PSD2-KONTOSCHNITTSTELLE22. Oktober 2020

BaFin zu XS2A: Wir sind sehr zuversichtlich, dass wir noch 2020 die ersten Ausnahmen erteilen werden

XS2A: Dr. Felix Strassmair-Reinshagen, Referent in der Gruppe IT-Aufsicht, BaFin
Dr. Felix Strassmair-Reinshagen, Referent in der Gruppe IT-Aufsicht, BaFinBaFin

XS2A: Offiziell begann im März 2019 die Beta-Phase zur PSD2/XS2A, im September 2019 sollte es losgehen. Allerdings dauerte es noch bis Januar 2020, bis die erste echte Kontoschnittstelle in die auf 3 Monate festgelegte Marktbewährungsphase kam. Inzwischen ist Oktober 2020: Ganz langsam erscheint ein Licht am Ende des Tunnels. Dr. Felix Strassmair-Reinshagen (Referent in der Gruppe IT-Aufsicht, BaFin) erklärt im Interview, warum man den Banken so viel Zeit einräumen musste.

Herr Dr. Strassmair-Reinshagen, wie viele Anträge auf die Erteilung einer Ausnahmegenehmigung von der Bereitstellung des Notfallmechanismus liegen Ihnen vor?

Uns liegen aktuell 32 Anträge vor. Das mag zunächst wenig klingen, angesichts von mehr als 1.500 Kreditinstituten in Deutschland. Wir haben allerdings auch einige Sammelanträge auf dem Tisch. So haben zum Beispiel fast 400 Sparkassen einen gemeinsamen Antrag für die API gestellt, die von der Finanz Informatik betrieben wird. Insgesamt betrachtet decken die uns vorliegenden Anträge den Löwenanteil der deutschen Bankenlandschaft ab.

Und wie viele davon wurden schon bewilligt?

Bislang haben wir noch keinen Antrag bewilligt. Unserer Auffassung nach kann ein Antrag nur bewilligt werden, wenn uns – unter anderem – ein sehr hohes Niveau an Performanz und Verfügbarkeit der Schnittstelle nachgewiesen wurde. Die Ausnahmegenehmigung ist quasi der krönende Abschluss der Umsetzungsarbeiten.

Wir sind aber sehr zuversichtlich, dass wir noch in diesem Jahr die ersten Ausnahmen erteilen werden.“

Wie viele Banken haben denn bereits die Marktbewährungsphase von drei Monaten bestanden?

Über den Abschluss der Marktbewährungsphase erteilen wir keinen gesonderten Bescheid. Der auf unserer Website veröffentlichte Beginn dieser Phase dient vor allem der Information der Zahlungsauslöse- und Kontoinformationsdienstleister. Hierdurch wollen wir erreichen, dass diese mit vollem Einsatz die fragliche Schnittstelle in ihre Produktivsysteme integrieren. Danach sollten sie die Last auf die Schnittstelle langsam hochfahren, am besten mit Vorankündigung an den API-Anbieter. Dies ist nach unseren Eindrücken häufig ein schwieriger Prozess.

Wenn es zu Problemen kommt, ist am Anfang oft unklar, ob der Fehler beim API-Anbieter oder beim Zahlungsauslöse- oder Kontoinformationsdienstleister liegt. Um schnell zu einer Lösung zu kommen, ist es unabdingbar, dass beide Seiten offen miteinander kommunizieren.“

Nun ist über ein Jahr nach der Compliance-Deadline (14. September 2019) vergangen. Hat die BaFin die Zügel zu sehr schleifen lassen?

Dr. Felix Strassmair-Reinshagen, BaFin
Dr. Felix Strassmair-Reinshagen ist bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als Referent in der Gruppe IT-Aufsicht tätig. Schwerpunkte seiner Arbeit sind die aufsichtlichen Anforderungen für den Zahlungsverkehr, insbesondere die Regelungen der PSD2 zu Schnittstellen und Starker Kundenauthentifizierung. Er ist Volljurist und hat an der LMU München in Volkswirtschaftslehre promoviert.

Nein. Unser primäres Ziel war auch nicht, möglichst schnell einen formalen Haken hinter die Sache zu machen, sondern das in Deutschland bestehende Ökosystem für Zahlungsauslöse- und Kontoinformationsdienste möglichst unbeschadet in die neue PSD2-Welt zu überführen.“

Und dafür brauchte es große Anpassungsleistungen, sowohl von Seiten der Banken als auch der neu regulierten Dienstleister. Um dieses Ziel zu verwirklichen, haben wir früh den offenen Austausch mit allen Beteiligten gesucht und den Dialog zwischen beiden Seiten gezielt gefördert. Die BaFin hat zum Beispiel im Herbst letzten Jahres ein Spitzengespräch mit der Deutschen Kreditwirtschaft und vier großen Zahlungsauslöse- und Kontoinformationsdienstleistern veranstaltet. Zudem haben wir eine ganze Reihe von Workshops zu diesem Thema durchgeführt, bei denen Vertreter beider Seiten rege teilgenommen und sich auch aktiv ausgetauscht haben.

Von den Banken hören wir im Übrigen sogar oft das Gegenteil, nämlich, dass wir gerade im europäischen Vergleich recht streng sind.“

Warum wurde dann der Termin 14. September 2019 nicht eingehalten?

Wir haben nie gesagt, dass alle Banken bis zum 14. September 2019 eine Befreiung vom Notfallmechanismus in der Hand halten müssen. Zum damaligen Zeitpunkt waren die Anforderungen dafür noch nicht vollständig erfüllt.“

Es fehlten insbesondere noch einzelne Funktionen, wie zum Beispiel die Möglichkeit, Informationen über die bestehenden Daueraufträge abzurufen. In der Zwischenzeit konnten wesentliche Fortschritte erzielt werden. Viele Schnittstellen werden heute erfolgreich und in großem Umfang für Kontoinformationsdienste und Zahlungsauslösungen genutzt.

Ein Grund für die späte Implementierung einiger Funktionen mag auch gewesen sein, dass die eher prinzipienorientiert formulierten Mindestanforderungen für eine PSD2-Schnittstelle von den Marktteilnehmern teilweise sehr unterschiedlich ausgelegt wurden.“

Übrigens nicht nur bei uns, sondern europaweit. Deshalb hatte die Europäischen Kommission eine sogenannte API Evaluation Group ins Leben gerufen, die mit Marktvertretern besetzt war. Diese Gruppe hat aber bei vielen Fragen keinen Konsens erzielen können, sondern nur die Streitstände beschrieben. Die offen gebliebenen Fragen mussten dann doch durch die Europäische Kommission, die EBA und nicht zuletzt die nationalen Aufsichtsbehörden entschieden werden.

Es soll zahlreiche Workarounds geben – wird das nun zum Dauerstatus für XS2A?

Wenn der von der Bank bereitgestellte Zugangsweg noch nicht die Anforderungen der PSD2 erfüllt, dann haben Zahlungsauslöse- und Kontoinformationsdienstleister das Recht, über bisher genutzte Schnittstellen zuzugreifen.

Wir gehen aber davon aus, dass sich dieses Problem im Laufe des nächsten Jahres größtenteils lösen wird. Vereinzelt könnten wir aber auch danach noch ungewöhnliche Zugriffswege sehen, schließlich ist die PSD2 technologieneutral formuliert.“

Wie wird die BaFin den Druck erhöhen?

Wir kommunizieren generell klar und deutlich.

An unserer Erwartung, dass eine schnellstmögliche Migration auf die neuen PSD2-Schnittstellen erfolgen soll, hat sich nichts geändert. Diese betrifft Banken und nun regulierte FinTechs gleichermaßen.“

Zahlungsauslöse- und Kontoinformationsdienstleister sollten nicht zuletzt im eigenem Interesse die laufenden Marktbewährungsphasen intensiv für die Migration nutzen. Nur bei hohem Nutzungsgrad können auch die letzten Probleme erkannt und beseitigt werden. Gerade zu Beginn der Marktbewährungsphasen hätten wir uns eine intensivere Nutzung der zur Verfügung gestellten Schnittstellen gewünscht, um eine zeitnahe Rückmeldung über einzelne Schnittstellen zu erhalten.

Und nicht zuletzt müssen Zahlungsauslöse- und Kontoinformationsdiensten akzeptieren, dass die PSD2 auch Auswirkungen auf ihre Prozesse hat.“

Herr Strassmair-Reinshagen, vielen herzlichen Dank für das Interview!aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/113201 
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (8 Stimmen, Durchschnitt: 4,88 von maximal 5)
Loading...

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit der Zahl der Cyberangriffe steigt die Bedeutung des Berechtigungs­managements für die IT-Security

Phishing-Attacken, Datendiebstahl, Ransomware-Erpressungen und andere Formen der Cyber-Kriminalität nehmen ständig zu. Finanzdienstleister zählen aufgrund ihrer wertvollen Kundendaten zu den bevorzugten Zielen der Täter. Für einen...

Schließen