PSD2: Teuer, unklar, riskant? “Belebung des Marktes zu Lasten der Banken – aber auch eine echte Chance”

Seit 5. November gilt die MaSI, bei der heute schon klar ist, dass weite Teile durch die soeben von der EU beschlossene PSD2 novelliert werden müssen. Doch die PSD2 hat noch ein paar unerfreuliche Überraschungen im Gepäck, wie uns GFT-Experte Bernd-Josef Kohl im Interview erläutert.

Herr Kohl, was bedeutet die PSD2  für Banken und Finanzdienstleister? Was kommt jetzt neu?

Die PSD2 kommt nicht so überraschend. Sie steht in einer langen Linie von Maßnahmen der Europäischen Union. Da gab es die PSD1 vor etwa sechs bis sieben Jahren. Jetzt gibt es die PSD2, mit der der Zahlungsverkehr in der Europäischen Union flexibler und günstiger für die Verbraucher gemacht werden soll. Das Ziel ist ganz klar eine Belebung des Marktes – primär zu Lasten der Banken muss man sagen. Aber zugleich bietet es ihnen die Chance, neue Geschäftsmodelle daraus zu entwickeln.

Bei der PSD2 geht es eigentlich darum, dass Zahlungsverkehrsdienstleistungen von den Banken auch bedient werden und zwar kostenlos. Das heißt, es gibt Anbieter wie beispielsweise Sofortüberweisung oder Paypal , die dann bestimmte, gesetzlich definierte Informationen von den Banken erhalten sollen, ohne dass sie dafür bezahlen müssen.

Die Banken müssen kostenlos eine Leistung für Mitbewerber erbringen?

Korrekt. Drittdienstleister – also Zahlungsverkehrsdienstleister – sollen Kunden-Informationen von den Banken erhalten und das tatsächlich kostenlos.

Und um was für Daten handelt es sich dabei?

Das sind Daten, die zum Beispiel an das Online-Banking gekoppelt und für Drittdienstleister wichtig sind. Also Daten im Rahmen der Online-Überweisung. Zum Beispiel die Adressverifikation für einen Kunden.

Letztendlich muss jede Leistung bezahlt werden – dann eben indirekt – über Bankgebühren. Warum sollen diese Leistungen kostenlos sein? 

Die Europäische Union will letztendlich erreichen, dass der Markt flexibler wird. Banken sollen sprichwörtlich nicht auf ihren Daten sitzen und andere Zahlungsverkehrsdienstleister, die diese Daten auch benötigen, sollen nicht leer ausgehen.

Jetzt ist die PSD2 also verabschiedet. Wie müssen die Banken nun reagieren? Was müssen sie tun?

Sie müssen sich im Hier und Jetzt darauf einstellen, dass sie die in der Richtlinie als relevant eingestuften Informationen über eine Schnittstelle bereitstellen können. Darüber wird gerade intensiv diskutiert. Vor allem auch, wie die Schnittstelle aussehen soll und wie sicher sie ist.

Das heißt, es ist noch nicht klar, wie diese Schnittstelle zu definieren ist und wie sie aussehen soll?

Nein, das ist tatsächlich noch nicht klar.

Wer entscheidet, wie es dann genau ausgeführt wird?

Das ist in erster Linie ein politischer Prozess. Beteiligt sind Verbände, wie die Deutsche Kreditwirtschaft, der BDB, dann das European Payment Council, die European Banking Association und auch die Lobbyisten aus Brüssel und Straßburg.

Wie lang kann es nun dauern, bis es umgesetzt werden kann?

Die Umsetzung soll 2017 starten.

Kurz noch einmal einen Schritt zurück: Das heißt, bis dahin muss die Schnittstelle definiert und kommuniziert sein.

Exakt – plus die genaue Definition, was an Daten übergeben werden soll. Die Daten werden Kontoinformationen betreffen – dessen muss man sich bewusst sein. Das werden aller Voraussicht nach auch Zusatzinformationen sein, wie z.B. die Angabe ob das Konto gedeckt ist. Also Daten, die für Dritte – vor allem Zahlungsdienstleister – von großem Interesse sind.

Ist denn zumindest klar, wer alles über diese Schnittstellen Daten abrufen darf?

Das ist derzeit noch nicht eindeutig definiert, wird aber sicherlich folgen. Ungeklärt ist weiterhin, was wiederum die Zahlungsverkehrsdienstleister mit den Daten machen: Werden sie gelöscht, gespeichert oder werden gar Spiegelkonten geführt. Es kann auch gut sein, dass die nationalen Gesetzgebungen diese EU-Direktive noch einmal kritisch unter die Lupe nehmen und dass dagegen geklagt wird.

Und was passiert, wenn bei und nach der Herausgabe der Bankdaten etwas schief geht? Da ist dem Missbrauch doch Tür und Tor geöffnet. Wer trägt die Verantwortung, wenn etwas passiert?

Auch diese Frage ist noch nicht geregelt. Sagen wir mal, Sie würden mit einem Drittdienstleister eine Zahlung vornehmen. Ihre Bank gibt die Daten laut PSD2-Vorgabe weiter und auf dem Weg von der Herausgabe zum Zahlungsverkehrsdienstleister werden ihre Daten gestohlen, also kopiert. Wer ist jetzt Schuld? Wer trägt die Verantwortung und wer die Kosten?

Nehmen wir zum Beispiel einen Payment-Dienstleister, der schlicht gehackt wird. Über ihn ließen sich dann Bank-Kundendaten wie die Adresse, Kontodeckung & co. ausspionieren und auf dem Schwarzmarkt verkaufen?

Genau, das ist das Problem.

Und wer wird das Problem lösen? Wer muss diese Fragen beantworten?

Das ist ein Streitpunkt. Die Banken sehen sich hier nachvollziehbarer Weise nicht in der Pflicht, da es um die Datensicherheit außerhalb ihrer Bankprozesse geht, und die Zahlungsverkehrsdienstleister vertreten den Standpunkt, dass sie es nicht lösen können – insofern wird aktuell “Ping-Pong“ gespielt.

Wir haben jetzt mit vielen Beteiligten, Banken wie Verbänden, gesprochen und ihnen aufgezeigt, dass PSD2 auch Vorteile zur Etablierung eines neuen Geschäftsmodells liefern kann. Und zwar mittels eines Service-Layer-Konzepts. Banken könnten nämlich aus dem, was sie liefern müssen, ein neues Serviceangebot kreieren und schlussfolgernd damit auch Geld verdienen.

Das heißt?

Mit Hilfe so genannter Service Layer, also softwaregestützter Dienstleistungspakete, könnten sie künftig für die über 30.000 in Deutschland aktiven Online-Händler sowie für Behörden und Verbraucher als zentrale Schnittstelle für sensible aber notwendige Daten fungieren. Für diesen Service können Banken wiederum Gebühren einnehmen. Das heißt, wenn eine Bank den  Service Layer anbieten würde, dann könnte der Service nicht nur für diese Drittzahlungsdienstleister interessant sein, sondern auch für andere. Die anderen müssten jedoch dafür bezahlen.

Welche Art von Daten und Dienstleistungen sollen das sein?

Daten, die Verbraucher – etwa beim Einkaufen oder bei Behördengängen – immer wieder aufs Neue angeben, obwohl sie an anderer Stelle längst vorliegen. Informationen, die die Bank künftig für Dritte vorhält und bei Bedarf miteinander verknüpft: Etwa beim Identity Management, um zu prüfen, ob ein Onlinekunde wirklich der ist, für den er sich ausgibt. Ob angegebene Adressen oder das Alter stimmen, ob Konten gedeckt sind oder Betrug droht. Selbst das Ausstellen elektronischer Rechnungen kann künftig über die Banken erfolgen.

Und wer profitiert davon?

Alle Beteiligten! Händler können schneller auf das von Kunden überwiesene Geld zurückgreifen. Lieferdienste, wie die Post, können die Zahl ihrer teuren Irrläufer reduzieren und für eine geringe Gebühr selbst viel Geld sparen. Behörden können Personen schneller identifizieren – etwa, um sie unkompliziert für die elektronische Steuererklärung freizuschalten, was heute bekanntlich noch immer auf dem Postweg erfolgt und viele Wochen dauert. Nicht zuletzt erschließen sich die Banken dadurch selbst neue Geschäftsmodelle und Einnahmequellen – nicht nur über die Digitalisierung des Zahlungsverkehrs, sondern als entscheidende Schnittstelle bei der Weiterentwicklung eines digitalen Lebensstils.

Aber warum sollten die Bank-Kunden das wollen?

Weil durch diesen Service auch für sie das Leben komfortabler wird – und ihre (Geld-)Geschäfte sicherer! Angst vor potentiellen Schattenkonten, also der Speicherung und Weitergabe kundenbezogener Daten durch Dritte, muss dann kein Verbraucher mehr haben.

Mag sein. Aber das beantwortet nicht die Frage nach der Sicherheit.

Ja, aber in dem Augenblick, in dem die Banken ein Geschäftsmodell erkennen, mit dem sie trotz Mehraufwand Geld verdienen können, werden sie eher bereit sein, ihre Anwendung als auch ihre Schnittstelle so sicher wie möglich zu bauen– weil es ihnen dann einen Mehrwert bietet. Zum Beispiel beim Thema Adress-Verifikation. Denken Sie zum Beispiel an eine DHL. Das Unternehmen hat sehr viele Rückläufer, bei denen die Adressen schlicht nicht stimmen. Das kostet Geld. In dem Augenblick, in dem man der DHL anbieten kann, die Adresse vorab zu verifizieren– zum Beispiel für nur wenige Cent – spart das Unternehmen enorme Summen. PSD2 bietet den Banken ganz neue Möglichkeiten, Geld zu verdienen. Wenn das Geschäftsmodell vielversprechend ist, geht damit auch das Interesse einher, eigenes Budget zu investieren um die Schnittstelle so gut zu bauen, dass sie frei verfügbar ist und sehr hohen Sicherheitsanforderungen genügt.

Ein interessanter Ansatz, aber wie realistisch ist die Umsetzung?

Da befinden wir uns gerade mitten in der Diskussion. Wir haben einige Skizzen und Modellentwürfe erstellt, wie das Service-Layer-Konzept aussehen könnte. Der springende Punkt bei diesen Bankdienstleistungen sind die Kosten, die die Banken zusätzlich aufwenden müssten – plus die Sicherheit, die man gewährleisten muss.  Der Einsatz eines Service Layers könnte die ideale Lösung für alle Beteiligten sein.

Ihre persönliche Einschätzung, wird das bis 2017 funktionieren?

Nein – das glaube ich nicht.

Werden wir dann mit der PSD2 das gleiche Spiel bekommen wie bei SEPA?

Ja, das ist zu befürchten. Ich glaube, dass sich die nationalen Parlamente noch einmal darum kümmern werden. Dann wird vielleicht auch noch jemand überlegen, ob er zum Europäischen Gerichtshof geht. Die Einführung wird sicherlich nicht so einfach von statten gehen – aber die EU wird es einfordern und fest dahinter stehen, damit die Direktive in Kraft tritt – auch  wenn es ein Jahr später ist.

Was die Entwicklung des Service Layers angeht: Wenn man einen solchen Layer baut, ist das nicht so trivial. Da müsste meines Erachtens auch das EPC mitreden, weil es hier sicher auch einen Wettbewerb gibt.  Wenn es mehrere Service Layer gibt,  müssen sie kompatibel zueinander sein. Das heißt, für die EU müsste das EPC einen Standard definieren, um die Rahmenbedingungen festzulegen. Der gilt dann schlussfolgernd auch für Instant-Payment. Da wird es sicher auch noch einmal Verzögerungen geben.

Verkürzt zusammengefasst heißt das, es wird noch viel Spaß mit der PSD2 geben. Die ist zwar beschlossen und ergänzt die MaSI, aber alle Beteiligten werden noch lange Zeit damit beschäftigt sein, bis es dann letztlich die neue Schnittstelle gibt.

Richtig. Es geht eben primär um die zusätzlichen Kosten, das Geschäftsmodell und um den Sicherheitsaspekt in dem ganzen Verfahren.

Herr Kohl, ich danke Ihnen ganz herzlich für das Gespräch.aj