Die EU-Zahlungsdiensterichtlinie PSD2 ist bereits am 13. Januar 2018 in Kraft getreten. Aber erst jetzt ist sie in aller Munde, denn sie schafft ab dem 14. September dieses Jahres neue Spielregeln im Banking und im Zahlungsverkehr mit Auswirkungen für alle Teilnehmer: für Verbraucher, Händler, Banken sowie neue Anbieter wie Fintechs. Vor allem haben die neuen Regelungen eine hohe Sicherheit auf einheitlichem Niveau sowie mehr Wettbewerb zum Ziel.
Mit der PSD2 werden die Banken verpflichtet - sofern der Kunde zustimmt -, Informationen wie Kontoumsatzdaten preisfrei an Kontoinformationsdienste zu geben oder es Zahlungsauslösediensten zu ermöglichen, Zahlungen auf dem Girokonto des Kunden zu veranlassen. Dabei soll zugleich gewährleistet werden, dass der Zahlungsverkehr weiterhin sicher und effizient abgewickelt wird. Dies ist von besonderer Bedeutung, wenn der Zahlungsverkehr in Zukunft auch noch zunehmend in Echtzeit (Instant Payments) abläuft.
Auch mit der Öffnung des Kontozugriffs für Drittdienstleister müssen Regeln und Mindeststandards für die Absicherung der Zahlungsverkehrstransaktionen beachtet werden. Dies ist notwendig, um die gebotene Balance zwischen der Sicherheit des Zahlungsverkehrs und dem Komfort auch hier zu gewährleisten. Drittdienstleister müssen sich deshalb bei der Bankenaufsicht registrieren lassen.
Die Genossen sind startklar
Die genossenschaftliche Finanzgruppe der Volks- und Raiffeisenbanken hat im Schulterschluss mit der DZ Bank und Fiducia GAD die Anforderungen umgesetzt und ist startklar. In den Sommermonaten erhielten die Kunden die neuen, der PSD2 entsprechenden AGBs. Alle in der Organisation angebotenen Zahlverfahren werden die Vorgaben zur starken Kundenauthentifikation erfüllen.
Zugleich wurde die standardisierte und gesetzeskonforme Datenschnittstelle geschaffen, die es Drittanbietern ermöglicht, auf die Zahlungskonten der Bankkunden zuzugreifen, sofern diese ihr Einverständnis gegeben haben.
Erweiterung der Märkte
Die neuen Rollen des Zahlungsauslöse- und Kontoinformationsdienstes können langfristig große Auswirkungen auf die Geschäftsmodelle aller Akteure im Zahlungsverkehr haben. Damit kann die PSD2 im Zahlungsverkehrsmarkt langfristig ähnliche Wirkungen entfalten, wie dies bei der regulatorischen Öffnung der Telekommunikationsoder Energiemärkte erfolgt ist.
Aus Sicht des Zahlungsverkehrs ist mit der PSD2 in nationales Recht vor allem die höhere Anforderung an die Absicherung von Zahlungstransaktionen verbunden. Kurzfristig dürfte somit vor allem die Umsetzung der sogenannten starken Kundenauthentifikation Auswirkungen haben. Abhängig davon, wie diese in der Praxis umgesetzt wird, können im Vergleich zur heutigen Situation häufigere Authentifizierungen erforderlich werden, zum Beispiel beim Onlinebanking-Log-in oder etwa bei Zahlungen im E-Commerce.
Mit dem Inkrafttreten der PSD2 beginnt aber auch unter Wettbewerbsgesichtspunkten eine neue Ära. Der Markt bietet Anbietern neue Chancen für digitale kundenorientierte Dienstleistungen auch abseits des Bankgeschäfts. Nicht nur Fintechs, auch Banken können sich mit der PSD2 selbst als Drittdienstleister positionieren und damit einen Mehrwert für die Kunden generieren.
Berlin Group schafft API-Standard
Technischer Dreh- und Angelpunkt für den Kontozugang ist die Schnittstelle (API). Die PSD2 legt lediglich fest, dass Banken eine Schnittstelle zum Zugriff auf das Konto anbieten müssen, sie gibt aber nicht vor, wie sie konkret aussehen soll. Eine individuelle Festlegung einer technischen Schnittstelle durch jede Bank wäre aber weder ökonomisch vernünftig noch sachgerecht. Denn jedes Institut hätte seine Schnittstelle nicht nur gegenüber allen potenziell infrage kommenden Zahlungsauslöse- und Kontoinformationsdiensten zu veröffentlichen, sondern auch Testmöglichkeiten zur Verfügung zu stellen und nachzuweisen, dass die Schnittstelle tatsächlich den jeweiligen regulatorischen Anforderungen entspricht.
Es war also naheliegend, eine Standardisierung auf europäischer Ebene zu initiieren. Hierfür bot sich die sogenannte Berlin Group an, die eine eigene Arbeitsgruppe zur Definition der PSD2- Schnittstelle einrichtete. Die Berlin Group konstituierte sich im Oktober 2004 in Berlin und hat daher ihren Namen. Derzeit besteht sie aus 24 Hauptakteuren der Zahlungsbranche aus zehn verschiedenen Ländern der Eurozone sowie aus Großbritannien, Schweden, Dänemark, Norwegen, Island, Lettland, Estland, Litauen, Türkei, Bulgarien, Ungarn und Serbien.
Teilnehmer der Arbeitsgruppe sind Banken, Bankenverbände wie der BVR, nationale und internationale Zahlungssysteme und Interbankprozessoren, die im Sepa-Raum arbeiten. Das Ziel der Berlin Group ist es, als Ergänzung zu den Arbeiten des European Payments Council (EPC) offene Standards im Interbanking-Bereich zu schaffen, die unabhängig von Schemes oder Prozessoren nutzbar sind.
Die genossenschaftliche Finanzgruppe hatte sich bereits 2016 und damit frühzeitig in der Berlin Group für eine Standardisierung der Schnittstelle zu Girokonten stark gemacht. Unserem Engagement liegt die tiefe Überzeugung zugrunde, dass nur eine erfolgreiche Standardisierung alle Vorteile für den europäischen Markt, also für Verbraucher, Händler, Banken und Drittdienstleister heben kann. Eine Nicht-Standardisierung hätte einen von der Aufsicht weiter geduldeten Zugriff der Drittdienstleister über Screen Scraping - also das unkontrollierte Auslesen von vertraulichen Daten in der Kundenschnittstelle - zur Folge gehabt.
Enge Abstimmung mit Marktteilnehmern
In enger Abstimmung wurde im Rahmen der Berlin Group ein erster Entwurf einer Spezifikation entwickelt, in der alle gesetzlich vorgeschriebenen Rollen der Drittdienstleister im Regime der PSD2 beschrieben wurden, sodass die Umsetzung der Spezifikation in einer kontoführenden Bank die Anforderungen vollumfänglich erfüllt.
Der Entwurf der PSD2-konformen Kontozugriff (XS2A)-Schnittstelle ist Anfang Oktober 2017 am Markt vorgestellt und in den folgenden Wochen konsultiert worden, sodass die Rechenzentren der Banken noch im Jahr 2018 mit den Arbeiten der Implementierung beginnen konnten.
Testschnittstelle seit dem 14. März bereit
Bis dato haben weit über 3 000 Banken in Europa die XS2A-Schnittstelle auf Basis der Berlin-Group-Spezifikation implementiert. In diesem Zusammenhang hat die Berlin Group ein Projekt initiiert, das eine technisch gleichartige Implementierung der PSD2-Schnittstelle gewährleisten soll.
Die Deutsche Kreditwirtschaft einigte sich 2018 mit der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf einen Prozess, der die Interessen der im Markt tätigen Drittdienstleister sowie der Banken berücksichtigt. Um diesen Prozess technisch zu unterstützen, hat die genossenschaftliche Finanzgruppe, wie es die EU-Zahlungsdiensterichtlinie PSD2 vorsieht, seit 14. März 2019 die Testschnittstelle für dritte Zahlungsdienstleister geöffnet. Diese Schnittstelle stellen die Institute auf Basis der Berlin-Group-Nextgen-Spezifikation über die genossenschaftlichen IT-Dienstleister wie Fiducia & GAD IT und Sparda Datenfernverarbeitung bereit.
Beteiligung von Drittanbietern weniger hoch als erwartet
Nach dieser Testphase werden schließlich ab 14. September 2019 alle genossenschaftlichen Banken als kontoführende Zahlungsdienstleister für Drittkartenemittenten, Zahlungsauslösedienstleister und Kontoinformationsdienstleister mit dieser Schnittstelle eine geregelte Zugriffsmöglichkeit (XS2A) auf online zugängliche Zahlungskonten im regulären Betrieb bereitstellen. Mit einigen Anbietern konnten bereits sehr intensive Tests durchgeführt werden, auch wenn wir eine deutlich höhere Beteiligung von Drittanbietern erwartet hätten. Bemerkenswert ist, dass insbesondere neue Anbieter mit Kreditinstituten getestet haben, die bislang noch gar nicht auf dem Markt vertreten sind.
Die ersten Banken und Sparkassen haben seit 14. Juni 2019 bereits ihre Schnittstellen in einen vorgezogenen Produktionsbetrieb übernommen, also live geschaltet, um diese unter realen Bedingungen proben zu können. Die Deutsche Kreditwirtschaft und damit auch die genossenschaftliche Finanzgruppe setzt darauf und lädt weiter dazu ein, dass sich zahlreiche Drittanbieter an diesem vorgezogenen Produktionsbetrieb beteiligen. So kann ein erfolgreicher Übergang zum 14. September 2019 ermöglicht werden.
Den Akteuren im Finanzmarkt stehen durch die PSD2 weitreichende Veränderungen bevor, von denen auch der Bereich der Kundenauthentifizierung betroffen sein wird. Bestehende Verfahren müssen unter Umständen abgelöst oder überarbeitet werden. Hierbei ist es wichtig, ein gutes Verständnis der Kundenbedürfnisse und der rechtlichen sowie technologischen Gestaltungsspielräume zu verbinden.
Chancen für Banken und Europa
Für Banken bieten sich auch neue Marktchancen, denn sie können sich selbst als Drittanbieter positionieren. Durch die gleichzeitige Regulierung der Drittanbieter entsteht ein Level Playing Field, das einen fairen Wettbewerb zwischen Banken und den neuen Marktteilnehmern ermöglichen kann.
So wird auch die genossenschaftliche Finanzgruppe die Marktchancen nutzen: Noch dieses Jahr werden wir den Vertrauensdienst Yes in den zentralen Authentifizierungsservice integrieren. Kunden können diesen Dienst als zentralen Schlüssel verwenden, sodass ihnen zeitaufwendige Registrierungen im Internet erspart bleiben. Die neue PSD2-Infrastruktur ermöglicht Kreditinstituten also einerseits, Finanzanwendungen von Drittdienstleistern europaweit in ihr eigenes Angebot zu integrieren. Andererseits können über eine API die Bankdaten zur Nutzung in Apps von Drittanbietern zur Verfügung gestellt werden, wenn dies kundenseitig gewünscht ist.
Strategisch geht es für die Kreditwirtschaft über die PSD2 hinaus um die Gestaltung eines europaweit funktionierenden API-Ökosystems, um das Produktportfolio attraktiv weiterzuentwickeln und den Zahlungsverkehrsmarkt weiterhin aktiv selbst zu gestalten.
Vor diesem Hintergrund hat eine Arbeitsgruppe des Euro Retail Payments Board (ERPB), in dem die Anbieter- und die Nachfragerseite des europäischen Zahlungsverkehrs vertreten sind, die Arbeiten an einem API-Scheme aufgenommen. Über die europäische Vertretung der Genossenschaftsbanken arbeitet der BVR hier personell aktiv mit. Dabei werden Möglichkeiten eruiert, wie beispielsweise Identifizierungsverfahren, persönliches Finanzmanagement oder spezifische Zahlungslösungen dank Nutzung offener Schnittstellen in einem API-Scheme abgebildet werden können. Als technische Basis bietet sich die Berlin-Group-Spezifikation an.
Grundlage für ein europäisches Zahlungsverkehrssystem?
Zudem könnte diese PSD2-Infrastruktur - verbunden mit Instant Payments - auch die Grundlage für ein europäisches Zahlungsverkehrssystem sein, das seitens des Euro-Systems und der EU-Kommission ohnehin gefordert wird, um einer zu starken Abhängigkeit Europas von amerikanischen beziehungsweise chinesischen Zahlungssystemen entgegenzuwirken.
Der Regulator sieht zu Recht die Chance, die sich derzeit im Sepa-Raum etablierende Instant-Payment-Infrastruktur als Basis für weitere Sepa-weite Bezahlsysteme zu nutzen. Kreditwirtschaft und Regulatoren sind hier aktuell im konstruktiven Dialog.
Echtzeit-Ökosystem für Zahlungsdienstleistungen
Mit der Umsetzung der Berlin-Group-Schnittstelle werden alle regulatorischen Anforderungen der PSD2 in effizienter Weise umgesetzt. Dabei kann gleichzeitig auch die Voraussetzung für ein neues Ökosystem von Zahlungsdienstleistern zur Digitalisierung von Prozessen Dritter geschaffen werden. Die Etablierung von Instant-Payment-Infrastrukturen führt dazu, dass die von Banken geschaffene technische Infrastruktur Echtzeit-Kommunikation theoretisch zwischen beliebigen Kontoinhabern in Europa anbieten kann.
Die Kreditwirtschaft hat damit die Möglichkeit, sozusagen den universellen Messengerdienst für werthaltige Informationen zu schaffen. Voraussetzung für die erfolgreiche Nutzung dieser Infrastruktur ist immer die Generierung kritischer Massen auf der Ebene der Nutzer. Dies kann immer nur dann funktionieren, wenn es gelingt, sich innerhalb der Kreditwirtschaft für solche Mehrwertfunktionen auf gemeinsame Standards zu verständigen, die es erlauben, die digitalen Ökosysteme der verschiedenen Banken miteinander zu verbinden. Die Arbeit der Berlin Group ist hierfür ein erfolgreiches Beispiel und diesem Ansatz folgen wir auch weiterhin bei unseren zukünftigen Investitionen.
