Banken verlieren Monopol auf Kundendaten

Komplementäre Dienstleister

von - 09.01.2019
Der strukturbedingte Stellenabbau im Bankensektor scheint sich gerade zu beschleunigen. Andreas Buschmeier, Professor an der privaten Berufsakademie Fulda, prognostiziert, dass der Finanzplatz Frankfurt in den kommenden zehn bis 15 Jahren sogar bis zu zwei Drittel der aktuellen Arbeitsplätze in den traditionellen Kreditinstituten verlieren könnte.
Banken hätten bei Weitem noch nicht alle Möglichkeiten ausgeschöpft, meint André M. Bajorat, Geschäftsführer des deutschen Fintech-Start-ups figo. Die etablierten Finanzhäuser müssten sich auf ihre Kunden besser einstellen, unbedingt „radikal digital“ denken und sich den neuen Geschwindigkeiten der Branche anpassen. Eine Kooperation zwischen Banken und Fintechs sei vor diesem Hintergrund „nahezu zwingend“, betont Bajorat. „Aus dem Feind wird ein Freund“, glaubt er.
Denselben Standpunkt vertreten die Analysten von Capgemini in einem Bericht im Auftrag von BNP Paribas: Eine Symbiose aus Banken und Fintechs sei der strategische Imperativ der digitalen Transformation des Finanzwesens.  Auch deshalb sagen die Analysten von Goldman Sachs und Morgan Stanley dem Sektor eine Zunahme von Fusionen voraus. Jo Goodson, Geschäftsführerin von Hampleton Partners, einer in Frankfurt ansässigen Beratung für technologie­orientierte Unternehmen, schreibt diesen Trend ebenfalls der PSD2 zu. Goodson bezeichnet die Richtlinie gar als „den entscheidenden Faktor für die Deal-Landschaft“.
André Bajorat
André Bajorat
Geschäftsführer Figo GmbH
Foto: figo.io / Sarah Eick
„Aus dem Feind wird ein Freund“

NextGenPSD2-Framework

Die gesamte Finanzindustrie bereitet sich auf die PSD2 vor, allerdings nicht im Gleichschritt. Einige Banken möchten Standard-APIs abwarten. Eine solche Lösung entsteht beispielsweise unter dem Namen NextGenPSD2-Framework unter Federführung der Berlin Group, einer Initiative zur Harmonisierung technischer Standards für eine reibungslose Interoperabilität von Zahlungssystemen in der EU und der Schweiz. Bei diesem Framework handelt es sich um eine Schnittstelle für den Zugang zum Bankkonto (XS2A) für Drittdienstleister (TPP). In der NextGenPSD2-Koalition haben sich bisher 43 Organisationen aus dem Banken- und Zahlungsdienstleistungssektor aus der EU und der Schweiz zusammengeschlossen.
„Die NextGenPSD2-Schnittstellen (APIs) sollen die nach der PSD2 zulässigen Kontoinformationsdienste (AIS), Dienste von Anbietern von Zahlungsinstrumenten (PIIS) und Zahlungsauslösedienste (PIS) ermöglichen“, beschreibt die Berlin Group den Zweck des Frameworks anlässlich der Veröffentlichung der ersten Version.

BaFin-Pflichten

Wer Zahlungsauslösedienste erbringen will, benötigt eine Erlaubnis der BaFin. Kontoinformationsdienste sind im Gegensatz dazu nur registrierungspflichtig. Die Compliance-Deadline für die Implementierung der technischen Regulierungsstandards (RTS für Regulatory Technical Standards) ist der 14. September 2019; danach ist der Einsatz der Direct-Access-Technologie („Screen Scraping“) nur noch mit Zustimmung der betroffenen Bank und nur als Fallback-Maßnahme zulässig. Die RTS regeln im Übrigen nur den Zugriff auf Zahlungskonten, nicht auf sonstige Konten. Die RTS zur starken Kundenauthentifizierung (Strong Customer Authentication, SCA) und sicheren Kommunikation (SC) im Rahmen der PSD2 definiert die Europäische Bankenaufsichtsbehörde.
Philipp Gesell
Philipp Gesell
Gründer von Easybill
Foto: Easybill
„Mit der PSD2 kommen (…) Anforderungen auf uns zu, die enorme Ressourcen, wahnsinnig viel Expertise und hohen administrativen Aufwand fernab unseres Kerngeschäfts erfordern.“
Einige Zahlungssysteme, etwa im Einzelhandel, sind je nach Ausgestaltung erlaubnisfrei. In diese Kategorie fallen etwa Hauskarten, Limited-Network- und Limited-Range-Zahlungssysteme, Tankkarten, Karten für den Nah- und Fernverkehr, Bekleidungskarten, City-Cards und Prepaid-Karten. Für die TK-Dienstleister gilt eine Ausnahmeregelung.
Viele Unternehmensgruppen haben in der Vergangenheit ihr Cash-Management zentralisiert und konnten dabei die Ausnahmeregelung für Zahlungsvorgänge und verbundene Dienste innerhalb eines Konzerns sowie zwischen Mitgliedern einer kreditwirtschaftlichen Verbundgruppe in Anspruch nehmen (Konzernprivileg). Diese Unternehmen müssen neue interne Kontroll- und Compliance-Systeme einrichten, um sich der Lizenzpflicht zu entziehen. Für alle anderen gilt seit April 2018 die BaFin-Antragspflicht.
Die PSD2-Richtlinie schreibt strengere Sicherheitsanforderungen vor und lässt weniger Ausnahmen zu. „Das Zeitfenster für die Betrugsanalyse wird erheblich verkürzt“, kommentiert Sundeep Tengur, Spezialist für Finanzkriminalität beim Analytics-Spezialisten SAS; die Banken müssten sich auf Automatisierung und fortgeschrittene Analysetechniken stützen, um das erhöhte Risiko zu mindern, rät er.
Verwandte Themen