PSD2-Schnittstellen: Einige XS2A-API sind auf der Zielgeraden bei Performance und Stabilität

Vor etwa vier Wochen sind die ersten PSD2-Schnittstellen (unter anderem die Sparkassen-Schnittstelle von der Finanz Informatik) aus der Marktbewährungsphase getreten. Die Schnittstellen der Fiducia und damit der Volks- und Raiffeisenbanken stehen kurz dem Abschluss der Marktbewährungsphase (15.5.). Damit sind dann die Schnittstellen der beiden größten Institute in Deutschland „live“ am Markt. Während die ersten Tests Ende Februar  (“Erwartung trifft auf Realität: PSD2 Schnittstellen sind weiterhin nicht marktreif“) noch deutliche Probleme offenbarten, sieht die Situation heute deutlich besser aus. Zeit für einen weiteren Blick auf die Performance dieser und weiterer Schnittstellen zu werfen.

von Caroline Jenke, Chief Legal Officer FinTecSystems

Beginnen wir mit dem Essenziellen: Der Übertragung des Dispo-Limits. Die Informationen zu Kontoinhaber und Daueraufträge, die zuletzt noch nicht übertragen wurden, werden nun bei den weit vorangeschrittenen Schnittstellen (FI und Fiducia) in der Abfrage geliefert. Diese beiden Informationen sind wesentlich bei der Betrugsprävention (Kontoinhaber) und der Bonitätsprüfung (Daueraufträge), davon sind viele Anwendungsfälle in der Realität betroffen. Was noch nicht geliefert wird bei der Abfrage, ist das Limit, also der Verfügungsrahmen auf dem Konto. Hier stehen Banken und TPP im konstruktiven Austausch mit der BaFin.

Die Bankenaufsicht sieht die Übertragung der Salden und etwaiger Überziehungslimits beim Kontoinformationsdienst im Sinne der Datenparität als erforderlich an. Eine zeitnahe Umsetzung für Konto­in­for­ma­tions­dienste wird erwartet.”

Bis heute allerdings ist diese für uns als Dienstleister substantielle Anforderung noch nicht umgesetzt. Dabei ist ein Dispolimit bei vielen digitalen Angeboten Voraussetzung für die Umsetzung. Beispielsweise beim Kontowechselservice oder beim digitalen Kreditantrag.

Ein we­sent­li­cher Punkt ist fer­ner, dass die­se In­for­ma­tio­nen ins­be­son­de­re auch im Rah­men der Zah­lungs­aus­lö­se­diens­te un­ver­zicht­bar ist. Ei­ne Zah­lungs­aus­lö­sung soll­te nur dann statt­fin­den kön­nen, wenn der Ver­fü­gungs­rah­men be­kannt ist und die­ser den zu über­wei­sen­den Be­trag ab­deckt. Der Kern und Sinn die­ser Diens­te be­steht dar­in, ab­zu­schät­zen, ob die Zah­lung aus­ge­führt wird und dies dem On­line­shop un­mit­tel­bar zu be­stä­ti­gen. Die­ses Ver­ständ­nis ist die ex­pli­zi­te Grund­la­ge der PS­D2, die ja ur­sprüng­lich den Markt der Zah­lungs­diens­te im Au­ge hatte.

Nur durch die Prüfung des Verfügungsrahmens und die Bestätigung an den Zahlungsempfänger kann die Ware oder Dienstleistung unverzüglich freigegeben werden.”

Diese Information ist aus unserer Sicht essentiell und ist zudem ein absolutes Marktbedürfnis.

Mit dem Einmal-Consent sollten alle abgefragten Daten übertragen werden

Ein weiterer wichtiger Punkt aus unserer Sicht ist die Möglichkeit, dass mit einem Einmal-Consent (“One-Off Consent”) des Users alle Daten abgerufen werden können. Bislang ist mit der einmaligen Zustimmung des Nutzers nur die Abfrage der Kontenliste möglich. Hier steht auch die BaFin auf dem Standpunkt, dass mit einem Einmal-Consent alle abgefragten Daten geliefert werden sollten. Die Fiducia und Finanz Informatik haben uns dazu Anfang des Jahres eine Lösung zugesagt, wonach mit einem Einmal-Consent eine Fünf-Minuten-Session gestartet wird, innerhalb derer mehrere Abfragen erfolgen können.

Finanz Informatik hat diese Fünf-Minuten-Session kurz nach Ostern umgesetzt und auch Fiducia hat dies in einem Update am 13.5. implementiert. FinTecSystems hat die Umsetzung erfolgreich getestet, die Mehrfach-Abfragen innerhalb des fünfminütigen Zeitfensters funktionieren.”

Wir würden uns freuen, wenn auch andere Banken diesem Beispiel zur Umsetzung des Einmal-Consent schnellstmöglich folgen.

Insgesamt befinden uns wir uns damit auf der Zielgeraden, die beiden Schnittstellen von Finanz Informatik und Fiducia sind größtenteils performant und stabil.”

Was wir nun noch erwarten, ist die Umsetzung der Limit-Übertragung, damit Drittdienstleister darauf verzichten können, zusätzlich über die Kundenschnittstellen zu gehen.

In diesem Zusammenhang sei auch noch die Multi-Consent-Thematik erwähnt: Noch immer ist es nicht möglich, gleichzeitig verschiedene Zustimmungen für einen User bei der Bank anzufragen, das ist gerade bei Personal Finance Management-Anwendung mit mehreren eingebundenen Konten Voraussetzung für den reibungslosen Ablauf. Wir können nicht nachvollziehen, warum es nicht möglich sein soll, mehrere Anfragen eines Users auch so an seine Bank weiterzugeben. Die angesprochenen Punkte sind aber leicht zu beheben und könnten beispielsweise in einem der nächsten Updates der Berlin Group Schnittstelle umgesetzt werden. Wir stehen hier im konstruktiven Austausch mit allen Beteiligten.

Bei vielen PSD2-Schnittstellen ist ein Großteil des Weges geschafft

Hinter den Schnittstellen der beiden größten Kreditinstitute gibt es eine Reihe von APIs, die kürzlich die Marktbewährung abgeschlossen haben beziehungsweise kurz davor stehen. Diese Schnittstellen sind noch nicht so weit wie Sparkassen und Fiducia, hier gibt es beispielsweise noch spezifische Probleme bei der Übermittlung von Daueraufträgen und bei einigen API ist teilweise nach wie vor nur der redirect als einzige Option für die Zwei-Faktor-Authentifizierung möglich (“redirect only”). Darüber hinaus gibt es bei bei den Schnittstellen ebenfalls Probleme mit den Consents, die Situation ist aber eine andere als bei Finanz Informatik und Fiducia. Auch bezüglich dieser Mängel stehen wir im engen Austausch mit den IT-Verantwortlichen der Institute.

Wir sind daher der Meinung, dass auch im Bereich der weiteren Schnittstellen der Großteil des Weges hin zu einer vollumfänglich leistungsfähigen PSD2-Schnittstelle geschafft ist. Hierzu zählen wir beispielsweise die Schnittstellen der Deutschen Bank, Norisbank, Commerzbank, DKB und Postbank.”

Migration auf PSD2-Schnittstellen hat begonnen

Bei FinTecSystems werden die Schnittstellen genutzt, die für den Kunden den höchsten Grad an Leistungsfähigkeit besitzen. Vermehrt können nun auch die neuen dedizierten Schnittstellen, basierend auf dem Berlin Group Standard, eingesetzt werden.

So haben wir Kunden im Bereich Kontoinformationsdienste beispielsweise für verschiedene Anwendungsfälle auf die PSD2-Schnittstelle der Sparkassen umgestellt. Alle marktrelevanten Banken haben wir implementiert und überprüfen regelmäßig, ob diese den von der PSD2 geforderten Grad an Leistung und Verfügbarkeit aufweisen und damit eine vollständige Migration für alle unsere Kunden möglich ist.

Insgesamt sehen wir große Fortschritte im Bereich PSD2-Schnittstellen. Dies war bei den ersten Versionen der PSD2-Schnittstellen noch lange nicht zu erkennen.”

Durch den unermüdlichen Austausch mit Banken und BaFin konnten wir so Standards für die Branche sichern, damit innovative FinTechs, aber auch bankeigene Anwendungen den gleichen Funktionsumfang wie vor der Umstellung gewährleisten.

Dies ist gerade vor dem Hintergrund der prosperierenden und vielfältigen FinTech-Szene in Deutschland und Europa wichtig. Daher ist es speziell nach der Marktbewährungsphase so wichtig, die Ergebnisse aus den letzten Monaten zusammenzutragen, auszuwerten und noch bestehende Mängel zu beseitigen.  Dadurch wird ein übereiltes Abschalten der Verbraucher-Schnittstellen vermieden. Diese helfen als Fallback-Lösung in der aktuellen Phase, die für den Endnutzer gewohnte Datenqualität sicherzustellen. Außerdem können mit Fallback alle Seiten effektives Bugfixing betreiben. Damit ist gewährleistet, dass die PSD2 langfristig zu einem Erfolg für alle wird: Banken, FinTechs und Kunden.Caroline Jenke, Chief Legal Officer FinTecSystems