Mit PSD2: Zugang zum heiligen Gral

Inhaltsübersicht:

Anfang 2018 wurden in Deutschland die Vorgaben der Europäischen Union zur Payment Services Directive 2 (PSD2) in Gesetze gegossen. 2019 wird es für die Banken ernst. Dieses Jahr laufen für die Finanzinstitute die Fristen ab, nach denen diese zur Bereitstellung entsprechender Schnittstellen verpflichtet sind.

Die überarbeitete Zahlungsdiensterichtlinie in Version 2 soll das Banking innerhalb der Europäischen Union grundlegend verändern. Kernpunkt ist die Zulassung von Drittanbietern in der Interaktion von Bank und Kunde. Damit sind zumeist Fintechs gemeint, denen ein regulierter Zugang zum Heiligen Gral, der Infrastruktur und den Kundendaten der Banken, gewährt werden soll.

Die EU erhofft sich davon eine europaweite Vereinheitlichung und Vereinfachung der Zahlungsdienstleistungen sowie aus Kundensicht mehr Wettbewerb und Sicherheit.

Bis jetzt blieb die europäische Bankenindustrie von den vielbeschworenen Disruptionen weitgehend verschont. Besonders im Zahlungsverkehr sind Bargeld und Kartenzahlung weiterhin das Maß aller Dinge – trotz PayPal und dem überschaubaren Erfolg deutscher Dienstleistungen wie giropay, paydirekt und Kwitt.

In Schweden ist Swish dagegen sehr erfolgreich und in den Niederlanden gelingt gleiches mit iDEAL. Die Banken hielten bis jetzt das Datenmonopol fest in den Händen. Sie hatten oft exklusiven Zugang zu den Kundendaten und konnten diese nutzen, um entsprechende Dienstleistungen zu verkaufen.

Mit PSD2 wird dieser Markt nun geöffnet. Die Banken verhalten sich abwartend bis skeptisch angesichts der neuen Herausforderungen. Nur ein kleiner Teil begreift die Richtlinie als Chance, das Geschäftsmodell hinsichtlich des digitalen Zahlungsmarktes neu auszurichten.

Dabei kommt mit den APIs eine digitale (Flut-)welle auf die Banken zu, die wesentlich größer werden könnte, als sie am Horizont erscheint. Die realen Auswirkungen werden sich im Laufe der Zeit zeigen, aber es ist klar, dass die EU mit der Direktive eine strategische Neuausrichtung der Märkte anpeilt. „Overbanked“ wird damit sicherlich der Vergangenheit angehören.


Die wichtigsten Eckdaten

Die erste Richtlinie über Zahlungsdienste (PSD1) schuf ab 2009 die Grundlage für einen paneuropäischen Binnenmarkt für den Zahlungsverkehr, unter anderem wurde der SEPA-Standard eingeführt.

Die stetige Transformation dieses Marktes, vor allem hinsichtlich der zunehmenden Digitalisierung des Zahlungsverkehrs, machte eine Überarbeitung der Richtlinie notwendig. Es wird so versucht, Lücken zu schließen und Marktentwicklungen nach dem Inkrafttreten der PSD1 zu berücksichtigen.

Mit PSD2, gültig seit dem 13. Januar 2018, soll einer steigenden Anzahl an Akteuren Rechnung getragen und eine weitere Harmonisierung der zum Teil sehr unterschiedlichen Auslegung in den Mitgliedsländern erreicht werden.

Vollständig abgeschlossen wird der Prozess frühestens im September 2019, wenn alle beteiligten Institute ihre Compliance mit den technischen Anforderungen der PSD2 sicherzustellen haben.

Wen es betrifft – PISP, AISP und Banken

Der entscheidende Teil der Neufassung der Richtlinie ist die standardisierte Einbeziehung von Drittanbietern in die Kommunikation von Banken und Kunden.

Diese Drittanbieter teilen sich in zwei Klassen auf. Beide haben Zugriff auf die Kunden- und Kontodaten und können somit ihr eigenes Interface nutzen, um diese den Kunden bereitzustellen. Sie unterscheiden sich jedoch in der Art und Weise des Zugriffs auf die Daten.

Kontoinformationsdienste (AISP – Account Information Service Provider) sammeln für ihre Nutzer die Informationen ihrer Bankingaktivitäten und bereiten diese auf.

Hier geht es primär um einen lesenden Zugriff, der die Informationen für den Nutzer weiterverarbeitet. Der Nutzer kann verschiedene Kontenaktivitäten im Überblick behalten, ohne dafür mit der Bank zu interagieren. Dazu dürften z.B. Buchhaltungssysteme wie Debitoor oder Billomat zählen.

Zahlungsauslösedienste (PISP – Payment Initiation Service Provider) können selbst Überweisungen über ihren eigenen Dienst auslösen und nutzen dafür die Banken-Infrastruktur. Mit diesem schreibenden Zugriff ist die Bank bei Zahlvorgängen nur Dienstleister im Hintergrund, die Customer Journey bleibt komplett dem Drittanbieter überlassen. Darunter fallen Dienste wie Klarna, das bereits selbst eine Bank ist oder Gini Pay.

Die Banken stehen damit vor der Entscheidung, sich in den Wettbewerb um einen direkten Kundenzugang zu begeben oder sich mit der Rolle eines eingeschränkten Anbieters von Bankdienstleistungen abzufinden.


Wie gestaltet sich der Prozess für die Banken: APIs, XS2A, SCA?

Wenn über das Thema PSD2 gesprochen wird, ist auf Seite der Banken vor allem die Frage nach den Schnittstellen laut geworden. Dies ist verständlich, da es operativ eines der offensichtlichsten Veränderungsareale ist. In den Hintergrund gerät dabei, dass sich häufig ein größerer Anpassungsprozess im IT-System und bei den Bankingverfahren anschließt.

Konkret setzt sich bei vielen Finanzinstituten die Implementierung der PSD2 aus zwei Bereichen zusammen: der Strong Customer Authentification (SCA) und dem Access to Accounts (XS2A).

Mit Strong Customer Authentification (SCA) soll die Sicherheit der Nutzeraktivitäten erhöht werden. Erreicht wird dies durch eine Zwei-Faktor-Authentifizierung (2FA), mit der Zugriffe und Zahlungen eines Nutzers bestätigt werden müssen. In Deutschland ist dies für Zahlungsauslösungen bereits bekannt, für die Abfrage von Kontodaten ist es dagegen nicht verbreitet.

Eine erfolgreiche 2FA besteht immer aus zwei von drei Teilbereichen:

  • Wissen: etwas, was nur der Nutzer weiß, wie eine PIN oder ein Passwort
  • Besitz: etwas, was nur der Nutzer besitzt, wie ein Token oder ein Mobiltelefon
  • Inhärenz: etwas, was untrennbar mit dem Nutzer verknüpft ist, wie Gesichtserkennung oder Fingerabdruck

Grob gesagt, der Nutzer muss demnach Kenntnis, Haben oder Sein nachweisen.

Den klaren Vorteilen in der Bekämpfung von Betrugsversuchen stehen ebenso Einschränkungen entgegen. Selbst wenn die Banken Ausnahmen definieren können, z.B. Kleinstbeträge unter 30 Euro, so stehen sie vor der Herausforderung, eine besonders im digitalen Bereich übliche, nahtlose und reibungsfreie Customer Journey zur Verfügung zu stellen.

Der Access to Accounts (XS2A) ist Teil einer größeren Regelung der Kommunikation zwischen Kunden, Drittanbietern und Banken. Diese Regelung (Common and Secure Communication) schreibt eine explizite Zustimmung des Kunden zur Verwendung seiner Daten vor (Consent).

Ist der Consent erteilt, kann der Drittanbieter entweder mit Hilfe einer vom Finanzinstitut bereitgestellten Schnittstelle (API) auf die Kundendaten zugreifen oder er nutzt das Online-Banking-Interface der Bank selbst. Die APIs sind hierbei sowohl aus Sicht der Banken-IT als auch auf der Ebene des Geschäftsmodells der kritische Punkt.

Technisch müssen diese Schnittstellen nicht nur in der Lage sein, den Consent des Kunden zu verarbeiten, sondern Drittanbietern auch den Anschluss an das Kernbankensystem ermöglichen – zum Beispiel für Authentifizierungsvorgänge und Buchungsabfragen.

Genauer sind es sogar drei APIs, die eine Bank benötigt:

  • eine Schnittstelle für Kontoinformationen (AIS – Account Information)
  • eine Schnittstelle für Deckungsabfragen (FCS – Confirmation of the Availability of Funds)
  • eine Schnittstelle für die Zahlungsauslösung (PIS – Payment Initiation)

Es stehen massive Veränderungen für die Banken an, IT-Systeme und -Prozesse umzugestalten. Wie gut sie diese bewältigen, wird sich Ende 2019 zeigen, wenn die Vorschriften in Kraft treten.


Open Banking und die Zukunft der Banken

Aus der Perspektive des Geschäftsmodells der Banken sind die neuen APIs Teil des Open-Banking-Konzepts, was nicht weniger als eine gewaltsame Revolution des Bankengeschäfts bedeutet.

Open Banking soll die Banken gewissermaßen zu ihrem Glück zwingen, wenn es um Fragen der Digitalisierung geht. Statt geschlossener Systeme sollen Transparenz und Netzwerkorientierung die treibenden Kräfte eines Open Banking werden. Häufig wurden im Rahmen von Disruptionen ganze Branchen obsolet.

Prominente Beispiele sind die Digitalfotografie, die den Branchenprimus der chemischen Fotografie, Kodak, in den Ruin trieb. Aktuell schicken sich Streamingdienste wie Netflix an, das Studiosystem in Hollywood zu ersetzen, nachdem sie schon den Heimatmarkt der Videotheken ausgelöscht hatten.

Dies liegt vor allem am sogenannten Plattform-Kapitalismus, der sehr schnell Marktanteile erobert und Netzwerk-, Skalen- und Verbundeffekte nutzt, um sich eine Monopolstellung zu verschaffen. In diesen Märkten gilt umso mehr: the winner takes it all.

PayPal und Amazon vergeben bereits jetzt kleine Kredite an Händler und die anderen Big Techs aus den USA und China wie Google, Apple, Alibaba oder Tencent beginnen ebenfalls in den Bezahlmarkt einzusteigen.

Die Perspektive vieler Banken, dass das P in PSD2 für Pain (Schmerz) steht, ist also zu kurz gedacht. Vielmehr geht es um notwendige Anpassungen, mit denen die Banken ihre bisherige Rolle verabschieden und sich einer API-Economy zuwenden.

In dieser können die Banken ganz unterschiedliche Positionen einnehmen, vom Zulieferer für FinTechs, über Plattformlösungen, die Instant Payment ermöglichen, bis hin zu Infrastructure as a Service (IaaS) Lösungen, in der die Banken die Taktgeber des digitalen Finanzökosystems bleiben.