Der RTS-konforme Zugriff über vorhandene Schnitt­stellen verschafft Zeit – Kommentar FinTecSystems

PDS2, APIs, 14. September: Es gibt Streit um die Qualität der Schnittstellen. Das war abzusehen. Nach der Reaktion der DK, der Einordnung durch RA Dr. Conreder, wollen wir selbstverständlich auch der Seite der FinTechs eine faire Chance einräumen, ihre Position darzustellen. Wir haben Stefan Krautkrämer, Gründer und Geschäftsführer FinTecSystems um seinen Kommentar gebeten.

von Stefan Krautkrämer, FinTecSystems

Als regulierter Drittanbieter im Sinne der PSD2 begrüßt FinTecSystems die Entscheidung der BaFin (Schreiben vom 14.8.2019), aktuell keine Anträge zur Ausnahme vom Notfallmechanismus („Fall-Back“) zu genehmigen und die bislang genutzten Schnittstellen weiter zu erlauben.

Diese Entscheidung ist ein klares Bekenntnis zu Open Banking.”

Endkunden haben durch ihr Nutzungsverhalten in den vergangenen Jahren deutlich gemacht, dass sie den digitalen Wandel in der Finanzwelt wollen. Dieser Wandel braucht funktionale, performante und stabile Schnittstellen. Diese Kriterien sind bei 95 Prozent der am Markt verfügbaren Schnittstellen, die wir getestet haben – beziehungsweise versucht haben zu testen, nicht gegeben.

Die angebotenen dedizierten Schnittstellen erfüllen in keiner Weise die Marktanforderungen an Geschwindigkeit, Stabilität und Funktionsumfang.”

Damit entsprechen die Schnittstellen auch nicht den Vorgaben der EBA RTS (z.B. Art. 32 Abs. 1), eine Tatsache, die wir und weitere Drittanbieter der BaFin regelmäßig mitgeteilt haben. Insofern ist die Entscheidung der BaFin folgerichtig und von überraschenden “neuen Anforderungen an die Schnittstellen” kann keine Rede sein. Dazu muss man sich immer wieder vergegenwärtigen, dass die PSD2 kein Selbstzweck ist, sondern die Brücke zur digitalen Finanzindustrie in Europa

Aus den EBA RTS ergibt sich kein Zwang, ab dem 14. September 2019 nur noch die PSD2-Schnittstellen zu nutzen – eine am Markt vorherrschende falsche Interpretation des Gesetzes.

Es steht ganz klar in den EBA RTS, dass beispielsweise der Zugriff über das Frontend des Onlinebanking ausdrücklich eine erlaubte und gängige „Fall-Back“-Methode auch nach dem Stichtag ist. Falsch ist auch die gängige Argumentation am Markt, dass das Bestehen des Notfallmechanismus mit massiven finanziellen Mehraufwendungen verbunden ist. Für den „Fall-Back“ müssen Banken keine zusätzliche Schnittstelle entwickeln, sie müssten nur in der Verbraucherschnittstelle eine Möglichkeit für Drittanbieter schaffen, sich zu identifizieren. Das kann beispielsweise RTS-konform beim Zugriff über das Online-Banking-Portal des Zahlungsdienstenutzers (z.B. Übermittlung des eIDAS Zertifikats im HTTPs Header) passieren.

Das Beste für alle Beteiligten: Banken können ohne Investitionen mit der bisherigen Infrastruktur, die sich seit Jahren bewährt hat, RTS-konform weiter machen.”

Wir gehen – ganz im Sinne des BaFin-Schreibens – aktiv auf jedes Institut zu und werden 1. die technischen Möglichkeiten für den RTS-konformen Zugriff auf die bisherigen Schnittstellen aufzeigen und 2. wie bisher anbieten, Partner bei Digitalisierungs-Lösungen zu sein. Die Aufsicht betont in ihrem Schreiben die Notwendigkeit der „Ausgestaltung einer dedizierten Schnittstelle ohne Hindernisse“ – dies ist im Interesse aller (regulierten) Drittanbieter. Idealerweise werden Drittanbieter jetzt stärker in die Entwicklung der dedizierten Schnittstellen einbezogen, als dies bislang der Fall war. Denn eines ist klar: Alle Marktteilnehmer haben den festen Wunsch nach neuen, starken Schnittstellen. Als Partner von Banken forcieren wir sowie auch alle weiteren Anbieter im Banking-API-Bereich die Entwicklung von funktionalen dedizierten Schnittstellen.

Banken und Finanzdienstleister als unsere Kunden hätten eklatante Nachteile durch die geringe Funktionalität der aktuellen Schnittstellen und profitieren von der Entscheidung der BaFin.”aj