PSD3, PSR & Kernbankensysteme: Das Zugriffs-Dashboard wird zum entscheidenden Hebel

von Georg Schardt, Chief Commercial Officer, finAPI

Während PSD3 als Richtlinie (muss innerhalb von 18 Monaten in nationales Recht umgesetzt werden) vor allem Zulassung, Aufsicht und Governance neu ordnet, definiert die PSR als Verordnung die operativen Anforderungen. Für IT-Verantwortliche liegt die technische Tragweite deshalb weniger in der Richtlinie als in der direkten Wirkung der PSR auf bestehende Systeme.

Viele Diskussionen drehen sich dabei um bekannte Themen wie Betrugsprävention, starke Kundenauthentifizierung oder Open-Banking-Schnittstellen.

Für Kernbankensysteme wird jedoch ein anderer Punkt entscheidend: das verpflichtende Dashboard für Zugriffsrechte.“

Es macht Open Banking im Online-Banking erstmals dauerhaft sichtbar und verschiebt ein bislang im API-Layer verankertes Thema in die direkte Interaktion mit dem Nutzer.

Vom API-Layer in die Oberfläche: Consent wird sichtbar

Die Verification of Payee (VoP) ist in diesem Zusammenhang ein bekanntes Feld. Die PSR führt die Empfängerüberprüfung nicht neu ein, sondern weitet bestehende Pflichten auf weitere Überweisungen aus. Viele Banken haben die zugrunde liegenden Prozesse im Zuge der Instant-Payments-Verordnung bereits breiter aufgebaut. Das neue Dashboard ist dagegen für viele Häuser tatsächlich Neuland.

Künftig müssen Banken ihren Kunden anzeigen, welche Drittanbieter auf welche Konten zugreifen dürfen, zu welchem Zweck, für welchen Zeitraum und in welchem Status sich der Consent befindet. Was bisher oft im Hintergrund zwischen Bank und Drittanbieter über den API-Layer verwaltet wurde, wird damit Teil der sichtbaren Bankoberfläche.

Für die IT bedeutet das eine Verschiebung der Verantwortung. Consent lässt sich nicht länger isoliert als technisches Artefakt im Schnittstellenbetrieb behandeln. Stattdessen entsteht ein durchgängiger Prozess, der vom API-Layer über Backend-Systeme bis in die Nutzeroberfläche reicht. Statusänderungen müssen synchron verarbeitet, konsistent gespeichert und verständlich dargestellt werden.

Operative Auswirkungen: Wenn Zugriffe entzogen werden

Autor Georg Schardt, finAPI

Georg Schardt ist seit Februar 2026 Chief Commercial Officer bei finAPI (Webseite). Dort verantwortet er die Entwicklung und Vermarktung digitaler Finanz- und Paymentlösungen. Zuvor war er neun Jahre  am Aufbau des Open-Banking-Anbieters Sofort beteiligt, der heute Teil von Klarna ist. Insgesamt blickt Schardt auf 17 Jahre Erfahrung in führenden Positionen im Payment-Umfeld zurück. Zuletzt verantwortete er den Markteintritt des Payment-Anbieters Zaver in Deutschland.

Welche Folgen das hat, zeigt sich in typischen Anwendungen. In der Buchhaltungssoftware oder im ERP können Bankimporte, Kontenabgleich und automatisierte Abläufe abbrechen, wenn ein Consent entzogen wird. Im Firmenkundengeschäft dürfte das Risiko eines unüberlegten Entzugs geringer sein, weil der Nutzen meist klarer ist. Die operative Wirkung bleibt dennoch unmittelbar.

Bei Finanz-Apps ist die Lage sensibler. Hier ist die Wahrscheinlichkeit größer, dass Nutzer, häufig Verbraucher, einen Drittanbieter im Dashboard nicht eindeutig einordnen und den Zugriff beenden. Funktionen wie Kontenübersicht, Umsatzanalyse oder Multibanking stehen dann nicht mehr wie gewohnt zur Verfügung. Für Banken entsteht daraus zusätzlicher Erklärungsbedarf und erhöhter Support-Aufwand, obwohl die Ursache außerhalb der eigenen Systeme liegt.

Im Zahlungsverkehr kann die neue Transparenz dagegen auch vertrauensbildend wirken. Nutzer sehen künftig klarer, welchem Anbieter sie für eine Zahlung Zugriff gewährt haben und zu welchem Zweck. Das kann Open-Banking-Zahlungen (Pay-by-Bank) stärken. Gleichzeitig steigen die Anforderungen an eine saubere Kennzeichnung der Prozesse, da Unklarheiten unmittelbar zu Abbrüchen führen können.

Gerade bezüglich einer Multiconsentverwaltung, also dass ein Kunde mehrere Produkte über einen Open-Banking-Provider nutzt, und dass diese unterschiedlichen Zustimmungen isoliert dargestellt und vom Kunden widerrufen werden können, hätte die PSD3/PSR spezifischer sein können.

PSD3 sorgt für mehr Transparenz, mehr Komplexität im Betrieb

Mit der Einführung des Dashboards verschiebt sich die Komplexität sichtbar in den laufenden Betrieb. Mehr Transparenz führt zu mehr Interaktion und damit zu einer höheren Wahrscheinlichkeit für Unterbrechungen, Rückfragen und Support-Aufwand, insbesondere im Privatkundengeschäft. Für Banken bedeutet das, dass Consent nicht nur technisch korrekt verwaltet, sondern auch konsistent erklärt werden muss. Der Zweck eines Zugriffs und die Folgen eines Entzugs werden zu einem integralen Bestandteil der Nutzerführung. Für IT-Verantwortliche entsteht daraus die Aufgabe, technische Zustände so abzubilden, dass sie auch außerhalb der IT verständlich bleiben.

Ein Blick nach vorn zeigt, dass diese Entwicklung nicht auf Zahlungskonten beschränkt bleibt. Mit FIDA wird der Zugang zu weiteren Finanzdaten ausgeweitet.

Die Anforderungen an Consent-Management, Datenintegration und Systemkonsistenz werden weiter steigen – auch wenn der Verweis auf die Kompatibilität mit einem künftigen FIDA-Dashboard in der PSR gestrichen wurde.“

PSD3 und PSR sind damit nicht nur ein weiteres Regulierungspaket. Sie greifen tief in die Architektur von Kernbankensystemen ein und verändern, wie Open Banking technisch umgesetzt und vom Kunden wahrgenommen wird. Das Dashboard für Zugriffsrechte steht exemplarisch für diese Entwicklung. Es macht aus einem bislang im API-Layer verankerten Prozess einen sichtbaren Bestandteil des Bankalltags und zwingt Banken, Systeme, Schnittstellen und Nutzerführung enger miteinander zu verzahnen. Georg Schardt, finAPI/dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/241993

• teilen 
• teilen 
• teilen 
• teilen 
• teilen 
• RSS-feed 
• E-Mail 
• drucken