiden“.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Startseite

Mehr zu: PSD2 - Brief an Bafin: Banken befürchten zusätzliche Vorgaben bei neuer Schnittstelle

0 Kommentare zu "PSD2: Brief an Bafin: Banken befürchten zusätzliche Vorgaben bei neuer Schnittstelle"

Das Kommentieren dieses Artikels wurde deaktiviert.