Anzeige
MEINUNG15. Mai 2017

Statement zum PSD2-Streit: “Die EBA liegt falsch – Screen-Scraping-Verbot benachteiligt FinTechs”

Ralf Ohlhausen, Business Development Director PPROPPRO

FinTechs und Banken waren früher erbitterte Gegner. Mittlerweile gibt es aber zahlreiche gemeinsame Projekte und beide Seiten haben eingesehen, dass sich Zusammenarbeit lohnt. Das Miteinander muss aber auf Augenhöhe geschehen. Mit der zweiten Zahlungsdiensterichtlinie wollte die EU eigentlich die Position von FinTechs stärken. Ein technisches Detail zielt jetzt aber genau auf das Gegenteil ab und benachteiligt die neuen Player der Finanzbranche. Das Statement.

von Ralf Ohlhausen, Business Development Director, PPRO Group

Das Verhältnis von Banken und FinTechs war und ist nicht immer leicht. Die zweite, erweiterte Zahlungsdiensterichtlinie der EU (Payment Service Directive 2, PSD2) steht ab Januar 2018 an und sie trägt den neuen Anforderungen an den Finanzmarkt Rechnung. Auf dem gibt es neben den etablierten Banken mittlerweile auch zahlreiche FinTechs. Für Irritationen unter den Beteiligten sorgt jetzt ein auf den ersten Blick kleines Detail, das von der Europäischen Bankenaufsicht (European Banking Authority, EBA) in einem Begleitdokument zur PSD2 aufgeführt wird. In einem der Regulatory Technical Standards (RTS) geht es um Kunden-Authentifizierung und sichere Kommunikation zwischen Banken und FinTech-Unternehmen:

Darin möchte die EBA eine Technik namens Screen Scraping untersagen, die bisher von FinTech-Unternehmen auf breiter Front eingesetzt wird, um auf Daten von Bankkunden – in deren Auftrag und mit deren Erlaubnis natürlich – zuzugreifen. Ein solches Verbot würde eindeutig Banken bevorzugen und FinTech-Unternehmen ausbremsen. Das darf auf keinen Fall passieren.”

Eingebaute Umwege für FinTechs

Worum geht es? Screen Scraping, schon der Begriff allein hört sich für Außenstehende besorgniserregend an, ist aber nichts anderes als ein automatisiertes “Internet Browsing”. Technisch gesehen geht es um automatisches Navigieren auf Webseiten und das Lesen und Einfügen von Daten.

Viele seriöse FinTech-Unternehmen – und übrigens auch viele Banken – setzen diese Technik in ihren Produkten ein.”

Der Hintergrund ist einfach. Viele Finanzdienste funktionieren nur mit verknüpften Kontodaten von Kunden, etwa Apps, die Ausgaben analysieren oder es erlauben, Freunden von Smartphone zu Smartphone Geld zu überweisen. Damit keine Missverständnisse aufkommen:

Es handelt sich dabei nicht um Hacks, sondern um einen erlaubten, direkten Datenzugriff auf das Kunden-Interface einer Bank.”

„Erlaubt” deshalb, weil der FinTech-Kunde natürlich erst explizit zustimmen muss, bevor eine App oder ein Dienst auf die Bankdaten zugreifen darf. Im vorliegenden Papier der EBA steht nun aber, dass Banken diesen direkten Zugriff auf die Kundendaten nicht gewähren müssen, wenn sie stattdessen einen anderen, indirekten Zugriff ermöglichen. Im Klartext heißt das, Banken können eine eigens für Drittanbieter eingerichtete Programmierschnittstelle (Application Programming Interface, API) schaffen. Warum die EBA das genau fordert, ist umstritten.

Angeblich unsicher

Als Argument gegen Screen Scraping muss das Thema Sicherheit herhalten. Banken müssten wissen, wer auf Kundendaten zugreift, heißt es. Gut, dem kann wohl niemand widersprechen. Wenn der Kunde jedem Finanzdienst seine Zugangsdaten zum Konto anvertrauen würde, wäre die Zugriffskontrolle nicht mehr gewährleistet, so zumindest die vorgeschobene Argumentation. Außerdem würde man die Kunden dazu erziehen, lax mit ihren Zugangsdaten umzugehen. Doch diese Argumentation ist in der Praxis schlicht falsch oder zumindest nur eine gefühlte Wahrheit, die einer näheren Betrachtung nicht standhält. Ein Grund für PSD2 ist ja gerade, dass solche FinTechs zukünftig eine Lizenz brauchen und sich auch den Banken gegenüber identifizieren müssen. Das bedeutet auch, dass diese FinTechs ihre Kunden umfassend informieren müssen. Das gilt besonders für den Zugriff auf schützenswerte Daten.

Man kann also nicht wirklich behaupten, dass Kunden die Zugangsdaten für ihr Online-Banking leichtfertig aus der Hand geben. Natürlich muss man Kunden vor Datendiebstahl schützen, etwa vor Phishing-Angriffen, aber genau dafür gibt es ja die neuen, zusätzlichen Sicherheitselemente der PSD2, die für Banken und FinTechs gleichermaßen gelten werden.

Zudem ist es dafür nicht relevant, ob man vorne das Online-Banking direkt nutzt oder durch die Hintertür über eine API auf den Kundenstamm zugreift. Dass sich regulierte Finanzdienstleister den Zugang zu Kundendaten teilen, sollte nicht nur selbstverständlich möglich sein, es ist dank PSD2 auch sehr gut abgesichert. Die wirklich strittige Frage ist aber eine andere.

FinTechs unter Bankenkontrolle

Warum reicht den FinTechs ein indirekter Zugriff auf die Kundendaten nicht aus? Um das zu verstehen, muss man sich die aktuelle Situation in der Finanzbranche ansehen. FinTech boomt immer noch, die Umsätze in Mobile- und E-Commerce gehen nach oben, trotzdem befinden sich FinTechs in einer kritischen Situation, denn die Nachfrage steigt stark an. Wer Erfolg haben will, muss jetzt liefern. Dieser Erfolg von FinTech-Unternehmen fußt aber auf Innovation einerseits und Nutzererlebnis andererseits. FinTechs haben den Banken in den vergangenen Jahren gezeigt, wie sich ein Markt durch technische Innovationen revolutionieren lässt. Sei es mit Apps, die direktes Bezahlen vom Smartphone aus erlauben, oder Webdiensten, welche die monatlichen Ausgaben auf einen Blick übersichtlich darstellen oder in Bruchteilen von Sekunden den günstigsten Kredit für den Nutzer finden. Wichtig ist dabei das Stichwort „Nutzer”, denn die technischen Fortschritte bieten FinTechs in kinderleicht zu bedienenden Apps und über Zahlungsdienste.

Praktische Innovationen und das perfekte Benutzererlebnis sind jedoch akut gefährdet, wenn der direkte Zugriff auf die Kundendaten wegfällt.”

Wenn die Banken stattdessen nur eine API bereitstellen müssen, können sie zukünftig wieder alles selbst kontrollieren und eventuell beschränken – insbesondere die Innovationen der FinTechs.

Denn was die Schnittstellen für Drittanbieter genau können müssen, ist nirgends festgelegt.”

Neue Funktionen könnten möglicherweise erst einmal nur die Bankkunden auf direktem Weg nutzen, in der API landen sie erst später oder gar nicht. Das wirkt sich natürlich auch auf das Nutzungserlebnis der Kunden aus. FinTechs verlieren durch die Neuregelung also ihre echten Stärken und Banken behalten die Hoheit über die Daten der Nutzer.

Daten gehören nur dem Kunden

Dabei sollte es in der aktuellen Diskussion gar nicht um die Frage gehen, ob Banken oder FinTechs die Kontrolle über Kundendaten haben. Diese wird nämlich gerade ganz woanders beantwortet: die neue EU-Datenschutz-Grundverordnung legt weitreichend fest, dass die Kontrolle über Daten beim Kunden selbst liegen muss, also weder bei den Banken, noch bei den FinTechs. Und übrigens gilt das auch für alle anderen Unternehmen, die Kundendaten (nur) verwalten, wie beispielsweise Versicherungen, Telekommunikationsunternehmen oder Social-Media-Anbieter.

Kunden müssen auf ihre Daten zugreifen, sie anpassen und auch teilen können, wenn sie das wollen, um innovative neue Services zu nutzen. Der automatisierte, direkte Zugriff über die Kunden-Schnittstelle ist dabei der verlässlichste und oft auch einzige Weg, der dafür offen stehen bleiben muss.”aj

Mehr zum Thema:
– PSD2-RTS unter Kritik: 66 Unternehmen fordern Europ. Kommission zu Änderungen für FinTechs auf

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert