Gästeblog

Wie sich die deutsche ING ihre eigene PSD2-Welt schafft

6. Juni 2019

Von Klaus Igel*

„Ihr Girokonto können Sie ab September nicht mehr mit Ihrer aktuellen Software über die HBCI-Schnittstelle führen. Das ist dann nur noch über die PSD2-Schnittstelle möglich. Bitte fragen Sie bei  Ihrem Softwareanbieter nach, ob sie PSD2 unterstützen …”

Über diese Aussage eines Service-Mitarbeiters stolperte ich vor einigen Tagen auf den Infoseiten der ING Deutschland.  Interessant, weil: Dieser Satz verrät eine Menge darüber, welche Strategie die frühere ING Diba bei der PSD2-Umsetzung verfolgt. Nur zur Erinnerung: Eigentlich sollte mit der neuer Zahlungsdienste-Richtlinie ja alles besser oder zumindest „offener“ werden, gerade für die sogenannten Drittanbieter. Aber wird es wirklich so kommen, wenn Mitte September die zweite Stufe der PSD2 in Kraft tritt?

Aktuell stehen den Kunden der ING Deutschland folgende Wege für den Zugriff auf die eigenen Kontodaten zur Verfügung:

  1. Bank-eigene Zugänge, z.B. via Online-Banking oder über die Banking-App
  2. Client-Apps/Services, die über den traditionellen „deutschen“ Online-Banking-Standard HBCI/FinTS oder per Screen Scraping (also über das Auslesen des Online-Kontos) direkt auf die Kontodaten zugreifen. Wichtig zu wissen: Bei diesem Verfahren ist kein Drittdienstleister/Server eingeschaltet. Beispiele sind die Multibanking-Apps der Sparkasse, das VR Banking der Volks- und Raiffeisenbanken, Banking4, Outbank, Starmoney usw.. Hinzu kommt traditionelle Client-Software für Finanzbuchhaltung und Warenwirtschaft.
  3. Apps/Services, die über einen Drittdienstleister (z.B. Figo, FinTecSystems, BANKSapi oder finAPI) beziehungsweise serverseitig auf die Kontodaten zugreifen. Beispielsweise nutzen Multibanking-Apps wie Finanzguru, Numbrs oder die App der Deutschen Bank diesen Zugriffsweg. Darüber hinaus greifen auch cloudbasierte Fibu-/Warenwirtschafts-Lösungen über Drittdienstleister auf die Daten zu.

Wenn nun aber die HBCI/FinTS-Schnittstelle für den Zugriff auf Girokonten nicht mehr zur Verfügung steht, was heißt das dann für die drei Zugangswege?

  1. Die eigenen Angebote der ING Diba bleiben unberührt
  2. Der klassische Zugangsweg über den Online-Banking-Standard HBCI/FinTS wird in Zukunft versperrt sein
  3. Der Zugang über einen Drittdienstleister bleibt zwar erhalten, wird aber verkompliziert.

Warum?

Wie aus dem Statement der ING hervorgeht, sollen Softwareanbieter in Zukunft ausschließlich die PSD2-Schnittstelle nutzen. In der PSD2-Richtlinie wird allerdings nur der Zugriff durch Drittanbieter geregelt. Das heißt: Andere Zugangswege stehen den Endanwendern direkt nicht mehr  zur Verfügung.

Weil die ING Deutschland (anders als die meisten anderen Banken und Sparkassen) die Standardschnittstelle FinTS/HBCI nicht „PSD2-fähig“ macht, haben ihre Kunden von Mitte September an also nicht mehr die Möglichkeit, ohne Zwischenschaltung eines weiteren Drittdienstleisters auf ihr Girokonto zuzugreifen. Denn auch bei der FinTS-Schnittstelle muss der Kunde dann spätestens alle 90 Tage eine starke Kundenauthentifizierung durchführen. Dieses Vorgehen der Bank widerspricht meiner Meinung nach dem Grundgedanken der PSD2, den Wettbewerb zu fördern. Stattdessen verschafft sich hier die ING einen Wettbewerbsvorteil.

Hinzu kommt: Dass die ING bei der Implementierung der PSD2 auf eine eigene API-Schnittstelle vertraut-  statt auf einen Industriestandard wie die „Berlin Group “ aufzusetzen -, stellt womöglich eine weitere Hürde dar bzw. bedeutet zusätzlichen Aufwand durch die Anbindung einer weiteren Schnittstelle. Im Vergleich zu Drittanbietern, die sich aufwendig lizenzieren lassen müssen, kann die ING (wie andere Banken auch) diese Services beim Zugriff auf Konten anderer Banken „automatisch“ erbringen.

Wen wird das in der Praxis betreffen?

Bei den Privatkunden sind es vor allem Multibanking-User mit Konten bei verschiedenen Banken. Wenn diese Nutzer künftig über ihre Multibanking-App auf ihr ING-Konto zugreifen wollen, können sie das nur noch unter deutlichem Komfortverlust tun.

Beim Abruf von mehreren Konten (Girokonto/Depot/Extrakonto) bei der ING kann es außerhalb der bankeigenen App zu folgender Situation kommen:

  1. Abruf der Girokonten über die PSD2-API mit starker Kundenauthentifizierung (z.B. SMS-Tan) bei der Anmeldung.
  2. Abruf der nicht durch die PSD2 erfassten Kontoarten (z.B. Depots) – hier wäre dann sogar der Abruf noch über die alte, nicht abgekündigte HBCI-Schnittstelle ohne starke Kundenauthentifizierung möglich. Für die gleiche Aktion über das Webbanking oder Screen Scraping wäre hingegen eine erneute starke Kundenauthentifizierung notwendig.

Ob diese unterschiedliche Behandlung der Zugriffswege für verschiedene Kontoarten ein Kunde versteht, darf bezweifelt werden.

Ein weiteres Beispiel: Sofern ein Freiberufler Firmensoftware z.B. für den automatischen Umsatzabgleich via FinTS nutzt, wird dieser Zugriff künftig nicht mehr möglich sein. Dann bleiben als Alternativen entweder die Einschaltung eines (evtl. kostenpflichtigen) Drittanbieters oder ein manueller Download von Umsatzdaten (“EDV zu Fuß“) über das Web-Banking.

Was die Kunden der ING zur FinTS Abschaltung sagen, lässt sich gut in den Kommentaren auf folgender Seite nachlesen: https://www.ing.de/ueber-uns/wissenswert/psd2-richtlinien/

*Klaus Igel ist Experte für Themen rund um PSD2 und API – und einer der Menschen, denen Banking-Nerds bei Twitter unbedingt folgen sollten.

Anm. der Redaktion: Wir haben der ING Deutschland vor Veröffentlichung des Gastbeitrags Gelegenheit gegeben, sich zu einzelnen Kritikpunkten zu äußern.

  • Zu der Feststellung, dass sich der „der Zugang über einen Drittdienstleister verkompliziert“, antwortet die Bank: „Der Zugriff wird etwas komplexer, weil der Kunde zwei Faktoren eingeben muss, oder weil der Drittdienstleister ein Zertifikat bei der BaFin beantragen muss. Beides sind Vorgaben von PSD2 und daher nicht bankspezifisch. „
  • Zu der generellen Kritik, das Vorgehen der ING laufe dem Geist der PSD2 zuwider, meint die Bank: „Durch PSD2 wird der Markt für Drittanbieter offener, aber vor allem liegt der Schwerpunkt auf mehr Sicherheit für den Kunden: Kontozugriffe werden geregelter und für den Kunden somit sicherer. In PSD2 liegt die Zukunft – daher überdenken manche finTS-Dienstleister auch bereits ihre Geschäftsstrategie und wollen ‚Third Party Provider‘ werden.“

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing