Banken müssen externen Finanzdienstleistern, insofern der Kunde dies wünscht, zukünftig Zugriff auf die Daten ihrer Kunden geben. Dies sieht die EU-Richtlinie PSD2 vor. Ziel ist es, Wettbewerb und Service beim Online-Banking erhöht werden. Was jetzt passiert.
Die zweite Zahlungsdiensterichtlinie der EU – kurz PSD2 – öffnet mit ihrer zweiten Stufe den Zahlungsverkehr gegenüber Drittparteien. Durch dieses „Open Banking“ können Kunden beispielsweise beim Einkauf im Internet Zahlungsauslösedienste (ZAD) beauftragen. Das ermöglicht eine Bezahlung per Sofort-Überweisung.
Online-Bezahlung soll schneller und einfacher werden
Die ZAD lösen bei dem kontoführenden Kreditinstitut eine Überweisung aus und schicken dem Verkäufer eine Zahlungsbestätigung. Auch wenn er noch keinen Zahlungseingang verbuchen kann, erhält der Verkäufer die Gewissheit, dass die Zahlung auf dem „Weg“ ist. Er wird die Ware oder Dienstleistung sofort freigeben oder versenden.
Für Kunden soll das Bezahlen im Internet dadurch genauso schnell und einfach werden, wie bar an der Kasse. Zudem können Kunden, die Konten bei verschiedenen Banken haben, durch die neuen Regularien Kontoinformationsdienste (KID) nutzen:
Diese zeigen alle Umsätze und Kontostände in einer zentralen Übersicht an. Für die Kunden bedeutet Open Banking also mehr Komfort, für Fintechs bedeutet es einen besseren Zugang in den Markt.
Technische Regulierungsstandards berücksichtigen
Damit ZAD und KID ihre Dienstleistungen anbieten können, benötigen sie Zugriff auf die Daten der Kunden. Die PSD2 definiert daher sogenannte Application Programming Interfaces (APIs). Mit diesen Schnittstellen lassen sich die Online-Services verbinden und Daten übertragen. Online-Banking soll aber nicht nur bequemer, sondern auch sicherer werden.
Aus diesem Grund verpflichtet die PSD2 Zahlungsdienstleister dazu, eine sogenannte starke Kundenauthentifizierung – abgekürzt SCA – zu entwickeln. In den technischen Regulierungsstandards (RTS) wird dafür eine Kombination aus mindestens zwei voneinander unabhängigen Elementen vorgegeben:
Kombiniert werden kann beispielsweise etwas, das der Kunde weiß, also ein Passwort, mit etwas, das er besitzt – also z. B. einer Tan – oder mit einem biometrischen Merkmal, wie einem Fingerabdruck.
Für Banken ist die technische Umsetzung dieser neuen Vorgaben eine enorme Herausforderung. Sie müssen gewährleisten, dass die neuen Authentifizierungsverfahren bei der Anbindung der Drittparteien umgesetzt werden.
Seite 2: Was auf keinen Fall passieren darf