Im Rahmen der Zahlungsdienste-Richtlinie PSD2 können Verbraucher Drittanbietern Zugriff auf wesentliche Kontodaten gewähren - schaffen die Regeln tatsächlich mehr Freiheit, oder sind sie nur der nächste Schritt auf dem Weg zum gläsernen Verbraucher?
Verbraucherschutz ist ein zentrales Ziel der PSD2. Die nun etablierte Regulierungspflicht für Drittanbieter durch die Finanzaufsicht soll gerade verhindern, dass Unternehmen in rechtlich unklaren Konstellationen, Verbraucherdaten von Zahlungskonten nutzen. Für Kontoinformations- und Zahlungsauslösedienste gilt zudem: nur Nutzer, die explizit dem Zugriff auf das Zahlungskonto zustimmen, teilen Daten mit dem entsprechenden Anbieter. Befürchtete Szenarien über Datenzugriffe ohne die klare Zustimmung des Verbrauchers, z.B. durch versteckte Einverständnisse im Kleingedruckten, sind fern der Realität. Spätestens wenn der Verbraucher aufgefordert wird, seine Online-Banking-Zugangsdaten - also seine Nutzerkennung und das Passwort/die PIN für den Zugriff auf sein Online-Banking mit dem Drittanbieter zu teilen, sollte jedem klar sein, dass er sich aktiv für die Nutzung eines Dienstes entscheidet. Erfahrene Drittanbieter wissen durch die üblichen Abbruchraten in der Praxis um die Höhe dieser Hürde. Nutzer sind anspruchsvoll, wenn es darum geht, Bank-Zugangsdaten zu teilen; und deshalb müssen erfolgreich agierende Drittanbieter hierbei bewusst auf volle Transparenz setzen.
Der Nutzer hat künftig das Recht, Bankdaten mit Diensten seiner Wahl zu teilen. Dies war ihm zuvor beispielsweise durch Banken-AGB untersagt. Solange sich Verbraucher über den Zweck der Dienste bewusst sind, können sie die neuen Freiheiten also genießen. Möglichkeiten gibt es bereits und werden sich noch weiter entwickeln. Bereits etablierte Nutzungsbeispiele sind Bonitätsanalysen, Kontowechselservices, Digitalisierung des Sparens und Gutschein-Modelle, Preisvergleiche für Verträge oder das Abo-Management sowie die Zahlungsauslösung im E-Commerce. Für gewerbliche Nutzer sind zudem schon innovative Buchhaltungsanwendungen erfolgreich. Im Kern geht es in allen Fällen um Aufwands- also vor allem Zeit- und Kostenersparnisse im Alltag der Nutzer. Der Verbraucher entscheidet pro Fall: Ist die Nutzungsmöglichkeit, die mir ein neuer Dienst bietet, so viel wert, dass ich dafür meine Daten zeitweise oder dauerhaft mit einem Anbieter teilen möchte.
Uneinigkeit gibt es noch über die technischen Schnittstellen. Wie sollten diese aus Ihrer Sicht gestaltet werden?
Es besteht Einigkeit darin, dass dedizierte Schnittstellen die Zukunft sind. Banken und Drittanbieter profitieren gleichermaßen von smarten APIs.
Die Diskussionen darum ergeben sich aus der immer noch schwierigen und auch sehr politischen Marktsituation. Banken sind durch die neuen Möglichkeiten, die der Markt um Drittanbieter viel früher erkannt hat, unter großen Innovationsdruck geraten. Dies führte zunächst zu einer Verteidigungshaltung gegenüber neuen Diensten. Durch die künftige Verbindung über dedizierte Schnittstellen, gewinnen Banken Kontrollmöglichkeiten über das Datenangebot für Dritte. Und Drittanbieter verlassen sich als “gebrannte Kinder” hierbei nicht auf die PSD2-Compliance dieser Schnittstellen oder den innovativen Weitblick der Institute. Sie fürchten Einschränkungen und sogar das Sterben ihrer Geschäftsmodelle.
Die von der EU-Kommission vorgeschlagenen Kompromisse, um die verpflichtende Nutzung dedizierter Schnittstellen durch Drittanbieter fair zu gestalten, sind unterstützenswert. Allerdings wird die EU-weit einheitliche Umsetzung dieser noch von wesentlicher Bedeutung sein.
Bestenfalls beginnt der Markt nun aber über die Regulierung hinaus zu denken. Auch Banken müssen digitaler werden und die PSD2 Nutzungsmöglichkeiten in ihre Produkte integrieren. Wirklich schade wäre, wenn die EU sich selbst die Chance verbaut, den kleinen PSD2-Vorsprung für die Skalierung eigener Services zu nutzen. Open Banking wird und muss dabei auch über die PSD2, das heißt über Zahlungskonten hinaus, gedacht werden. Zugriffe auf Tagesgeld-, Kreditkarten-, Spar- und Depotkonten etc. dürfen bei API-Plänen nicht ausgeklammert werden. Gerade hier haben Banken die Möglichkeit, noch ohne Regulierungsdruck die Art und Weise der Öffnung mitzugestalten. Meine Hoffnung ist, dass sie spätestens durch das eigene Angewiesensein auf gute Drittbanken-APIs verstehen, wie Schnittstellen ausgestaltet sein müssen, um den verschiedenen Use Cases und vor allem den Nutzern gerecht zu werden.
Die Richtlinie sieht auch strengere Sicherheitsregeln etwa für Kartenzahlungen im Netz vor – wie bewerten Sie diese Vorschriften?
Dies beobachte ich eher aus der persönlichen Verbraucherbrille. Die heute bereits etablierten Verfahren der Kreditkartenanbieter wie 3D Secure etc. fand ich bis dato eher umständlich anzuwenden und/ oder nicht nutzerfreundlich kommuniziert. Es ist von entscheidender Bedeutung, Sicherheitslösungen zu entwickeln, die den Verbraucher nicht unnötig überfordern oder zum Abbruch zwingen.
Was sollte aus Ihrer Sicht künftig beim digitalen Zahlungsverkehr regulatorisch noch getan werden?
Dem Markt wünsche ich zunächst eine Verschnaufpause bzw. Zeit, sich nun auf den praktischen Verbrauchernutzen von PSD2, Instant Payment etc. zu fokussieren. Gesetzgeber und Regulierungsbehörden sollten allerdings aktiv bleiben. Die PSD2 war ein erster Versuch im Aufsichtsrecht, Anforderungen an eine sich schnell entwickelnde Technologie zu stellen. Es fehlte hierbei eindeutig an Erfahrungen, z. B. für sinnvolle Grenzen zwischen Technologieneutralität und Rechtssicherheit. Im Zuge der Digitalisierung des Finanzsektors allgemein sollten nochmals grundlegende strategische Überlegungen in Hinblick auf mikro- vs. makroprudentielle Regulierungsansätze erfolgen. Dies kann entscheidend dafür sein, ob der EU-Finanzmarkt im internationalen Vergleich innovativ bleiben wird.