Deutsche Märkte geschlossen

Banken kommen bei neuen Kontoschnittstellen nur langsam voran

Die meisten deutschen Geldhäuser erfüllen noch immer nicht alle Anforderungen der Bafin für die neuen Datenschnittstellen zum Konto.

Seit vier Monaten gelten EU-weit neue Regeln für den Zugriff aufs Bankkonto. Doch die deutschen Banken kommen nur langsam damit voran, ihre speziellen Datenschnittstellen für den Kontozugriff daran anzupassen. Alle gesetzlichen Anforderungen erfüllen nach Angabe der Finanzaufsicht Bafin bislang nur die sogenannten APIs der Sparkassen-Finanzgruppe – inklusive NordLB und LBBW – und der Weberbank, die zur Mittelbrandenburgischen Sparkasse aus Potsdam gehört. Dennoch sprechen die Aufseher von „wesentlichen Fortschritten“, und auch Drittanbieter erkennen Verbesserungen.

Um die neuen Kontoschnittstellen gab es in den vergangenen Monaten viel Streit zwischen Banken und Drittanbietern – zu denen neben Finanz-Start-ups (Fintechs) auch etablierte Anbieter von Buchhaltungssoftware gehören. Zeitweise hatten Geldhäuser die Zugriffmöglichkeiten über die neuen APIs so weit beschränkt, dass Drittanbieter um ihre Geschäftsgrundlage bangten.

Schon im August sprach die Bafin daher ein Machtwort, indem sie die Anforderungen klarstellte und vor einer Behinderung der Drittanbieter, die inzwischen auch unter der Aufsicht der Behörde stehen, warnte. Zudem dürfen Drittanbieter im Rahmen einer Übergangsregelung aktuell noch über die bisherigen Datenschnittstellen – HBCI/FinTS und Webscraping – auf die Konten zugreifen.

Die neuen Vorgaben stammen aus der zweiten EU-Zahlungsdiensterichtlinie, kurz PSD2, die den Zahlungsverkehr für Verbraucher bequemer und sicherer machen und zugleich den Wettbewerb fördern soll. Seit Mitte September 2019 ist die PSD2 vollständig in Kraft. Drittanbieter greifen auf Wunsch der Kunden auf deren Konten zu, um ihnen beispielsweise in Smartphone-Apps einen Überblick über Konten bei diversen Banken zu geben, im Vorfeld einer Kreditvergabe ihre Bonität zu analysieren oder Zahlungsaufträge auszuführen.

Verärgerung im Bundestag

Die Schnittstellen der Sparkassen müssen sich nun drei Monate lang am Markt bewähren. Wenn das klappt, kann die Bafin ihnen erlauben, auf einen sogenannten Notfallmechanismus zu verzichten. Gemeint ist damit eine weitere Schnittstelle, die dafür sorgen soll, dass Drittanbieter auch dann auf die Bankkonten eines Instituts zugreifen können, wenn die spezielle API nicht zur Verfügung steht. Funktionieren die APIs dauerhaft einwandfrei, ist ein solcher „Fallback“ nicht nötig.

Die meisten Geldhäuser setzen auf die spezielle API und wollen auf den Notfallmechanismus verzichten. Einen entsprechenden Antrag haben 32 Geldhäuser sowie Institutsverbünde bei der Bafin gestellt. Das geht aus der Antwort des Bundesfinanzministeriums auf eine Kleine Anfrage des Grünen-Bundestagsabgeordneten Danyal Bayaz hervor, die dem Handelsblatt vorliegt.

Bayaz zeigt sich verärgert darüber: „Trotz erster Probeläufe ist es alarmierend, dass bisher kaum eine Bank eine voll funktionsfähige, hochwertige PSD2-Schnittstelle schaffen konnte“, kritisiert er. Entweder seien die Banken technisch nicht in der Lage, die europäischen Vorgaben zu erfüllen, oder Fintechs und digitalen Zahlungsanbietern werde bewusst der Marktzugang erschwert. „Beides wäre kein gutes Zeugnis für Innovation und Wettbewerb“, so Bayaz.

Dass bisher keiner der 32 Anträge auf Ausnahme von der Bereitstellung eines Notfallmechanismus von der Bafin positiv beschieden worden sei, zeige, „dass noch viel Arbeit vor der Branche liegt“, findet der Grünen-Politiker. „Diese muss schnell erledigt werden.“

Auch die Bafin hatte sowohl die Banken als auch beaufsichtigte Drittanbieter im vergangenen Jahr zur Eile gedrängt. Sie erwarte, dass „bis Jahresende deutliche, nach außen sichtbare Ergebnisse erzielt werden“, hieß es im Oktober. Wie ein Sprecher der Bafin dem Handelsblatt bestätigte, seien inzwischen „auf beiden Seiten wesentliche Fortschritte zu erkennen“.

Die jetzt anlaufenden Marktbewährungsphasen seien ein Ergebnis davon. Einige kontoführende Institute hätten aber noch immer nicht alle Funktionen in ihren PSD2-Schnittstellen implementiert, die für eine vollständige Umstellung darauf nötig wären. Dennoch: „Ein kontinuierlich wachsender Teil der Kontozugriffe erfolgt mittlerweile über die PSD2-Schnittstellen“, so der Sprecher. Dies gelte auch für Institute, die sich noch nicht in der Marktbewährungsphase befinden.

Nach Einschätzung von Caroline Jenke, Chefjuristin beim Münchener Fintech Fintecsystems, steht die große Umstellung auf die neuen Schnittstellen noch aus. „Die Schnittstellen der Sparkassen machen zum Beispiel in Bezug auf die Grundfunktionalität einen guten Eindruck“, sagt sie. Auch in Bezug auf Daten, die über diese API verfügbar sind, sei nachgebessert worden.

Schnittstellen von anderen Banken könnten noch nicht in den internen Plan für eine Umstellung aufgenommen werden, „weil unbedingt benötigte Daten wie zum Beispiel der Name des Kontoinhabers noch nicht geliefert werden oder es anderweitige technische Probleme gibt“, sagte Jenke.

Die Endnutzer können in der Regel gar nicht erkennen, über welchen technischen Zugangsweg der Kontozugriff im Hintergrund erfolgt. Die größte Umstellung war für sie die neue Pflicht zur sogenannten starken Kundenauthentifizierung beim Onlinebanking.

So müssen sie seit Mitte September nicht nur bei Überweisungen, sondern auch schon beim Log-in ins Konto einen sogenannten zweiten Faktor angeben – etwa eine TAN. Manche Geldhäuser verlangen das bei jedem Kontozugriff, andere nur alle 90 Tage.

Das hatte zwischenzeitlich auch die Nutzung von Multibanking-Apps unkomfortabel gemacht. Wer darin beispielsweise drei Bankkonten hinterlegt hatte, musste für ein Finanzupdate womöglich drei verschiedene TAN-Verfahren seiner Banken durchlaufen.

Inzwischen hat die Bafin aber mit Verweis auf eine Einschätzung der europäischen Bankenaufsicht Eba eine Klarstellung gemacht: Demnach müssen kontoführende Institute die Möglichkeit schaffen, dass Kunden auf Wunsch beim Kontozugriff via Drittanbieter nur alle 90 Tage eine starke Kundenauthentifizierung durchlaufen müssen.

Die meisten Banken haben das inzwischen berücksichtigt, sagt Peter Glowick, Geschäftsführer der App Finanzblick, dem Handelsblatt. Nach seiner Beobachtung verlange momentan nur noch eine Bank bei jeder Umsatzabfrage eine TAN.