Bei der neuen EU-Zahlungsrichtlinie PSD2 geht es nicht nur um sicheren Online-Zahlungsverkehr. Es geht auch um den Zugriff auf Kontodaten. Die Banken haben sie. Fintechs, die Bankkunden zusätzliche Dienste anbieten, hätten sie gerne. Vor PSD2 war das kein Problem. Jetzt, so das Aufsichtsamt Bafin, zeige sich, dass die Schnittstellen zwischen Banken und Fintechs, nicht voll funktionstüchtig seien.
Eigentlich sollte die Banken-IT bis 14. September dieses Jahres auf PSD2 umgestellt sein. Beim neuen Standard sollen sich Kunden bei Online-Geldtranfers zweifach authentifizieren, etwa über ein Passwort und den Fingerabdruck. Das soll Online-Geschäfte sicherer machen. An der Schnittstelle zwischen Bank und Kontoinhaber sind beim PSD2-Verfahren wenig Probleme zu erwarten.
Schwierigkeiten gibt es jedoch, wenn externe Dienstleister wie Fintechs zusätzlichen Service anbieten, etwa eine Übersicht über mehrere Konten bei verschiedenen Banken. Genau an diesem Punkt versagen viele Schnittstellen bisher. Mängel gebe es dabei an zwei Punkten, sagt Kilian Thalhammer vom Zahlungsdienstleister Wirecard. So böten viele Banken nicht alle Dienstleistungen an, die es vor PSD2 gab.
Bisher haben Zahlungssysteme der Online-Shops wie die Sofortüberweisung direkt auf die Online-Banking-Portale der Geldhäuser zugegriffen. Dieses Verfahren ist gesetzlich nicht standardisiert und bewegt sich in einer Grauzone. Mit PSD2 ändern sich die Spielregeln. Die Banken sind daher nicht ohne weiteres bereit, diesen Dienstleistern Zugriff auf ihre Daten nach den alten Bedingungen zu gewähren.
Der Verband Deutsche Kreditwirtschaft (DK) sieht, anders als die Bafin, die Umstellung auf PSD2 nahezu erfolgreich abgeschlossen. Die Banken und Sparkassen seien überrascht, dass das Aufsichtsamt vier Wochen vor dem Stichtag 14. September neue Anforderungen an die Schnittstellen gestellt habe. Einige Banken, so Thalhammer, hätten den Auftrag der Bafin so interpretiert, dass sie einen rudimentären Zugriff auf Daten der Bankkonten sicherstellen müssten. Weitergehende Serviceleistungen, die externe Fintech-Unternehmen anböten, seien aber nicht zu unterstützen.
Für Kunden gibt es noch ein weiteres Problem. Denn die PSD2-Schnittstellen seien zum Teil technisch mangelhaft, so Thalhammer. Das führe dazu, dass sie nicht so viele Kunden wie nötig gleichzeitig nutzen könnten. Dadurch verlangsame sich der Service. Solche Probleme habe es schon bei den alten Schnittstellen gegeben. Bei einigen PSD2-tauglichen Lösungen seien diese Mängel jedoch noch immer nicht beseitigt.
Viele Banken werden ihre PSD2-Probleme bis zum 14. September nicht lösen. Mehrere Institute, so die Bafin, hätten bereits einen Antrag auf eine Ausnahme vom Stichtag gestellt. Solange die Banken die Schwächen ihrer Schnittstellen nicht beseitigt haben, dürfen sie auf alte Schnittstellen zurückgreifen, die noch nicht den PSD2-Standard erfüllen. „Diese Ausnahmen seien aber aktuell die Regel“, sagt Wirecard-Manager Thalhammer. Es gehe nicht um ein oder zwei Banken, sondern um deutlich mehr. Einige Institute stünden noch am Anfang, andere hätten zwar eine funktional saubere, aber technisch noch nicht einwandfreie Lösung. Nur bei einem Teil der Banken seien die Schnittstellen sowohl funktional vorbildlich, weil sie auch den Service externer Zahlungsdienstleister unterstützten, als auch technisch einwandfrei.
Ein anderer Zahlungsdienstleister, der nicht genannt werden will, glaubt, dass sowohl die Aufsicht als auch die Unternehmen die PSD2-Probleme völlig unterschätzt hätten. Insbesondere die Reisebranche sei überhaupt noch nicht bereit. Großbritannien habe für seine Reiseunternehmen einen großzügigen Aufschub beantragt. Es werde noch mehrere Jahre dauern, bis PSD2 auch bei Portalen wie Booking.com funktioniere. Bei jedem Geld-Transfer zwischen den einzelnen Beteiligten von der Mietwagenfirma, über den Reiseveranstalter bis hin zum Hotel, müssten alle die Sicherheitsauflagen von PSD2 erfüllen.
