PRAXIS-TEST16. November 2021

PSD2/XS2A-Test 2021: Sparkassen heben ab; HVB startet Turbo; N26, Solaris- und Commerzbank verlieren

Die Banken im PSD2-XS2A-Test - 2021

Mehr als zwei Jahre sind seit des Inkrafttretens der zweiten Stufe der PSD2 vergangen. Voriges Jahr haben wir gemeinsam mit FinTecSystems im großen API-Test die Schnittstellen der Banken unter die Lupe genommen. Im Oktober 2020 standen Sparkassen (Finanz-Informatik) und Volks- und Raiffeisenbanken (Fiducia GAD, jetzt: Atruvia) kurz vor der begehrten Ausnahmegenehmigung vom Notfallmechanismus. Ein Jahr später hat sich nochmals viel getan – deshalb: 2021 – wer hat seine Hausaufgaben gemacht, wer nicht und wie sind die APIs im Sinne der Nutzererfahrung ausgestaltet? Der große API-Test für 2021.

Vier Retail- und Großbanken haben die Ausnahmegenehmigungen bereits erhalten (neben FI und Atruvia auch die APIs von Hypovereinsbank und Targobank). Allein dies ist schon ein Zeichen, dass die Schnittstellen-Qualität in der Breite wesentlich besser geworden sein muss … aber leider nicht bei allen.

Gewinner, Musterschüler, Hinterbänkler: Wer landet wo?

Die ersten fünf Plätze belegen (bis auf eine Ausnahme) Institute mit Ausnahmegenehmigungen: Die Schnittstellen der Sparkassen, Hypovereinsbank, Atruvia und der Targobank haben verständlicherweise am besten abgeschlossen und belegen die Plätze 1 bis 4, gefolgt von der Postbank als beste Bank (noch) ohne Ausnahmegenehmigung.

Finanz Informatik für die Sparkassen - SEHR GUTGesamtsieger sind, wie im Vorjahr, die Sparkassen (Finanz Informatik), die allerdings 2021 den alleinigen Sieg beanspruchen können (2020 teilten sich die Finanz Informatik mit der Fiducia GAD den ersten Platz). Mit der Gesamtnote von 1,4 ist die Sparkassen-API mit deutlichem Abstand Sieger, vor allem die sehr guten Server-Antwortzeiten sorgen für den Vorsprung und die Note “sehr gut”.

Hypovereins­bank - GUT (1,9)Der Aufsteiger des Jahres ist die HVB. Im letztjährigen Ranking belegte sie noch den viertletzten Platz – und hat sich in diesem Jahr sogar knapp vor die APIs von Atruvia und damit auf Platz zwei gesetzt. Die HVB-Schnittstelle überzeugte vor allem durch das vorhandene Dispo-Limit, die gute Verfügbarkeit sowie den schnellen Support.

Aber auch die Volks- und Raiffeisenbanken haben mit der Atruvia-API (Note 2,0; Platz 3) zugelegt. Die Atruvia (ehem. Fiducia GAD IT) hat die Abfrage für das Dispo-Limit in die PSD2-API eingebaut.

Targo Bank - GUT 2,3Die Targobank zeigt sich mit einer Gesamtnote von 2,3 deutlich verbessert. Postbank - BEFRIEDIGEND mit Note 2,6Die Postbank schließlich scheint nahe dran zu sein an der Ausnahmegenehmigung, denn der Abstand zur Targobank ist gering. Das Gesamtpaket ist aus unserer Sicht das Beste für Banken ohne Ausnahmegenehmigung.

Den größten Sprung im Vergleich zum letzten Jahr machte die Deutsche Bank/Norisbank: Mit einer soliden 2,8 Gesamtwertung konnte man sich gegenüber 2020 stark verbessern (damals: 4,2) und hat Anschluss an das “Mittelfeld” gefunden. Stark verbessert zeigte sich die DB-API in den Bereichen “decoupled”-Flow (Integration der starken Kundenauthentifizierung – SCA), die Vollständigkeit der übertragenen Informationen, die verbesserten Server-Antwortzeiten sowie die gut technische Lösung des Consent.

Die “Neueinsteiger” Sparda Bank (Rang sechs, Note 2,6) und Comdirect (Note 2,9) konnten in Teilbereichen auf Anhieb überzeugen. Überhaupt nicht verbessert haben sich (entgegen dem allgemeinen Trend in diesem Ranking) die Neobanken: Die Solarisbank hat ihre Note aus dem Vorjahr (2,5) behalten, N26 hat sich sogar leicht verschlechtert (2,9 aus 2020 gegenüber 3,1 in diesem Jahr). Die rote Laterne hat die Commerzbank, die trotz einiger Verbesserungen mit der Note 3,3 abschloss. Die Solarisbank und die Commerzbank erfüllen zudem nicht die Anforderungen der EBA RTS und sind daher die einzigen beiden Schnittstellen, die in der neuen Kategorie keine positive Wertung erhalten haben und deshalb am Ende der Tabelle stehen.

Diese Banken müssen noch Arbeit ind die API investieren.
Bitte Grafik zum Vergrößern anklicken.IT Finanzmagazin

Blick auf die Teilbereiche: der Funktionsumfang

Grundsätzlich lässt sich feststellen, dass alle Banken mit Ausnahmegenehmigung im Bereich Funktionsumfang (60 Prozent der Gesamtnote) sehr nah beieinander liegen. Während HVB, VR-Banken/Atruvia und Targobank gleichauf liegen, ist der Abstand im Teilbereich zum Gewinner in diesem Segment (Finanz Informatik/Sparkassen) etwas größer. Zwar bietet die Sparkassen-API keine 100 Prozent valide “combined session” – also die Kombination von Kontoinformation und Zahlungsauslösung mit nur einer SCA – allerdings ermöglicht die Schnittstelle den Abruf eines Teilbestandteil (Kontoliste des Nutzerkontos) des AIS (Account Information Service) ohne weitere SCA. Dafür erhält die Sparkassen-API hier die Hälfte der Punkte.

Unser Testpartner: FinTecSystems
Das Open Banking-Infrastruktur FinTech FinTecSystems (Website) hat gemeinsam mit dem IT Finanzmagazin die Kriterien für den ersten großen PSD2/XS2A-Test 2020 entwickelt und die Test-Infrastruktur unterstützt. Auch bei der Neuauflage 2021 wurden gemeinsam die Kriterien überprüft, angepasst und über neu aufzunehmende Banken-Schnittstellen entschieden und diese geprüft. Das FinTech mit Hauptsitz in München hat im hessischen Linden seinen Tech-Hub mit langjähriger Erfahrung im API-Testing.

Dies erklärt den Abstand zu den folgenden Plätzen. Keine der getesteten Banken bietet eine komplette “combined session”, offenkundig wird hier kein Handlungsbedarf seitens der Banken gesehen.

Für das Testteam ist die combined session aber ein Indiz für Nutzerfreundlichkeit, denn die Erwartung des Nutzers ist es, Kontoaufruf und Transaktion mit nur einer TAN freizugeben. Die Testredaktion verfolgt dabei den Grundsatz: Eine SCA ist eine starke Authentifizierung der Session, jede weitere SCA macht die Session nicht sicherer und darüber hinaus weniger nutzerfreundlich. Während es bei der combined session noch Nachholbedarf gibt, haben alle Banken bis auf wenige Ausnahmen die Information zum Dispo-Limit nachgeliefert. Das Limit ist eine Grundvoraussetzung für viele Anwendungsfälle der TPP und FinTechs. Lediglich Deutsche Bank, Commerzbank und N26 übermitteln bislang immer noch kein Dispo-Limit.

Großen Wert haben wir beim Test auf die Nutzerfreundlichkeit gelegt, analog zu 2020.”

Positiv hervorzuheben ist dabei, dass die meisten Banken mittlerweile einen anwenderfreundlichen embedded/decoupled-Ansatz bei der Einbindung der starken Kundenauthentifizierung wählen. Im Gegensatz zum redirect-Verfahren wird der Nutzer bei embedded/decoupled nicht umgeleitet und im Anwendungsprozess nicht unterbrochen. Bei Deutsche Bank, Commerzbank, Comdirect (redirect beim Einsatz von SMS- und/oder Photo-TAN) wird in der Hälfte der Fälle etwa auf redirect zurückgegriffen. Daher haben die genannten Institute eine Teilbewertung (gelb) in diesem Feld. Sparda Bank, N26 und Solarisbank bieten nur den redirect-Ansatz an. Weitere Kriterien im Teilbereich Funktionsumfang sind Global Consent, vollständiger AIS sowie die Frage, ob die Gegenkontoinformationen vollständig sind. Die größten Sprünge in diesem Teilsegment im Vergleich zu 2020 erzielten die Deutsche Bank (verbesserte sich von Note 5,1 auf 3,6) und die Santander (von 4,6 auf 2,5).

Diese Banken müssen noch Arbeit ind die API investieren.
Bitte Grafik zum Vergrößern anklicken.IT Finanzmagazin

Blick auf die Teilbereiche: die Verfügbarkeit

Die Verfügbarkeit fließt zu 40 Prozent in die Gesamtnote ein. Besonderes Augenmerk hat das Testteam dabei auf die Server-Antwortzeiten gelegt. Diese Kategorie wurde im Vergleich zu 2020 aufgewertet (plus zehn Prozent) und bestimmt nun zu 45 Prozent die Note im Teilbereich Verfügbarkeit. Im gleichen Zuge wurde die produktive Verfügbarkeit der letzten 30 Tage heruntergesetzt. Die Justierung ist aus unserer Sicht notwendig, da die allgemeine Verfügbarkeit von dedizierten Schnittstellen mittlerweile eine Minimal- beziehungsweise Standard-Voraussetzung ist. Folgerichtig beobachteten wir bei der produktiven Verfügbarkeit allen Banken (Ausnahme: Santander und N26) mindestens 99% Verfügbarkeit. Bei der Santander erlebte das Test-Team immer wieder Down-Phasen, die berücksichtigt wurden. Bei N26 gab es Abzüge, da die API (für den AIS und PIS) der Neobank seit 7.10. bis zum Erscheinen des Artikels nicht erreichbar war.

Wie schon erwähnt haben wir die API-Performance im 2021er Ranking deutlich aufgewertet. Diese wird  durch schnelle Server-Reaktionszeiten bestimmt. Ein guter Wert ist nach Meinung der Test-Redaktion ein Wert von unter fünf Sekunden – auch wenn das für den Endkunden noch langsam wirkt.

Zur Erläuterung: Bei den fünf Sekunden handelt es sich um summierte Sequenzen der Aufrufe für einen AIS + PIS ohne jegliche Nutzerinteraktion als Komponente. Es ist sind also die technischen Verarbeitungszeiten der Bank für die einzelnen Schritte des AIS + PIS gemeint: Wie lange hat die Bank gebraucht, jeden einzelnen Schritt wie z.B. Login, Account-Abruf, TAN, Transaktion etc. technisch zu verarbeiten.

Die Veränderungen im Kriterienset 2021 versus 2020
Zum Zeitpunkt des ersten API-Testes vor einem Jahr gab es noch keine Ausnahmegenehmigungen, heute gibt es sie (hier: BaFin). Diesem Umstand tragen wir im Ranking Rechnung: Es erfolgt eine Differenzierung von Banken mit Ausnahmegenehmigung zu Kreditinstituten ohne BaFin-Ausnahmegenehmigung.

Diese Differenzierung ist tatsächlich augenfällig, denn Institute mit der Ausnahmegenehmigung müssen nicht nur deutlich weiter bei der Qualität der Schnittstellen – sie sind es ganz offensichtlich auch.

Zudem wurde die Gewichtung innerhalb der Teilbewertung “Verfügbarkeit” angepasst: die Produktive Verfügbarkeit wurde zugunsten der Server-Antwortzeiten untergewichtet. Dies hat den Hintergrund, dass die produktive Verfügbarkeit im Jahr 2021 eine Minimal-Voraussetzung darstellt. Demgegenüber wurden die Antwortzeiten (also die “Performance”) aufgewertet. Denn diese ist letztendlich entscheidend.

Außerdem wurde mit der Frage, ob die Schnittstelle “EBA-RTS konform” ist eine neue Kategorie hinzugefügt. Die Regulatory Technical Standards (RTS) der European Banking Authority (EBA) definieren die Standards, die eine PSD2 Schnittstelle technisch erfüllen muss. Die Kriterien die eine Schnittstelle laut EBA RTS Richtlinien erfüllen muss, haben wir in einem separaten Kasten – für Interessierte – unter diesem Artikel zusammengefasst.

Eine weitere Veränderung gegenüber 2020 ist das erweiterte Teilnehmerfeld: Mit der Sparda Bank und der Comdirect sind zwei neue größere Banken aufgenommen worden.

Die Messungen der Testredaktion unterscheiden sich teilweise deutlich von den Angaben der Banken. Die Sparkassen-Schnittstellen sind die Benchmark im Feld, sie erreichten im Mittel einen Schnitt von unter fünf Sekunden. Auch die Commerzbank, die Sparda Bank, die Deutsche Bank/Norisbank, N26 und Solarisbank erhielten hier die volle Punktzahl. Die HVB hat die 5-Sekunden-Marke dagegen knapp verfehlt. In diesem Teilbereich gibt es teilweise große Unterschiede zwischen den Instituten: So waren die Antwortzeiten bei der Santander sowie der Targobank deutlich langsamer als bei den übrigen Teilnehmern im Feld. Die Bewertung erfolgte in diesem Bereich abgestuft nach Punkten, um die Unterschiede der einzelnen Antwortgeschwindigkeiten transparent zu machen.

Mit 15 Prozent unverändert zu 2020 fließt der lösungsorientierte Support der Banken in die Teilbereichs-Bewertung ein. Hier wird vor allem beurteilt, wie konstruktiv der Austausch mit den Support-Abteilungen der einzelnen Banken war. Ausschlaggebend war hier die durchschnittliche Reaktionszeit einer Antwort mit konstruktiver Hilfe (nicht nur die erfolgte Eingangsmeldung). Berücksichtigt wurde dabei auch immer die Komplexität der Anfrage beziehungsweise der angefragten Problemstellung durch das Testteam. Je nach Komplexitätsgrad wurden unterschiedliche Reaktionszeiten bewertet. Erfreulicherweise – auch das zeigt die Bedeutung der dedizierten APIs aus Bankensicht – haben mittlerweile fast alle Banken entweder sehr gut beziehungsweise schnell reagiert. Lediglich Commerzbank (wie auch schon im letzten Jahr) und die neu hinzugekommene comdirect fallen in diesem Punkt deutlich ab. Bei beiden Instituten hatten wir es mit teilweise sehr langen Zeiträumen (mitunter Monate) für Rückmeldungen zu tun, die absolut nicht zufriedenstellend waren.

Gewinner bei der Teilbewertung war mit voller Punktzahl die Sparkassen-API. Direkt dahinter befindet sich die Solarisbank, etwas abgerutscht ist hier N26 durch die mehrwöchige Downphase der N26-API für Zahlungsauslösung, die den an sich guten Eindruck der Schnittstelle in diesem Bereich trübt.

Das neue Kriterium: Ist die bereitgestellte API wirklich EBA-RTS konform?

Die Regulatory Technical Standards (RTS) der European Banking Authority (EBA) definiert die Standards, die eine PSD2 Schnittstelle technisch erfüllen muss. Dieses Kriterium ist sehr wichtig und sollte nach Meinung der Test-Redaktion sogar ein Ausschlusskriterium sein bei der Frage, ob eine Ausnahmegenehmigung erteilt werden sollte oder nicht. Erfreulicherweise zeigt sich, dass fast alle Banken EBA-RTS konform sind.

Ausnahmen bilden hier die Solarisbank und die Commerzbank, deren Schnittstellen in der aktuellen Ausprägung nicht EBA RTS konform sind.

Bei der Commerzbank-API beispielsweise kann der Nutzer dem anfragenden TPP (Drittanbieter, zum Beispiel FinTech) keinen Einmal-Consent geben, sondern nur einen recurring consent über 90 Tage. Dieser Punkt verstößt gegen Artikel 36 Absatz 5 (a) RTS 389/2018 (“Die dedizierte Schnittstelle muss einen einfachen einmaligen Zugriff jederzeit ermöglichen.”) Verlangt die dedizierte Schnittstelle der kontoführenden Bank vom Kontoinhaber dann allerdings eine Zustimmung einem weiterlaufenden Zugriff für weitere 90 Tage (zusätzlich zu dem Einmalzugriff), stellt dies eine willkürliche Behinderung nach Artikel 32 Absatz 3 RTS dar (Mehr dazu siehe Kasten ganz unten).

Bei der Solarisbank wiederum muss der Nutzer in seinem Onlinebanking explizit per SCA freischalten, dass TPPs auf sein Konto zugreifen dürfen. Diese zusätzliche Registrierung ist für den Nutzer eine erhebliche Hürde, um Zahlungsauslöse- und Kontoinformationsdienste zu nutzen. Deshalb ist dieses Vorgehen ein Verstoß gegen Artikel 32 Absatz 3 Satz 2 RTS 389/2018, der den diskriminierungsfreien Zugang sicherstellen soll. Aus diesem Grund haben die Solarisbank und die Commerzbank keinen Haken für EBA RTS Konformität erhalten.

Alle Banken des PSD2-XS2A-Tests in der Übersicht.
Alle Banken in der großen Gesamtübersicht – als 3000px-Tabelle -> bitte Grafik anklicken.IT Finanzmagazin

Fazit: Es ist viel passiert, es gibt aber noch genug zu tun

Erfreulicherweise haben die Banken viel Energie in die (Weiter-)Entwicklung der dedizierten Schnittstellen gesteckt.”

Dies ist im Sinne der Aufsicht und der Nutzer, deren Wunsch, Banking über Smartphones, Tablets etc. durchzuführen während der Corona-Pandemie weiter zugenommen hat. Der Lohn für die Anstrengungen sind aktuell vier Banken mit den begehrten Ausnahmegenehmigungen.

Nach unseren Auswertungen stehen die Postbank und auch die Sparda Bank (neu im Teilnehmerfeld) kurz davor, die vollständige Einsatzfähigkeit (ab Note 2,5) zu erreichen.  Aus Sicht der Testredaktion wären diese beiden Banken damit die nächsten Institute, die sich für eine Ausnahmegenehmigung qualifizieren.

Ein Spezialfall ist die Solarisbank, deren dedizierte API zwar die Voraussetzungen an eine Einsatzfähigkeit in vielen Teilen erfüllen würde (das zeigt die Gesamtnote von 2,5), die allerdings in der aktuellen Verfassung nicht EBA RTS-konform ist. Da die Solarisbank-API aber aktuell noch nicht in der Marktbewährungsphase ist, bleibt noch genügend die Zeit, die Voraussetzungen an die EBA-RTS-Konformität zu erfüllen. Hier bestimmt die Neo-Bank selbst ihr Timing. Während die Deutsche Bank/Norisbank in den vergangenen zwölf Monaten vieles aufgeholt hat und in Schlagdistanz zur Sparda Bank ist, haben sich N26 gar nicht und die Santander nur unwesentlich verbessert. Comdirect und Commerzbank bilden den Abschluss der Rangliste. Während die Comdirect neu dabei ist, hat sich die Commerzbank zwar verbessert, aber nicht wesentlich.

Auch wenn also viel Licht zu sehen ist bei den Schnittstellen, so bleibt noch viel zu tun. Noch immer ist das Nutzererlebnis nicht einheitlich, noch immer haben beispielsweise Multibanking-App-Anbieter oder Steuersoftware-Anbieter große Probleme, bei der Banken-Integration. Letztendlich müssen alle Anbieter dem Endverbraucher erklären, warum manche Integrationen reibungslos verlaufen und manche nicht. Hier wird sicher auch die BaFin das ihre tun, um die Banken anzutreiben, die im dritten Jahr immer noch nicht fertig sind. Zeit wirds.aj

EBA RTS
(1) Nach Artikel 67 Absatz 1 PSD2 i.V.m. Artikel 36 Absatz 5 (a) RTS 389/2018 muss der Kontoinhaber mit Hilfe eines KID (Kontofinrmationsdienst) jederzeit auf sein Konto zugreifen und Kontodaten abrufen können. Dieser Zugriff muss alle Kontoumsätze verfügbar machen, nicht nur die Umsätze der letzten 90 Tage. Der Zugriff soll nach Artikel 4 Absatz 3 (d) RTS auf maximal fünf Minuten beschränkt werden. Heißt: Die dedizierte Schnittstelle muss einen einfachen einmaligen Zugriff jederzeit ermöglichen.

(2)   Der KID braucht für diesen Zugriff nach Artikel 67 Absatz 2 (a) die ausdrückliche Zustimmung des Zahlungsdienstnutzers (=Verbraucher) und darf nach Artikel 67 Absatz 2 (f) PSD2 Daten nicht für andere Zwecke als für den vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern. Heißt: Der KID kann vom Kontoinhaber nur die Zustimmung zu einem einmaligen Zugriff verlangen, falls er für seinen Dienst nur einen einmaligen Zugriff benötigt.

(3)   Wenn die dedizierte Schnittstelle der kontoführenden Bank vom Kontoinhaber dann allerdings verlangt, dass dieser zusätzlich zu dem Einmalzugriff auch einem weiterlaufenden Zugriff für weitere 90 Tage zustimmen muss (weil er den KID ansonsten nicht nutzen kann), stellt das eine willkürliche Behinderung der Nutzung eines KID im Sinne Artikel 32 Absatz 3 RTS dar sowie eine unzulässige Diskriminierung gemäß Artikel 67 Absatz 3 (b) PSD2.

Nach Artikel 67 Absatz 3 (b) PSD2 müssen Datenanfragen, die über die Dienste eines Kontoinformationsdienstleisters übermittelt werden, ohne Diskriminierung behandelt werden, es sei denn, es liegen objektive Gründe für eine Andersbehandlung vor. Wenn der Kontoinhaber nur eine einmalige Datenanfrage stellt und dem KID auch nur hierfür seine Zustimmung erteilt, gibt es für die kontoführende Bank keinen objektiven Grund, dies zu verweigern und stattdessen eine weitergehende Zustimmung für Zugriffe in den nächsten 90 Tagen zu verlangen.

Die möglichen Ausnahmen von einer starken Kundenauthentifizierung nach Artikel 10 RTS sind hierfür keine Rechtfertigung.  Danach kann dem Kontoinhaber (Zahlungsdienstnutzer) das Recht gegeben werden, mit Hilfe eines KID oder direkt selbst für 90 Tage ohne starke Kundenauthentifizierung auf Zahlungsvorgänge der vergangenen 90 Tage zuzugreifen. Jedoch entsteht für ihn daraus weder die Pflicht, einem solchen laufenden Zugriff zuzustimmen, noch die Berechtigung für KID zu solchen fortlaufenden Zugriffen entgegen Artikel 67 Absatz 2 (f) PSD2, wenn das für den vom Kontoinhaber angefragten Kontoinformationsdienst nicht erforderlich ist.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert