Banken öffnen ihre Datenschnittstellen – Tests starten Donnerstag

Noch im Januar hatte die Deutsche Kreditwirtschaft (DK), die Interessenvertretung der hiesigen Banken und Sparkassen, Alarm geschlagen. In einem Brandbrief an die Bafin, der dem Handelsblatt schon damals vorlag, bat sie um Rückendeckung der Aufseher. Ihre Befürchtung: Die Eba könnte weitere Vorgaben zu den Schnittstellen machen. Dies hätte eine pünktliche Fertigstellung der Schnittstellen gefährden können. Immerhin, diese Aufregung hat sich inzwischen gelegt. Zwar gibt es laut DK dazu noch keine offizielle Stellungnahme der Eba. „Die bisherigen Signale gehen aber in die Richtung, dass es keine neuen Anforderungen geben wird“, so eine Sprecherin der DK auf Anfrage. Auch die Bafin rechnet nicht mit neuen Anforderungen zu den Schnittstellen, die ab Mitte September bereitgestellt werden müssen, sagte ein Sprecher dem Handelsblatt. Trotzdem stehen die Geldhäuser weiter unter Zeitdruck.

Ab diesem Donnerstag bis Mitte Juni müssen Banken ihre Schnittstellen nun in sogenannten Sandboxes testen lassen. Das heißt: Die Tester können zwar alle Funktionen ausprobieren, erhalten aber noch keinen Zugriff auf echte Konten. Die Deutsche Kreditwirtschaft geht davon aus, dass die entsprechenden Testumgebungen in den Instituten rechtzeitig zur Verfügung stehen. „Einige Kreditinstitute sind schon seit einigen Wochen mit ihren Schnittstellen live und es fanden bereits erfolgreiche Tests mit Drittanbietern statt“, sagte eine Sprecherin.

Die Deutsche Bank hat bereits im Januar eine erste Testumgebung für ihre PSD2-API bereitgestellt und beworben. „Etwa ein Dutzend Anbieter haben sich daraufhin schon bei uns gemeldet“, sagt Stephan Welker, der die PSD2-Richtlinie für die größte deutsche Bank technisch umsetzt, dem Handelsblatt. „Unser Ziel ist es, möglichst viele Drittdienstleister und andere Banken für den Test unserer Sandbox und ab Juni auch für den Test mit echten Konten zu gewinnen“, so Welker.

Auch die Commerzbank hat ihre Testumgebung schon vorzeitig geöffnet und steht nach eigenen Angaben „bereits mit einigen Drittdienstleistern im Austausch“. Andere Institute öffnen ihre Testumgebung gerade rechtzeitig am Donnerstag. Die Santander macht drauf – wie schon die Deutsche Bank – mit einer Pressemitteilung aufmerksam.

Vor allem kleine Institute sollten sich beeilen

Niklas Grisar, Experte für Zahlungsverkehr bei der Beratung Capco, rät Banken dazu, jetzt möglichst schnell Tester zu finden und diese ab Mitte Juni umgehend in den Markttest mit echten Konten zu überführen. „Insbesondere kleinere Institute sollten aktiv werden, da sie aus Sicht der Drittanbieter über weniger potenzielle Kunden verfügen.“ Grund für die Eile ist die Sorge vor einer sogenannten Fallback-Schnittstelle. Diese soll verhindern, dass Banken Drittanbietern durch schlechte APIs den Zugang zu den Zahlungskonten versperren. Nur, wenn der Markttest ergibt, dass die Schnittstelle ausreichend leistungsstark ist, alle gesetzlichen Vorgaben erfüllt sind, und die Bafin zustimmt, dürfen Banken ausnahmsweise auf den Fallback verzichten. „Um alle Vorgaben rechtzeitig zu erfüllen, sollten sich die Banken beeilen“, rät Grisar.

Hinter dem Fallback steckt eine Variante des sogenannten Screen-Scrapings, bei dem Unternehmen im Auftrag der Kunden mit deren Konto-Login-Daten auf das Online-Banking zugreifen. Das machen sie heute schon. Ab Mitte September müssten Banken dafür aber eine Zugangskontrolle einrichten, um die Identität der Dienstleister zu prüfen – zusätzlicher Aufwand für die IT der Geldhäuser.

Der Zeitraum, in dem sich Banken um diese Ausnahmeerlaubnis bemühen können, ist knapp bemessen. Den sogenannten „Antrag auf Erteilung einer Ausnahme vom Notfallmechanismus“, der dem Handelsblatt im Entwurf vorliegt, können Banken frühestens „nach Beginn der Inbetriebnahme für die dreimonatige Marktbewährungsphase“ einreichen, also Mitte Juni, nach Start der Tests mit echten Konten. Zudem schreibt die Bafin in ihren Hinweisen zu dem zwölfseitigen Formular: „Bei Anträgen, die nach dem 31.07.2019 eingehen, ist nicht zu erwarten, dass eine Ausnahme noch vor dem 14.09.2019 erteilt wird.“

Eine Verkürzung der dreimonatigen Testphase soll dadurch nach Angaben eines Bafin-Sprechers aber nicht ermöglicht werden: „Die zentrale Aussage ist, dass eine Bank nicht das Ende der Marktbewährungsphase abwarten muss, bevor ein Antrag gestellt werden kann.“ Bevor die Ausnahme final gewährt werden könne, müsse die Phase abgeschlossen sein. Die Erfüllung der anderen Anforderungen könne die Bafin aber bereits vorab prüfen.

Was aber passiert, wenn eine Bank die Ausnahmegenehmigung zwar beantragt hat, aber nicht rechtzeitig vor dem 14. September erhält? Details nennt ein Bafin-Sprecher dazu nicht. Nur: „Das bestehende Regelwerk sieht keine Übergangsfristen vor“ und eine Bank dürfe die „Nichterfüllung der regulatorischen Anforderungen“ nicht dazu missbrauchen, den Drittdienstleistern einen Zugriff zu verwehren und diese zu benachteiligen.

API-Tester stehen bereit

Vorgaben zu einer Mindestanzahl von Schnittstellen-Testern macht die Bafin nicht. Unklar ist auch, wie viele Unternehmen überhaupt dafür bereitstehen. In Deutschland haben erst vier Start-ups eine Erlaubnis als sogenannter Kontoinformations- oder Zahlungsauslösedienst erhalten: Figo, FinAPI, Fintecsystems und Billie. Insgesamt sollen laut Bafin mehr als 30 Firmen eine Erlaubnis beantragt haben – wobei Banken und E-Geld-Institute für diese Art Kontozugriff keine zusätzliche Erlaubnis brauchen.

Hinweise zur Zahl der potenziellen Tester liefert die Bundesdruckerei (BDR). Sie gehört zu den sogenannten Vertrauensdienstleistern, die Testzertifikate ausstellen, mit denen sich Anbieter beim Zugriff auf die Schnittstellen ausweisen können. Die Zahl der Anträge für solche Testzertifikate liege derzeit im niedrigen dreistelligen Bereich, so ein BDR-Sprecher. Die Hälfte davon stamme aus dem europäischen Ausland.

„Die Nachfrage übertrifft klar unsere Erwartungen“, so der Sprecher. Die Bundesdruckerei unterscheidet dabei drei Gruppen: Drittanbieter – insbesondere Fintechs -, Banken und IT-Dienstleister. Letztere würden später kein Echtzertifikat kaufen, da sie beispielsweise für die Programmierung der Schnittstellen zuständig sind. Testzertifikate erhalten auch Unternehmen, die nicht von der Bafin reguliert sind. Zugleich stellt die BDR fest: Mehr Banken als erwartet erwägen offenbar, PSD2 aktiv zu nutzen – beispielsweise indem sie Multibanking-Tools anbieten – also ihren Kunden einen Überblick über Konten bei anderen Banken ermöglichen.

Das Münchener Start-up Fintecsystems hat nach Aussage von Geschäftsführer Stefan Krautkrämer schon erste Schnittstellen erprobt. „Als europaweit tätiges Unternehmen werden wir in den kommenden Monaten eine Vielzahl von Banken testen“, sagt er. „Dabei sind natürlich zuerst die kundenstärksten Institute in den Ländern an der Reihe, in denen wir tätig sind.“ Eine Schwierigkeit bestehe darin, dass es kein EU-weites Schnittstellen-Verzeichnis oder Ähnliches gebe. Es sei daher nach wie vor unklar, welche Bank welche Schnittstellen anbietet. In Deutschland nutzt die Mehrheit der Institute den Standard der Berlin Group – einem Zusammenschluss großer Banken und Zahlungsdienstleister aus zehn verschiedenen EU-Ländern. In den Details kann es zwischen den Häusern aber Unterschiede habe.

Auch FinAPI, das seit vergangenem Jahr zur Schufa gehört, hat bereits mit den Tests begonnen. „Viele Banken kommen auf uns zu, um ihre Schnittstellen frühzeitig testen zu lassen“, sagt Florian Haagen, Geschäftsführer von FinAPI. Aus Sicht von Drittanbietern könne ein frühzeitiger Test aber auch nachteilig sein: „Einige Banken-APIs sind noch nicht ausgereift und es besteht das Risiko von Doppelarbeit.“ Insgesamt seien die Tests aber für beide Seiten hilfreich: „Wir haben schließlich auch ein großes Interesse daran, dass der Datenaustausch reibungslos funktioniert“, sagt Haagen.