Das Ziel: Mit den nun festgelegten technischen Standards wird geregelt, wie in Zukunft Kontozugriff, Datenaustausch und Zahlungsverkehr sicher funktionieren sollen, wenn neu Banken, Drittanbieter (AISPs und PISPs) und Kunden zu den involvierten Parteien gehören. Die europäische Zahlungsdienste-Richtlinie PSD2 definiert die Vorgaben und legt damit das Fundament zum regulierten Open Banking in ganz Europa.
Der Weg der PSD2
Die PSD2 ist vom Europäischen Parlament im November 2015 auf den Weg gebracht worden. Die EBA (European Banking Authority) hatte und hat den Auftrag, in enger Zusammenarbeit mit der EZB (Europäische Zentralbank) die technischen Regulierungsstandards, Leitlinien für Sicherheit, Rechtsfragen und Haftung sowie Anforderungen und Zulassung für Drittparteien auszuarbeiten.
Die technischen Standards (RTS) hat die EBA als Entwurf und Konsultationspapier am 12. August 2016 vorgelegt. Diese technischen Spezifikationen sind in mehrstufigen Konsultations- und Workshop-Prozessen überarbeitet worden. EBA hat in Zusammenarbeit mit der EBZ rund 300 Themen und Klärungsfragen identifiziert. Anregungen und Einwände der involvierten Parteien (Banken, Institutionen, Drittanbieter) sind geprüft worden und teilweise in den überarbeiteten Entwurf mit eingeflossen.
Der finale Entwurf ist am 23. Februar 2017 veröffentlicht worden. Details zum aktuellen Papier und und zur PDS2 finden Sie in unserer nachgeführten Zusammenfassung der zentralen Daten und Fakten.
Die Anpassungen im finalen Entwurf
Die Änderungen im finalen Papier betreffen vor allem die folgenden Punkte:
Schnittstelle
Zugang zum Konto des Bankkunden nur über eine klar definierte technische Schnittstelle der kontoführenden Bank (neu ohne Screen-Scraping).
Starke Authentifizierung
Zwei-Faktor-Authentifizierung bei Kartenzahlungen und elektronischen Überweisungen ist erst ab einer Summe von 30 Euro (bisher 10 Euro) zwingend vorgeschrieben.
Automatische Synchronisierung
Daten zwischen Bank und Drittanbieter werden neu vier Mal innerhalb von 24 Stunden automatisch aktualisiert (bisher zwei Mal). Andere Regelungen in Absprache zwischen Bank und Drittanbieter bleiben möglich und sind neu erlaubt.
Die konkreten Änderungen sind im finalen Report beschrieben und enthalten.
Wie geht es weiter?
Ohne begründete neue Einwände und Interventionen innerhalb eine Woche nach der Publikation, geht der finale Entwurf in die Räte. Die technischen Standards (RTS) werden der Europäischen Kommission zur Annahme vorgelegt, vom Europäischen Parlament und vom Rat geprüft und danach im Amtsblatt der Europäischen Union publiziert.
Im Anschluss daran steht Banken, Finanzdienstleistern und Drittanbietern ein Zeitraum von 18 Monaten zur Verfügung, um Lösungen, APIs und Prozesse zu entwickeln, welche den Vorgaben der Regulierung PSD2 entsprechen. Nach dieser Periode greifen die neuen Regeln und Open Banking wird von der freiwilligen Praxis zur vorgeschriebenen und praktizierten Realität in ganz Europa. Nach aktueller Roadmap soll das im 4. Quartal 2018, frühestens im November 2018, der Fall sein.
Oft diskutiert: PSD2 - Fluch oder Segen?
Weder das eine noch das andere, einfach eine logische und fällige Entwicklung. Logisch deshalb, weil das Zusammenwirken von Banken, FinTechs und Startups ohne verbindliche Leitplanken nicht auskommt. Fällig deshalb, weil Open Banking heute schon Realität ist, bisher auf noch überschaubarer Flamme, vorangetrieben von innovativen Exponenten auf der Seite von Banken und auf der Seite von FinTechs. Nun wird die Flamme einfach sehr viel grösser und belegt ab 2018 riesige Spielfelder, nämlich ganz Europa.
Wichtig deshalb zur Einordnung: PSD2 ist "nur" eine Regulierung. Als verordnete Regulierung sicher ein Katalysator für die Entwicklung in Richtung Open Banking. Nur: Diese Entwicklung und deren Resultate wären auch ohne den Druck der EU-Räte und ohne PSD2 unterwegs und durchs Ziel gegangen. Weil der Druck vom Markt her kommt. Von Kunden und von Konsumenten, welche als aktiver Teil der Digitalisierung Verhalten, Wünsche und Gewohnheiten ändern. Sehr viel schneller als auch schon. Kunden ziehen Vergleiche und werden insofern anspruchsvoller, als bisheriger Standard oftmals nicht mehr genügt.
Diese Zielgruppen verleihen ihren Wünschen und Anforderungen vermehrt auch Ausdruck. Durch die aktive Nutzung sinnvoller Leistungen und durch die aktive Nicht-Nutzung von Services, welche ihnen gewünschte Funktionen nicht anbieten und vorenthalten. Deshalb stellt sich die Frage nach Fluch oder Segen gar nicht, vielmehr nach zweifellos neuen Möglichkeiten und enormen Potenzialen, welche das hochinteressante Feld des Open Banking für alle aktiven Mitspieler zu bieten hat.
Der finale Report zur PSD2 vom 23. Februar 2017
Der finale Report mit dem etwas sperrigen Titel "Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)" kann hier direkt runtergeladen werden:
Regulatory Technical Standards: Download finaler Entwurf vom 23. Februar 2017
Stichworte zum Thema im Lexikon: PSD2 | XS2A | AISP | PISP | Open Banking | API Banking