Game Changer in Banking – Wie die neue EU-Zahlungsverkehrdirektive PSD2 die Finanzbranche verändert

by Lisa Baur

Robert Macho ist Onlinebanking Pionier der ersten Stunde. Mit langjähriger Branchenerfahrung und visionärer Tatkraft begleitet er mit seinem Unternehmen FRC FinReg Consulting den Digitalen Wandel der Finanzdienstleistungsbranche in Zeiten von Fintechs, neuen Kundenanforderungen und Mobilität. Im Interview beschreibt er die Auswirkungen der PSD2 auf die Branche und wie diese zwangsläufig zu einer Modernisierung des Bankwesens beitragen wird.

Die neue EU-Zahlungsverkehrsdirektive unter der Kurzbezeichnung „PSD2“ ist nun in Kraft getreten. Beginnt bei den Banken schon das Zittern?

Naja – die Finanzdienstleister hatten ja schon einige Jahre Zeit, sich auf die kommenden Veränderungen vorzubereiten. Man muss sich vorstellen, dass die ersten Aktivitäten der EU-Wettbewerbskommission nun schon fast 7 Jahre her ist….

Moment, darf ich hier nachhaken – was geschah 2011 ?

Nach diversen strategischen Vorarbeiten hat die EU Wettbewerbsbehörde schlussendlich im September 2011 eine „Antitrust-Investigation” zu der geplanten Standardisierung der europäischen Finanzdienstleister im Rahmen der Aktivitäten des „European Payment Councils“ für eine Öffnung des elektronischen Zahlungsverkehrs gestartet und damit andererseits jede Marktentwicklung innerhalb dieser europäischen Banken eigentlich gestoppt. IT-Serviceanbieter hatten sich damals beschwert, dass eine Standardisierung durch die Banken ihr Geschäftsmodell, nämlich vorhandene Overlay-Services für die zersplitterten Angebote zu betreiben, zerstören würde. Das war also so, als wenn die Pharmaindustrie sich beschwert, dass Ärzte Krankheiten heilen, weil dann eben weniger Pillen geschluckt werden müssen.

Aber egal, das ist Geschichte. Es mussten eben weiterhin Pillen geschluckt werden bzw. erfolgten viele Jahre Verhandlungen zwischen den Interessengruppen wie zum Beispiel dem europäischen Konsumentenschutz, den Finanzbehörden der Mitgliedsstaaten und auch EU-Parlamentariern. In diesem üblichen dreistufigen Prozess, also EU-Kommission, EU-Parlament und Europäischer Rat, wurde der politische Wille recht schnell ganz klar: man wollte innerhalb Europas die Infrastrukturen der Finanzindustrie öffnen, um damit IT-Dienstleistern und Startups neue Chancen zu eröffnen und schlussendlich den Bankkunden innovative und europaweite Lösungen anbieten zu können.

Mitte Jänner 2016 wurde endlich die finale EU-Zahlungsdienste-Richtlinie im Amtsblatt der Europäischen Union veröffentlicht und damit auch die 24 Monate Zeitspanne zur sogenannten Transposition der Direktive in die nationalen Gesetze der Mitgliedsstaaten gestartet.

Also, entsprechend der Fristvorgaben, ist die europäische Zahlungsdienste-Direktive nun auch in Österreich gültig?

Leider noch nicht wirklich, denn eine Direktive muss eben in die nationale Gesetzlage aufgenommen werden. In unserem Fall ist ein neues Zahlungsdienstegesetz (ZaDiG) in der Schublade und gehört noch finalisiert. Jedenfalls hat die EU-Kommission die Mitgliedsländer bereits erinnert, diese Aufgabe nun doch bitte so rasch als möglich abzuschließen.
Die Frage ist nun also, was wird demnächst anders oder besser. Da wäre zum Beispiel für die Konsumenten Verbesserungen im Bereich der Zahlungsspesen durch den Handel, Reduktion von Haftungsgrenzen und Fristen für die Behandlung von Reklamationen. Aber der echte Kernbereich war und ist eben die Öffnung der Bankeninfrastrukturen, also das Recht von „Drittfirmen“ sich direkt an Kontoinhaber zu wenden und für diese, durch Nutzung der Onlinesysteme der Banken, eigene Dienstleistungen anzubieten. Diese Dienstleistungen sind klar aufgezählt und auch abgegrenzt, das bedeutet diese Dienste dürfen nicht intransparent vermischt werden. Dabei handelt es sich entweder um Initiierung von Zahlungen zulasten Zahlungskonten oder um das Abholen von Buchungs-Informationen aus Zahlungskonten. Eine Dritte Dienstleistungskategorie darf basierend auf Zahlungskarten alternative Zahlungsmethoden anbieten – zum Beispiel durch Nutzung von Lastschriftsverfahren. All das eben auch nur auf Basis von bestehenden Zahlungskonten und das bedeutet auch, dass Sparkonten, Kreditkartenkonten, Wertpapierkonten etc. ausgeschlossen sind.

Man kann sich also lebhaft vorstellen, wo die Problemfelder bei der Implementierung solcher Dienstleistungen liegen: einerseits wäre es für die neuen Dienstleister, sagen wir einmal „charmant“, würde eine standardisierte Schnittstelle oder API in den Bankensystemen für diese Geschäftsfälle existieren. Andererseits sollten wohl auch sicherheitstechnischen Regeln und Vorgaben existieren, welche von den Partnern einzuhalten wären. Diese „Security“-Frage ist insofern besonders brisant, da die politischen Vorgaben davon ausgehen, dass es zwischen den neuen „Drittfirmen“ und den kontoführenden Banken keinerlei Vereinbarungen geben muss. Dies bedeutet also, jede Drittfirma, welche in ihrem EU-Land von der lokalen Finanzaufsichtsbehörde registriert und zugelassen ist, kann auf Online-Systeme und Informationen bei Banken innerhalb der EU zugreifen. Ohne Vertrag, ohne Vorwarnung, ohne Kosten.

Sie sprechen hier jedoch betreffend der Standardschnittstellen und Sicherheitsvorgaben im Konjunktiv? Gibt es denn diesen wichtigen Unterbau für die neue Zahlungsverkehrswelt noch gar nicht?

Richtig. Das wird erst Realität. Genau das wurde ja historisch gesehen von der Politik 2011 verhindert und verschiedene Bankenorganisationen bemühen sich, dies nun nachzuholen. Motivationsfaktor dafür ist die Übergangsregelung, welche es Drittanbietern ermöglicht – solange es eben keine dezidierte Datenschnittstelle gibt – mittels sogenanntem „Screen Scraping“ ganz einfach die Informationen aus dem im Browser angezeigten Daten herauszulesen. Eine technische Idee der 80er Jahre und wohl nicht ganz kompatibel mit den heutigen Sicherheitstechnologien.
Apropos „Sicherheit“. Dazu steht in der PSD2 nicht viel Konkretes. Drittanbieter müssen sich zwar eindeutig gegenüber den Banken als lizenzierte Unternehmen identifizieren, diese Drittanbieter dürfen sich auch den Sicherheitstechnologien der Banken bedienen und das alles sollte E-IDAS konform ablaufen. (Anmerkung: E-IDAS ist die EU-Regulierung für Vertrauensdiensteanbieter, wie zB Trustcenter für die Ausgabe von sicheren digitalen Zertifikaten).
Aber im Grunde stehen in der Direktive zumeist nur Überschriften. Für die genaue Definition von Regeln und Vorschriften für die Betreiber wurde in der PSD2 die europäische Bankenaufsicht EBA beauftragt. In der EU-Diktion muss die EBA sogenannte „Regulatorische Technische Standards“ (RTS) für die Festlegung der Sicherheitsregeln im Onlinebanking herausgeben, welche von den Banken und Zahlungsdiensteanbietern innerhalb von 18 Monaten umgesetzt werden müssen. Allerdings wurde die finale Version dieser RTS bisher von den europäischen Gesetzesgebern auch noch nicht positiv entschieden und freigegeben. Solange dies nicht geschieht, ist genau das erlaubt, was heute eben schon üblich ist – damit wären wir also wieder bei „Screen Scraping“ und ähnlichen Lösungen.
Unter anderem gibt es noch einen Auftrag an die EBA, nämlich eine Lösung zu finden, damit sich Drittanbieter im Zuge der realtime Onlineverbindung mit den Bankkonto-Systemen gegenüber den kontoführenden Banken als lizenzierte und offiziell registrierte Unternehmen identifizieren können. Die Aufsichtsbehörden sprechen derzeit lediglich von einem „Register“, welches über die Onlineseiten der Behörden abrufbar wäre. Dies klingt nach einer Lösung, welche wohl kaum produktionstechnisch in eine end-to-end Online- und 7×24 Stunden Echtzeitumgebung der Banken integriert werden kann.

Also ist in Form des PSD2 ist die europäische Direktive zwar existent….

…aber die Werkzeuge für die Umsetzung existieren noch nicht. Sicherheitsstandards der Europäischen Bankenaufsicht sind noch offen. Banken müssen ihre Standardschnittstellen und APIs noch bauen. Anbieter sind noch nicht bei ihren Behörden ordentlich lizenziert. Das Onlineregister für Drittanbieter muss noch gebaut und befüllt werden. Die Übernahme der EU-PSD2 Direktive in die nationalen Gesetze ist in den meisten Europäischen Ländern noch offen.
Und last but not least werden diese unterschiedlichen Geschwindigkeiten bei der Implementierung in den Mitgliedsländern auch wiederum zu unterschiedlichen Lösungen führen. Als kleine Beispiele: in Finnland war und ist Screen-Scraping schlicht verboten, in Italien existiert ein Opt-Out Recht der Bankkunden und diese können Drittanbieter damit sozusagen abblocken, in Österreich scheint es wiederum noch unklar, wie sich ein Online-Kontozugriff mit den strikten Regeln des österreichischen Bankgeheimnisses verträgt, etc., etc…

Die größte Errungenschaft: PSD2 scheint es jedenfalls zu sein, als „Game Changer“ den Finanz-Onlinemarkt in Schwung zu bringen?

Abgezeichnet hat sich dies bereits interessanterweise in Großbritannien. Dort hat die Finanzbehörde das Thema Innovation in Banking vor Jahren den Banken schlicht und einfach „verordnet“ und ist damit der langwierigen europäischen Zeitabfolge zuvorgekommen. Der Begriff „Open Banking“ ist hier kein Schlagwort mehr. Die Banken mussten offene Schnittstellen implementieren und der Umstand, dass sich in und rund um London die größte Ansammlung von einschlägigen Software-Unternehmen unter dem Titel „FinTech“ angesiedelt haben, spricht wohl für sich.
Aber nicht nur FinTechs, auch große Banken implementieren bereits in ihren APP’s diese offenen Schnittstellen. Alle Konto- und Finanzdaten auf einem Bildschirm lautet die Devise.
Zusätzlich ist die zuständige Aufsichtsbehörde relativ flexibel und lässt, zwar unter der eigenen Kontrolle, aber immerhin, abgegrenzte Experimente von Anbietern innerhalb einer sogenannten „Sand-Box“ zu.

Auch in Österreich bemühen sich die Banken, gemeinsam mit Banken-Organisationen anderer Länder, um standardisierte Zukunftslösungen. Und Banken selbst entwickeln bereits flexible Plattformen um auf dieser Basis kooperative Modelle mit Startups und API-Anbietern anbieten zu können. Darüber hinaus werden in dem Bemühen, die Business-Cases der Zukunft zu finden, auch zunehmend neue Dienste rund um Identitätsprüfung und der Abwicklung sicherer Geschäftsprozesse gesucht und entwickelt. Hier ist es allerdings angesagt, über den Tellerrand zu blicken, nämlich auf eine zweite EU-Rechtsnorm, die E-IDAS Regulation, weche sogenannte Vertrauensdiensteanbieter ins Spiel bringt. Darunter versteht man sogenannte Trust Center, welche digitale Signaturen und sichere Zertifikate ausgeben oder auch Zustellungsdienste welche für den Konsumenten aus einer Hand den sicheren und nachweislichen elektronischen Postversand unterschiedlichster Absender, Firmen und Behörden, managen. Für beide Fälle gibt es aus Österreich ebenfalls positive Beispiele, um exemplarisch zwei davon zu nennen: die Zertifizierungsstelle A-Trust, welche hinter der österreichischen Handysignatur steht oder im Bereich der E-Zustellung das Startup-Unternehmen Postserver.

Market-Boost versus Directive-Depression

Auf der Suche nach neuen Marktchancen werden sich proaktive Unternehmer allerdings kaum in unklare regulatorische Definitionen verkrallen, sondern Gestaltungsspielräume suchen. Und diese gibt es absolut. Insofern werden neue Dienstleistungen und Produkte in Bereichen entwickelt, welche trotz all den mühevollen Verhandlungen rund um die PSD2, von dieser nun gar nicht erfasst werden. Zum Beispiel wird ein Kontozugriff von neuen Plattformanbietern gar nicht für das Absaugen von Kontoinformationen oder dem Initiieren von Zahlungen durchgeführt, sondern ganz simpel, um lediglich die Identität der Kontoinhaber zu überprüfen.

Der Zahlungsverkehrsteil kann wiederum ganz elegant über das Bankeinzugsverfahren umgangen werden. Diese Verfahren wurden nämlich in den letzten Jahren ebenfalls auf einen europäischen Standard umgestellt, den SDD – SEPA Direct Debit und die Initiierung eines SDD-Auftrages wird von der PSD2 nicht erfasst. Darüberhinaus haben die Regulatoren irgendwie ganz vergessen, die Kriterien für die Freischaltung von möglichen SDDs – man spricht von einem sogenannten „Mandat“ – europaweit festzulegen.
Die österreichischen Banken haben zwar mustergültig dazu eine standardisierte Online-Schnittstelle unter dem Titel E-Mandat entwickelt. Wenn allerdings Anbieter vor allem von Deutschland aus in unser Land blicken, wird man eher die Logik des Heimatlandes anwenden – und diese lautet für das E-Mandat leider oft: „anything goes“. Besonders auf US-based Plattformen ist das Eintragen eines ungeprüften IBANS und der click auf eine checkbox durchaus ausreichend.

Und auch diese Frage ist offen: was werden die neuen Drittfirmen welche sich als „Kontoinformations“-Anbieter registrieren lassen wohl tatsächlich als Dienstleistung für die Bankkunden anbieten? Lediglich farbige Tortengraphiken zu zeichnen und schlichte Zuordnungen zu Ausgabekategorien kann es wohl nicht sein. Aber sehr wohl interessant könnte es sein, wenn diese Systeme aus meinen Bankdaten lernend, automatisiert mögliche Veranlagungen oder andererseits Finanzierungen anbieten werden.

Wenn also diese neue Direktive zur Regulierung neuer Zahlungsverkehrs- und Bankendienstleitungen einen „Game Changer“ darstellt und sich dadurch wesentlichen Veränderungen bei Finanzdienstleistungen abzeichnen, dann eventuell sogar in ganz anderen Bereichen, als in der PSD2 intendiert waren. Und auch die Zeitspannen, welche die PSD2 oder auch die Regularien der europäischen Bankenaufsicht vorgeben, werden durch die dynamische Marktentwicklung relativiert. Erstmalig seit Mitte der 90er Jahre, damals als die ersten Internet- und Onlinebankings entwickelt wurden, haben technische Entwicklungen und damit Kriterien wir Innovation, Kreativität und Schnelligkeit einen derartigen nachhaltigen Einfluss auf die Finanzindustrie. Wir können gespannt sein.

Beim Confare Event IDEE 2018 hören Sie zahlreiche Beispiele der internationalen Finanzbranche rund um Digitale Transformation und neue Wettbewerbsfaktoren – Wie sich die Firmenkultur bei der Bank Julius Bär verändert, wie Big Data bei der BAWAG eingesetzt wird und welche Rolle ein Data Scientist hat wird genauso Thema sein, wie Customer Experience und der Wandel des Vertriebs im Digitalen Zeitalter. Sichern Sie sich gleich Ihre Teilnahme am 21. März 2018 im Wiener Schloß Schönbrunn.

0 comment

Für Sie ausgewählt

Leave a Comment

LinkedIn
Share