Exklusiv

Diagnose „unbrauchbar“: Das wahre Drama der PSD2-Reform

1. Oktober 2019

Von Heinz-Roger Dohms

Am 14. September trat die PSD2 in Kraft. Und schon drei Tage später meldete die Bafin: „Bis auf die wenigen Ruckler ist die Lage ruhig. Die Bankenbranche ist gut für PSD2 gerüstet.“

Alles bestens also? Wenn man mal absieht von Einzelschicksalen wie dem der Postbank (wo die Umstellung auf die neue Richtlinie blöderweise mit den Streik-Plänen von Verdi kollidierte …)? Oder dem der Barclaycard (wo man zusammen mit der PSD2-Einführung auch gleich ein neues Online-Banking installieren wollte und wo seitdem so gut wie nichts mehr geht …)?

Ja klar, alles bestens!!!! Wenn die Bafin das sagt …

Aber wie sieht es in Wirklichkeit aus?

Am vergangenen Freitag landete im E-Mail-Postfach von Finanz-Szene.de ein Dokument, das eigentlich nicht hätte bei uns landen dürfen. Das Dokument stammt von einem deutschen API-Fintech, trägt das Datum des 26. September, und die Überschrift lautete: „Status of major bank interfaces (internal)“. Autor des Dokuments war der COO der Firma, aktualisiert hatte es („Last updated one hour ago by …“) ein Produktmanager.

Gedacht war das Dokument für die Kunden des API-Dienstleisters. Also für Unternehmen, die aus unterschiedlichen Motiven heraus auf Bankkonten zugreifen wollen. Das können Bezahldienste sein. Das können Multibanking-Apps sein. Das können Vergleichsportale sein. Das können Unternehmen wie Lexoffice oder die Datev sein.

„Status of major bank interfaces“ bedeutete demnach also frei übersetzt: Das API-Fintech wollte seinen Kunden einen Überblick geben, bei welchen Banken der Zugriff aufs Konto rund zwei Wochen nach der PSD2-Umstellung (wieder) funktioniert. Und bei welchen (noch immer) nicht.

Keine oder kaum Probleme gab es dem Dokument zufolge unter anderem …

  • bei den Volks- und Raiffeisenbanken
  • bei den Sparkassen
  • bei der Deutschen Bank

Von etlichen anderen Instituten ließ sich selbiges allerdings nichts sagen:

Bei der Commerzbank etwa funktionierte der Zugriff auf die  im Fachjargon „XS2A“ genannte PSD2-Standard-Schnittstelle nur eingeschränkt („impaired“). Und bei N26 blieb das entsprechende Feld sogar komplett weiß. Genauso übrigens wie bei der Santander oder der Targobank.

Nun wissen die Connaisseure, dass es zwei weitere, sozusagen traditionelle Optionen des Kontozugriffs gibt. Nämlich den über die hergebrachte FinTS-Schnittstelle. Und den über das sogenannte Webscraping, also über die lange Zeit umstrittene Methode, Kontoinformationen direkt über die Website der Bank auszulesen.

Eigentlich waren diese beiden Zugänge als Ausweichmöglichkeit gedacht, bis die neuen XS2A-Schnittstellen allerorts funktionieren. Doch auch hier vermeldete das uns vorliegende Dokument wenig Gutes. „Not working“ steht da schlicht im Feld „Commerzbank / Webscraping“. Derselbe Hinweis findet sich bei N26.

Was heißt das nun alles? Was sind die Folgen? Und wer trägt schuld?

Ein ganz kurzer Rückblick: Per 14. September sollten FinTS-Zugriff und Webscraping abgelöst werden durch die sogenannte standardisierte PSD2-Schnittstelle („XS2A“ = „Access to Account“). Die Regulierer wollten die Banken verpflichten, jedem lizensierten Drittdienst eine solche Schnittstelle zur Verfügung zu stellen.

Indes: Was als Aufbruch in die Open-Banking-Ära gedacht war, endete im großen Knatsch (siehe unseren Artikel „Fintech-Lobby-ruft den PSD2-Notstand aus“ vom 18. Juli). Kurz gesagt warfen die Drittdienste den Banken – oder zumindest: einigen Banken – vor, ihre neuen Schnittstellen so zu präparieren, dass der Kontozugriff nicht etwa erleichtert, sondern sogar erschwert werde.

Um ein  Chaos zu verhindern, verhängte die Bafin im quasi allerletzen Moment ein Moratorium (siehe unser Artikel „Fintechs kriegen mehr Zeit, Banken müssen nachbessern“ vom 15. August). Dieses Moratorium lief darauf hinaus, dass die alten Schnittstellen erst einmal offenbleiben und die PSD2-Schnittstellen dann peu à peu zum neuen Standard werden.  Das klang nach einer erträglichen Lösung für alle Beteiligten. Doch für viele Akteure da draußen ist die Realität seit dem 14. September eine andere.

Beispiele gefällig?

Wer im Internet auf die Support-Seite des Bürosoftware-Anbieters Lexoffice geht, der findet dort seit Mitte September praktisch nur noch Einträge wie …

  • „Warum werden meine Konten in den Lexoffice Apps nicht mehr synchronisiert?“
  • „Warum es im Moment zu Problemen beim Abruf von Bankdaten kommen kann“
  • „Commerzbank: Derzeit kein Abruf von Bankdaten möglich“

… wobei, was für die Commerzbank gilt, laut offizieller Support-Seite genauso für die Consorsbank, die VW Bank, die Sparda-Banken oder wiederum N26 gilt.

Nicht anders als Lexoffice ergeht es augenscheinlich dem hochgelobten Multibanking-App-Anbieter Finanzguru. Der hatte eigentlich gehofft, die PSD2-Richtlinie werde zum entscheidenden Hebel für sein Geschäftsmodell. Stattdessen muss das Startup  seine User nun erst einmal mit Blog-Blogbeiträgen wie „Probleme nach der PSD2-Umstellung“ besänftigen. Denn: Auch bei Finanzguru funktionierte die Integration vieler Konten zumindest Anfang dieser Woche dem Blogpost zufolge immer noch nicht:

  • Barclaycard: Aktuell keine Anmeldung möglich, wir erwarten eine Lösung zum 04. Oktober
  • Commerzbank: Verfügbar mit Einschränkungen, Zugang erneuern
  • Comdirect: Verfügbar mit wenigen Ausnahmen
  • Consorsbank: Verfügbar mit Einschränkungen, Zugang erneuern
  • Deutsche Bank: Wie gewohnt verfügbar. Das neue pushTAN-Verfahren wird voraussichtlich ab Ende September unterstützt.
  • DKB: Verfügbar mit Einschränkungen
  • HypoVereinsbank, UniCredit: Verfügbar mit Einschränkungen
  • ING: Wie gewohnt verfügbar
  • N26: Aktuell keine Anmeldung möglich, wir erwarten eine Lösung in mehreren Wochen.
  • Postbank: Girokonten verfügbar. Wir erwarten eine Lösung bis zum 13. Oktober.
  • Santander: Aktuell keine Anmeldung möglich, wir erwarten eine Lösung zum 13. Oktober
  • Sparda-Banken: Aktuell keine Anmeldung möglich, wir erwarten eine Lösung in mehreren Wochen
  • Sparkassen: Teilweise werden falsche TAN-Verfahren angezeigt. Wir erwarten eine Lösung bis zum 13. Oktober.
  • Volks- und Raiffeisenbanken: Verfügbar mit wenigen Ausnahmen
  • VW-Bank (Volkswagen-Bank), Audi-Bank: Verfügbar mit Einschränkungen, photoTAN

Womöglich werden sich diese Probleme früher oder später lösen lassen. Die Frage allerdings lautet: Ist es dann für manche Anbieter möglicherweise schon zu spät? Finanz-Szene.de weiß zum Beispiel von einem namhaften deutschen Fintech, bei dem die Konto-Transaktionen seit der PSD2-Umstellung um zwei Drittel eingebrochen sind.

Ein Einzelfall? Schwer zu sagen. Klar jedenfalls ist, dass in Zeiten, in denen die vielbeschworenre „UX“ (also die User Experience) über Erfolg oder Misserfolg ganzer Unternehmungen entscheidet, die Geduld des Endkunde nicht überstrapaziert werden darf. Zumal der reibungslose Kontenzugriff ja kein Nice-to-have ist. Sondern: Bei Büro-Software-Programmen wie Lexoffice,  bei Buchhaltungs-Tools wie Fastbill und bei Multibanking-Apps wie Finanzguru, Numbrs oder Outbank ist die Kontofunktion zentral.

Darum sind „User-Rezensionen“, wie sie dieser Tage  im Google Play-Store beispielsweise über Outbank zu lesen waren, mehr als ein Warnsignal:

„Seit PSD2 Umstellung leider unbrauchbar geworden. Früher funktionierte die App für und erfüllte ihren Zweck, seit der PSD2 Umstellung funktioniert die App leider sehr häufig überhaupt nicht mehr, und in den seltenen Momenten in denen sie funktioniert ist die Handhabung durch das ständige Bestätigen der Transaktion und das dadurch notwendige wechseln zwischen den Apps derart umständlich, dass ich auch gleich die App meiner Bank benutzen kann.“

Die Antwort von Outbank fällt freundlich, aber auch irgendwie hilfslos aus:

„Hallo Peter, wir können deinen Unmut verstehen. Die zusätzliche Authentisierung ist im Zuge der PSD2 Pflicht für alle Finanzdienstleister. Laut PSD2 ist ein Zeitraum von max. 90 Tagen möglich, innerhalb dessen diese erfolgen muss. Für die Probleme entschuldigen wir uns –wir geben unser Bestes, damit bald alles wieder reibungslos läuft.“

Haben die Banken es genau darauf angelegt? Also darauf, dass die PSD2 eben nicht die Open-Banking-Ära einläuten, sondern erst einmal Drittdiensten und sonstigen „Datenräubern“ das Geschäft erschweren würde?

Einerseits steckt in diesem Vorwurf vermutlich einiges an Wahrheit. Andererseits ist die ganze Wahrheit (so jedenfalls unser Eindruck) dann aber doch  komplexer. Denn …

  1. Es gibt einige Banken, die die PSD2-Richtlinie sehr Drittanbieter-freundlich umgesetzt haben, zu nennen sind vor allem die Deutsche Bank und offenbar auch die Volks- und Raiffeisenbanken. Dagegen ist es gerade die Fintech-Bank N26, bei der den Drittanbietern der Kontenzugriff (warum auch immer) sehr schwer fällt bzw. offenbar sehr schwer gemacht wird.
  2. Die PSD2-Richtlinie war von vornherein eine zweischneidige Angelegenheit. Einerseits sollte sie den Markt öffnen. Andererseits sollte sie aber auch für mehr Sicherheit beim Verbraucher sorgen. Stichwort: „Starke Kunden-Authentifizierung“.

Schaut man nun in das eingangs erwähnte nicht-öffentliche Dokument, dann wimmelt es dort im Zusammenhang mit der Webscraping-Methode von Formulierungen wie „Scraper ceased to work due to SCA activation“ (in Bezug auf die Santander) oder „Scraper stopped workin due to SCA“ (in Bezug auf N26).

„SCA“? Steht für „Starke Kunden-Authentifizierung“. Mit anderen Worten: Es ist gewissermaßen die PSD2 selber, die die PSD2 verhindert. Denn, ein Beispiel: Wenn ein Kunde in seiner Multibanking-App fünf Konten und Depots von fünf unterschiedlichen Banken integriert hat – und diese Banken verlangen nun (wie es z.B. die DKB handhabt) bei jedem Einloggen und jeder Transaktion die „starke Kundenauthentifizierung“ … dann ist klar, dass die „User Experience“ des Multibanking-Ansatzes maximal leidet.

Haben die Regulierer diesen Widerspruch nicht gesehen, als sie die große Marktöffnung ausriefen? Oder haben die Fintechs die Segnungen der PSD2 überschätzt? Oder: War schlicht die ganze Umsetzung Murks (erinnert sei nicht nur an das Last-Minute-Moratorium der Bafin, sondern z.B. auch daran, dass die Bankenaufsicht EBA noch im Sommer irgendwelche „Opinions“ mit ihren neuesten Ideen zur „SCA“ veröffentlichte).

Tatsache jedenfalls ist: Viele Fintechs haben sich in den vergangenen Monaten erfolgreich um eine PSD2-Lizenz der Bafin bemüht – und nicht wenige dürfte sich jetzt fragen: Wofür das alles?

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing