0. Header (2)

PSD2 in der Marktbewährungsphase: Wie viel Nachholbedarf haben Banken bei der Umsetzung?

17. July 2019 / in Trends

Seit dem 14. März 2019 gilt in der europäischen Bankenwelt eine neue Zeitrechnung. Es ist der Stichtag, seitdem die neuen, nach PSD2-Anforderungen entwickelten Datenschnittstellen der Finanzinstitute auf dem Prüfstand stehen. In der Testphase und der anschließenden Marktbewährungsphase geht’s um die Frage: Wie kommen europäische Banken beim API-Banking voran?

Nochmal zur Erinnerung: API-Banking nach PSD2 stellt den Endkunden in den Mittelpunkt und soll durch eine Öffnung der Bankenwelt Wettbewerb und Innovation fördern. Wenn Kontoinhaber sich wünschen, dass Drittanbieter Kontodaten auslesen oder Zahlungen auslösen, stehen Banken in der Pflicht: sie sollenmüssen die technischen Möglichkeiten in Form von APIs zur Verfügung stellen.

In diesem Blogbeitrag berichten wir aus erster Hand von unseren Erfahrungen aus der PSD2-Testphase und der laufenden Marktbewährungsphase. Wir werfen einen Blick auf aktuelle Entwicklungen und wagen eine Prognose, mit welchen Herausforderungen Bankkunden auch nach der avisierten Markteinführung der Banken-Schnittstellen am 14. September 2019 rechnen müssen.

Für PSD2-Kenner und solche, die es werden wollen: Verpassen Sie nicht unser brandaktuelles PSD2-Whitepaper, das in Kürze erscheint! Melden Sie sich hier für unseren Newsletter an und lassen Sie sich ganz bequem von uns per E-Mail informieren.

PSD2-Testphase mit einigen Stolpersteinen gepflastert

In der sechsmonatigen Testphase, die – wie eingangs erwähnt – bereits am 14. März 2019 begann, wurden die neuen Datenschnittstellen der Banken auf ihre Praxistauglichkeit überprüft. In abgeschlossenen Testumgebungen – sogenannten Sandboxes – sollten Kontoinformationsdienste und Zahlungsauslösedienste wie wir die Gelegenheit bekommen, die APIs der Banken auf Basis von Testdaten zu validieren.

Das Problem beginnt mit dem Sandbox-Verfahren an sich: Wie der Begriff schon andeutet, finden Sandbox-Tests nicht unter realen Bedingungen statt. Verläuft ein Test erfolgreich, ist dies noch kein zu 100 Prozent verlässlicher Indikator für die tatsächliche Praxistauglichkeit einer Anwendung – ein Aspekt, der bei den hochsensiblen Systemen des Banking-Sektors durchaus heikel ist. Erschwerend hinzu kam, dass viele Sandboxes während der Testphase zeitweise schwer oder gar nicht für Drittanbieter erreichbar waren.

Testphase für PSD2 unter suboptimalen Bedingungen: Sandboxes schwer erreichbar, Testdatensätze nicht realitätsnah. Jetzt kommt’s auf die Marktbewährungsphase an!

Neben der Verfahrensfrage ist allerdings noch ein zweiter Aspekt relevant: Um die Qualität einer PSD2-Schnittstelle zu überprüfen, werden Transaktionsdaten aus Online-Konten in großem Umfang benötigt. Nur mit kompletten Datensätzen lassen sich beispielsweise aussagekräftige Haushaltsrechnungen als Grundlage für eine Sofortkreditzusage erstellen. API-Banking und XS2A sind komplexe Vorgänge, bei denen große Mengen an Daten verarbeitet werden – und Testdaten, deren Umfang deutlich geringer ist, werden dieser Komplexität bei weitem nicht gerecht.

Infografik PSD2 Ablauf

Marktbewährungsphase für PSD2: Jetzt oder nie?

Nach der nicht optimal verlaufenen Testphase fiel am 14. Juni 2019 der Startschuss für die PSD2-Marktbewährungsphase. In diesem Dreimonatszeitraum haben Banken die letzte Gelegenheit, ihre PSD2-Compliance auf Herz und Nieren zu überprüfen und die Schnittstellen einem Stresstest zu unterziehen. Die neuen Banking-APIs werden in dieser Phase mit Echtdaten validiert und in breitem Umfang im Hinblick auf den offiziellen PSD2-Starttermin am 14. September 2019 genutzt.

Finanzinstitute, die sich den Anforderungen gewachsen sehen, können bis dahin einen Ausnahmeantrag bei bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stellen und auf Notfall-Mechanismen verzichten. Dazu müssen Banken nachweisen, dass ihre Schnittstellen voll funktionsfähig sind – und genau hier beißt sich die Katze in den Schwanz: Auf der einen Seite stellen viele Banken die Situation so dar, als sei die vorherige Testphase erfolgreich abgeschlossen. Auf der anderen Seite haben viele FinTech-Startups und Drittanbieter bislang noch gar nicht die Möglichkeit gehabt, die Praxistauglichkeit der Datenschnittstellen ausgiebig zu testen; denn diese sind in großen Teilen längst nicht fertig entwickelt – und dies betrifft nicht nur vereinzelte Banken, wie zuletzt auch das Handelsblatt ausführlich berichtete.

Zwar bekundete unter anderem die Deutsche Kreditwirtschaft, dass die Schnittstellen für Drittanbietern den regulatorischen Vorgaben entsprechen. Doch neue Anbieter, die in ihrem Geschäftsmodell auf den Kontozugang per API angewiesen sind, sehen das anders. Beispielsweise soll nach der Vorstellung vieler Banken ein Kontoinhaber, der einen Online-Kreditantrag bei einem Drittanbieter stellt, zur Eingabe seiner Login-Informationen auf eine Webseite seiner kontoführenden Bank umgeleitet werden. Dabei wäre dank API-Banking ein reibungsloser Prozess, bei dem ein Kontoinhaber den gesamten Prozess ohne Brüche auf der Seite des Anbieter durchführt, längst möglich.

Beispiel Konto-Login: Kundenerlebnis sollte im Mittelpunkt stehen

Unsere eigenen Tests haben gezeigt, dass bei vielen dieser Vorgänge der Kontoinhaber nach der Umleitung zur Bank nicht wieder in die eigentliche Session zurückgeleitet wird – und damit der gesamte Vorgang abgebrochen wird. Aus Sicht des Kunden ist dies eine ärgerliche Situation und eine Bevormundung durch die Bank noch dazu. Denn der Konto-Login auf Drittanbieter-Webseiten ist per PSD2 legitimiert, insofern der Kunde dies wünscht. Die entsprechenden Anbieter stehen unter BaFin-Aufsicht und werden in puncto Datensicherheit nach den gleichen Maßstäben beaufsichtigt wie die Banken selbst.

Eine Grundidee von PSD2: Kunden gewinnen die Hoheit über ihre Daten und entscheiden frei über deren Verwendung.

Als mündigen Bürgern sollten Finanzinstitute Entscheidungen wie diese ihren Kunden überlassen – was übrigens einer der Grundpfeiler der PSD2 ist: Kunden sollen wieder die Hoheit über ihre Daten gewinnen und über deren Verwendung frei entscheiden dürfen. Unsere eigenen Erfahrungen aus der Testphase und der Marktbewährungsphase zeigen: Kaum eine Bank isttechnisch und mental so weit, wie sie zu diesem Zeitpunkt sein sollte.

Was also, wenn die PSD2-Schnittstellen zum 14. September noch nicht soweit sind?

Ganz einfach: Wir geben uns allen am Markt und insbesondere den Banken mehr Zeit, die Schnittstellen fertigzustellen, um Kunden innovative Lösungen zu ermöglichen. Dazu sollten jedoch im ersten Schritt die Schnittstellen ab dem 14. September 2019 nicht verpflichtend werden.

Die Fallback-Lösung zu den dedizierten Schnittstellen findet sich in der zweiten Alternative in Art. 31 der RTS (Regulatory Technical Standards) der EBA (European Banking Authority): der direkte und authentifizierte Zugang über die bestehenden Kontoinhaber-Schnittstellen. So lassen sich die Schnittstellen der Banken auf die Bedürfnisse der Kunden anpassen, bis diese schließlich den benötigten Reifegrad erreichen und Zahlungsauslöse- und Kontoinformationsdienste uneingeschränkt unterstützen.

Als weiteren Schritt könnten Drittanbieter (TPP) – wie in den RTS vorgesehen – in breitem Umfang die Schnittstellen testen. Das Ergebnis wären PSD2-Schnittstellen, die Kunden die Nutzung ihrer Konten für Mehrwertdienste ermöglichen.

 

Schlagworte: Trends

Das könnte Dich auch interessieren

    Neuste Beiträge

    Bekannt aus

    Bankmagazin FinTecSystems

    BankingClub FinTecSystems

    Handelsblatt FinTecSystems

    BetweenTheTowers_Frankfurt FinTecSystems

    IT Finanzmagazin FinTecSystems

    Gruenderszene FinTecSystems