Beitrag

Die zweite Welle von Open Banking: PSD3, PSR und FIDA – was wir zu erwarten haben

Die Zahlungsdiensterichtlinie PSD2 wurde am 14. September 2019 mit dem Ziel in Kraft gesetzt, den Verbraucherschutz sowie die Sicherheit elektronischer Zahlungen zu verbessern. Darüber hinaus zielte das Regelwerk darauf ab, den Wettbewerb einerseits und Innovationen andererseits zu fördern. 2022 stellte die Europäische Kommission die PSD2 auf den Prüfstand. Dazu führte sie mehrere Konsultationen zum Erfolg der Richtlinie durch. Nach Auswertung des Feedbacks und auf Basis der so gewonnenen Einsichten hat die EU-Kommission mit PSD3, PSR und FIDA nun einen neuen Entwurf vorgelegt. Die neuen Regelungen müssen im nächsten Schritt das weitere Gesetzgebungsverfahren durchlaufen, was sich aller Voraussicht nach bis ins Jahr 2025 hinziehen wird. Für die PSR sieht der Plan vor, dass sie 18 Monate nach ihrem Inkrafttreten wirksam wird.

Was hat PSD2 bisher bewegt?

Die PSD2 hat es Drittanbietern (Third Party Provider, TPPs) wie FinTech-Unternehmen ermöglicht, EU-weit einen rechtssicheren Zugang zu Kontoinformationen und Zahlungsdiensten zu erhalten. Dadurch wurde der Wettbewerb im Zahlungsverkehr gestärkt und der Entstehung neuer, innovativer Lösungen Vorschub geleistet. Für Verbraucher bedeutet es, dass sie von einem breiteren Angebot an Zahlungsdiensten und besseren Produkten profitieren.

Die PSD2 legte damit den Grundstein für das Konzept von Open Banking. Banken und Drittanbieter können nun ihre Dienstleistungen und Daten rechtssicher austauschen. Dies ermöglicht die nahtlose Integration von Finanzdienstleistungen bei digitalen Partnern und eröffnet diesen neue Möglichkeiten, um dem Konsumenten personalisierte Produkte und Dienstleistungen auf Basis von Kontodaten oder Zahlungen anbieten zu können. Durch die Öffnung des Zahlungsverkehrs entstehen neue Partnerschaften und innovative Dienstleistungen, bei denen der Endkunde von den Ressourcen und dem Know-how beider Akteure profitieren kann.

Drittanbieter (Third Party Provider, TPPs), die den Zugang zu Konten nutzen wollen, wurden durch die PSD2 dazu verpflichtet sich entsprechend bei den nationalen Aufsichtsbehörden zu lizensieren. Das umfasst die Payment Initiation Service Provider (PISPs) wie beispielsweise Klarna oder Brite ebenso wie Account Information Service Provider (AISPs) wie etwa Qwist.

Auch in puncto Sicherheit hat die PSD2 für Verbesserungen gesorgt. Strengere Sicherheitsanforderungen, insbesondere im Bereich der Kundenauthentifizierung mit den obligatorischen zwei Faktoren, minimieren das Risiko von Betrug und unbefugtem Zugriff ganz erheblich.

Mit der Schaffung von einheitlichen Standards und harmonisierten Regelungen für die Zahlungsdienstleister in der EU hat die PSD2 zudem dafür gesorgt, dass die Verbraucher Dienstleistungen grenzüberschreitend einfacher und sicherer nutzen können.

Aus eins mach drei: PSD, PSR und FIDA

All dieser erwiesenen Erfolge zum Trotz sah sich die EU zu Nachbesserungen veranlasst. Bei der geplanten Nachfolgedirektive PSD3 geht die EU-Kommission einen neuen Weg und verteilt die Regelungen der PSD2 und der E-Geld-Richtlinie über die PSD3 als EU-Richtlinie und die PSR als EU-Verordnung. Einige Inhalte der PSD2 werden in die PSR wandern. Damit soll eine einheitlichere Umsetzung innerhalb der EU sichergestellt werden. Während bei der Überführung der PSD2 in nationale Gesetze noch Interpretationsspielraum bestand, gilt bei der neuen Verordnung für alle Länder der gleiche Wortlaut – mit der Einschränkung, dass er in 24 Sprachen übersetzt wird. 

Zeitgleich sieht das Framework for Financial Data Access Regulation, abgekürzt mit FIDA, einheitliche Regeln für den Zugang zu Kundendaten bei weiteren Finanzdienstleistungen vor. Diese gehen nun weit über Kontoprodukte hinaus und betreffen erstmalig auch Versicherungsdaten.

Allen drei Regelungen ist gemein, dass sie den Endkunden in seiner Position als Souveräns über die Nutzung seiner Finanzdaten weiter stärken möchten. Daher findet sich in allen drei Neuregelungen das Konzept eines Consent-Managements, das zum einen für mehr Transparenz für den Kunden sorgen soll und andererseits die Möglichkeit bietet, erteilte Zugangsrechte unkompliziert wieder zu entziehen.

Der umfassende Evaluierungsprozess aus dem Jahr 2022 ergab zudem, dass nach wie vor mehrere zentrale Probleme auf dem EU-Zahlungsmarkt noch nicht zufriedenstellend gelöst sind:

Die Frage nach der Sicherheit

Wie bereits erwähnt, wurden mit der PSD2 bereits wichtige Schritte zur Verbesserung der Sicherheit unternommen, so zum Beispiel die Einführung der starken Kundenauthentifizierung (Strong Customer Authentication, SCA). Dennoch gibt es die sprichwörtliche Luft nach oben, etwa in Form der Herausforderung, die Sicherheit im gesamten Ökosystem zu erhöhen.

Ein Beispiel ist das sogenannte Spoofing, wenn sich Betrüger unter Verwendung des Namens, der E-Mail-Adresse oder der Telefonnummer eines Zahlungsdienstleisters in betrügerischer Absicht als Angestellte oder Mitarbeiter ausgeben. In diesem Fall ist eine Ausweitung der Erstattungsrechte für die derart getäuschten Verbraucher vorgesehen. Der Zahlungsdienstleister muss dem Zahlungsdienstnutzer den vollen Geldbetrag, der aufgrund des Betruges überwiesen wurde, erstatten, sofern der Zahlungsdienstnutzer den Betrug unverzüglich bei der Polizei angezeigt und den Zahlungsdienstleister darüber informiert hat.

Um IBAN-Betrug zu unterbinden, sollen Zahlungsdienstleister künftig auch dazu verpflichtet werden, bei Überweisungen in einer EU-Währung unentgeltlich die Übereinstimmung des IBANs des Zahlungsempfängers mit dem Kontonamen zu prüfen (IBAN-name check). Eine solche Überprüfungspflicht besteht unter der PSD2 derzeit nicht. In der Praxis ist davon auszugehen, dass die Zahlungsdienstleister des Auftraggebers standardisiert den IBAN-name check beim Zahlungsdienstleister des Zahlungsempfängers anfordern werden.

Ausbaufähig – der Datenschutz

Die Datenschutz-Grundverordnung gibt den Verbrauchern die Oberhoheit über ihre personenbezogenen Daten. Die Bereitstellung von Kontodaten an Drittanbieter setzt folglich eine umfassende Datenfreigabe seitens des Kontoinhabers voraus. Kunden müssen demnach im Rahmen des sogenannten Consent-Managements vor einer Transaktion ihre Zustimmung geben. Das kann jedoch nicht verhindern, dass die Daten möglicherweise trotzdem in unsichere Hände gelangen oder für unerwünschte Zwecke verwendet werden könnten.

Daher soll die geplante PSD3 gewährleisten, dass die Regeln für das Open-Banking besser mit der DSGVO harmonieren. Unter Anwendung des Prinzips der Datenminimierung soll klargestellt werden, dass für Zahlungsdienstleister die Erlaubnis, auf personenbezogene Daten ihrer Kunden zuzugreifen und diese zu verarbeiten, lediglich für Informationen, die für die Erbringung der spezifischen, mit dem Kunden vereinbarten Zahlungsdienste erforderlich sind, gilt.

Der Entwurf sieht zudem klare Haftungsregelungen bei Datenschutzverletzungen und Streitbeilegungsmechanismen vor.

Erweiterung auf weitere Bank- und Versicherungsprodukte

Mit der FIDA erweitert sich das Konzept der Zahlungsdirektive nun auf diverse andere Finanzdienstleistungen inklusive Versicherungen. Kunden erhalten nun das Recht, auch anderen Dienstleistern den Zugang zu ihren Kundendaten zu verschaffen. Allerdings müssen diese anderen Dienstleister über eine Erlaubnis als Finanzinstitut verfügen oder als Finanzinformationsdienstleister reguliert sein. Damit wird, was als Open Banking begann, auf die nächste Stufe gehoben: Open Finance.

Auch was die Kommission unter Kundendaten versteht, wird im Rahmenwerk für den Zugang zu Finanzdaten genau definiert: Gemeint sind neben Informationen rund um Kredite, Spar- und Geldanlagen, betriebliche und private Altersvorsorge etwa auch solche zu Sachversicherungen sowie Daten, die zum Zwecke der Bonitätsbeurteilung (Scoring) von Unternehmen etwa durch Auskunfteien wie die Schufa erhoben werden. Ausgenommen werden sollen Kundendaten wie Score-Werte natürlicher Personen sowie Lebens- und Krankenversicherungen.

Technische Herausforderungen meistern

Die Umsetzung der PSD2 und künftiger Regulierungen wie PSD3, PSR und FIDA erfordert die Zusammenarbeit zwischen Banken & Versicherungen, Zahlungsdienstleistern und Technologieanbietern, um die notwendigen Schnittstellen und Systeme bereitzustellen. Insbesondere für kleinere Finanzinstitute und Unternehmen, die nicht über die erforderliche Infrastruktur und personelle und finanzielle Ressourcen verfügen, kann dies eine Herausforderung darstellen.

Dazu ein kleines Beispiel aus den Vorschlägen zur PSR: Hier wird gefordert, dass die SCA / 2-Faktor-Authentifizierung auch möglich sein muss, ohne dass ein Smartphone zum Einsatz kommt, da ältere oder andere technisch wenig versierte Menschen ansonsten vom Zertifizierungsverfahren ausgeschlossen wären. Banken wären so gezwungen, flächendeckend zusätzliche, vom Smartphone losgelöste 2FA Verfahren einzuführen und anzubieten.

Wettbewerbsungleichgewicht

Wettbewerbsförderung ist eines der erklärten Ziele hinter der Zahlungsdiensterichtlinie. Es besteht jedoch die Gefahr, dass größere Technologieunternehmen und FinTechs von den neuen Regelungen stärker profitieren als kleinere Anbieter. So könnte es passieren, dass kleinere Unternehmen durch die Erweiterung der Regelungen nicht mit den Ressourcen und dem Know-how der Technologieunternehmen konkurrieren können.

Kundenakzeptanz und Vertrauen

Im Finanzwesen ist Vertrauen die Grundlage von allem: So erfordern die Einführung neuer Zahlungsdienstleistungen und die Offenlegung von Kontodaten eine hohe Akzeptanz und einen Vertrauensvorschuss seitens der Kunden. Daher wird es wichtig sein, dass klare Kommunikation, Transparenz und Aufklärung über die Vorteile und Risiken der Open Finance Anwendungen erfolgen, um das Vertrauen der Verbraucher zu gewinnen und auch langfristig zu erhalten.

Fazit

Die PSD-Regelungen waren wichtige erste Schritte auf dem Weg zur Schaffung eines EU-weiten Rechtsrahmens für EU-weite Zahlungsdienstleistungen. Sie haben einen wertvollen Beitrag zur Verbesserung des Verbraucherschutzes sowie der Sicherheit elektronischer Zahlungen geleistet und den Wettbewerb und Innovationen gefördert. Die Revision des Jahres 2022 hat jedoch gezeigt, dass die Richtlinie vom Charakter her zu unverbindlich ist und auch auf der Inhaltsebene noch Bedarf an Nachbesserung besteht: Sicherheitsaspekte, Datenschutz und technische Anforderungen sind weiterhin kritische Punkte, die durch die kommende PSD3 adressiert werden sollen. Die PSD2 wird vielfach als die Initialzündung für das Open Banking bezeichnet, die PSD3 hingegen wird von vielen eher als notwendige Anpassung als eine revolutionäre Neuerung bewertet. Tatsächlich werden die wirklichen Innovationen der neuen Regelungen durch PSR und FIDA gefördert.

Insbesondere die FIDA schafft nun einen klaren Rechtsrahmen und wird auf diese Weise, wenn man so will, zum Impulsgeber für die nächste Stufe: Open Finance. Alle drei Bausteine jedoch, die dritte Zahlungsdiensterichtlinie (PSD3), die Verordnungen über Zahlungsdienste (PSR) und FIDA (Zugang und Nutzung von Finanzdaten) treiben die „Consent Driven Economy“ weiter voran und geben den Verbrauchern mehr Möglichkeiten zur Nutzung der über sie vorhandenen Daten. Darin liegt ein erhebliches Wachstumspotenzial, begründet durch eine umfassende Akzeptanz im Massenmarkt, die Skalierung von Dienstleistungen und die Erschließung neuer, spannender und vor allem monetarisierbaren Anwendungsfälle.

Denn standardisierten Lösungen erlauben es heute vielmehr hochgradig personalisierte Dienstleistungen auf einer erweiterten Datenbasis kosteneffizient und in Echtzeit anzubieten. Insbesondere die FIDA trägt dazu bei, dass dies nicht nur im Banking-Bereich der Fall sein wird, sondern auch industrieübergreifend funktioniert und somit einen wichtigen Schritt zur Open Economy mit Open Data leistet.

Produkte

Embedded Finance
Finanzierungsplattform
Open Banking
Open Wealth
PSD2 Compliance
Multibanking API

Technologie

API-Plattform
Open Banking APIs
API-Management

Unternehmen

Über uns
Karriere
Presse

Insights

Blog
Ressourcen
Newsletter
Webinar

Newsletter abonnieren