Open Banking

Die Kunst der Open Banking-Regulierung

Schilder für Lotsen und Regulierung
Bild: Miteman | Getty Images

Gastautor Hakan Eroglu beleuchtet die Open Banking-Regulierungen verschiedener Nationen, wirft einen Blick auf Hintergrund und Motive und benennt die Stellschrauben, die Aufsichtsbehörden zur Verfügung stehen.

Mit der Open Banking-Regulierung in Grossbritannien und PSD2 in der Europäischen Union wurden in Europa erste wichtige Rahmenbedingungen für Open Banking geschaffen.

In der Vorreiterrolle hat die EU die PSD2 eingeführt, um den Wettbewerb im Zahlungsverkehrssektor zu stärken, der zurzeit von wenigen grossen Zahlungsverkehrsdienstleistern und Kreditkartenanbietern dominiert wird. Unter Berücksichtigung der Entwicklungen in Europa versuchen Länder in anderen Regionen Open Banking als Massnahme zu nutzen, um ihre Ziele auf dem Markt zu erreichen. Hierbei geht es nicht um Öffnung als Selbstzweck, sondern meistens zur Korrektur von Fehlentwicklungen auf dem Markt aus Sicht der Regulatoren.

Die wichtigsten Open Banking-Regulierungen

Zu den bekanntesten Regulierungen weltweit gehören:

  • PSD2 in der Europäischen Union
    Geeignete APIs für die Abfrage von Kontoinformationen und Umsätzen, zur Zahlungsinitiierung sowie zur Abfrage von Verfügbarkeiten auf dem Konto müssen ab September 2019 bereitgestellt werden.
  • CMA Open Banking in Grossbritannien
    APIs für die Lokalisierung von Geldautomaten sowie für die Abfrage von Produktinformationen sind bereits seit 2017 verfügbar. Die Abfrage von Kontoinformationen sowie die Zahlungsinitiierung sind seit 2018 vorhanden.
  • HKMA Open API in Hong Kong
    Stufenweise Einführung von APIs. Zunächst wird die Abfrage von Produktinformationen bis Ende 2018 umgesetzt. Die Möglichkeit zum Abschluss von Bankprodukten über APIs erfolgt bis 2019. Kontoinformationen und Transaktionsinitiierung werden im Anschluss zu einem späteren Zeitpunkt umgesetzt.
  • Australia Treasury Department
    APIs für Kontoinformationen und Kundendaten sollen ab Juli 2019 zur Verfügung gestellt werden.
  • Andere Länder im asiatisch-pazifischen Raum (zum Beispiel Japan, Malaysia), in Nordamerika (zum Beispiel USA, Kanada) und in Lateinamerika (zum Beispiel Brasilien, Mexiko) prüfen derzeit ihre Handlungsoptionen für Open Banking-Regulierungen.

Motive und Ziele für Open Banking-Regulierungen

Die Aufsichtsbehörden der einzelnen Länder verfolgen unterschiedliche Motive, Open Banking-Regulierungen in ihren jeweiligen Märkten voranzutreiben. Im Allgemeinen umfassen diese:

  • Wettbewerb stärken und Kosten senken
    Die Möglichkeit, Produkte besser vergleichen zu können, soll die Preistransparenz erhöhen und den Eintritt neuer Wettbewerber fördern (entsprechend den HKMA Open API Richtlinien und CMA UK Open Banking). Dadurch könnten Kosten und Gebühren für Kredite und Kreditkarten für Verbraucher reduziert werden. 
  • Innovation fördern
    Innovation ist ein Wettbewerbsvorteil für lokale Märkte und hilft diesen, sich im Wettbewerb mit führenden Regionen für FinTech-Innovation zu behaupten (Singapur und HKMA Open API).
  • Verbraucherrechte stärken
    Verbraucher sind Eigentümer der Finanzdaten, die über sie bei und von Banken gespeichert werden. Sie haben das Recht, ihre Daten mit Drittanbietern (TPPs) zu teilen, um bessere Dienstleistungen zu erhalten (zum Beispiel in Australien).

In einigen Ländern sind die Vorschriften moderat ausgelegt und begünstigen den Bankensektor, während andere Regulierungen aggressiver den Wettbewerb stärken. Dies könnte bestehende Geschäftsmodelle und Einnahmequellen der Banken nachhaltig gefährden.

Die Stellschrauben der Aufsichtsbehörden

Um die oben formulierten Ziele zu erreichen, verfügen Aufsichtsbehörden über zahlreiche Stellschrauben – diese umfassen:

Zielgruppe: Wer wird reguliert?
Üblicherweise werden Banken dazu verpflichtet, ihre Systeme für Dritte zu öffnen. In einigen Ländern unterliegen sämtliche Banken dieser Vorschrift (zum Beispiel PSD2), während die Aufsichtsbehörden anderer Länder nur ein spezifisches Segment von Banken dazu verpflichten, zum Beispiel Tier-1-Privatbanken (CMA UK Open Banking, HKMA Open API).

Produktabdeckung: Welche Produkte sollen von der Regulierung betroffen sein?
Regularien können nur eine Produktart betreffen, zum Beispiel Zahlungskonten (CMA UK Open Banking, PSD2) oder Kundeninformationen aus dem Credit Scoring (Australien). Regularien können auch eine Vielzahl von Produkten umfassen, wie Kreditkarten, Hypotheken, Kredite und Aktien (HKMA Open API). Je mehr Produkte betroffen sind, desto eher müssen Banken Strategien definieren, die ihr bestehendes Geschäft sichern. Alternativ können sie selbst die Rolle des Pioniers einnehmen, indem sie den Markt mit eigenen Innovationen verändern.

Anwendungsfälle und Zugriffsarten: Welche Anwendungsfälle und Zugriffsarten ermöglichen die regulierten Produkte?
Einige Anwendungsfälle zielen nur auf das Lesen von Informationen ab und ermöglichen den Zugriff auf Produkt- und Transaktionsinformationen (HKMA Open API, CMA Open Banking). Andere Anwendungen zielen hauptsächlich auf Kundeninformationen aus dem Credit Scoring ab (Australien). Banken könnten ihre Rolle als vertrauter Partner gegenüber dem Kunden verlieren. Dies ist vor allem in jenen Märkten der Fall, in denen Banken verpflichtet sind, Dritten die Initiierung von Transaktionen zu ermöglichen – beispielsweise eine Zahlung auf einem Girokonto (PSD2, CMA Open Banking UK), die Möglichkeit über ein TPP eine neue Kreditkarte abzuschliessen oder Aktien zu kaufen (HKMA Open API).

Kosten der Nutzung: Welche Kosten entstehen den TPPs, die APIs der Banken zu nutzen?
Viele Aufsichtsbehörden verpflichten Banken dazu, TPPs kostenfreien Zugang zu den APIs der Banken zu gewähren (PSD2, CMA Open Banking UK und Australien). In solchen Fällen müssen Banken neue Wege finden, ihre Open Banking-Dienste zu monetarisieren. Eine Option hierfür stellt das Angebot von mehrwertstiftenden Dienstleistungen gegen eine Gebühr dar, die über die Services hinausgehen, die vom Regulator vorgeschriebenen werden. Die HKMA zum Beispiel hat keine Vorgaben zur Preisgestaltung von APIs definiert. Das bietet Banken die Möglichkeit, neue Geschäftsmodelle zu entwickeln.

Zugangsvoraussetzungen: Wer hat Zugriff auf die APIs?
PSD2 und CMA Open Banking UK verpflichten TPPs lediglich zur einmaligen Registrierung bei der jeweiligen Aufsichtsbehörde, mit der sie ohne weitere vertragliche Vereinbarungen oder bankspezifische Registrierungsprozesse Zugang zu den APIs der Banken erhalten müssen. Im Gegensatz dazu belässt HKMA Open API die Hoheit und damit die Entscheidung zunächst bei den Banken, mit welchen TPPs sie zusammenarbeiten wollen und stärkt so vorerst ihre Rolle als Gatekeeper der Kundenbeziehung und Kundendaten.

Grad der Marktbeteiligung: Wer ist an der Ausgestaltung der Regulierung beteiligt?
Oftmals erfolgt die Marktbeteiligung im Rahmen von Arbeitsgruppen mit Industrievertretern, um Einschätzungen aus dem Markt zu erlangen (PSD2), teilweise geschieht dies auch unter Einbezug von FinTechs (CMA Open Banking UK). Die HKMA hat Banken von Beginn an intensiv in die Definition der Vorschriften miteinbezogen, um bankenfreundliche Regelungen zu definieren, welche die Bedürfnisse und Ziele der Banken berücksichtigen.

API-Standards und Infrastruktur: Wer gestaltet die API- und Sicherheitsstandards und stellt die zentrale Infrastruktur für den Markt bereit?
Diese Frage ist entscheidend für den Erfolg eines jeden Open Banking-Ökosystems. In der Regel überlassen es Aufsichtsbehörden dem Markt, API-Standards für verschiedene Anwendungsfälle sowie die zentrale Infrastruktur zu entwickeln. EU-Aufsichtsbehörden fordern Banken mit der PSD2 dazu auf, in der Industrie anerkannte internationale Standards zu verwenden. Doch was genau bedeutet das?

Eine Mehrzahl von Standardisierungs-Initiativen wie die NextGenPSD2 der Berlin Group-Arbeitsgruppe und die ERPB's API Evaluation-Arbeitsgruppe zu PIS sind aktiv, jedoch sind die Vorgaben dieser Initiativen rechtlich nicht bindend. Darüber hinaus wird eine zentrale Infrastruktur, die einen Mehrwert für das Ökosystem darstellt, entweder nicht eindeutig vorgeschrieben oder entspricht nicht den Bedürfnissen der Ökosystem-Teilnehmer (wie der unzureichende EBA-Register unter PSD2). Dies könnte zu einer Fragmentierung von Standards und Registerdiensten führen.

Im Gegensatz dazu hat CMA Open Banking UK ein eigenes Unternehmen mit dem Namen Open Banking Implementation Entity (OBIE) gegründet. Dieses verantwortet einen einheitlichen API-Standard, eine zentrale Infrastruktur und die Governance.

Insgesamt lassen sich zwei Ausprägungen in den verschiedenen Ländern erkennen. Entweder mandatiert die Aufsichtsbehörde zentrale Initiativen, die in ausgewählten Arbeitsgruppen Standards und Vorgaben zur Infrastruktur definieren. Oder die Aufsichtsbehörden überlassen es dem Markt, eine praktikable Lösung für alle Interessengruppen zu finden.

Während beide Ansätze ihre Vorzüge haben, kann es für die Aufsichtsbehörden von Vorteil sein, die Koordination von ausgewählten Arbeitsgruppen zu übernehmen, um die Definition von kritischen Aspekten des Ökosystems aktiv steuern zu können. Zusätzlich erlangen Banken mit diesem Ansatz rechtliche Verfahrenssicherheit und können in der Folge ihre Kosten für Konzeption und Implementierung reduzieren.

Im Fokus

Während sich aktuell verschiedenste Open Banking-Initiativen weltweit in der Umsetzung befinden, beobachten Aufsichtsbehörden die Entwicklungen genau, um von Best Practices zu profitieren und Vorschriften zu definieren, die ihre individuellen Ziele unterstützen. Jedoch könnte zu viel Regulierung die Einnahmequellen der Banken unter Druck setzen und ihre finanzielle Stabilität gefährden. Das liegt nicht im Interesse des Regulators.

Die Kunst der Open Banking-Regulierung besteht darin, das richtige Gleichgewicht zwischen Regulierung und Marktdynamik zu finden. Nichtsdestotrotz sollten sich Banken sowohl in regulierten als auch in nicht regulierten Märkten jetzt zusammenschliessen und gemeinsame Vorgaben entwickeln, anstatt in der Folge durch die Aufsichtsbehörden reguliert zu werden. Mit diesem Vorgehen können Banken sicherstellen, dass sie eine aktive und entscheidende Rolle in der unabwendbaren Öffnung des Bankwesens spielen.

In der Schweiz sind Marktinitiativen in vollem Gange – mit der SIX Corporate API oder der Common API der SFTI – allerdings sollte hier darauf geachtet werden, dass das Ökosystem interoperabel und offen ist und zahlreiche Marktsegmente und Anwendungsfälle mit einbezieht.

Der Autor: Hakan Eroglu

Hakan Eroglu ist Experte für Zahlungsverkehr, PSD2/Open Banking und Digitale Ökosysteme bei Mastercard und leitet Open Banking global bei Mastercard Advisors. Er verfügt über langjährige Projekterfahrung insbesondere in den Bereichen Open Banking-Strategie, im Aufbau von API-Geschäftsmodellen sowie Mobil- und Internet-Bezahlverfahren in Europa, Lateinamerika und Asien. 

Hakan ist Mitglied des Berlin Group NextGenPSD2 Advisory Board, der Schweizerischen Kommission für Standardisierungen im Finanzbereich (SKSF), Open Banking Working Group der Euro Banking Association (EBA) und Autor von Positionspapieren, Artikeln sowie Vernehmlassungen und Konsultationen zu den Themen PSD2, Open Banking und FinTechs.