Mit Open Banking können Bankkund:innen die Dienste ihrer Bank auch in anderen Umfeldern nutzen und beispielsweise die Services unterschiedlicher Direktbanken in einem Portfolio zusammenführen. In diesem Beitrag erklären wir, was sich dahinter verbirgt, ob das Teilen von Daten gefährlich ist und was es bei der Nutzung von Open-Banking-Lösungen zu beachten gibt.
Was bedeutet Open Banking konkret?
Grundsätzlich handelt es sich bei Open Banking um den Zugriff auf Finanzdaten und –services der Banken und Finanzdienstleister untereinander. All das findet im Rahmen vorgegebener Regeln und mit Hilfe einer API statt. Diese APIs erlauben als technische Schnittstellen den Abruf von Zahlungsverkehrsdaten auf der einen Seite (Lese- und Informationsrechte) und das Auslösen von Zahlungsaufträgen auf der anderen Seite (Schreibrechte), wobei es eine ziemlich ausgefeilte Rechtevergabe seitens der Partnerunternehmen gibt.
Der springende Punkt ist aber, dass dabei natürlich nicht Kund:innendaten durch jedes beteiligte Unternehmen frei zugänglich sind oder wahllos unter diesen ausgetauscht werden, sondern dass es vielmehr ein hohes Maß an Datensouveränität für die Bankkund:innen gibt. Das bedeutet, dass für jede Kooperation eine entsprechende (meist einmalige) Freigabe durch die Kund:innen erfolgen muss, wobei genau definiert ist, ob und in welchem Umfang die Open-Banking-Kooperation stattfindet.
Was bringt Open Banking für Vorteile?
Das wesentliche Ziel dieser Öffnung im Zahlungsverkehr war es, ein gewisses Agieren auf Augenhöhe für alle Beteiligten zu ermöglichen, also insbesondere die Übermacht der Banken zu reduzieren und den Fintech-Startups hier mehr Rechte zu geben. Zugleich geht es aber natürlich auch darum, die Kund:innen vor Missbrauch zu schützen. Wenn beispielsweise ein Dienst deine Portfolios aus verschiedenen Depots und Bankverbindungen zusammenführt, deine Bank die Kurse deiner Krypto-Beteiligungen mit auflistet oder ein Zahlungsdienst Zahlungen über ein bestimmtes Bankkonto oder innerhalb einer Wallet auslöst, dann passiert das fast immer auf Basis der PSD2-Anbindung und von Open Banking.
Für die Banken bedeutet das aber im Umkehrschluss, dass sie in Kooperation mit Fintechs bestimmte Finanzdienstleistungen realisieren, den Kund:innen effizientere Prozesse anbieten und auch im Rahmen der eigenen Oberfläche personalisierte und aufbereitete Finanzdienstleistungen bereitstellen können. Die Kund:innen profitieren durch eine übersichtlichere Aufbereitung oder durch wachsende Transparenz.
Hat Open Banking auch Nachteile?
Kritisch sehen viele Datenschützer:innen das Thema allerdings aufgrund der wachsenden Sicherheitsrisiken. Denn jedes Mal, wenn Kund:innen ihre Finanzdaten mit einem Dienst außerhalb der Bank teilen, riskieren sie, dass bei einem der beteiligten Player ein Datenleck entsteht. Das kann im schlimmsten Fall nicht nur dazu führen, dass Unbefugte wissen, wie viel Geld auf deinem Konto ist oder wo du eingekauft hast, sondern es könnte schlimmstenfalls auch zu Zahlungen zu Gunsten Dritter kommen.
Die Banken können sich dabei übrigens nicht mehr darauf rausreden, dass ihre Kund:innen den Bankzugang (in dieser PSD2-konformen Form!) geteilt haben und insofern selbst schuld sind. Denn die Vergabe entsprechender Zugriffsrechte ist ja bei Open Banking der vorgesehene Regelfall. Lediglich wenn eine Bank im Schadensfall „grobe Fahrlässigkeit“ seitens des Kunden oder der Kundin beweisen kann, haften diese für den entstandenen Schaden.
Allerdings war und ist die Umsetzung der verpflichtenden Open-Banking-Anbindung für Banken und Fintechs sowie andere Finanzdienstleister aufwendig. Das betrifft einerseits die technische Seite, andererseits aber auch die regulatorischen Anforderungen, die im Interesse der Haftung eingehalten werden müssen. Insbesondere wenn unterschiedliche internationale Schemes angewandt und in Einklang gebracht werden müssen, bringt Open Banking größere technische Herausforderungen mit sich.
Aus Sicht der Kund:innen ist Open Banking dagegen zumeist weder eine Herausforderung, noch bringt sie größere Gefahren im Hinblick auf Haftung oder mögliche Fehlbedienungen mit sich. Wichtig ist aber generell, in allen Fällen die (teilweise ja schon obligatorische) Zwei-Faktor-Authentifizierung zu nutzen und die üblichen Sicherheitsvorkehrungen einzuhalten.
Wie kam es zur Umsetzung von Open Banking?
Grundsätzlich war hier vor sechs Jahren die PSD2 (Payment Service Directive) der Europäischen Union der Startschuss für alles, was wir heute mit Open Banking verbinden. Denn sie definierte in ihrer nationalen Umsetzung die Regeln für die Nutzung von Zahlungsauslösediensten für das Initiieren von Überweisungen im Onlinebanking und den Umgang mit Kontoinformationsdiensten zur Abfrage und Auswertung von Kontodaten. Hier wurden in den einzelnen Staaten die Regeln und „Schemes“ festgelegt, nach denen der Datenaustausch und die Rechtevergabe erfolgt.
Warum haben die Banken ihre Scheu vor Open Banking überwunden?
Übrigens waren es zunächst vor allem die Banken und Sparkassen, die Open Banking ablehnend gegenüberstanden, da sie einen Bedeutungsverlust zu Gunsten der Fintechs und Dienstleister befürchteten. Außerdem befürchteten sie, dass zu viele nicht oder nur unzureichend regulierte Unternehmen die Sicherheit beeinträchtigen könnten. Passiert ist hier in den letzten Jahren eher das Gegenteil, insbesondere seitdem die deutsche Finanzaufsicht Bafin gerade bei vielen Banking-as-a-Service-Anbietern, Neobanken und Fintech-Startups deutlich genauer hinschaut als sie dies in der Vergangenheit getan hat.
Und noch etwas hat sich gewandelt: Über die Jahre haben selbst die konservativsten Unternehmen der Branche eingesehen, dass sie in dem Spiel um zusätzliche Features durch Open Banking viel gewinnen können – und gemeinsam mit den Kund:innen von Open Banking profitieren. Denn im Wettbewerb mit den Feature-reichen Digitalbanken war und ist es gerade für kleinere Banken nicht immer möglich (geschweige denn sinnvoll), jedes gewünschte Feature selbst zu entwickeln. Letzten Endes war Open Banking ein Schritt in die richtige Richtung, von dem alle Beteiligten etwas haben.
Angesichts der anstehenden europaweiten DORA-Richtlinie (Digital Operational Resilience Act), die die Widerstandsfähigkeit der Finanzunternehmen im Hinblick auf IT-Sicherheit, Umgang mit ungeplanten Vorfällen und dem Berichts- und Krisenmanagement optimieren soll, wird sich im kommenden Jahr das Open Banking zumindest unter der Haube noch einmal verändern. Das hat aber vor allem Auswirkungen auf die Banken und Fintechs – und bedeutet für die Kund:innen sogar noch, dass die Sicherheitsrisiken beim Datenaustausch weiter reduziert werden.