Die PSD2 aus einer europäischen Perspektive

Seit Mitte Januar 2018 ist die PSD2 in Kraft. Wie haben die deutschen Banken im Vorfeld darauf reagiert? Gab es da keine Bedenken?

Die gab es tatsächlich am Anfang. Während des Gesetzesverfahrens vor rund fünf Jahren wurden wirklich alle Hebel in Bewegung gesetzt, um auf kritische Punkte hinzuweisen. Insbesondere ging es dabei um Sicherheits- und Datenschutzbedenken, wenn Drittdienstleister die Möglichkeit bekommen, auf die Infrastruktur der Banken zuzugreifen. Aber diese Bedenken wurden als Blockadehaltung ausgelegt, als wollten die Banken den Wettbewerb verhindern. Im Gesetzgebungsprozess griffen dann sehr spät auch die Verbraucherschützer diesen Punkt auf und haben uns in unserer Argumentation unterstützt. Was eigentlich eine Seltenheit ist. Das war wirklich ein Schulterschluss zwischen Verbraucherschützern und Banken.

Die Deutsche Kreditwirtschaft hat damals gefordert, dass Drittanbieter aus Sicherheitsgründen und zur Wahrung des Bankgeheimnisses keinen Zugriff auf personalisierte Merkmale des Zahlers (z.B. Online-PIN/TAN) haben sollen.

Das war natürlich ein Thema, das uns sehr beschäftigt hat. Mittlerweile können wir sagen, die PSD2 gibt hier klare Regeln vor. Der Kunde kann seine Zugangsdaten, wie PIN und TAN, Drittdienstleistern zur Verfügung stellen, wenn sie für die Ausübung von Zahlungsauslöse- und Kontoinformationsdiensten notwendig sind. Drittdienstleister sind mit der PSD2 gesetzlich anerkannt und müssen bestimmte Voraussetzungen (Lizenz, Registrierung) erfüllen. Damit unterstehen sie der Bankenaufsicht. Zudem ist auch der Zugriff auf den Datenumfang geregelt. Das sind alles Massnahmen zur Stärkung der Sicherheit und auch des Bankgeheimnisses.

Kommen wir noch einmal auf dieses Moment zu sprechen, als die Stimmung sich ins Positive gewendet hat. Was genau ist da passiert?

Als klar war, dass die PSD2 definitiv kommt, gab es vor anderthalb, zwei Jahren ein Umdenken. Man hat sich nicht nur mit den Risiken beschäftigt, sondern auch mit den Chancen. Nicht nur in Deutschland, sondern europaweit. Dabei waren die ersten Überlegungen: Bin ich wirklich nur Infrastrukturbetreiber? Bin ich wirklich nur kontoführender Dienstleister, der Zahlungskonten für andere kostenlos zugänglich machen muss, oder kann ich nicht selber in die Rolle eines Drittdienstleisters schlüpfen? Kann ich nicht selber diese Dienste anbieten? Indem man sich in die Rolle der Marktgegenseite versetzt hat, hat man gesehen: Mein Kunde kann auch von diesen Services profitieren, wenn die Bank sie ihm anbietet.

Weite Teile des Schweizer Finanzplatzes vertreten die Meinung, dass ein regulatorischer Zwang einen unnötigen Eingriff in einen funktionierenden Markt bedeute. Zudem würden die Schweizer Banken bereits heute in Fintech-Lösungen investieren und eng mit Startups zusammenarbeiten. Wie stehen Sie zu dieser Skepsis?

Das ist durchaus nachvollziehbar. Auch in Deutschland gab es ja am Anfang diese Skepsis. Der Vorteil von PSD2 ist, dass mit dieser europäischen Richtlinie Rechtssicherheit geschaffen wurde. Übrigens gibt es auch in Deutschland immer mehr Kooperationen zwischen Fintechs und Banken, genau wie im Schweizer Markt. Beim Bankenverband gibt es noch eine Besonderheit: Seit einiger Zeit können Fintechs bei uns ausserordentliches Mitglied werden. Das ist eine komplett neue Situation und wohl auch einzigartig in Europa. Der Austausch in gemeinsamen Arbeitskreisen und Projektausschüssen ist sehr befruchtend. Es ist tatsächlich so, dass es da eine völlig andere Sichtweise auf bestimmte Dinge gibt. 
 

In der Schweiz wird moniert, dass mit der Einführung von PSD2 hohe Kosten und Aufwände bei den Banken entstünden. Im Umkehrschluss würde das heissen: In Deutschland seien die Kosten für die Umstellung auf PSD2 nicht hoch gewesen. Ihre Einschätzung?

Da die PSD2 ein europäisches Gesetzeswerk ist, das den Wettbewerb in ganz Europa stärken soll, stand gar nicht so sehr der Markt in Deutschland im Fokus. Aber natürlich sind die Kosten und Aufwände nicht kleinzureden. Die sind schon enorm. Insbesondere was den 13. Januar 2018 betraf, als die PSD2 in Kraft trat. Es mussten die Allgemeinen Geschäftsbedingungen der Banken und die kompletten Bedingungswerke im Zahlungsverkehr geändert werden. Das verursachte hohe Kosten, zumal ja die Kunden darüber informiert werden müssen. Und bei Verbrauchern passiert das heute noch oftmals postalisch. Der zweite grosse Kostentreiber ist die PSD2-Schnittstelle, bei der Banken ihre Infrastruktur öffnen und Drittdienstleistern kostenlos zur Verfügung stellen müssen.

Wie gross ist Ihres Erachtens die Gefahr, dass der Bankensektor Marktanteile verliert bzw. dass PSD2 zu einer Wettbewerbsverzerrung zu Ungunsten der Banken führen wird? Oder umgekehrt, dass die Banken potenziellen Drittanbietern von vornherein das Wasser abgraben, indem sie ihrerseits neue Kontoinformationsdienstleistungen anbieten?

Der Bankensektor geniesst ein sehr grosses Vertrauen. Das ist einer der entscheidenden Wettbewerbsvorteile gegenüber anderen Marktteilnehmern. Ausserdem sehen wir den Trend, dass immer mehr Banken Kooperationen mit Startups in diesem Bereich schliessen und es zu einer gegenseitigen Win-win-Situation kommt. Andererseits ist es auch naheliegend, dass die Banken, die ihre Infrastruktur kostenlos zur Verfügung stellen müssen, sich überlegen, welche Chancen sie mit der PSD2 haben, wie sich das in neue Geschäftsmodelle umwandeln lässt. Aber wie letztendlich der Wettbewerb bei Zahlungsauslöse- und Kontoinformationsdiensten genau aussehen wird, das kann heute keiner vorhersagen.
 

Durchschnittlich hat mittlerweile jeder Mensch 1,8 Bankkonten, viele sogar drei oder vier. PSD2 soll insbesondere einem Multibanking-Kunden Vorteile bringen und es ihm ermöglichen, seine gesamte Finanzsituation auf einem Blick zu managen. Offenbar sind 15% der Deutschen gemäss einer Umfrage bereit, Bankdaten an Unternehmen weiterzugeben. Gab es im Vorfeld der Umsetzung von PSD2 weitere Umfragen oder Abklärungen nach möglichen Bedürfnissen der Konsumenten?

Solche Umfragen sind mir nicht bekannt. Allerdings kommt es bei Umfragen ja auch immer darauf an, welche Zielgruppe angesprochen wird. Ob es sich dabei um eine jüngere Generation handelt oder um eine ältere, die bei elektronischen Services prinzipiell eher skeptisch ist. Aber welche innovativen Produkte es irgendwann geben wird, kann man sich heute noch gar nicht im Detail vorstellen. Die Entwicklung ist jedoch erkennbar: Dass man wirklich mit den Daten arbeitet, Services anbietet, indem man Kontoumsätze scannt und beispielsweise sieht: Ach, die Stromrechnung ist doch viel zu teuer, es gibt günstigere Anbieter. Da ist es durchaus vorstellbar, dass ein Kunde sagt, diesen Service möchte ich nutzen, ich willige ein, dass man hier auf meine Daten zugreift.
 

Apropos Konsumenteninformation. Gemäss einer EU-Richtlinie sollte seit dem 13. Januar auf den Webseiten der EU-Kommission, der EBA und der zuständigen Behörden ein benutzerfreundliches Merkblatt veröffentlicht sein, «in dem die Rechte der Verbraucher nach dieser Richtlinie und dem einschlägigen Unionsrecht klar und leicht verständlich aufgeführt sind». Recherchen im Internet brachten bis jetzt allerdings kein deutschsprachiges Merkblatt zum Vorschein. Woran liegt das?

Das kann ich Ihnen leider auch nicht sagen. Auch wir warten auf dieses Merkblatt und sind ganz gespannt auf die konkreten Inhalte.

Während Zahlungsauslösedienste für ihre Tätigkeit eine Zulassung von der nationalen Aufsichtsbehörde benötigen, unterliegen Kontoinformationsdienstleister lediglich einer Registrierungs-, aber keiner Bewilligungspflicht. Bei der EBA wird postuliert, dass der Antragsteller einen Auszug aus dem Strafregister beizulegen hat. Weder im deutschen Zahlungsdiensteaufsichtsgesetz noch im Vernehmlassungsbericht der liechtensteinischen Regierung zu den Änderungen des Zahlungsdienstegesetzes ist die Rede davon. Wie erklären Sie sich diese Unstimmigkeit?

Es ist so, dass es sich bei diesen Vorgaben der Europäischen Bankenaufsicht um Guidelines handelt, also um Leitlinien, die sich an die nationalen Aufsichtsbehörden richten. Ob das dann eins zu eins umgesetzt wird, hängt unter anderem davon ab, ob Besonderheiten des lokalen Marktes eine Rolle spielen, ob es schon bestimmte Praktiken und bestimmte Zulassungskriterien beispielsweise für Zahlungsinstitute gibt, mit denen höchste Anforderungen erfüllt werden, so dass von einer Eins-zu-eins-Umsetzung in nationale Gesetzestexte abgesehen wird.
Neben diesen Guidelines, also Empfehlungen, nach denen man sich richten kann, gibt es Rechtstexte, die Delegierten Verordnungen, die nicht erst umgesetzt werden müssen, sondern unmittelbar Gültigkeit erlangen, wie beispielsweise die Technischen Regulierungsstandards (Regulatory Technical Standards, RTS) im Rahmen der PSD2, mit ihren Regeln für eine starke Kundenauthentifizierung und eine sichere Kommunikation.

Diese RTS der Europäischen Kommission treten allerdings voraussichtlich erst in der zweiten Hälfte 2019 in Kraft. Es besteht somit eine Lücke zwischen PSD2 und RTS. Wäre es unter diesen Umständen nicht besser gewesen, die Einführung von PSD2 so lange aufzuschieben?

Es gab tatsächlich diese Diskussion, ob man nicht beides gleichzeitig umsetzen sollte. Einige Länder haben sich dafür auch stark gemacht. Aber die Fristen für die PSD2 standen fest; es war klar, die tritt zum Januar 2018 in Kraft. Ursprünglich hätten die RTS sechs Monate später folgen sollen. Und über diese Lücke hätte wohl keiner gesprochen. Jetzt haben wir eine Lücke von etwa eineinhalb Jahren. Inzwischen sind diese RTS als Delegierte Verordnung am 13. März 2018 veröffentlicht worden und müssen innerhalb von 18 Monaten umgesetzt werden, also bis zum 14. September 2019. Die abweichenden Fristen wurden vom nationalen Gesetzgeber im Umsetzungsgesetz berücksichtigt. Alle Drittdienstleister, die schon vor Verabschiedung der PSD2 ihre Dienste angeboten haben, dürfen dies weiterhin und geniessen Bestandschutz. Neu ist, dass sie dafür eine Lizenz oder eine Registrierung brauchen und der nationalen Bankenaufsicht unterstehen. Erst wenn die RTS zum September 2019 umgesetzt sind, müssen Drittdienstleister die Schnittstellen der Banken nutzen.
 

Die Berlin Group hat einen auf ISO 20022 basierenden, gemeinsamen, europaweiten API-Standard entwickelt, um Drittanbietern (TPPs) Zugang zu Bankkonten zu ermöglichen. Sieht man sich die Liste der Mitglieder an, fällt auf, dass annähernd ein Drittel davon aus Deutschland stammt. Heisst das, dass das Interesse bei den anderen europäischen Finanzinstituten an einem gemeinsamen Schnittstellenstandard so klein ist? Dass sie selber APIs erfinden? Oder sich erst für das fertige Produkt der Berlin Group interessieren werden?

Dass es sehr viele Mitglieder aus Deutschland gibt, liegt einfach daran, dass wir uns sehr frühzeitig für einen einheitlichen Standard eingesetzt haben. Man kann fast sagen, dass die deutschen Banken bzw. die Deutsche Kreditwirtschaft zu den Gründungsmitgliedern dieser Initiative gehören. Nichtsdestotrotz, mittlerweile sind Organisationen aus zwanzig EU-Ländern vertreten. Und das ist schon enorm, wenn man bedenkt, dass es ja eine freiwillige Initiative ist. Richtet man den Blick auf Europa, sieht man, dass es lediglich fünf Initiativen gibt, die einen Standard entwickelt haben: Neben der Berlin Group handelt es sich dabei um Initiativen aus Grossbritannien, Frankreich, Polen und der Slowakei. Von diesen fünf Initiativen sind vier national ausgerichtet und lediglich diejenige der Berlin Group ist tatsächlich länderübergreifend – paneuropäisch. Das war damals für uns auch der ausschlaggebende Punkt, die Berlin Group zu unterstützen.

Wie schätzen Sie die Chancen ein, dass sich dann doch alle auf eine internationale europäische Lösung einigen werden? Wie stark weichen diese nationalen Standards voneinander ab?

Die Bestrebungen sind sicherlich, Standards zusammenzuführen. Mittlerweile gibt es schon erste Harmonisierungen zwischen dem französischen Standard und der Berlin Group sowie auch in Richtung Polen. Man hat erkannt, dass eine einheitliche Schnittstelle besser ist, als wenn es proprietäre Lösungen gibt, sei es bei einer Bank oder sei es national. Auch die Europäische Kommission unterstützt die Idee einer einheitlichen Schnittstelle. Aber es gibt eben auch nationale Besonderheiten, beispielsweise beim britischen Markt. Da verlangte die Wettbewerbsbehörde von den neun grössten Banken, sich zu öffnen. Die dortigen Anforderungen gehen über die PSD2 hinaus.

Sind ansonsten alle Voraussetzungen und die notwendige Investitionssicherheit für eine erfolgreiche Umsetzung der PSD2 geschaffen?

Noch nicht ganz. Die RTS stellen es jeder Bank frei, ob sie eine dedizierte Schnittstelle anbietet oder ob sie das Kunden-Interface, das Online Banking, öffnet. Gleichzeitig fordern die RTS, dass Banken, die eine dedizierte Schnittstelle anbieten, auch eine Notfalllösung, einen Fallback-Zugang, anbieten müssen. Das Problem dabei ist, dass es sich um eine zweite Schnittstelle handelt, was doppelte Investitionskosten bei den Banken verursachen würde. Unter diesen Voraussetzungen wird keine Bank standardisierte dedizierte Schnittstellen anbieten, sondern eigene Lösungen in Form eines angepassten Kunden-Interface. Also genau das Gegenteil dessen, was mit einem API-Standard erreicht werden sollte. Mittlerweile gibt es in den RTS zwar die Möglichkeit, dass sich eine Bank von dieser Fallback-Lösung befreien lassen kann, indem sie von der nationalen Bankenaufsicht eine Ausnahmegenehmigung erlangt. Diese ist jedoch mit der Erfüllung bestimmter Anforderungen an die Schnittstelle gekoppelt, und hier sind die Kriterien im Detail noch nicht festgelegt. Da läuft uns ein bisschen die Zeit davon.