Insights

ACHTUNG: Zugriff auf Bankdaten!

Digitalisierung nach Maßgabe der zweiten Zahlungs­dienste­richtlinie (PSD2)

Vor dem Hintergrund der Umsetzung der PSD2 müssen Kreditinstitute Zahlungsdienstleistern dezidierte Schnittstellen (APIs) zur Verfügung stellen, um diesen Zugang zum Konto und somit Zugriff auf personenbezogene Daten, Kontakt- sowie Kontoinformationen zu gewährleisten.

Im Zuge der Entwicklung einer bedarfsorientierten Digitalisierung und der Umsetzung der zweiten Zahlungsdiensterichtlinie (EU) 2015/2366 („PSD2“), nehmen Transparenz- und Informationspflichten in der Finanzindustrie, insbesondere mit Blick auf einen verbraucherschutzgestärkten europäischen Wettbewerb, zunehmend Schlüsselrollen ein.

Dies spiegelt sich unter anderem darin wider, dass kontoführende Zahlungsdienstleister (hierzu zählen auch alle Kreditinstitute) entsprechend, Art. 98 der PSD2 sowie gemäß der technischen Regulierungsstandards nach der (EU) 2018/389 („RTS“) zumindest eine dezidierte Schnittstelle einzurichten und diese für Kontoinformationsdienstleister (KID) und Zahlungsauslösedienstleister (ZAD) sowie für Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausstellen, bereitstellen müssen. Über diese Schnittstellen können qualifizierte Drittanbieter Zugang zu einzelnen Konten der Kunden des Zahlungsdienstleisters erhalten.

Einrichten von Schnittstellen 

Bereits seit dem 14. März 2019 müssen kontoführende Zahlungsdienstleister, die eine Markteinführung zum Inkrafttreten der Verordnung anvisieren, nach den Vorgaben des Art. 30 RTS die Schnittstellen für eine Testumgebung bereitstellen und sich einer Qualifikationsprüfung unterziehen. Anreiz zur zügigen Umsetzung bietet dabei im Fall von unzuverlässigen Schnittstellen die Fortschreibung des (teuren) „Screen Scraping“ Verfahrens, bei welchem der Aufruf und das Auslösen von Transaktionen der Konten über die Zugangsdaten des Kunden und das automatisierte Auslesen des Seiteninhalts und Einfügen von Daten erfolgt.

Berücksichtigt man die Bedeutsamkeit und Vertraulichkeit der übertragenen Daten, sind die formalen sowie materiellen Sicherheitsanforderungen, die zur Beachtung dieser Pflichten und zum Schutz der Marktteilnehmer, insbesondere der Verbraucher erfüllt werden müssen, nicht überraschend.

Kreditinstitute müssen für die Bereitstellung der Q-WAC-gesicherten Schnittstelle entsprechend den Vorgaben der RTS einen PSD2 konformen Umgang mit personalisierten Sicherheitsmerkmalen oder eine starke Kundenauthentifizierung vorweisen. Umsetzungsrelevant sind hierbei vor allem Transaktions- und Interaktionsüberwachungen, durch Kennung der einzelnen Kommunikationssitzungen und einer starken Kundenauthentifizierung, wobei die geforderte Stärke der Authentifizierung abzuwägen ist. Die Ausführungen in den RTS zur technischen Beschaffenheit der Schnittstelle bleiben vage, weshalb Banken, deren Systeme gerade auf Vermeidung des Zugriffs von außen hin konzipiert sind, immer häufiger auf vorgefertigte Softwarelösungen zurückgreifen, um den regulatorischen Anforderungen gerecht zu werden.

Regulatorische Anforderungen an FinTechs 

Doch auch FinTechs, die künftig von einem „Aufbruch“ der Infrastruktur der Kreditinstitute profitieren wollen, müssen regulatorische Anforderungen erfüllen. Zahlungsauslösedienstleister (ZAD) und Kontoinformationsdienstleister (KID) sind erlaubnis- oder registrierungspflichtig und benötigen qualifizierte Website-Zertifikate (QWAC), um die Kommunikation zwischen ihnen und Kreditinstituten abzusichern. Während ZADs eine Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) benötigen, reicht für KIDs eine Registrierung bei der BaFin aus – bei der Antragstellung ist daher genau darauf zu achten, welches Verfahren anzuwenden ist. Entscheidend und erforderlich ist jedoch, dass vor Erteilung einer Erlaubnis oder Abschluss einer Registrierung die Produkt-Service-Palette der FinTechs den Anforderungen der PSD2 gegenüberstellt und die wesentliche Umsetzungsarbeit erfolgt sein muss. Die sich hieraus ergebende Chance zum Aufbau eines strategischen Risiko- und Compliance-Managements dient auch der Gewährleistung eines adäquaten Datenschutzes.

Auswirkungen auf die Finanzdienstleistungsindustrie 

Mit der Öffnung des bisher nur Kreditinstituten vorbehaltenen Zugangs zu Kontotransaktionsdaten (sog. Open Access-Prinzip) entfaltet die PSD2 ihr ganzes innovatives Potenzial. Die Auslesung und Nutzung personenbezogener Kundendaten stellt jedoch Zahlungsdienstleister, Kreditinstitute und andere FinTechs nicht nur vor die Herausforderung, ein Verständnis über die Reichweite des Datenschutz-Einwilligungsvorbehalts nach den Regelungen der PSD2 (Art. 94 Abs. 2 PSD2 bzw. § 59 Zahlungsdiensteaufsichtsgesetz (ZAG)) zu entwickeln, sondern die Rechtmäßigkeit und alle wesentlichen datenschutzrechtlichen Vorgaben der DSGVO (bspw. Zweckbindung) für eine berechtigte Datenverarbeitung umzusetzen.

Diese Entwicklung forciert den Modernisierungsdruck bei allen Marktteilnehmern, da nur mit neuen Technologien – insbesondere durch den Einsatz von Cloud-Lösungen und Standardlösungen – den regulatorischen Anforderungen nachgekommen und die Erwartung eines nahtlosen Kundenerlebnisses mit vertretbaren Kosten erfüllt werden kann. Sofern es sich um eine Auslagerung handelt, resultieren für Kreditinstitute aus § 25b Kreditwesengesetz (KWG) i.V.m. AT 9 Mindestanforderungen an das Risikomanagement (MaRisk) sowie der Bankaufsichtliche Anforderungen an die IT (BAIT) und für Zahlungsdienstleister aus § 26 ZAG rahmengebende aufsichtsrechtliche Anforderungen. Mit Blick auf die neuartig vernetzte Kooperation, bleibt zudem die Beleuchtung der Geltungsreichweite der Datenschutzgrundverordnung (DSGVO) (Marktortprinzip) sowie eine Bestimmung der Verantwortlichkeiten der Akteure, besonders im Hinblick auf die Nutzung des Cloud-Computings, unerlässlich.

Did you find this useful?