Karten
Wie bewerten sie die PSD2 insgesamt?
Die PSD2 ist eine sehr große Regulierung mit heute noch sehr geringer Auswirkung. Die Intention der PSD2 ist richtig: das Aufbrechen der Infrastrukturen der Banken und der proprietären Zugänge.
Wir stehen aber erst am Anfang der Umsetzung. Deshalb ist für Konsumenten noch wenig ersichtlich, worin der Vorteil besteht, über eine App mehrere Konten abfragen zu können. Mehr Auswirkungen für den Konsumenten hatte die Regulierung der Aufschläge auf Zahlungsmittel, die für viele sofort Vorteile gebracht hat. Viele E-Commerce-Anbieter mussten halbkorrektes Vorgehen bei Zuschlägen abschaffen. Insofern war die Regulierung gut. Doch beim großen Ziel, die Bankeninfrastruktur zu öffnen, ist heute noch nicht klar erkennbar, ob das wirklich gelingt.
Karten
Nützt der Kontozugang eher den Fintechs oder den Banken?
Das muss man sicher individuell betrachten. Die Regulierung geht aus von einem Fintech, das sich über nicht sichere Verfahren Zugang zu den Bankdiensten verschafft hat. Typisches Beispiel ist Sofortüberweisung. Banken haben versucht, dies zu unterbinden, teilweise im Interesse der Sicherheit, teilweise aber auch, um die Kunden exklusiv zu behalten. Ausgehend von dieser Situation war die Regulierung dazu gedacht, auch kleineren Fintechs Zugang zu ermöglichen. Allerdings wurde die Regulierung - ob zu Recht oder zu Unrecht, darüber lässt sich streiten - auch aus Sicherheitsgründen relativ komplex und teuer umzusetzen. Eine API ist eine relativ umfangreiche Investition, weshalb die Fintechs das Screen Scraping bevorzugt hätten. Die Regulierung wurde also eigentlich für die Fintechs gemacht. Sie müssen sich aber nun auch an Standards halten.
Für die Banken gab es in Deutschland mit HBCI und der Kunde-zu-Bank-Online- Banking-Schnittstelle FinTS bereits einheitliche Standards, um Zugriff auf Bankkonten zu erhalten und mit einer elektronischen Unterschrift die Sicherheit zu gewährleisten. Insofern ändert sich für die Banken in Deutschland gar nicht so viel, wenngleich diese Möglichkeit bisher nicht so ausgeprägt genutzt wurde. Ich glaube deshalb nicht, dass es den Banken nutzt. Im Gegenteil: Sie müssen wieder in die Umsetzung einer Regulierung investieren, und können sich nur unter zusätzlichen Investitionen stärker differenzieren und zusätzliche Umsätze machen.
Von der Marktöffnung für Fintechs profieren werden deshalb vor allem Anbieter von API-Lösungen.
Karten
Was halten Sie von Initiativen, gemeinsame Standards zu entwickeln? Ließe sich dadurch das Zwischenschalten neuer Dienstleister verhindern?
Das Bemühen um einheitliche Standards ist auf jeden Fall ein sehr sinnvolles Vorgehen. Einer der Nachteile der Regulierung besteht gerade darin, dass sie keinen Standard gesetzt, sondern nur Vorgaben gemacht hat, wie solche Standards auszusehen haben. Die Berlin Group ist eine der ersten, die einen solchen Standard herausgebracht hat.
Für die Banken ist es extrem sinnvoll, wenn sie alle dieselbe Beschreibung der Schnittstellen nutzen und nicht für jede Bank separat etwas anpassen müssen. Denn die Regulierung ist nicht dazu da, neuen Vermittlern neues Geschäft zu verschaffen, sondern dazu, Fintechs einen vereinfachten Zugang zu Bankkonten zu schaffen. Auch den Fintechs würde das mit einem einheitlichen Standard leichter fallen, weil sie dann nur einmal den Standard implementieren müssen.
Karten
Sind die Umsetzungsfristen dafür ausreichend?
Meines Erachtens hat der Regulator ausreichend Zeit gelassen. Für die Anpassung der Schnittstellen sind 18 Monate vorgegeben. Mit dem Standard der Berlin Group sollte es möglich sein, dass die Banken die Anpassung fristgerecht vornehmen können.
Karten
Wie bewerten sie die starke Kundenauthentifikation? Welche Verfahren haben hier die größten Chancen?
Die starke Kundenauthentifikation ist ein guter Teil der Regulierung, weil sie sowohl Banken als auch Fintechs die Möglichkeit gibt, den komplizierten Prozess der Anmeldung zu vereinfachen, indem man mit anderen Verfahren arbeitet.
Unter dem Aspekt der Sicherheit und der Convenience glaube ich sehr stark an die Biometrie. Das machen nicht zuletzt die Smartphone-Produzenten vor. Die Biometrie schafft gleichzeitig Sicherheit und Convenience. Was wir heute noch nicht so stark erleben, ist die Authentifikation über die Stimme oder eine Kombination von Merkmalen wie etwa Foto und Stimme.
Karten
Braucht man bei der Biometrie auch Standards?
Für den Verbraucher wären einheitliche Standards natürlich schön. Andererseits sind unterschiedliche Verfahren für Banken oder auch Online-Händler auch eine Differenzierungsmöglichkeit. Die Authentifizierung möglichst einfach zu machen, wird zunehmend zum Erfolgsfaktor für Abbruch oder Erfolg von Online-Transaktionen. Je komfortabler die Lösung aussieht, umso besser stehen Anbieter im Wettbewerb da.
Zudem ist es schwierig, biometrische Daten miteinander zu teilen. Insofern muss jeder die Kundenidentifizierung für sich selbst entwickeln und speichern. Eigentlich dürften Banken und Online-Händler deshalb auch keine Identifizierung durch das i-Phone akzeptieren. Denn die bestätigt nur, dass der Kunde identifiziert ist, aber nicht wodurch er identifiziert wurde. Sondern es müsste eine eigene Identifikation auf dem Mobiltelefon implementiert werden. Was das betrifft, ist noch nicht alles geklärt.
Karten
Das Beispiel Videoidentifikation hat gezeigt, dass sich praktische Vorgehensweisen schnell durchsetzen. Rechnen Sie auch bei der Kundenauthentifikation mit einer solchen Konvergenz der Verfahren? Und wäre die mit Blick auf die Sicherheit überhaupt wünschenswert?
Ob die angebotenen Lösungen schnell konvergieren, lässt sich heute noch schwer abschätzen. Es mag gut sein, dass es eine Art Biometriestandard gibt, etwa die Identifikation via Selfie. Doch auch dann werden unterschiedliche Anbieter dahinter stehen, die unterschiedliche Verfahren verwenden, die nicht durch denselben Hacker geknackt werden können.
Karten
In letzter Zeit sprechen Banken viel von den Chancen, die sich aus der PSD2 ergeben. Wie bewerten Sie diese Chancen?
Der veränderte Fokus von den Risiken hin zu den Chancen der PSD2 ist einfach zu verstehen: Wenn die Branche schon investieren muss (und es ist ein erhebliches Investment, unter anderem für die Anpassung der Sicherheitssysteme, für neue Legitimationsmittel, die Bereitstellung von Developer-Portalen, Testumgebungen und technischen Support), dann soll es zumindest einen gewissen Return on Investment geben, das heißt es müssen neue Geschäftsfelder entstehen. Wie realistisch das ist, lässt sich heute noch nicht beurteilen.
Allein aus der Möglichkeit, die Kontoinformation von verschiedenen Banken abzurufen, wird nichts Neues entstehen. Aus der Nutzung dieser Daten, wie es Internetkonzerne machen würden, könnte vielleicht Geschäft entstehen, aber das würde dem auf Vertrauen gestützten Geschäftsmodell der Banken widersprechen. Wir sehen ja gerade, was es bedeutet, Daten zu verkaufen.
Somit stecken Banken in der Zwickmühle: Sie haben zwar Daten, aber was tun sie damit? Die Daten zu verkaufen ist sehr problematisch. Den Kunden neue Angebote zu unterbreiten mag einfacher sein, aber es stellt sich die Frage, wie hoch dabei die Wertschöpfung ist. Hier muss noch viel Innovation stattfinden und noch viel ausprobiert werden. Auf jeden Fall ist das kein triviales Geschäft.
Karten
Gibt es auch Ansätze, mit denen sich relativ einfach Geld verdienen lässt?
Sicher kann man versuchen, Kunden mit mehreren Bankbeziehungen die einfache Verwaltung all ihrer Konten anzubieten und dafür eine etwas höhere Monatspauschale zu berechnen. Das könnte für einige Kunden sehr interessant sein.
Das Cross-Selling oder Up-Selling setzt voraus zu verstehen, was der Kunde braucht. Das Problem liegt hier: Die Banken tun heute schon sehr wenig mit ihren eigenen Daten wie etwa die Höhe der Miete oder der monatlichen Leasingrate, die meistgenutzte Tankstelle. Das alles sind wertvolle Informationen, aus denen sich etwas machen ließe - zum Beispiel, indem man in den Kontoauszug Werbung einblendet.
Solche Möglichkeiten nutzen Banken heute nicht einmal in Bezug auf ihre eigenen Daten, geschweige denn in Bezug auf die Daten anderer Banken. Solche Dinge könnten entstehen. Allerdings sind Banken hier durch die Vertrauensthematik sehr limitiert. Hier ist auch viel Gewohnheit im Spiel, deshalb müssen sich solche Dinge erst allmählich entwickeln. Vielleicht werden auch in diesem Bereich erst die Fintechs aggressiver auftreten, bis die Banken auf den Zug aufspringen. Banken sollten außerdem verstärkt als Dienstleister für Fintechs, Third Parties oder große Handelsunternehmen auftreten und verstärkt über APIs mit ihnen interagieren. So können sie sich zum Beispiel als Identitäts- oder Bonitätsdienstleister positionieren.
Karten
Wie viel ist in Sachen PSD2 bereits getan, wie viel bleibt noch zu tun?
Die Banken werden noch bis zum Ende der Karenzzeit brauchen, bis sie mit ihren API-Standards am Markt sind. Sie werden parallel Angebote entwickeln, um die APIs für verschiedene Geschäfte zu nutzen. Damit sind aber erst etwa 50 Prozent des Weges gegangen.
Die eigentliche Entwicklung findet erst danach statt, wenn alle Banken über Schnittstellen abrufbar sind. Dann ist die Hoffnung, dass Kreativität und Innovation entsteht und Fintechs, aber auch Banken innovative Lösungen entwickeln, wie neue Bonitätslösungen, neue Arten von Werbung oder von Produkten. Deshalb wird sich der wahre Wert der Regulierung erst nach der vollständigen Umsetzung der Standards erweisen.
Dann wird man sicherlich auch sehen, ob und an welchen Stellen der Regulator noch einmal nachschärfen wird. Vermutlich wird man dann feststellen, dass die Registrierung und die Fehleranfälligkeit von Third Parties auf bestimmten Listen noch einer Nachbesserung bedürfen.
Ich hoffe allerdings, dass auf der Zahlungsmittelseite noch einmal nachgelegt wird und man sich dazu durchringt, alle Zahlungsmittel vom Surcharging auszunehmen.