Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Die Umstellung auf neue Datenschnittstellen zum Bankkonto zieht sich, doch den langen Streit zwischen Banken und Drittanbietern hat die Bafin beigelegt.
Banking-Apps auf dem Smartphone
Über neue Schnittstellen können Drittanbieter – Banken wie Finanz-Start-ups – im Auftrag von Kunden auf deren Kontodaten zugreifen.
Bild: imago/photothek
Frankfurt Dieses IT-Projekt gleicht einer unendlichen Geschichte: Vor gut einem Jahr haben die ersten deutschen Banken mit den Tests ihrer neuen Kontoschnittstellen begonnen. Vor drei Monaten war die erste so weit entwickelt, dass die Finanzaufsicht Bafin sie für die sogenannte Marktbewährungsphase zugelassen hat. An diesem Wochenende endet diese Probephase – doch mit einer schnellen Entscheidung der Aufseher ist nicht zu rechnen. Und wenn sie kommt, kann es eine Übergangsfrist von weiteren drei Monaten geben.
Marktteilnehmer begrüßen die Möglichkeit einer Übergangsfrist, denn eine abrupte Umstellung könnte zu technischen Problemen führen. Über die Schnittstellen greifen – auf Wunsch der Kunden – sogenannte Drittdienstleister und andere Banken auf die Konten zu. Sie bieten damit beispielsweise Multibanking-Apps an, analysieren im Vorfeld einer Kreditvergabe die Bonität der Kunden oder führen Zahlungsaufträge auf den Konten aus.
Der Grund für die neuen Kontoschnittstellen liegt in der PSD2 – der zweiten europäischen Zahlungsdiensterichtlinie. Das ist jene Richtlinie, deretwegen bei vielen Banken seit vergangenem Herbst auch der Zugriff aufs Online-Banking komplizierter geworden ist. Sie schreibt vor, dass Banken Drittanbietern den Zugriff auf Bankkonten gewähren müssen. In der Vergangenheit lief das bereits über die Datenschnittstellen HBCI/FinTS und das Webscraping, bei dem die Dienstleister sich quasi ins Online-Banking der Kunden einloggen. Doch das galt als zu unsicher.
Die meisten Geldhäuser haben nun spezielle PSD2-Datenschnittstellen (API) entwickelt. Die Möglichkeit, bisherige Schnittstellen an die neuen rechtlichen Vorgaben anzupassen, fand keinen Anklang. Für die neuen API der Sparkassen-Finanzgruppe – inklusive NordLB und LBBW – endet am Wochenende die dreimonatige Marktbewährungsphase. Würde die Bafin die Schnittstellen nun für gut befinden, müssten die Geldhäuser den Zugriff von Drittanbietern über andere Schnittstellen – die als sogenannter Notfallmechanismus bezeichnet werden – eigentlich nicht mehr ermöglichen.
Aus Kreisen der Bafin ist jedoch zu hören, dass die Behörde zunächst die Ergebnisse der Marktbewährungsphase auswerten wird und deshalb kurzfristig keine Entscheidung fällt. Hinzu kommt: Kürzlich haben die Aufseher die Banken und Drittdienstleister bereits darüber informiert, wie es nach erteilter Ausnahme von der Bereitstellung eines Notfallmechanismus weitergeht.
In dem Schreiben, das dem Handelsblatt vorliegt, heißt es, dass die Bafin es für einen Zeitraum von drei Monaten ab Erteilung der Ausnahme nicht beanstanden will, wenn Drittanbieter weiterhin über bisher genutzte Zugangswege auf die Konten zugreifen. Allerdings: Die Entscheidung, dies zuzulassen, liegt bei den Banken, und Drittanbieter müssen der Bafin den alternativen Zugriff melden.
Beim Sparkassenverband (DSGV) heißt es dazu: „Die Finanzgruppe prüft derzeit das weitere Vorgehen und die Möglichkeiten des schrittweisen Umstiegs auf die neue PSD2-Schnittstelle. Hierfür befinden wir uns auch in einem konstruktiven Dialog mit Drittdiensten.“
Von Drittanbietern wiederum wird eine solche Möglichkeit unterstützt. „Eine Umstellung von heute auf morgen wäre nicht möglich, wir brauchen etwas Zeit, um den Kontozugriff für unsere Kunden nach und nach umzustellen“, sagt Caroline Jenke, Chefjuristin des Drittanbieters Fintecsystems.
Wie auch FinAPI und Finleap Connect bietet Fintecsystems den Kontozugriff als Dienstleistung zum Beispiel für Anbieter von Finanz-Apps und Buchhaltungs-Software oder auch Banken an. Voll nutzbar ist etwa die Sparkassen-API aus Sicht von Jenke aktuell noch nicht, so werde der auf dem Konto verfügbare Betrag nicht übermittelt. Daran, bestätigen die Sparkassen, werde jedoch gearbeitet, denn laut Bafin müssen diese Daten im Laufe des Jahres 2020 bereitgestellt werden. Von der Erteilung einer Ausnahmegenehmigung vom Notfallmechanismus soll dies aber unabhängig sein.
Auch zu einem anderen Punkt, über den Banken und Drittanbieter lange gestritten hatten, gibt es inzwischen eine Vorgabe der Bafin: Banken müssen über die Schnittstellen auch die Namen der Kontoinhaber preisgeben. „Das gilt allerdings nur, wenn man als Kontoinformationsdienst auf das Konto zugreift, nicht aber, wenn man eine Zahlung auslösen will“, sagt Jenke. Im Zweifel müssten die Dienstleister also zwei Mal auf das Konto zugreifen – und der Kunde muss dies gegebenenfalls zwei Mal bestätigen.
Eine weitere Neuerung, über die sich insbesondere Anbieter von Buchhaltungs-Software für Unternehmen freuen: Wenn die bisher genutzten Schnittstellen sogenannte Funktionalitäten bieten, die es bei den PSD2-Schnittstellen nicht gibt, dürfen regulierte Drittanbieter weiterhin über bestehende Schnittstellen auf die Konten zugreifen. Gemeint sind damit insbesondere Sammelüberweisungen, die über die HBCI/FinTS-Schnittstelle ermöglicht werden. Die Entscheidung, diesen Zugriff zu ermöglichen, liegt auch hier bei der Bank.
Verglichen mit den Diskrepanzen, die Drittanbieter noch im vergangenen Herbst angeführt hatten, scheinen die verbleibenden Hürden überwindbar. Bis alle Kontozugriffe nur noch über die besonderen PSD2-API laufen, wird es aber noch eine Weile dauern. Nach den Sparkassen waren im Januar noch die Schnittstellen der Weberbank und Ebase in die Marktbewährungsphase eingetreten. Im Februar folgten die Volks- und Raiffeisenbanken, und die Norisbank. Die Deutsche Bank ergänzte die Runde im März, die Postbank an diesem Freitag.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×