Am 14. September 2019 trat die EU-Zahlungsrichtlinie PSD2 in Kraft. Ein Ereignis, das bereits Monate im Voraus für heftige Diskussionen sorgte und nicht unbegründet „die größte Änderung im Bankenwesen seit vielen Jahren“ genannt wurde. Zum einen soll(te) die Reform den Wettbewerb unter den Finanzdienstleistern fairer gestalten, indem das Bankenmonopol beim Zugriff auf Kontodaten aufgehoben wird. [1] Zum anderen soll(te) sie das Online-Banking bequemer, transparenter und sicherer machen.
Nun neigt sich das Jahr 2019 dem Ende entgegen, die Reform ist seit gut drei Monaten in Kraft. Ein guter Zeitpunkt, um eine Zwischenbilanz zu ziehen. Wie gut sind die Ziele erreicht? Wo stehen wir drei Monate nach der Einführung der PSD2-Reform? Es ist davon auszugehen, dass die Antworten auf diese Fragen wesentlich vom Auge des Betrachters bestimmt werden. Deshalb gehen wir im Folgenden speziell darauf ein und bieten eine Standortbestimmung aus vier verschiedenen Perspektiven: Kunden-, Banken-, BaFin- und FinTech-Perspektive.
1. PSD2 – eine kurze Einführung
Die PSD2 ist eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern, deren Ziele es sind, die Sicherheit im Zahlungsverkehr zu erhöhen, den Verbraucherschutz zu stärken, Innovationen zu fördern und den Wettbewerb im Markt zu steigern. Ihre Umsetzung erfolgte in zwei Stufen. Die erste Stufe trat am 13. Januar 2018 in Kraft. Sie enthielt u. a. die Senkung der verschuldensunabhängigen Haftungsobergrenze bei missbräuchlichen Kartenverfügungen und die Ausweitung des Anwendungsbereiches auf Nicht-EU/EWR-Währungen. Die zweite Stufe trat nach einer Testphase am 14. September 2019 in Kraft – und mit ihr auch die Verpflichtung zur „starken“ Authentifizierung („Zwei-Faktor-Authentifizierung“) sowie zur Öffnung der Zahlungskonten für Drittanbieter. [2]
Zum einen bedeutet dies, dass die Kundenauthentifizierung mit Hilfe mindestens zweier Eingabeelemente erfolgen muss, die durch Wissen (etwas, worüber einzig der Kunde Kenntnis hat, z.B. eine PIN), Besitz (etwas, worüber einzig der Kunde verfügt, z.B. ein Smartphone) oder Inhärenz (etwas, das als biometrische Eigenschaft einzig dem Kunden zuzuordnen ist, z.B. ein Fingerabdruck) vermittelt werden. Insbesondere dürfen auf einem Bogen Papier gedruckte Transaktionsnummern (TAN) nicht mehr verwendet werden. Zum anderen müssen die Finanzinstitute damit auch eine einheitliche, offen gelegte Schnittstelle bereithalten, um zertifizierten Drittanbietern wie Finanz-Start-ups (FinTechs) den Zugriff auf Kontodaten zu ermöglichen. Die Drittdienste unterliegen nunmehr der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Abbildung 1: PSD2-Neuerungen im Überblick, Quelle: Bundesbank.
2. Zwischenbilanz aus vier Perspektiven
Im Folgenden berufen wir uns auf konkrete Beispiele, um zu erörtern, wie das Urteil – allgemein gesprochen – der Hauptakteure drei Monate nach dem 14. September 2019 ausfällt.
(1) Kundenperspektive
Kurze Zeit nach der PSD2-Einführung am 14. September 2019 liefen zahlreiche Beschwerden über Banken bei der BaFin ein. Überwiegend handelte es sich um Schwierigkeiten bei der Zwei-Faktor-Authentifikation zum Konto-Log-in. Darüber hinaus ärgerten sich Kunden regelmäßig über die schlechte Erreichbarkeit der Kundenservices (Hotlines waren häufig nicht erreichbar) und einen schlechten Zugriff auf Konten. Laut einer im Auftrag vom „Der Bank Blog“ durchgeführten Online-Umfrage sind die neue EU-Zahlungsdienste-Richtlinie PSD2 und ihre Auswirkungen unter vielen deutschen Verbrauchern überhaupt nicht bekannt. 59 Prozent der befragten Teilnehmer geben im August 2019 an, noch nie von PSD2 gehört zu haben. Die übrigen 41 Prozent kannten zwar den Begriff, doch nur 7 Prozent der Befragten wussten auch, was sich dahinter verbirgt. Dabei nannten als wichtigste Quelle zum Thema PSD2 15 Prozent der Befragten ihre Bank, dann erst folgen klassische Medien mit 11 Prozent und soziale Medien mit 10 Prozent.[3]
In einer Umfrage zum Thema „Black Friday & Weihnachtsshopping 2019“ wurden 1.000 Internetnutzer Teilnehmer befragt, ob sie Probleme bei Onlinekäufen infolge der PSD2-Einführung befürchten. Ein Viertel der Befragten bejahten diese Frage, auch hier kannte ein Viertel der Befragten die Verordnung gar nicht.
Abbildung 2: Umfrage zum Thema „Black Friday & Weihnachtsshopping 2019“, Quelle: OmniQuest GmbH für G Data CyberDefense AG, 2019.
Dabei ist die größte Sorge, von fast jedem Zweiten (45 Prozent) angeführt, der Missbrauch von persönlichen Daten – und diesen zu minimieren ist das Ziel einer starken Authentifizierung.
Abbildung 3: Umfrage zum Thema „Black Friday & Weihnachtsshopping 2019“,Quelle: OmniQuest GmbH für G Data CyberDefense AG, 2019. [4]
Vor dem Hintergrund ist es wissenswert, wie die Kunden in Deutschland generell über Authentifizierungsmethoden denken. Aufschlussreich sind hier die Ergebnisse einer von VISA im Dezember 2019 veröffentlichten, einer Studie zu den beliebtesten biometrischen Authentifizierungsmethoden. Dabei wurden unter anderem 1.000 Kreditkarteninhaber über 18 Jahren in Deutschland befragt. Daraus ergab sich: Deutsche Kontoinhaber sind der Meinung, dass biometrische Authentifizierungsmethoden während des Bezahlvorgangs sicherer und einfacher als traditionelle Methoden wie Passwörter oder PINs sind. Die beliebteste Authentifizierungsmethode bei den deutschen Konsumenten ist der Fingerabdruck (90 %), gefolgt vom Irisscan (85 %) und der Gesichtserkennung (79 %) – auch, wenn sie noch kaum verbreitet sind. Bei den klassischen Methoden genießen Einmal-Passcodes (z. B. TANs, die über anwendungsspezifische Apps ermittelt und zugestellt werden) die größte Zustimmung (81 %), gefolgt von Authentifizierung per PIN (77 %) und Passwörtern (73 %).[5]
Abbildung 4: Visa-Studie zu den beliebtesten biometrischen Authentifizierungsmethoden, Quelle: Fabrizio Ward, LLC, 2019.
(2) Bankenperspektive
Und wie sieht die PSD2-Umstellung aus Sicht der Banken aus? Einen Eindruck davon vermitteln die die Ergebnisse zweier aktueller, repräsentativer Umfragen: Laut der FINANCE-Umfrage zum Thema „Open Banking unter den Banken“ waren dieses Jahr die meisten Institute voll und ganz damit beschäftigt, die regulatorischen Vorgaben der PSD2 umzusetzen. Von den deutschen Finanzinstituten öffneten sich lediglich die Deutsche Bank und die Commerzbank den Drittanbietern stärker als dies von der PSD2 erfordert wurde.[6] Laut der Roland Berger-Studie „Adapt or die? Why PSD2 has so far failed to unlock the potential of Open Banking“ sieht die große Mehrheit der europäischen Geldinstitute (81 Prozent) die PSD2-Reform immer noch als Chance. Die Mehrheit der Banken agiert jedoch noch zögerlich, die neuen Möglichkeiten auch zu ergreifen – und überlässt somit das Feld den (agilen) FinTechs mit neuen Geschäftsmodellen. Laut der Studienergebnisse ist derzeit nur 35 Prozent der Häuser bereit, selbst in die Rolle eines Drittanbieters zu schlüpfen.[7]
Somit spalten sich auch die Lager: Während FinTechs die Position vertreten, die gleiche Datenqualität und derselbe Datenumfang („Datenparität“) wie bei den Kundenschnittstellen seien elementar für das Geschäftsmodell sowie auch das Erreichen der Ziele der PSD2, berufen sich Banken meist auf eine sehr enge Interpretation der PSD2 und der RTS, den am 14. März 2018 final im Amtsblatt des EU-Parlaments veröffentlichten Regulatory Technical Standards zur starken Kundenauthentifizierung und sicheren Kommunikation.
Darüber hinaus haben sich die Banken für unterschiedliche PSD2-Umsetzungsmethoden entschieden. Von einigen Banken wird eine TAN per SMS versandt, andere realisieren das „Kontrollverfahren“ mittels einer App oder durch bekannte TAN-Generatoren. Manche Bank verlangt bei jedem Login eine Zwei-Faktor-Authentifizierung (z. B. ING), andere Institute wollen nur alle 90 Tage eine (zusätzliche) TAN-Bestätigung, etwa die Comdirect oder die Sparkassen.
Diese Aspekte zeigen auf, wie die Branche intern darüber denkt. Gern wird dabei ein alter Fehler gemacht: der Kunde wird vergessen. Wie sehen die oben aufgeführten Probleme der Kunden aus der Bankenperspektive aus?
Bei der Postbank gab es z.B. Schwierigkeiten beim Kunden-Login, sowie beim Erreichen des Kundenservices. Das wurde von einem Sprecher der Bank zwar bestätigt, er erklärte aber, dass keine technischen Probleme dahinter stünden. Grund sei vielmehr ein Streik in einer Service-Einheit gewesen. Ähnliches soll es bei Commerzbank und Tochter Comdirect gegeben haben. Andere Geldinstitute wie die Deutsche Bank sprachen hingegen von einem reibungslosen Übergang. „Rückblickend ist die Umsetzung der PSD2 sehr gut verlaufen. Unsere Kunden und die Bank waren gut vorbereitet. So haben wir zum Beispiel mit der Migration unserer Kunden auf alternative Sicherheitsverfahren (photoTAN / mobileTAN) bereits 2018 begonnen und unseren Kunden schon im Juli die Möglichkeit gegeben, sich mit der Einführung der Zwei-Faktor-Authentifizierung beim Zugriff auf ihr Konto vertraut zu machen. Lediglich vereinzelt fragen Kunden nach Hilfe“, erklärt Michael Koch, Chief Digital Officer der Privatkundensparte der Deutschen Bank.
Der Bank-Manager der ING-Diba Martin Schmidberger sieht die großen Plattformen (GAFA oder allgemeiner BigTechs, zu denen dann sicher auch chinesische, hier – außer Alibaba und WeChat – nur teilweise bekannte Player gehören) als die eigentlichen Gewinner der nun vorgeschriebenen Schnittstelle für Kontoinformationen und ergänzt: „Datenteilen nutzt vor allem Google, Facebook und Apple […] Dank der Schnittstellen können die Tech-Riesen wie eine Bank agieren, ohne eine zu sein“.
(3) Bafin-Perspektive
Wie bereits erwähnt, liefen seit dem 14. September 2019 über 1.000 Beschwerden zu Banken bei der BaFin ein. Laut einer BaFin-Sprecherin könne es noch nicht abschließend beurteilt werden, ob die geschilderten Probleme primär auf Fehler der Institute oder doch auf Bedienungsfehler bzw. Unsicherheiten seitens der Kunden zurückzuführen seien.[9]
Das sieht der Payment-Experte Maik Klotz anders. Zwar sei es nachvollziehbar, dass technische Neuerungen bei ihrer Einführung auch Schwierigkeiten mit sich bringen — das sei aber nicht das Hauptproblem. „Wie manche Banken die Vorgaben umsetzen, ist alles andere als kundenorientiert. Schon vor der Umsetzung wurden die Kunden nicht ausreichend von den Banken informiert“, bemängelt er.[10]
Der Präsident der BaFin Felix Hufeld äußert sich dazu folgendermaßen: „Die Zwei-Faktor-Kundenidentifizierung hielten einige Verbraucher für so kompliziert, dass sie in der Folge weniger Bankgeschäfte online ausführten. […] Gut gemeint ist noch lange nicht gut gemacht“, konstatierte Hufeld. Mehr Informationen führten dabei nicht unbedingt zu einer höheren Transparenz. Aus seiner Sicht handelt es sich dabei um Scheintransparenz. Er fragte daher auch: „Wer liest das denn?“. [11]
Wichtiger waren noch die intensiven Gespräche mit den Banken, die die Drittanbieter aufgrund ihrer Test-Ergebnisse der sich entwickelnden Schnittstellen im Sommer 2019 bei der BaFin initiiert hatten. [12] In deren Folge machte die Finanzaufsicht den Banken Vorgaben für die Schnittstellen und ermöglichte zudem Übergangslösungen. Nach mehreren Workshops und einem gegenseitigen Austausch der Bankenverbände sowie der Drittanbieter kam es schließlich Mitte Oktober 2019 zu einer grundsätzlichen Einigung (oder besser: Annäherung) von BaFin, Banken und FinTechs und einem gemeinsamen Neun-Punkte-Papier.
(4) Perspektive Finanztechnologie
Sie sollten durch das Ziel des faireren Wettbewerbs die Nutznießer der Reform sein: Dienstleister auf dem Bereich Finanzdienstleistungen, die keine Banklizenz besitzen. Insbesondere seien hier die FinTech-Unternehmen genannt.
So sieht die PSD2-Umstellung Cornelia Schwertner, Chief Risk Officer beim Berliner FinTech „Finleap Connect“: „Man hat im Rahmen der SCA-Einführung gut beobachten können, wie erheblich sich die Regulierung technischer Prozesse auf die Praxis auswirken kann. Leider bleibt beim Verbraucher nun wieder hier und da “Die EU ist Schuld‘ hängen statt “Meine Daten sind jetzt sicherer‘. Hinsichtlich der Kontoinformations- und Zahlungsauslöse-Dienste über die neuen PSD2-Schnittstellen haben alle Beteiligten noch eine Weile gut zu tun, bevor sich ein Fazit ziehen lässt.“
Ihrer Meinung nach liege heute das größte Problem daran, dass es immer mehr als einen Weg gäbe, technisch eine PSD2-Compliance herzustellen. Die Kunst liege darin, Wege einzuschlagen, die nicht nur compliant, sondern darüber hinaus auch nutzerzentriert sind – und dafür die notwendigen Zeit- und IT-Ressourcen zu besitzen.“ [14]
Die o. a. zwischen BaFin, Banken und FinTechs vereinbarte, aus neun Punkten bestehende „gemeinsame Erklärung zur Migration auf PSD2-konforme Schnittstellen“ kommt den einen zu spät oder geht den anderen nicht weit genug. Eines aber scheint einvernehmlich zu sein: Ein allseits besseres Verständnis kann nur durch eine breite(re) Öffentlichkeitsarbeit erreicht werden. „Regeltreue“ ist zwar eine notwendige, aber noch nicht hinreichende Bedingung, um die Bedürfnisse aller involvierten Beteiligten adäquat zu berücksichtigen. Und diese gilt es, deutlicher zu formulieren und bei der Umsetzung zu adressieren. [14]
3. Fazit
Auch wenn die PSD2-Reform nun drei Monate wirksam ist, gibt es noch einiges zu tun – insbesondere im Kundeninteresse. Ein Gesamturteil kann somit noch nicht gezogen werden.
Immerhin: Die großen Katastrophen sind ausgeblieben. Ansonsten muss man bezüglich der Ziele der PSD2-Reform differenzieren, um ein (Zwischen-)Fazit zu ziehen. Das Ziel, den Bankenmarkt zu liberalisieren, kann als grundsätzlich erreicht angesehen werden. Auch bezüglich der Sicherheit bei Online-Transaktionen ist ein wichtiger Schritt gelungen. Dass es komfortabler geworden ist, wird von einem beträchtlichen Anteil der Kundenseite verneint – hier werden sich Standards entwickeln oder weitere Vorgaben ins Spiel kommen (können). Letztlich entscheidend bleibt jedoch das Erreichen der sog. Datenparität: werden letztlich die gleiche Datenqualität und derselbe Datenumfang wie bei den bisherigen Kundenschnittstellen bereitgestellt, so dass keine Einschränkungen der bisherigen Funktionalität bzw. Information eintreten – und neue Geschäftsmodelle, ob getrieben durch Banken oder FinTechs, sich (weiter) entwickeln können.
Quellen
[1] Focus (2018): „PSD2-Richtlinie: Was sich beim Banking ändert“ (13.01.2018) https://www.focus.de/finanzen/praxistipps/psd2-richtlinie-was-sich-beim-banking-aendert_id_8262977.htm
[2] Deutsche Bundesank (2019) www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434
[3] Der Bank Blog (2019): Christian Bock, „PSD2 bringt Vorteile, aber Kunden sind weiterhin ahnungslos“ (26.11.2019) https://www.der-bank-blog.de/psd2-vorteile-kunden/regulierung-aufsicht/37658935/
[4] GData (2019): „Black Friday & Weihnachtsshopping 2019: Ein Viertel der Deutschen hat Angst vor Zahlungsproblemen durch PSD2 “ (26.11.2019) www.gdata.de/news/2019/11/35635-black-friday-weihnachtsshopping-2019-ein-viertel-der-deutschen-hat-angst-vor-zahlungsproblemen-durch-psd2
[5]Visa Studie (2019): „Das sind die beliebtesten biometrischen Authentifizierungsmethoden der deutschen Karteninhaber“ (9.12.2019), www.visa.de/uber-visa/newsroom/press-releases.2951882.html
[6] Finance (2019) Dominik Ploner, „Open Banking 2020: Viel Lärm um nichts?“ (28.11.2019), www.finance-magazin.de/finanzabteilung/treasury/open-banking-2020-viel-laerm-um-nichts-2048811/
[7] IT Finanzmagazin (2019) www.it-finanzmagazin.de/open-banking-banken-schoepfen-potenzial-der-psd2-immer-noch-nicht-aus-98606/ (09.12.2019), Roland Berger Studie: www.rolandberger.com/publications/publication_pdf/roland_berger_psd2.pdf
[8] finanz-szene (2019), Christian Kirchner, „PSD2-Umstellung: Hier kommt das erste große Resümee“PSD2-Umstellung: Hier kommt das erste große Resümee“ (16.10.2019), finanz-szene.de/digital-banking/psd2-umstellung-hier-kommt-das-erste-grosse-resuemee/
[9] Heise (2019): „Bank-Manager über PSD2: Datenteilen nutzt vor allem Google, Facebook und Apple“ November 2019), www.heise.de/newsticker/meldung/Bank-Manager-zu-PSD2-Datenteilen-nutzt-vor-allem-Google-Facebook-und-Apple-4597032.html
[10] Gründerszene, Rubrik „Fintech“ (2019), Christoph Damm: „‚Alles andere als kundenfreundlich‘ – neue Zahlungsrichtlinie sorgt für Ärger“ (18.10.2019), www.gruenderszene.de/fintech/psd2-neue-zahlungsrichtlinie-aerger
[11] FAZ (2019), Antonia Mannweiler: „Bafin-Chef Hufeld: ‚Wer liest das denn?'“ (12.11.2019) www.faz.net/aktuell/finanzen/finanzmarkt/verbraucherschutzforum-bafin-chef-hufeld-wer-liest-das-denn-16482100.html
[12] Handelsblatt (2019), Katharina Schneider: „Unmut über neue Konto-Schnittstellen“ (03.07.2019), www.handelsblatt.com/finanzen/geldpolitik/kontozugriff-unmut-ueber-neue-konto-schnittstellen/24515602.html
[13] Handelsblatt (2019), Katharina Schneider, Elisabeth Atzler: „Bafin gibt Banken strenge Regeln für Konto-Schnittstellen vor“ (16.08.2019), www.handelsblatt.com/finanzen/banken-versicherungen/bankenaufsicht-bafin-gibt-banken-strenge-regeln-fuer-konto-schnittstellen-vor/24910032.html
[14] Handelsblatt (2019), Katharina Schneider: „Streit über neue Kontoschnittstellen: Banken und Fintechs einigen sich“ (17.10.2019), www.handelsblatt.com/finanzen/banken-versicherungen/psd2-schnittstellen-streit-ueber-neue-kontoschnittstellen-banken-und-fintechs-einigen-sich/25123558.html
