Banken verlieren Monopol auf Kundendaten

Die zweite Payment Services Directive (PSD2) ändert die Spielregeln für digitale Transaktionen von Grund auf. Das Open-Banking-Prinzip soll Innovationen fördern, das Tempo von Transaktionen steigern, den Verbraucherschutz verbessern und die Schrauben der Cybersicherheit festziehen. Das Beratungshaus Deloitte warnt, dass es sich nicht um „eine EU-Regulierung unter vielen“ handele, da erstmals „die Forcierung des Wettbewerbs eine wesentliche Motivation für den Markteingriff“ gewesen sei. Besonders betroffen von dieser Wettbewerbsoffensive sind die Retail-Banken.

Mit dem EU-weiten Inkrafttreten der Richtlinie wurden Banken verpflichtet, „vertrauenswürdigen“ Drittanbietern den Zugriff auf Konten ihrer eigenen Kunden zu gewähren. Dieser Zugriff (XS2A oder „Access to Account“) soll digital und in Echtzeit über offene APIs der Banken erfolgen. Das soll regulierte Drittanbieter dazu befähigen, auf der Basis der Kundendaten der Banken und ihrer eigenen Infrastruktur konkur­rierende Finanzdienstleistungen aufzubauen. „Da hilft kein Jammern“, kommentieren die Analysten von Deloitte. Die betroffenen Finanzinstitute haben bis September dieses Jahres Zeit für die vollständige Implementierung der Richtlinie.

PSD2 ist eine Weiterentwicklung der Richtlinie über Zahlungsdienste von 2007, des ersten Meilensteins zur Schaffung eines EU-weiten Binnenmarkts für den Zahlungsverkehr. Darauf aufbauend soll die PSD2 bisher nicht regulierte Drittanbieter (TPP, Third Party Provider) in einen einheitlichen Regulierungsrahmen miteinbeziehen und mit neuen technischen Standards für Sicherheit und Authentifizierung den Verbraucherschutz verbessern.

Kontoführende Banken müssen den autorisierten „Account Information Service Providern“ (AISPs) dieselben Informationen über die Bankkonten ihrer Kunden offen­legen, auf die sie selbst zugreifen - zum Selbstkostenpreis. Diese externen Dienstleister können dann mit Zustimmung der betroffenen Kunden sämtliche Kontoinforma­tionen wie Salden, Echtzeit-Transaktionen und historische Bankbewegungen abrufen. So könnten künftig etwa Lieferanten mit Einwilligung ihrer Kunden die Dienste eines AISPs in Anspruch nehmen, um Daten für eine Bonitätsprüfung einzuholen und das eigene Risikomanagement zu verbessern. Die Banken müssen zudem autorisierten „Payment Initiation Service Providern“ (PISPs) die Nutzung ihrer eigenen Zahlungsinstrumente ermöglichen - ebenfalls zu den internen Kosten der Bank. Die Entstehung von A2A-Zahlungsalternativen (Account-to-Account) soll die Transaktionsgebühren senken und die Abwicklung beschleunigen.

Die Implementierung der Richtlinie setze bei den Banken „eine Überprüfung sämtlicher Geschäftsprozesse“ voraus, kommentiert Christian Fraedrich, Director der Sparte Cash Management bei der Deutschen Bank. Die Einführung von offenen APIs für die „vertrauenswürdigen“ Drittanbieter werde sich „auf die gesamte Wertschöpfungskette auswirken“. Im Interbanking-Markt habe die PSD2-Direktive dagegen nur eine „sehr begrenzte Wirkung“.