Exklusiv

Fintech-Lobby ruft den PSD2-Ausnahmezustand aus

18. Juli 2019

Von Christian Kirchner

Zwei Monate, bevor am 14. September die zweite und entscheidende Stufe der PSD2-Direktive in Kraft tritt, warnen einige der prominentesten deutschen Fintech-Vertreter vor einem kolossalen Scheitern der neuen Richtlinie. Eigentlich sollte die sicherstellen, dass Drittanbieter künftig nach klaren Regeln auf Kontodaten bei Banken zugreifen können – immer vorausgesetzt, der Kunden hat dem zugestimmt. Tatsächlich aber seien die notwendigen Schnittstellen der Banken „nicht marktreif“, komplette Use-Cases von Banken, Fintechs und Softwareunternehmen würden „zertrümmert“, und statt zur erhofften Marktöffnung drohe nun „Marktstandard der Abschottung“, der zahlreiche Anbieter in den Ruin treiben könne.

So zumindest äußern sich FintecSystems-Gründer Stefan Krautkrämer sowie die beiden Figo-Manager André Bajorat und Cornelia Schwertner in einem rund einstündigen, geharnischten Podcast, den Bajorat auf seinem Blog „Paymentandbanking“ heute veröffentlichen will – und der Finanz-Szene.de vorab zur Verfügung gestellt wurde.

Nun sind Krautkrämer, Bajorat und Schwertner natürlich keine unabhängigen Branchenexperten, sondern Lobbyisten ihrer selbst. Figo und Fintecsystems gehören – ebenso wie beispielsweise NDGIT, finAPI oder BANKSapi – zu jenen Fintechs, die als API-Spezialisten von der PSD2-Richtlinie besonders zu profitieren hofften, weil sie es sind, die die Schnittstellen zwischen Banken und Drittanbietern managen wollen.

In dem Podcast ein bloßes Lobbyisten-Geklingel zu sehen, greift aber dennoch zu kurz. Denn erstaunlicherweise ist aus der etablierten Finanzbranche zu hören, dass auch viele Banken nicht wirklich glücklich seien mit dem Stand der PSD2-Umsetzung. Das liegt zum einen anderen, dass Banken auch selber jene Drittanbieter seinen können, die mit Zustimmung ihrer Kunden auf deren Konto bei anderen Banken zugreifen.

Institute wie die Deutsche Bank, die sich explizit als Konten-Aggregator positionieren wollen, haben also durchaus ein Interesse an einer möglichst reibungslosen Einführung von PSD2. Zum anderen scheint es aber auch einfach so zu sei, dass die Schwertners, Bajorats und Krautkrämers mit ihrer inhaltlichen Kritik objektiv betrachtet gar nicht so falsch liegen. Das jedenfalls räumen Bankenvertreter unter der Hand ein.

„Ein Problem ist, dass in diesem Prozess bis zum 14. September keinerlei Schalter eingebaut wurde, mit dem man das Ganze notfalls stoppen könnte. Das bringt einen unglaublichen Druck in die Situation“, heißt es von einem Banken-Lobbyisten. Nachdem dieser Tage vonseiten diverser Fintechs wiederum ordentlich Druck beim Kartellamt und bei der Bafin gemacht wurde, wird hinter den Kulissen nun offenbar an einem Ausweg gearbeitet, ist von verschiedenen Seiten zu hören. Eine Lösung könnte so zum Beispiel so aussehen, dass die Bafin – mit Duldung der europäischen Aufsichtsbehörde EBA – die Mitte-September-Deadline eben doch aufweicht. Genauer: Eben nicht zu akzeptieren, dass Banken alle übrigen Zugänge zu Kunden abknipsen können, solange sie nur dokumentieren, dass sie die neuen Richtlinien formal umgesetzt haben.

Um überhaupt zu verstehen, wie es zu dem Schlamassel kommen konnte, muss man das Wesen der PSD2-Richtlinie verstehen. Die Direktive (Slidedeck dazu: hier) soll zwei miteinander verwobene Sachverhalte regeln: Das eine ist der bereits skizzierte Kontenzugriff. Und das zweite die stärkere Kunden-Authentifizierung. Diese läuft darauf hinaus, dass Login und Passwort nicht mehr fürs „Einloggen“ und eine papierne Tan-Liste nicht länger für das Ausführen von Transaktionen genügen. Stattdessen kommen nun neue Formen der Authentifizierung ins Spiel, etwa eine zweite App, ein von einer App generierter Code oder eine mobile, eigens generierte TAN.

Zugespitzt ist gesagt ist es so, dass der Kontenzugriff dem Prinzip der Marktöffnung folgt – während die starke Authentifizierung demselben Prinzip tendenziell zuwiderlaufen kann.

Die Klagen Bajorats, Schwertner, Krautkrämers (und anderer Fintech-Vertreter, die aber lieber im Hintergrund bleiben) laufen nun darauf hinaus, dass der Spielraum, den alle Beteiligten bei der Umsetzung von PSD2 haben, ausgenutzt werde, um das ursprüngliche Ziel der Marktöffnung zu unterlaufen.  „Es gibt Banken, die haben PSD2 vom ersten Moment an als gute Gelegenheit gesehen, die Türen zu schließen – und das wurde von jenen, die sich fair verhalten, zu spät erkannt“, beschreibt ein Beteiligter die Lage.

Andere Praxisberichte stützen das. Das britische Fintech Salt Edge dokumentierte gestern seine gesammelten Erfahrungen mit europaweit  insgesamt 250 „Schnittstellen-Teilnehmern“, also Aggregatoren ebenso wie Banken. Problemlos klappt die Schnittstelle demnach mit 10% aller Akteure. Mit 70% aller weiteren funktioniere nun zwar das „Onboarding“, alles sei gleichwohl ein komplizierter, teils zwei Monate dauernder Prozess gewesen“. 20% der Akteure blockierten demnach offen und bewusst ihre Schnittstelle.

Die typischen Schwierigkeiten der „grauen Mitte“ der 70%: Eine nicht dem Standard entsprechende Datenschnittstelle, zusätzliche oder gar nicht PSD2-konforme Verifikationsanforderungen, Zwang zum willkürlichen Kanalwechsel bei der Identifikation bis hin zu „Rufen Sie uns an“, Limitierung der Testversuche, Verkomplizierung der Datenschutzabfragen. Kurz: Wer anderen Ärger machen will, hat dazu technisch reichlich Gelegenheit.

Diese technischen Schwierigkeiten erhöhen den Druck zusätzlich: Viele Akteure sind offenbar noch gar nicht in der Lage, überhaupt mit praxisnahen Tests zu beginnen. So waren die PSD2-Regeln erst 2018 von der EBA genau gefasst worden; im März dieses Jahres begann dann das sogenannte „Sandbox-Testing“; seit Mitte Juni schließlich befinden sich nun alle Akteure im „vorgezogenen Produktionsbetrieb“ (in dem es aber, siehe oben, offenbar an allen Ecken und Enden zu haken scheint); und Mitte September soll dann das neue Regime gelten. Das heißt: Jeder Akteur, der die formalen Kriterien an die neue Schnittstelle erfüllt, kann sich aus dem bisher geltenden Regime verabschieden. Oder anders gesagt: Er kann Drittanbieter-Zugänge, die heute schon existieren, im Extremfall einfach abklemmen.

Ob es wirklich so kommt? Nach allem, was wir hören, eher nicht. Denn ein paar nölende Fintechs mögen den Banken wurscht sein. Einen Streit mit der Bafin oder dem „Open Banking“-freundlichen Bundeskartellamt hingegen dürfte die Branche eher nicht riskieren.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing