Die Bank und ihr Kunde: eine geschlossene Gesellschaft? Nein, denn schon heute gibt es Drittanbieter, die den Zugriff auf Kundenkonten in ihrem Geschäftsmodell verankert haben. Künftig soll das für alle interessierten Unternehmen ermöglicht werden. Allerdings müssen sich diese strengen Standards zur Authentifizierung und Kommunikation unterwerfen.
Aktuell liegen die entsprechenden Anforderungen an die technische Schnittstelle für den Kontozugriff im Entwurf vor. Ihr Urheber ist die EBA (European Banking Authority) und sie basieren auf der im Januar 2016 novellierten Zahlungsdiensterichtlinie (PSD2). „Die Änderungen werden für Kreditinstitute die Gefahr bergen, den Kontakt zu ihren Kunden zu verlieren. Aber wer dies erkennt, kann auch selbst die Chancen nutzen, mehr Informationen über die eigenen Kunden zu erhalten“, so Stefan Roßbach vom TME Institut für Vertrieb und Transformationsmanagement e. V., das ein Whitepaper zur PSD2 verfasst hat.
Anlass für die „Regulatory Standards on strong customer authentification and secure communication under PSD2“, kurz RTS, waren zum einen Diskussionen über Sicherheit, Haftung und Umfang des Zugriffs auf die Konten durch Dritte. „Zum anderen wollen viele Kreditinstitute die `virtuelle Tür` aus verständlichen Gründen lieber nur für sich selbst offenhalten“, sagt Thomas Büttner von der TME AG.
Der Gesetzgeber möchte jedoch den Wettbewerb unter den digitalen Finanzdienstleistern fördern, was einen diskriminierungsfreien und unentgeltlichen Zugang erfordert. „Der Kunde soll entscheiden können, ob er die Bankdienstleistung eines anderen Anbieters in Anspruch nimmt oder das Online-Banking seiner Bank selbst nutzt.“ Im Einzelnen geht es bei den Diensten um Kontoinformationen wie den Abruf von Umsätzen, um Zahlungsauslösungen etwa beim E-Commerce-Shopping und um Deckungsabfragen, etwa beim Bezahlen per Karte eines Drittemittenten am Point of Sale.
Die Drittanbieter müssen sich zertifizieren lassen, doch die Entwicklung der technischen Schnittstelle ist ausschließlich Sache der Bank. Neben mehr Wettbewerb würden mit der PSD2 auch die Verbraucherrechte gestärkt, betont Roßbach. So sollen strenge Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen sowie den Schutz der Finanzdaten der Verbraucher gelten. Außerdem sind eine verringerte Haftung der Kunden bei nicht autorisierten Zahlungen, ein bedingungsloses Erstattungsrecht bei Lastschriften sowie ein Verbot von Aufschlägen beim Bezahlen per Karte geplant.
Offene Fragen werden diskutiert
Über 260 Vertreter von Banken, FinTechs, Zahlungsdienstleistern, Verbänden und anderer Marktteilnehmer konnten sich bereits zum Entwurf der RTS äußern. Dabei haben sich laut Büttner eine Menge offener Punkte ergeben, die nun von der EBA geklärt werden müssen: „Das reicht von der genauen Gestaltung des Kontozugriffs über die Gewährleistung der Sicherheit von Kontodaten und die Haftungsregelung im Betrugsfall bis zur Frage, ob es eine europaweit einheitliche Lösung für die technische Schnittstelle geben wird.“
Noch nicht klar sei, was wie genau geregelt und wo die Regulierung dem Markt überlassen werde. Sobald das finale RTS-Dokument vorliegt, haben die Banken 18 Monate Zeit, um die Schnittstelle bereitzustellen. „Für die Lösung dieser Aufgabe wurden bereits erste Allianzen geschmiedet und auch einige technische Dienstleister haben ihren Hut in den Ring geworfen“, so Roßbach. Doch da die Details noch fehlen, sei momentan keine definitive Entscheidung etwa für eine gemeinsame Entwicklung gefallen.
Für die Autoren des Whitepapers, Stefan Roßbach und Thomas Büttner, bedeutet die Öffnung des Online-Bankings für die etablierten Institute Gefahr und neues Potenzial zugleich. Letztlich sei es ähnlich wie bei anderen durch die zunehmende Digitalisierung verursachten beziehungsweise ermöglichten Änderungen auch, meint Roßbach. „Es kommt darauf an, schnell und konsequent zu handeln, um nicht nur noch Datenlieferant zu sein.“
Die Banken hätten künftig die Option, die Umsatzdaten von Fremdbankkonten ihrer Kunden in die eigenen Prozesse und Dienste zu integrieren. Im Detail ließe sich etwa die Bonität eines Kunden, der einen Kredit beantragt hat, leichter prüfen, oder zum Beispiel die ganzheitliche Finanzplanung gemeinsam mit dem Kunden optimieren. Zwar sei dafür das Einverständnis der Kunden nötig, aber das gelte selbstverständlich für den Zugriff von außen auf die Konten bei der eigenen Bank genauso. (TME AG)