Zahlungsverkehr

PSD2: Ist der gläserne Bankkunde bald Realität?

Update: 30.08.2019
Auf einen Blick
  • Die zweite Payment Services Directive (PSD2) verpflichtet Kreditinstitute, ihre Datenschnittstellen (APIs) für externe Finanzdienstleister zu öffnen.

  • Von der Einführung verspricht sich die EU einen stärkeren Wettbewerb zwischen traditionellen Banken und jungen Finanztechnologie-Unternehmen (Fintechs).

  • Abstriche beim Datenschutz soll es für Bankkunden jedoch nicht geben. Alle Zugriffsmöglichkeiten von Drittunternehmen auf Girokonten unterliegen strengen Datenschutzkriterien.
Die zweite Zahlungsdiensterichtlinie der EU (PSD2) soll den europaweiten Wettbewerb in der Zahlungsbranche verstärken. Doch wie sieht es mit dem Datenschutz aus?
gotphotos / Shutterstock.com

Im April 2018 erlebte Facebook-Mitbegründer Mark Zuckerberg den absoluten Tiefpunkt seiner bis dato ausgesprochen erfolgreichen Laufbahn als junger Internetunternehmer: Er musste öffentlich im Rahmen des Cambridge Analytica-Skandals vor dem US-Kongress aussagen.

Worum ging es? Donald Trumps Wahlkampfteam kam über eine App des Unternehmens Cambridge Analytica an Daten und Persönlichkeitsprofile von 87 Millionen Facebook-Nutzern. Ob er die Wahl letztendlich deswegen gewann, kann niemand abschließend sagen. Man muss jedoch definitiv festhalten, dass das Datenleck Facebook unwiederbringliches Vertrauen kostete und eine zentrale Frage aufwirft: Sollten fremde Unternehmen überhaupt Zugriff auf sensible Daten von Kunden bekommen?

In Europa wird gerade genau diese Frage erneut diskutiert. Diesmal geht es jedoch nicht um Social-Media-Profile, sondern um Bankkonten. Im Rahmen der PSD2-Richtlinie müssen nämlich Kreditinstitute ihre Datenschnittstellen – die sogenannten APIs – für andere Finanzunternehmen öffnen. Die Test bei den Banken laufen seit Wochen auf Hochtouren. Doch was bedeutet dies konkret und bestehen dann für Verbraucher ähnliche Gefahren, wie im Falle Facebook und Cambridge Analytica?

Was bedeutet PSD2?

Zunächst einmal handelt es sich bei PSD2 um eine weiterführende EU-Richtlinie, die von allen Mitgliedsstaaten in nationales Recht umgesetzt werden muss. In Deutschland geschah dies bereits im Januar 2018. Das Ziel der EU-Kommission besteht darin, den europäischen Zahlungsverkehr sicherer, bequemer und billiger zu machen. Und das geht aus EU-Perspektive insbesondere durch einen verstärkten Wettbewerb zwischen Finanzunternehmen.

Das Monopol der Banken beim Zugriff auf die Kontodaten ihrer Kunden soll dabei aufgebrochen werden. Wenn ein Unternehmen weiß, wie viel Geld ein potenzieller Kunde verdient und wofür er dies ausgibt, hat es Zugriff auf einen gigantischen Datenschatz. Dann ist es möglich, eben diesen Kunden weitere Produkte, wie beispielsweise Kredite, Kapitalmarktanlagen, Versicherungen oder Baufinanzierungen anzubieten.

Testlauf für APIs

Vom Gesetzgeber wurden genaue Zeitrahmen und Fristen vorgegeben, bis wann PSD2 inklusive aller Teilschritte implementiert werden muss. Der Test für die offenen Datenschnittstellen (APIs) begann am 14. März und dauerte drei Monate. In dieser Zeit konnten interessierte Banken und Drittanbieter direkt auf die Datenschnittstellen zugreifen, zunächst allerdings nur in einem abgesicherten, sogenannten Sandbox-Modus und ohne reale Konten.

Seit dem 14. Juni läuft die zweite Phase mit realen Konten, welche erneut drei Monate andauert. Zum 14. September müssen die Banken die APIs dann für den freien Markt verfügbar machen. Ab diesem Zeitpunkt können von der Finanzaufsicht zugelassene Zahlungsdienste auf reale Konten zugreifen. Von der gesamten Testphase werden Kunden zunächst nichts mitbekommen. Nach dem Inkrafttreten der PSD2 am 13. Januar vergangenen Jahres wurde mit der Öffnung von Datenschnittstellen nun ein wichtiger finaler Schritt praktisch umgesetzt.

Bislang scheint das Thema APIs bei den Banken jedoch nur schleppend umgesetzt zu werden. "Die PSD-Schnittstellen seien derzeit nicht genehmigungsfähig", teilte die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) der deutschen Kreditwirtschaft in einem Schreiben mit. So habe es zahlreiche Hinweise zu Schwierigkeiten bei der erfolgreichen Migration auf die neuen APIs gegeben. Diese wären jedoch vielfältig und nicht allein den kontoführenden Zahlungsdienstleistern beziehungsweise Drittanbietern anzulasten.

Dennoch zeigte sich die deutsche Kreditwirtschaft in einer Pressemitteilung von dieser Bewertung überrascht. Man habe die Vorbereitungen trotz des engen Zeitraumes erfolgreich abschließen können. Zudem habe man nicht damit gerechnet, dass die Bankenaufsicht vier Wochen vor dem Stichtag neue Anforderungen an die Schnittstellen stellen würde.

Kritik übte die Bafin zudem bei der Umsetzung von PSD2 für Kreditkartenzahlungen im Netz. Diesbezüglich legte die Behörde bereits eine nicht näher definierte Übergangsfrist für Anbieter im Online-Handel fest.

Vermittler wittern Morgenluft

Ein praktisches Beispiel, wie so ein Geschäftsmodell aussehen kann, ist die App "Outbank" des Vergleichsportals Verivox. Auf den ersten Blick handelt es sich quasi um eine gewöhnliche Banking-App, in der Kunden ihre Umsätze einsehen oder Überweisungen ausführen können. Tatsächlich aber macht diese App noch weitaus mehr: Sie analysiert die Umsätze auf dem Konto – insbesondere Lastschriftabbuchungen – und empfiehlt dem Nutzer Alternativen zum Strom- oder Gas-Tarif, zu denen dann direkt auch eine Wechselmöglichkeit angeboten wird.

Lesen Sie auch: Die besten Banking-Apps

Sicherheit im Fokus

Gleichwohl muss man hier relativieren: Wer via PSD2 Zugriff auf ein Konto bekommt, liegt letztendlich in der Hand des Bankkunden. Personenbezogene Daten dürfen nur mit ausdrücklicher Zustimmung des Kunden durch Drittanbieter verarbeitet werden. Dies gilt insbesondere im Kontext der seit Mai 2018 in allen Mitgliedsstaaten der EU geltenden Datenschutz-Grundverordnung (DSGVO).

Das Einverständnis muss ausdrücklich mündlich, schriftlich oder elektronisch erfolgen. Ein weiterer wichtiger Aspekt ist schließlich die Verwendung von gewonnen Daten aus einer Kontoverbindung. Diese dürften insbesondere nicht zu Zwecken von Werbung oder Scoring verwendet werden. Bankkunden können somit sicher sein, dass sie mit der Freigabe ihrer Daten anderen Finanzunternehmen keine inoffizielle Schufa-Abfrage gestatten oder aufgrund ihrer Umsätze regelmäßig auf sie zugeschnittene Werbebotschaften erhalten. Dennoch sollte man sich stets vor Augen führen, dass die gewonnen Daten eine enorme Geldquelle sein können. Das gilt nicht nur für das auf die Datenschnittstelle zugreifende Unternehmen.

Die Zustimmung zum Zugriff auf sensible Daten ist schnell erteilt. Oftmals reicht es schon, auf einer Internetseite beziehungsweise per App ein Häkchen zu setzen oder einen Bestätigungsknopf zu drücken. Umso genauer sollte man hinschauen, wem man seine Daten anvertraut und welches Geschäftsmodell hinter diesem Produkt steht. Wer beispielsweise nur eine Banking-App nutzen will, muss dem Anbieter deshalb noch lange nicht sein komplettes Finanzleben offenlegen. Das sollte man wirklich nur dann tun, wenn man die dahinter stehende entsprechende Dienstleistung auch wirklich nutzen will.

Biallo-Tipp

Mit der Datenschutz-Grundverordnung (DSGVO) haben insbesondere Verbraucher umfassende Auskunftsrechte erhalten. Machen Sie davon Gebrauch und informieren Sie sich bei Unternehmen über Ihre dort gespeicherten Daten. Die Firmen sind den betroffenen Verbrauchern gegenüber jederzeit zur Auskunft verpflichtet. Das gilt auch für Auskunfteien wie Schufa, CRIF Bürgel oder Creditreform.



  Björn König


 
Exklusive Informationen und Angebote per Mail erhalten.


 
 
 
Powered by Telsso Clouds