Payment
09.01.2019
Payment Services Directive 2
1. Teil: „Banken verlieren Monopol auf Kundendaten“

Banken verlieren Monopol auf Kundendaten

Digitales BankingDigitales BankingDigitales Banking
Rawpixel.com / shutterstock.com
Die EU-Zahlungsdienste-Richtlinie PSD2 verändert das Finanz-Business tief greifend. Verbraucher und Firmen können künftig Drittanbieterdienste zur Finanzverwaltung zurate ziehen.
  • Quelle: PwC (n = 1.000)
Die zweite Payment Services Directive (PSD2) ändert die Spielregeln für digitale Transaktionen von Grund auf. Das Open-Banking-Prinzip soll Innovationen fördern, das Tempo von Transaktionen steigern, den Verbraucherschutz verbessern und die Schrauben der Cybersicherheit festziehen. Das Beratungshaus Deloitte warnt, dass es sich nicht um „eine EU-Regulierung unter vielen“ handele, da erstmals „die Forcierung des Wettbewerbs eine wesentliche Motivation für den Markteingriff“ gewesen sei. Besonders betroffen von dieser Wettbewerbsoffensive sind die Retail-Banken.

Zugriff durch Drittanbieter

Mit dem EU-weiten Inkrafttreten der Richtlinie wurden Banken verpflichtet, „vertrauenswürdigen“ Drittanbietern den Zugriff auf Konten ihrer eigenen Kunden zu gewähren. Dieser Zugriff (XS2A oder „Access to Account“) soll digital und in Echtzeit über offene APIs der Banken erfolgen. Das soll regulierte Drittanbieter dazu befähigen, auf der Basis der Kundendaten der Banken und ihrer eigenen Infrastruktur konkur­rierende Finanzdienstleistungen aufzubauen. „Da hilft kein Jammern“, kommentieren die Analysten von Deloitte. Die betroffenen Finanzinstitute haben bis September dieses Jahres Zeit für die vollständige Implementierung der Richtlinie.
PSD2 ist eine Weiterentwicklung der Richtlinie über Zahlungsdienste von 2007, des ersten Meilensteins zur Schaffung eines EU-weiten Binnenmarkts für den Zahlungsverkehr. Darauf aufbauend soll die PSD2 bisher nicht regulierte Drittanbieter (TPP, Third Party Provider) in einen einheitlichen Regulierungsrahmen miteinbeziehen und mit neuen technischen Standards für Sicherheit und Authentifizierung den Verbraucherschutz verbessern.
Kontoführende Banken müssen den autorisierten „Account Information Service Providern“ (AISPs) dieselben Informationen über die Bankkonten ihrer Kunden offen­legen, auf die sie selbst zugreifen - zum Selbstkostenpreis. Diese externen Dienstleister können dann mit Zustimmung der betroffenen Kunden sämtliche Kontoinforma­tionen wie Salden, Echtzeit-Transaktionen und historische Bankbewegungen abrufen. So könnten künftig etwa Lieferanten mit Einwilligung ihrer Kunden die Dienste eines AISPs in Anspruch nehmen, um Daten für eine Bonitätsprüfung einzuholen und das eigene Risikomanagement zu verbessern. Die Banken müssen zudem autorisierten „Payment Initiation Service Providern“ (PISPs) die Nutzung ihrer eigenen Zahlungsinstrumente ermöglichen - ebenfalls zu den internen Kosten der Bank. Die Entstehung von A2A-Zahlungsalternativen (Account-to-Account) soll die Transaktionsgebühren senken und die Abwicklung beschleunigen.
Die Implementierung der Richtlinie setze bei den Banken „eine Überprüfung sämtlicher Geschäftsprozesse“ voraus, kommentiert Christian Fraedrich, Director der Sparte Cash Management bei der Deutschen Bank. Die Einführung von offenen APIs für die „vertrauenswürdigen“ Drittanbieter werde sich „auf die gesamte Wertschöpfungskette auswirken“. Im Interbanking-Markt habe die PSD2-Direktive dagegen nur eine „sehr begrenzte Wirkung“.
PSD2 auf einen Blick
Die PSD2-Richtlinie erreicht mehrere Ziele auf einen Schlag. Das neue regulatorische Framework:
  • gewährt Zahlungsdienstleistern bewilligungspflichtig den europaweiten Zugang zu Zahlungskontodiensten von Kreditinstituten „auf objektiver, nicht diskriminierender und verhältnismäßiger Grundlage“
  • gestattet Kontoinformationsdienstleistern mit Einwilligung des betroffenen Kontoinhabers den offenen Zugang zu seinen Kontodaten beim kontoführenden Finanzdienstleister
  • fördert die Entstehung neuer Geschäftsmodelle (etwa anzeigenfinanzierter Kontodatenaggregationsdienste oder KI-gestützter Finanzberatung)
  • fördert die Entstehung eines verzögerungsfreien Zahlungsverkehrs
  • definiert strengere Sicherheitsanforderungen im Zahlungsverkehr (Zweifaktor-Authentifizierung)
  • reduziert die Haftung von Verbrauchern bei nicht auto­risierten Zahlungen und gewährt Kunden bedingungs­loses Erstattungsrecht für Lastschriften
  • verwandelt Banken in Plattformanbieter
  • löst SEPA nicht (!) ab
2. Teil: „Ganz neue Wettbewerber“

Ganz neue Wettbewerber

  • Quelle: PwC (n = 1.000)
Die strategischen Implikationen der PSD2 für Europas Banken, Unternehmen und Verbraucher sind weitreichend. „Jeder Kunde muss sich Gedanken machen, wem er Zugriff auf seine Daten geben will“, betont der Bankenverband Öffentlicher Banken Deutschlands (VÖB). Retail-Banken treten erstmals in einen Wettbewerb nicht nur wie bisher gegen andere Finanzinstitute und Fintechs, sondern potenziell auch gegen beliebige andere Unternehmen, also theoretisch auch gegen die GAFAMs: Google, Apple, Facebook, Amazon und Microsoft. Diese IT-Riesen verfügen bereits heute über leistungsstarke KI-Engines und Assistenten, die als Frontends der Datenerfassung und -bereitstellung fungieren können, nicht zuletzt Siri, Cortana, Alexa und Aloha (Facebook).
Mit Rückendeckung durch die PSD2 könnten diese Anbieter den Markt für die Kreditvergabe und andere Finanzdienstleistungen von heute auf morgen betreten und bedarfsgerecht und in Echtzeit hochindividualisierte Angebote generieren.
Diese Gefahr haben viele der Marktteilnehmer noch gar nicht auf dem Radar. In einer Umfrage von McKinsey nannten die interviewten Bankenmitarbeiter als größte Gewinner der PSD2 stattdessen die Fintechs.

Geschäftsmodelle überdenken

Die Verlierer der PSD2 sind, allen voran, die globalen Aussteller von Kredit- und Debitkarten wie Mastercard und Visa. Sie dürften künftig an der Kasse schon allein aufgrund des Surcharge-Verbots (Verbot von Extrakosten für bargeldlosen Zahlungsverkehr) den Kürzeren ziehen.
Doch auch traditionelle Banken haben allen Grund, ihre Gebührenstrukturen und ihre Geschäftsmodelle ernsthaft zu überdenken. Ansonsten droht ihnen ein Gewinnrückgang von bis zu 40 Prozent, pro­gnostiziert die Unternehmensberatung Roland Berger.
Retail-Banken zählen aber nicht automatisch zu den Verlierern der PSD2. Diese böte Banken auch eine Chance, über erweitertes Data Analytics „neue Kunden zu gewinnen“ und „das Cross-Selling-Potenzial ihrer Dienstleistungen besser auszuschöpfen“, glauben die Analysten von PwC.
Doch genau dieselben Möglichkeiten eröffnen sich natürlich auch anderen Marktteilnehmern - und erstmals auch dem Mittelstand -, die mit relativ geringem Aufwand und niedrigen Kapitalanforderungen den Markt für Kontoinformationsdienste betreten können. Während die Banken relevante Kundenberührungspunkte verlieren, können sich die neuen Anbieter an beliebigen Punkten in die Wertschöpfungskette einklinken und die Customer Journey von Grund auf neu erfinden.
3. Teil: „Komplementäre Dienstleister“

Komplementäre Dienstleister

Der strukturbedingte Stellenabbau im Bankensektor scheint sich gerade zu beschleunigen. Andreas Buschmeier, Professor an der privaten Berufsakademie Fulda, prognostiziert, dass der Finanzplatz Frankfurt in den kommenden zehn bis 15 Jahren sogar bis zu zwei Drittel der aktuellen Arbeitsplätze in den traditionellen Kreditinstituten verlieren könnte.
Banken hätten bei Weitem noch nicht alle Möglichkeiten ausgeschöpft, meint André M. Bajorat, Geschäftsführer des deutschen Fintech-Start-ups Figo. Die etablierten Finanzhäuser müssten sich auf ihre Kunden besser einstellen, unbedingt „radikal digital“ denken und sich den neuen Geschwindigkeiten der Branche anpassen. Eine Kooperation zwischen Banken und Fintechs sei vor diesem Hintergrund „nahezu zwingend“, betont Bajorat. „Aus dem Feind wird ein Freund“, glaubt er.
Denselben Standpunkt vertreten die Analysten von Capgemini in einem Bericht im Auftrag von BNP Paribas: Eine Symbiose aus Banken und Fintechs sei der strategische Imperativ der digitalen Transformation des Finanzwesens.  Auch deshalb sagen die Analysten von Goldman Sachs und Morgan Stanley dem Sektor eine Zunahme von Fusionen voraus. Jo Goodson, Geschäftsführerin von Hampleton Partners, einer in Frankfurt ansässigen Beratung für technologie­orientierte Unternehmen, schreibt diesen Trend ebenfalls der PSD2 zu. Goodson bezeichnet die Richtlinie gar als „den entscheidenden Faktor für die Deal-Landschaft“.

NextGenPSD2-Framework

Die gesamte Finanzindustrie bereitet sich auf die PSD2 vor, allerdings nicht im Gleichschritt. Einige Banken möchten Standard-APIs abwarten. Eine solche Lösung entsteht beispielsweise unter dem Namen NextGenPSD2-Framework unter Federführung der Berlin Group, einer Initiative zur Harmonisierung technischer Standards für eine reibungslose Interoperabilität von Zahlungssystemen in der EU und der Schweiz. Bei diesem Framework handelt es sich um eine Schnittstelle für den Zugang zum Bankkonto (XS2A) für Drittdienstleister (TPP). In der NextGenPSD2-Koalition haben sich bisher 43 Organisationen aus dem Banken- und Zahlungsdienstleistungssektor aus der EU und der Schweiz zusammengeschlossen.
„Die NextGenPSD2-Schnittstellen (APIs) sollen die nach der PSD2 zulässigen Kontoinformationsdienste (AIS), Dienste von Anbietern von Zahlungsinstrumenten (PIIS) und Zahlungsauslösedienste (PIS) ermöglichen“, beschreibt die Berlin Group den Zweck des Frameworks anlässlich der Veröffentlichung der ersten Version.

BaFin-Pflichten

Wer Zahlungsauslösedienste erbringen will, benötigt eine Erlaubnis der BaFin. Kontoinformationsdienste sind im Gegensatz dazu nur registrierungspflichtig. Die Compliance-Deadline für die Implementierung der technischen Regulierungsstandards (RTS für Regulatory Technical Standards) ist der 14. September 2019; danach ist der Einsatz der Direct-Access-Technologie („Screen Scraping“) nur noch mit Zustimmung der betroffenen Bank und nur als Fallback-Maßnahme zulässig. Die RTS regeln im Übrigen nur den Zugriff auf Zahlungskonten, nicht auf sonstige Konten. Die RTS zur starken Kundenauthentifizierung (Strong Customer Authentication, SCA) und sicheren Kommunikation (SC) im Rahmen der PSD2 definiert die Europäische Bankenaufsichtsbehörde.
Einige Zahlungssysteme, etwa im Einzelhandel, sind je nach Ausgestaltung erlaubnisfrei. In diese Kategorie fallen etwa Hauskarten, Limited-Network- und Limited-Range-Zahlungssysteme, Tankkarten, Karten für den Nah- und Fernverkehr, Bekleidungskarten, City-Cards und Prepaid-Karten. Für die TK-Dienstleister gilt eine Ausnahmeregelung.
Viele Unternehmensgruppen haben in der Vergangenheit ihr Cash-Management zentralisiert und konnten dabei die Ausnahmeregelung für Zahlungsvorgänge und verbundene Dienste innerhalb eines Konzerns sowie zwischen Mitgliedern einer kreditwirtschaftlichen Verbundgruppe in Anspruch nehmen (Konzernprivileg). Diese Unternehmen müssen neue interne Kontroll- und Compliance-Systeme einrichten, um sich der Lizenzpflicht zu entziehen. Für alle anderen gilt seit April 2018 die BaFin-Antragspflicht.
Die PSD2-Richtlinie schreibt strengere Sicherheitsanforderungen vor und lässt weniger Ausnahmen zu. „Das Zeitfenster für die Betrugsanalyse wird erheblich verkürzt“, kommentiert Sundeep Tengur, Spezialist für Finanzkriminalität beim Analytics-Spezialisten SAS; die Banken müssten sich auf Automatisierung und fortgeschrittene Analysetechniken stützen, um das erhöhte Risiko zu mindern, rät er.
4. Teil: „Licence as a Service“

Licence as a Service

„Mit der PSD2 kommen zahlreiche Anforderungen auf uns zu, die enorme Ressourcen, wahnsinnig viel Expertise und einen hohen administrativen Aufwand fernab unseres Kerngeschäfts erfordern“, berichtet Philipp Gesell, Gründer der Easy­bill GmbH, die die gleichnamige cloudbasierte Rechnungs-Software anbietet. Hier setzt das Start-up Figo an, das von der BaFin kürzlich die Lizenz erhalten hat, für nicht regulierte Unternehmen als regulierter Kontoinformations- und Zahlungsauslösedienstleister zu fungieren. Am 22. November brachte es mit RegShield das erste PSD2-konforme Finanzprodukt aus Deutschland europaweit an den Start. Damit können Partnerunternehmen ohne Registrierung oder Lizenz der BaFin PSD2-konform agieren. Die Lösung erlaubt es nicht regulierten Partner­unternehmen, Bankdaten ihrer Kunden zu lesen, Überweisungen auszulösen, Finanzquellen für ein integriertes Kundenerlebnis zu aggregieren und zu analysieren sowie Transaktionen zu kategorisieren. Nutzer der B2B-Plattform seien so etwa in der Lage, Bonitätsprüfungen durchzuführen oder auf Wunsch des Kontoinhabers individuelle Finanzempfehlungen auf Basis seiner Kontodaten zu erstellen.
Sowohl für Fintech-Start-ups als auch für etablierte Spieler sei die Implementierung der PSD2 eine Herausforderung, beobachtet Cornelia Schwertner, Head of Governance, Risk & Compliance bei Figo. Der Antragsprozess für eine BaFin-Genehmigung könne die finanziellen Ressourcen neuer, kleinerer Firmen an ihre Grenzen bringen. Größere Unternehmen hätten dagegen Schwierigkeiten, ihre eigenen Prozesse in ein sich stets änderndes Regulierungsumfeld zu integrieren. Um den regulatorischen Druck zu senken, hat sich Easybill für die Licence-as-a-Service-Lösung von Figo entschieden.
Figo positioniert sich als Plattformanbieter für Banken, Fintechs, E-Commerce- und Software-Häuser jeglicher Größe und möchte mit Mehrwertdiensten aus dem Bereich Compliance, Datenveredelung, Fullservice und Business Intelligence punkten. Selbst für Banken hat Figo eine Lösung. Mit seiner Banking-as-a-Service-Plattform können Banken die Kontodaten ihrer Kunden nach den Maßgaben der PSD2 vertrauenswürdigen Drittanbietern bereitstellen (XS2A). Dass eine Zusammenarbeit zwischen Platzhirsch und Fintech realistisch ist, zeigt Figo: Zu den Partnern des Innovators aus Hamburg zählt unter anderem die Deutsche Bank.

Fazit & Ausblick

Auf alle Marktteilnehmer im europäischen Wirtschaftsraum kommt eine Veränderungslawine zu. Die PSD2 soll den Wettbewerb stärken, den Verbraucherschutz im elektronischen Zahlungsverkehr verbessern und innovative Zahlungsmethoden fördern. Sowohl Verbraucher als auch Firmen können künftig die Dienste von Drittanbietern zur Verwaltung ihrer Finanzen zurate ziehen. Der neue gesetzliche Rahmen dürfte nebenbei die Wertschöpfungsketten um neuartige Finanz- und Informationsdienste anreichern und neue Geschäftsmodelle fördern.
Marktteilnehmer nach PSD2
Die PSD2-Richtlinie unterscheidet zwischen drei Kategorien von Finanzdienstleistern:
  • ASPSP: Bei einem Account Servicing Payment Service Pro­vider handelt es sich um das kontoführende Finanzinstitut, das die Geldmittel des Kunden handhabt. Diese Marktteilnehmer, sofern sie Online-Banking unterstützen, müssen eine dedizierte API-Schnittstelle entwickeln und diese unter Gewährleistung von Strong Customer Authentication den „vertrauenswürdigen Drittanbietern“, den PISPs und den AISPs, zur Verfügung stellen.
  • PISP: Steht für Payment Initiation Service Provider (Zahlungsauslösedienstleister), darunter PSPICBPI (Payments Service Providers Issuing Card Based Payments Instruments): Mittels eines PISP können Kontoinhaber Zahlungen vom eigenen Konto ausführen lassen, ohne dabei mit dem kontoführenden Institut in direkten Kontakt zu treten; mit der Einwilligung des Kunden kann ein PISP sowohl direkten Zugriff auf seine Konto­informationen als auch auf seine Geld­mittel erhalten.
  • AISP: Das Kürzel steht für Account Information Service Provider (Kontoinformationsdienstleister): Diese neue Kategorie von Anbietern aggregiert die Kontodaten verschiedener Finanzinstitute eines Kunden über deren offene APIs und kann diese Informationen anderen Marktteilnehmern in Echtzeit bereitstellen. Die AISPs sind von einigen der strikteren Regulierungen ausgeschlossen. Sie müssen unter anderem kein Anfangskapital vorhalten und keine Inhaberkontrolle durchlaufen, unterliegen jedoch diversen Meldepflichten.

mehr zum Thema