Die neuen Spielregeln im EU-Zahlungsverkehr sind im März 2018 ratifiziert worden. Danach stand ein Zeitrahmen von 18 Monaten zur Verfügung, damit involvierte Parteien (Banken, Finanzdienstleister, Drittanbieter) Lösungen, APIs und Prozesse entwickeln können, um Open Banking unter PSD2 möglich zu machen.
Diese Frist endet am 14. September 2019, ab morgen sollen die Regelungen der PSD2 im Markt angewendet werden. Das tun sie auch, teilweise – nur: ein starker Start mit Anlauf und Schwung sieht anders aus. Das ist allerdings keine Überraschung, das war zu erwarten.
Was es ist: PSD2 – Die erweiterte Zahlungsdienste-Richtlinie
PSD2 bezeichnet die erweiterte Zahlungsdienste-Richtlinie (2015/2366) des Europäischen Parlaments und des Rates vom 25. November 2015 über die Zahlungsdienste im Binnenmarkt. PSD2 löst die Zahlungsdienste-Richtlinie (2007/64/EG) PSD vom 13. November 2007 ab und ist ab 13. Januar 2018 gültig.
Die Payment Services Directive 2 (PSD2) in neuer und erweiterter Auflage definiert die Marktöffnung für Drittanbieter (TPP) im Zahlungsverkehr. Drittanbieter sind Anbieter von Finanzdienstleistungen, welche über APIs Zugriff auf Konten ihrer Kunden bei der jeweils kontoführenden Bank erhalten sollen. Dabei werden insbesondere zwei Gruppen unterschieden: AISPs (Account Information Service Providers) und PISPs (Payment Initiation Service Providers).
Die Parteien und ihre Rollen
Vorgaben, involvierte Parteien sowie deren Rechte und Pflichten sind in der Richtlinie PSD2 im Detail definiert und beschrieben. Dabei spielen insbesondere auch erhöhte Sicherheitsanforderungen, Haftungsregelungen und Garantien im Zusammenspiel der bestehenden und neuen Parteien eine zentrale Rolle. Die benannten Parteien für verbraucher- oder geschäftsorientierte Zahlungsdienste hier kurz skizziert:
A | Finanzinstitut: Kontoführender Zahlungsdienstleister
In der Regel das Finanzinstitut, welches Zahlungskonten für Kunden bereitstellt und führt.
Diese Partei wird durch PSD2 verpflichtet, über APIs Zugänge für Drittparteien (TTPs) zu schaffen.
B | TTP: Third Party Provider (Drittanbieter im Zahlungsverkehr)
Im Kern werden zwei Typen von TTPs benannt, welche in der Richtlinie PSD2 als Anbieter von neuen Diensten im Bereich der Internet-Zahlungen identifiziert werden und über APIs Zugang zu Kundenkonten von Finanzinstituten erhalten sollen:
- AISP: Account Information Service Provider (Kontoinformationsdienste KID)
Kontoinformationsdienste oder Aggregatoren, welche im Auftrag des Kunden und Kontoinhabers Kontoinformationen elektronisch direkt bei den kontoführenden Finanzinstituten abholen. Mit dem Ziel, konsolidierte und benutzerfreundliche Informationen und Übersichten in elektronischer Form für den Kunden bereitzustellen. - PISP: Payment Initiation Service Provider (Zahlungsauslösedienste ZAD)
Anbieter, welche von Kunden und Kontoinhabern beauftragt oder berechtigt sind, Zahlungen in ihrem Namen direkt von ihrem Konto beim kontoführenden Finanzinstitut auszulösen.
Das Zusammenspiel der involvierten Parteien war in den 18 Monaten Vorbereitungszeit nicht in jeder Phase harmonisch. Vor allem deshalb, weil jene, die Kundendaten für Dritte zur Verfügung stellen sollen (Banken), diese Öffnung nicht durchwegs ähnlich offen interpretieren wie die Drittanbieter, welche über APIs Zugriff auf Kunden und Kontodaten erhalten sollen.
Warum gerät die Einführung der PSD2 zum holprigen Kaltstart?
Je nachdem, mit wem man spricht, aus unterschiedlichen Gründen:
Verbummelt und verschlafen?
Die NZZ hat vor einigen Tagen, stellvertretend für weitere Medien, resümiert:
"Banken, Zahlungsdienstleister und vor allem Händler haben die Umsetzung der neuen Zahlungsdienste-Richtlinie der EU verschlafen".
Blockaden und Hürden?
Andere unterstellen einem Teil der involvierten Banken vorsätzliches Blockieren durch unterschiedliche Standards und APIs, welche sehr weit entfernt sind vom geforderten "diskriminierungsfreien Zugang" für Drittanbieter zu Kundenkonten (Access to Account/XS2A). Hürden, Einschränkungen und Mauern, welche die Grundidee der PSD2 in keiner Weise spiegeln.
Zu wenig Zeit?
18 Monate sind und waren nicht genug, um alle notwendigen Anpassungen und Erweiterungen umzusetzen und zu testen, meinen andere Exponenten.
Stolperstein: Diskriminierungsfreier Zugang über APIs
Wer den Unterschied zwischen diskriminierungsfreiem Zugang und dem puren Gegenteil im Detail ausloten möchte – das Portal Payment & Banking hat im Juli 2019 einen hochinteressanten Podcast lanciert: "PSD2 und der Mythos des Open Banking". André Bajorat als Host diskutiert mit Cornelia Schwertner und Stefan Krautkrämer die Situation, die Probleme, die Hürden, die unterschiedliche Haltung der Banken, die Forderungen der Drittparteien. In diesem Podcast geht's schonungslos zur Sache. Bajorat geht im Gespräch mit den beiden Profis in 75 spannenden Minuten auf die zentralen Punkte ein. Klar, informativ und verständlich. Absolut hörenswert.
Am Beispiel von Deutschland hat es längere Zeit so ausgesehen, als ob mauernde Banken mit nicht funktionalen, nicht marktreifen PSD2-Umsetzungen und API-Minimallösungen durchkommen würden und die bisherigen Schnittstellen inaktivieren werden. Es kam anders.
Die BaFin hat Mitte August in einem denkwürdigen Rundschreiben die Banken gerüffelt und Partei für FinTechs und Drittanbieter ergriffen. Der Starttermin vom 14. September 2019 ist insofern relativiert worden, als die aktuell bestehenden, nicht-PSD2-konformen Kontoschnittstellen, von den Banken nicht wie geplant Mitte September abgestellt werden dürfen. Grund: Kurz gesagt, die neuen Schnittstellen genügen den Anforderungen der PSD2 nicht.
Der Exekutivdirektor der Bankenaufsicht, Raimund Röseler, hat in diesem Rundschreiben explizit "funktionale Mängel" moniert und unmissverständlich klargestellt, welche Anforderung Banken bei neuen Kontoschnittstellen zwingend erfüllen müssen und welche Punkte von ihm als Hindernisse für Drittanbieter gewertet werden.
Diese Aufforderung der BaFin an die Adresse der Banken zum Nachsitzen und eher kräftigen Nachbessern hat Überraschung bei der Deutschen Kreditwirtschaft (DK) ausgelöst, die sich erstaunt darüber zeigte, "dass viele der nun neuen Schnittstellen bislang noch nicht genehmigungsfähig seien". Weiterem Erstaunen gab die DK mit folgendem Statement Ausdruck: "Zudem sind die deutschen Banken und Sparkassen erstaunt, dass vier Wochen vor dem Stichtag von der Aufsicht neue Anforderungen an die Schnittstellen gestellt werden".
Einigkeit sieht anders aus – im momentanen Resultat erhalten Drittanbieter jedoch Aufschub und Banken Zeit, APIs und Schnittstellen so auszulegen, dass sie die Anforderungen der PSD2 erfüllen.
Stolperstein: Starke Kundenauthentifizierung (SCA)
Die starke Kundenauthentifizierung (SCA) schreibt eine Zwei-Faktor-Authentifizierung vor, welche die Anwendung von zwei Authentifizierungs-Techniken vorsieht, die voneinander unabhängig sind. Die Zahlung mit Kreditkarte im Online-Handel bekommt damit zusätzliche Sicherheit, aber durch die Freigabe über SCA auch zusätzliche Hürden, die aktuell noch heftig diskutiert werden. Online-Händler befürchten massive Umsatzeinbussen durch Kaufabbrüche, weil den Kunden das Prozedere zu kompliziert ist.
IBI Research hat am Beispiel des deutschen Online-Handels eine Erhebung zum Thema durchgeführt. Die Resultate zeigen, wie gross die Informationslücken, Wissens- und Umsetzungs-Defizite noch sind und weshalb die Idee der starken Kundenauthentifizierung ab 14. September 2019 mit Sicherheit nicht flächendeckend im Online-Handel funktionieren kann. Die Studie ist so interessant wie ernüchternd und kann hier runtergeladen werden.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat bereits im August reagiert und lässt zu, dass Kreditkartenzahlungen im Internet nach dem 14. September 2019 weiterhin ohne starke Kundenauthentifizierung ausgeführt werden dürfen. Dieses Entgegenkommen ist zeitlich befristet, ein Enddatum steht momentan allerdings noch nicht fest. Und die "Erlaubnis", die SCA-Pflicht nicht zwingend einhalten zu müssen, ist nicht als Erlaubnis, sondern als Duldung formuliert, die BaFin will die Nichteinhaltung "zunächst nicht beanstanden". Mit anderen Worten: Das Damoklesschwert ist installiert und verharrt im Schwebe-Modus.
PSD2-Start mit schleifender Kupplung
Etwas anderes war auch nicht zu erwarten. Die erweiterte Zahlungsdienste-Richtlinie PSD2 ist im Kern ein revolutionäres und umwälzendes Konzept. Eine Idee, die den verschiedenen Teilnehmern und Marktpartnern einiges abverlangert. Nicht nur technisch und technologisch, auch ideell. Sind Banken verpflichtet, ihren bisher gehüteten Schatz in Form von Kundenstamm und Kontozugriff aufs Mal teilen zu müssen, ist diese Forderung nicht von Pappe und alles andere als leicht verdaulich.
Deshalb sind Friktionen und aktuell teilweise noch unterschiedliche Interessen und Betrachtungen nicht erstaunlich. Open Banking als Chance für alle Beteiligten und auch als Notwendigkeit in veränderten Marktumfeldern zu begreifen, kann nicht verordnet werden. Das Bewusstsein für die neuen Möglichkeiten ist bei Banken und auch bei FinTechs in sehr unterschiedlicher Ausprägung vorhanden. Ein Bewusstsein, dass wachsen wird, aber aben nicht für alle Beteiligten im selben Tempo und vor allem nicht schmerzfrei.
Deshalb ist der Kaltstart mit stotterndem Motor und angezogener Handbremse kein Beinbruch, vielmehr ein guter Anfang. Mit Friktionen und Nebengeräuschen, die zu erwarten waren. Der Zug von PSD2 und Open Banking fährt und er wird an Tempo gewinnen. Je früher jene, die aktuell noch auf der Bremse sitzen, sich von der Vergangenheit lösen und auf die Zukunft konzentrieren, umso stärker werden sie selbst von dieser Entwicklung profitieren – so wie alle anderen auch.