Banken öffnen ihre Datenschnittstellen für Drittanbieter

„Können die jetzt einfach so an mein Konto?“. Die alte Dame am Schalter des Frankfurter Instituts war sichtlich verunsichert.

Die Unsicherheit der Kundin ist durchaus verständlich, wenn auch unbegründet. Wer manche Berichte über das Thema APIs im Umfeld von PSD2 liest, könnte tatsächlich den Eindruck gewinnen, nun seien dem unkontrollierten Zugriff aufs eigene Konto Tür und Tor geöffnet. Um was geht es beim Thema API eigentlich? Wir klären auf.

PSD1 und PSD2 sind EU-Richtlinien, die unter anderem die Grundlage für den europäischen Zahlungsraum (SEPA) mit IBAN und BIC bilden. PSD1 erweiterte die Regulierung und schuf mit der Kategorie der sogenannten Zahlungsinstitute den Rahmen für Organisationen, die finanzielle Transaktionen vornehmen, aber keine Kreditinstitute sind.

Mit PSD2 werden diese Ziele erweitert, indem auch Fintechs in die Regulierung eingebunden werden. So können in Zukunft viele Innovationen, neue Dienstleistungen und Serviceangebote realisiert werden. Um dies zu ermöglichen, ist es nötig, einen Standard zu schaffen, der den externen Zugriff auf Kontoinformationen für Banken, Fintechs, Verbraucher und Unternehmen ermöglicht. Dieser Zugriff erfolgt über sogenannte APIs, also Schnittstellen zur Programmierung von Anwendungen.

Mit Hilfe dieser Schnittstelle lassen sich dann kundenfreundliche Angebote entwickeln, die die Conversion, also beispielsweise einen Kauf, einen Download oder das Absenden einer Anmeldung für einen Newsletter, verbessern.

Der Kunde kann, wenn er das möchte, Online-Händlern blitzschnell den Zugang zu den eigenen Bankdaten ermöglichen, im E-Commerce, wo Schnelligkeit zählt, ein großer Vorteil. Optional lässt sich so auch die Solvenz des Kunden validieren – unter anderem, um das Betrugsrisiko beim Rechnungskauf zu minimieren.

Weiterhin lassen sich Abbruchraten verringern und höhere Käuferreichweiten erzielen. Bei Online-Angeboten, bei dem eine Altersprüfung notwendig ist – wie beispielsweise beim Kauf von Spirituosen oder E-Zigaretten oder bei Angeboten für Erwachsene – kann das Alter von Käufern auf Knopfdruck überprüft werden.

Ein weiteres Anwendungsbeispiel ist der digitale Gehaltsnachweis, der unter anderem für Immobilienplattformen sehr interessant ist. Und auf der Basis von Kontoumsatzdaten lassen sich Angebote individuell an die persönlichen Bedürfnisse anpassen.

Wie sicher ist nun diese Technologie? Grundsätzlich kann der Zugriff auf das eigene Konto nur erfolgen, wenn der Kontoinhaber dies erlaubt. Dabei definiert der Kunde bei der Rechtevergabe im Detail, auf welche Daten ein Unternehmen zugreifen darf. Der Kunde behält also stets die Datenhoheit.

Wie geht es weiter? Aktuell läuft bei den Instituten der durch PSD2 vorgeschriebene Testbetrieb. Dabei müssen viele Institute sowohl IT-Systeme als auch Prozesse an die neuen Erfordernisse anpassen. Bis zum 14. September 2019 müssen dann die Anforderungen umgesetzt sein, das heißt: Die Regulatory Technical Standards (RTS) der europäischen Bankenaufsicht (EBA) zur Strong Customer Authentication (SCA) und zur Kommunikation zwischen Banken und Drittdienstleistern unter der PSD2 müssen angewendet werden.

Und wie endet die Geschichte mit der älteren Dame? Nun, der Berater im Institut war gut informiert. Er klärte seine Kundin kompetent auf, die Dame ging sichtbar beruhigt nach Hause.