SECURITY16. Oktober 2024

Was die BaFin von Banken zukünftig bei PSD2-Konto­zugangs­schnittstellen erwartet

BaFinKai Hartmann Photography / BaFin

Die deutsche Finanzaufsichtsbehörde BaFin hat ihre Anforderungen an Banken und andere kontoführende Zahlungsdienstleister im Zusammenhang mit Kontozugriffsschnittstellen und der Umsetzung der PSD2-Richtlinie (Zweite Zahlungsdiensterichtlinie) präzisiert. Dabei geht es um drei wesentliche Themen: die Veröffentlichung von Statistiken zur Verfügbarkeit und Leistung der Schnittstellen, den Umgang mit „Screen Scraping“ bei der Nutzung von Redirection-Seiten sowie die Meldepflicht bei Störungen der Schnittstellen.

Die BaFin konkretisiert ihre Erwartungshaltung zu drei Sachverhalten bei PSD2-Kontozugangschnittstellen: zur Zeitspanne der zu veröffentlichenden Statistiken über die Verfügbarkeit und Leistung von Schnittstellen, zum „Screen Scraping“ von Redirection-Seiten und zu Meldungen von Problemen mit dedizierten Schnittstellen. Für die ersten beiden Sachverhalte hat die Europäische Bankenaufsichtsbehörde (EBA) bereits einschlägige Q&As herausgegeben, an denen sich die BaFin orientiert hat.

Veröffentlichung von Statistiken zur Schnittstellenverfügbarkeit

Gemäß Artikel 32 Absatz 4 der Delegierten Verordnung (EU) 2018/389 müssen kontoführende Zahlungsdienstleister quartalsweise Statistiken zur Verfügbarkeit und Leistung ihrer dedizierten Schnittstellen auf ihrer Website veröffentlichen. Die BaFin hat nun klargestellt, dass diese Statistiken mindestens die letzten vier Quartale abdecken sollen. Die Anforderung orientiert sich an den Vorgaben der Europäischen Bankenaufsichtsbehörde (EBA), die in ihrer Q&A 2023_6687 detaillierte Hinweise zur Zeitspanne der zu erfassenden Daten gibt. Damit will die BaFin Transparenz über die Stabilität und Leistungsfähigkeit der Schnittstellen sicherstellen.

„Screen Scraping“ und Zugang über Redirection-Seiten

Die Nutzung von „Screen Scraping“, also dem automatisierten Auslesen von Daten von Benutzeroberflächen, ist für Zahlungsdienstleister ein umstrittenes Thema. Die BaFin folgt der EBA in ihrer Haltung, dass alternative Ansätze zur Authentifizierung, wie „Screen Scraping“, bei der Nutzung dedizierter Schnittstellen nicht zulässig sind. Wenn eine Bank ihre Schnittstellen über einen Redirection-Ansatz bereitstellt, müssen Drittanbieter wie Zahlungsauslösedienste (ZAD) und Kontoinformationsdienste (KID) diesen nutzen und die Authentifizierung auf den Seiten der Bank durchführen. Abweichende technische Lösungen, die nicht in den offiziellen technischen Spezifikationen der Bank dokumentiert sind, gelten als „non compliant“ und dürfen blockiert werden.

Diese Klarstellung ist für die Anbieter von Zahlungsauslösediensten von Bedeutung, da sie sicherstellen müssen, dass ihre technischen Implementierungen den Vorgaben der Bankenaufsicht entsprechen. Ein Verstoß gegen diese Anforderungen kann zu Einschränkungen beim Zugang zu den Bankenschnittstellen führen.

Meldung von Störungen bei Schnittstellen

Im Falle von Störungen der dedizierten Kontozugriffsschnittstellen sind Banken verpflichtet, diese unverzüglich der BaFin zu melden, sofern es sich nicht um eine einmalige, kurzfristige technische Störung handelt. Ein Systemausfall liegt dann vor, wenn fünf aufeinanderfolgende Zugriffsversuche innerhalb von 30 Sekunden nicht beantwortet werden. Diese Meldepflicht betrifft auch die ZAD/KID, wenn sie aufgrund eines Ausfalls gezwungen sind, auf alternative Schnittstellen der Bank auszuweichen.

Die Meldung muss formfrei und per E-Mail erfolgen, wobei das Datum und die Dauer der Störung sowie die betroffenen Dienste anzugeben sind. Darüber hinaus sollen Banken den Grund für die Störung sowie gegebenenfalls ergriffene Maßnahmen mitteilen. Die BaFin betont, dass die Einhaltung dieser Regelungen für eine funktionierende Schnittstellenkommunikation im Zahlungsverkehr entscheidend ist.

Für mehr Sicherheit und Gleichbehandlung aller Marktteilnehmer

Mit den neuen Vorgaben möchte die BaFin sicherstellen, dass Banken klare und transparente Informationen zur Verfügbarkeit ihrer Schnittstellen bereitstellen und dass der Zugriff durch Drittanbieter in Einklang mit den technischen Spezifikationen erfolgt. Die Anforderungen sollen sowohl die Sicherheit im Zahlungsverkehr erhöhen als auch eine faire und gleiche Behandlung aller Beteiligten garantieren. Banken und Drittanbieter müssen diese Regelungen genau befolgen, um eine reibungslose Interaktion zwischen den verschiedenen Akteuren im Finanzsektor sicherzustellen. Die kompletten BaFin-Ausführungen im Original finden sich hier.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert