In Europa wird gerade genau diese Frage erneut diskutiert. Diesmal geht es jedoch nicht um Social-Media-Profile, sondern um Bankkonten. Im Rahmen der PSD2-Richtlinie müssen nämlich Kreditinstitute ihre Datenschnittstellen – die sogenannten APIs – für andere Finanzunternehmen öffnen. Die Test bei den Banken laufen seit Wochen auf Hochtouren. Doch was bedeutet dies konkret und bestehen dann für Verbraucher ähnliche Gefahren, wie im Falle Facebook und Cambridge Analytica?
Was bedeutet PSD2?
Zunächst einmal handelt es sich bei PSD2 um eine weiterführende EU-Richtlinie, die von allen Mitgliedsstaaten in nationales Recht umgesetzt werden muss. In Deutschland geschah dies bereits im Januar 2018. Das Ziel der EU-Kommission besteht darin, den europäischen Zahlungsverkehr sicherer, bequemer und billiger zu machen. Und das geht aus EU-Perspektive insbesondere durch einen verstärkten Wettbewerb zwischen Finanzunternehmen.
Das Monopol der Banken beim Zugriff auf die Kontodaten ihrer Kunden soll dabei aufgebrochen werden. Wenn ein Unternehmen weiß, wie viel Geld ein potenzieller Kunde verdient und wofür er dies ausgibt, hat es Zugriff auf einen gigantischen Datenschatz. Dann ist es möglich, eben diesen Kunden weitere Produkte, wie beispielsweise Kredite, Kapitalmarktanlagen, Versicherungen oder Baufinanzierungen anzubieten.
Testlauf für APIs
Vom Gesetzgeber wurden genaue Zeitrahmen und Fristen vorgegeben, bis wann PSD2 inklusive aller Teilschritte implementiert werden muss. Der Test für die offenen Datenschnittstellen (APIs) begann am 14. März und dauerte drei Monate. In dieser Zeit konnten interessierte Banken und Drittanbieter direkt auf die Datenschnittstellen zugreifen, zunächst allerdings nur in einem abgesicherten, sogenannten Sandbox-Modus und ohne reale Konten.
Seit dem 14. Juni läuft die zweite Phase mit realen Konten, welche erneut drei Monate andauert. Zum 14. September müssen die Banken die APIs dann für den freien Markt verfügbar machen. Ab diesem Zeitpunkt können von der Finanzaufsicht zugelassene Zahlungsdienste auf reale Konten zugreifen. Von der gesamten Testphase werden Kunden zunächst nichts mitbekommen. Nach dem Inkrafttreten der PSD2 am 13. Januar vergangenen Jahres wurde mit der Öffnung von Datenschnittstellen nun ein wichtiger finaler Schritt praktisch umgesetzt.
Bislang scheint das Thema APIs bei den Banken jedoch nur schleppend umgesetzt zu werden. "Die PSD-Schnittstellen seien derzeit nicht genehmigungsfähig", teilte die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) der deutschen Kreditwirtschaft in einem Schreiben mit. So habe es zahlreiche Hinweise zu Schwierigkeiten bei der erfolgreichen Migration auf die neuen APIs gegeben. Diese wären jedoch vielfältig und nicht allein den kontoführenden Zahlungsdienstleistern beziehungsweise Drittanbietern anzulasten.
Dennoch zeigte sich die deutsche Kreditwirtschaft in einer Pressemitteilung von dieser Bewertung überrascht. Man habe die Vorbereitungen trotz des engen Zeitraumes erfolgreich abschließen können. Zudem habe man nicht damit gerechnet, dass die Bankenaufsicht vier Wochen vor dem Stichtag neue Anforderungen an die Schnittstellen stellen würde.
Kritik übte die Bafin zudem bei der Umsetzung von PSD2 für Kreditkartenzahlungen im Netz. Diesbezüglich legte die Behörde bereits eine nicht näher definierte Übergangsfrist für Anbieter im Online-Handel fest.
Vermittler wittern Morgenluft
Ein praktisches Beispiel, wie so ein Geschäftsmodell aussehen kann, ist die App "Outbank" des Vergleichsportals Verivox. Auf den ersten Blick handelt es sich quasi um eine gewöhnliche Banking-App, in der Kunden ihre Umsätze einsehen oder Überweisungen ausführen können. Tatsächlich aber macht diese App noch weitaus mehr: Sie analysiert die Umsätze auf dem Konto – insbesondere Lastschriftabbuchungen – und empfiehlt dem Nutzer Alternativen zum Strom- oder Gas-Tarif, zu denen dann direkt auch eine Wechselmöglichkeit angeboten wird.
Falsch überwiesen? Überweisung zurückholen! Wie Sie sich Ihr Geld zurückholen, erfahren Sie in einem weiteren Artikel von uns.
Sicherheit im Fokus
Gleichwohl muss man hier relativieren: Wer via PSD2 Zugriff auf ein Konto bekommt, liegt letztendlich in der Hand des Bankkunden. Personenbezogene Daten dürfen nur mit ausdrücklicher Zustimmung des Kunden durch Drittanbieter verarbeitet werden. Dies gilt insbesondere im Kontext der seit Mai 2018 in allen Mitgliedsstaaten der EU geltenden Datenschutz-Grundverordnung (DSGVO).
Das Einverständnis muss ausdrücklich mündlich, schriftlich oder elektronisch erfolgen. Ein weiterer wichtiger Aspekt ist schließlich die Verwendung von gewonnen Daten aus einer Kontoverbindung. Diese dürften insbesondere nicht zu Zwecken von Werbung oder Scoring verwendet werden. Bankkunden können somit sicher sein, dass sie mit der Freigabe ihrer Daten anderen Finanzunternehmen keine inoffizielle Schufa-Abfrage gestatten oder aufgrund ihrer Umsätze regelmäßig auf sie zugeschnittene Werbebotschaften erhalten. Dennoch sollte man sich stets vor Augen führen, dass die gewonnen Daten eine enorme Geldquelle sein können. Das gilt nicht nur für das auf die Datenschnittstelle zugreifende Unternehmen.
Die Zustimmung zum Zugriff auf sensible Daten ist schnell erteilt. Oftmals reicht es schon, auf einer Internetseite beziehungsweise per App ein Häkchen zu setzen oder einen Bestätigungsknopf zu drücken. Umso genauer sollte man hinschauen, wem man seine Daten anvertraut und welches Geschäftsmodell hinter diesem Produkt steht. Wer beispielsweise nur eine Banking-App nutzen will, muss dem Anbieter deshalb noch lange nicht sein komplettes Finanzleben offenlegen. Das sollte man wirklich nur dann tun, wenn man die dahinter stehende entsprechende Dienstleistung auch wirklich nutzen will.