Für Banken und Sparkassen steht derzeit viel auf dem Spiel. Ob diese in Zukunft weiterhin diejenigen sind, die das Spiel bestimmen oder ob sie vielmehr darum kämpfen müssen, überhaupt noch im Spiel zu bleiben, ist noch nicht entschieden. Grundlage für den New Deal in der Bankenwelt ist die europaweit geltende PSD2-Richtlinie. PSD steht dabei für Payment Service Directive, zu Deutsch Zahlungsdiensterichtlinie, mit der die Europäische Union das Verhältnis sämtlicher Zahlungsdienstleister neu regelt. Das erklärte Ziel der EU ist es, die Payment-Branche und die Fintechs in Zukunft auf Augenhöhe mit den etablierten Banken und Sparkassen agieren zu lassen.
Doch es gibt eine spannende Parallele, denn die Lage, in der sich die Bankenwelt gerade befindet, ist mit der Situation der Telekom vor rund zwanzig Jahren vergleichbar. Damals, im Zuge der Liberalisierung des Telekommunikationsmarktes, wurde die Netzinfrastruktur von den Mehrwertdiensten getrennt, was für die Telekom in doppelter Hinsicht ein Schlag war. Auf der einen Seite musste der ehemalige Monopolist, der über viele Jahrzehnte in den Aufbau und den Unterhalt des gesamten Netzes investiert hatte, diese Infrastruktur nun auch anderen Anbietern zur Verfügung stellen. Auf der anderen Seite war er damit nur noch einer unter vielen Serviceanbietern. Doch die Telekom hatte - auch hier eine Parallele zum Status Quo in der Bankenwelt - den Vorteil, dass sie über langjährige Erfahrung und das nötige Know-how sowie die Kenntnis des hiesigen Marktes verfügte.
Infrastruktur und Services unabhängig voneinander reguliert
Übertragen auf die Bankenwelt heißt das: Auf der einen Seite sehen wir die Geld- und Konteninfrastruktur, auf der anderen die darüber liegenden Layer der Services - von Krediten über Geldanlage bis hin zum Zahlungsverkehr. Die PSD2 hat dazu geführt, dass diese beiden Layer voneinander entkoppelt und unterschiedlich reguliert werden können; ein Umstand, von dem in den nächsten Jahren vor allem der Kunde profitiert, für den Banking dadurch bequemer, vielfältiger und mit anderen Services kompatibler wird.
Für Fintechs und Payment Service Provider (PSP) bringt diese Liberalisierung eine Vielzahl von Chancen mit sich, weil die neu entstehenden Mehrwertdienste per API auf die Konteninfrastruktur zugreifen können. Dabei geht es sowohl um Kontoinformationsdienste (AISP) als auch um Zahlungsauslösedienste (PISP), zusammen Third Party Provider (TPP) genannt, die im Rahmen der PSD2 reguliert werden. Und selbst für die Banken ist das alles kein Beinbruch, sie müssen aber damit leben, dass sie zumindest im Frontend-Bereich Konkurrenz bekommen, die (im Auftrag des Kunden) auf ihre Daten im Backend zugreifen kann.
Lesetipp: Wettlauf um Digitalisierung - Versicherungen versus Insurtechs
Dass hieraus über die Jahre eine breite Vielfalt mit neuen Playern und heute noch unbekannten Services entstehen wird, ist sehr wahrscheinlich. Denn auch die Finanzwelt durchläuft einen Disruptionsprozess, dessen Impulse nicht nur aus den Industrieländern, sondern nicht selten aus den Emerging Markets kommen. Gerade diese verfügen oftmals nicht über ein jahrhundertealtes Bankensystem mit gewachsenen Strukturen und einem engen Versorgungsnetz.
Vieles davon wird hierzulande nicht erfolgreich sein, weil gegenüber der heutigen Situation der Mehrwert fehlt - manches dann aber doch. Dabei wird die Infrastruktur, die Gelderzeugung und andere fundamentale Aufgaben vernünftigerweise in der Hand der Banken und Zentralbanken verbleiben und weiterhin der Regulierung der European Banking Authority (EBA) sowie der nationalen Aufsichtsbehörden (bei uns der BaFin) gehorchen.
PSD2-Umsetzung: Jetzt müssen die Banken Farbe bekennen
Obwohl die PSD2 bereits seit Januar 2018 in Kraft ist, wird es vor allem in den nächsten Wochen und Monaten spannend. Denn seit dem 14. März 2019 sollten sämtliche Banken und Zahlungsdienste über eine funktionierende Schnittstelle für externe Partner verfügen, was allerdings einigen nicht ganz gelungen war. Diese Schnittstelle umfasst die Kontoinformations- und Zahlungsauslösedienste zunächst in einer entsprechenden Testumgebung mitsamt entsprechender Dokumentation.
In den ersten Monaten erfolgen Tests in einer Sandbox-Umgebung, von Mitte Juni bis Mitte September folgt eine zweite Testphase mit regulären Konten. Ab dem 14. September 2019 soll dann der Regulärbetrieb beginnen.
Klar ist bereits jetzt: Zumindest unter den größeren Banken wie Deutsche Bank und Commerzbank haben die meisten bisher den Zeitplan eingehalten. Bei den kleineren Banken ist es dagegen schwieriger, zumal es für ein verlässliches Testing eine bestimmte Zahl an Schnittstellen-Testern braucht. Doch die sechs Monate Testbetrieb sind auch für die Third Party Provider eine spannende Zeit, weil sie ihrerseits die API-Schnittstellen möglichst vieler Banken testen müssen und gegebenenfalls die eigenen Routinen anpassen können.
Und die Banken haben ein ernsthaftes Interesse daran, die Tests der BaFin zu bestehen: Denn eine "Fallback"-Regelung garantiert den TPPs bei unzuverlässigen Banken-APIs, dass sie wie in der Vergangenheit über die viel breitere, normale Kundenschnittstelle zugreifen dürfen. Es bleibt dabei zu hoffen, dass die Regulatoren keine der Banken von der Fallback-Pflicht freistellen, bevor deren APIs zuverlässig arbeiten und wenigstens alle Funktionalität bereitstellen, die existierende TPPs auch bisher schon bieten konnten.
Sonst hätten wir zum Start des Regelbetriebs im September 2019 nicht die ersehnte Öffnung des Marktes, sondern im Gegenteil sogar weniger zuverlässige Apps und Anwendungen für Konsumenten und Firmenkunden. Gerade in Deutschland ist diese Gefahr sehr hoch, weil hierzulande schon seit vielen Jahren viele TPPs ihre Dienste anbieten, und die bislang verfügbaren PSD2 APIs, deren Angebot sehr viele Hindernisse in den Weg stellen würden.
Banken geizen mit Informationsweitergabe
Doch noch etwas ist vergleichbar mit der Öffnung des Telekommunikationsmarktes vor rund zwei Jahrzehnten: Viele Banken versuchen, die ihnen aufgezwungenen APIs möglichst funktionsarm zu halten um den TPPs nur ein Minimum an Zugriff zu gewähren, während man selbst seinen Kunden im Rahmen des Online-Banking weiterhin ein möglichst umfassendes Angebot unterbreiten kann.
Die Bankenlobby hat es verstanden, PSD2 so hinzubiegen, dass die Kunden nur sehr wenige ihrer Bankdaten über TPPs nutzen können. In Deutschland setzt die Mehrheit der Institute dabei auf das NextGenPSD2 XS2A Framework der Berlin Group, eine europäische Standardisierungsinitiative, die durch einen Zusammenschluss großer Banken und Payment-Dienstleister erarbeitet wurde. Die Variante der Berlin Group ist zwar besser als viele der nationalen APIs, aber leider immer noch sehr weit entfernt von den Empfehlungen der API Evaluation Group, die nicht nur die Anforderungen der Banken, sondern auch die der TPPs berücksichtigt.
Unter Kostengesichtspunkten könnte das für die Banken freilich ein Eigentor werden. Denn eine allzu minimalistische API, die im Laufe der Zeit immer weiter "aufgebohrt" wird, könnte unterm Strich teuer und ineffizient werden. Vernünftiger ist es daher, die PSD2 als Chance zu verstehen und die Schnittstelle so großzügig wie möglich auszugestalten. Das ermöglicht einem Bankinstitut in Zukunft die Kooperation mit Partnern aus dem Fintech-Lager und versetzt die Bank somit in die Lage, proaktiv neue Services entwickeln zu können.
Und tatsächlich gibt es auch bereits heute Geldinstitute, die im Rahmen ihrer Geschäftsstrategie freiwillig breitere APIs anbieten als sie müssten - aus dem Bewusstsein heraus, dass sie nicht alle Ideen und Services selbst entwickeln können. Denn in der Tat zeigen zahlreiche Beispiele im IT-Umfeld, dass von offenen Standards letzten Endes alle Beteiligten profitieren können und geschlossene Systeme ein Relikt der Vergangenheit sind.
Neben dem Feilschen um den Grad der Offenheit der Schnittstellen, gibt es aber noch einen weiteren Unsicherheitsfaktor in Bezug auf die Ausgestaltung der APIs. Den Banken und Sparkassen ist verständlicherweise daran gelegen, eine möglichst verbindliche und eindeutige Spezifikation seitens der deutschen und europäischen Bankenaufsicht (BaFin und EBA) zu erhalten. Doch diese rechtssichere Auslegung zu PSD2 (Level 1) und den dazugehörigen regulatorisch-technischen Standards (RTS, Level 2) kann gar nicht von den Regulierungsbehörden selbst kommen. Der Gesetzgeber gibt hier nur die Rahmenbedingungen vor, nicht aber den Weg dorthin im Detail. Dahinter steckt der durchaus vernünftige Ansatz der Initiatoren der Richtlinie, die Akteure nicht mehr als nötig zu gängeln, sondern Raum für unterschiedliche Umsetzungsvarianten zu geben.
Ausblick: Das Beben der großen Digitalkonzerne
Doch da ist noch eine weitere Gruppe von Akteuren, die in Zukunft den Markt des Geldes bestimmen werden und vor denen die Banken in Sachen Geschäftsmodell deutlich mehr Angst haben müssen als vor den Fintechs. Die Rede ist von den großen Digitalkonzernen wie Google, Facebook oder Apple - aber vor allem auch jenen E-Commerce-Playern wie Amazon, JD.com und Alibaba, die das Payment-Geschäft auch in den Emerging Markets unter Umgehung der Banking-Instanzen kurzerhand selbst in die Hand nehmen.
Auf den Punkt gebracht heißt das: Während die Banken hierzulande noch mit den Fintechs hadern, sehen sie nicht die großen Tsunamis anrollen. Um der Druckwelle standzuhalten, sollten sie sich verbinden, um ihren Kunden ähnlich viele und ähnlich gute Mehrwertdienste anbieten zu können, wie die BigTechs aus Ost und West.