Was ist eine API?
Die Abkürzung API steht für Application Programming Interface (Schnittstelle zur Programmierung von Anwendungen) und bezieht sich auf eine Technologie, die verschiedene IT-Systeme zum Datenaustausch miteinander verbindet. Dabei kann ein System über eine API Daten von einem anderen System anfordern und diese in einem standardisierten Format erhalten.
Open Banking APIs werden verwendet, um Drittanbieter sicher und einheitlich an Banken anzubinden. Banken stellen zu diesem Zweck ihre eigenen APIs für Drittanbieter zur Verfügung. Dabei müssen die APIs in der EU den Anforderungen der Technischen Regulierungsstandards (RTS) entsprechen, die von der Europäischen Bankenaufsicht vorgegeben werden.
Open-Banking-Anbieter wie TrueLayer pflegen und verwalten die verschiedenen APIs von Banken und bieten Unternehmen über eine einzige API-Anbindung den Zugang zu allen Banken.
Was sind Kontoinformationsdienstleister (KID)?
Ein KID oder auch Account Information Service Provider (AISP) ist ein von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) lizenziertes Unternehmen. Diese Lizenz ermöglicht den Zugang zur API einer Bank, um Kontoaktivitäten einzusehen. Der Zugang beschränkt sich in diesem Fall auf den Lesezugriff. Der KID ist nicht befugt, Zahlungen auszulösen. KID lesen normalerweise Finanzdaten über Open Banking APIs, um ihre Kunden mit Dienstleistungen, wie Finanzübersichten, Ratschlägen zur Finanzplanung oder Spartipps zu bedienen.
Was sind Zahlungsauslösedienstleister (ZAD)?
Ein ZAD oder auch Payment Initiation Service Provider (PISP) kann mit ausdrücklicher Zustimmung des Kontoinhabers Zahlungen vom Konto auslösen. ZAD sind BaFin-beaufsichtigte Unternehmen, die das Recht haben, Zahlungen von den Bankkonten ihrer Kunden auszuführen. Diese Zahlungen können eingesetzt werden, um online eine andere Person zu bezahlen, Geld auf ein anderes Bankkonto zu überweisen oder auch, um für Waren und Dienstleistungen zu zahlen.
Was sind kontoführende Zahlungsdienstleister?
Ein kontoführender Zahlungsdienstleister oder auch Account Servicing Payment Service Provider (ASPSP) stellt seinen Kunden Zahlungskonten zur Verfügung. Nach der Zweiten Zahlungsdiensterichtlinie (PSD2) müssen alle kontoführenden Zahlungsdienstleister Drittanbietern den Zugriff auf Kontodaten ermöglichen und mit Einwilligung des Kunden Zahlungen auslösen.
Kann ich (mein Unternehmen) Open Banking APIs verwenden?
Nur lizenzierte Unternehmen dürfen Open Banking APIs verwenden. In Deutschland beaufsichtigt die BaFin alle Open-Banking-Anbieter – einschließlich KID, ZAD oder kontoführende Zahlungsdienstleister. Außerhalb Deutschlands wird Open Banking von länderspezifischen Aufsichtsbehörden geregelt.
Was ist die eIDAS-Signatur und wie erhalte ich eine?
Nach einer EU-Verordnung aus dem Jahr 2016 haben elektronische Signaturen dieselbe rechtliche Gültigkeit wie handgeschriebene Unterschriften. Signaturen dieser Art müssen mit der eIDAS-Verordnung konform sein. eIDAS steht für electronic Identification, Authentication and Trust Services und wird in Deutschland auch IVT genannt (elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen).
In der EU können kontoführende Zahlungsdienstleister wie Banken eIDAS-Signaturen im Open Banking verwenden, um API-Anbindungen von Drittanbietern wie etwa ZAD und KID zu identifizieren und autorisieren. Diese Verifizierung verhindert unbefugten Zugang zu Bankkonten.
Anbieter und Spezifikationen von Open Banking APIs
Es gibt nicht die eine „offizielle“ API. Stattdessen haben Banken und technische Dienstleister ihre eigenen APIs, die den technischen Regulierungsstandards der Europäischen Bankenaufsicht entsprechen müssen.
Was ist die Lese-/Schreibzugriff-Spezifikation für APIs?
Die Lese-/Schreibzugriff-Spezifikation definiert bei APIs, welche Zugriffsrechte Drittanbieter bei der Anbindung an Banken haben. So können Drittanbieter entweder über Lesezugriff (Auslesen von Kontoständen und Kontoaktivitäten) oder durch Schreibzugriff (Auslösen von autorisierten Zahlungen) Zugang zu Bankkonten erhalten.
Was bedeutet OpenAPI?
Die Spezifikation für offene Daten (OpenAPI) legt fest, wie Banken Anbindungs-Schnittstellen für Drittanbieter erstellen. Hier wird auch definiert, wie Drittanbietern der Lese- bzw. Schreibzugriff einer Bank-API ermöglicht werden soll.
Was ist dynamische Kundenregistrierung?
Dynamische Kundenregistrierung bezeichnet einen Prozess, über den Banken die Anbindung von neuen Drittanbietern automatisieren können, ohne sie einzeln einer Identitätsprüfung unterziehen zu müssen.
Wie ist die Performance, Verfügbarkeit und Zuverlässigkeit von Open Banking APIs?
Die Lese-/Schreibzugriff-Spezifikation definiert bei APIs, welche Zugriffsrechte Drittanbieter bei der Anbindung an Banken haben. So können Drittanbieter entweder über Lesezugriff (Auslesen von Kontoständen und Kontoaktivitäten) oder durch Schreibzugriff (Auslösen von autorisierten Zahlungen) Zugang zu Bankkonten erhalten.
Open Banking vs. Screenscraping: Was sind die Unterschiede?
Screenscraping (oder die Eingabe von Sicherheitsmerkmalen) ist eine veraltete Methode, um Zugang zum Bankkonto eines Kunden zu bekommen und Transaktionsdaten auslesen zu können. So funktioniert Screenscraping:
Der Kunde teilt die Login-Daten mit dem Drittanbieter.
Der Drittanbieter verwendet diese Daten, um sich im Bankkonto des Kunden anzumelden.
Der Drittanbieter kopiert die Bankdaten des Kunden, um sie außerhalb des Online-Banking zu verwenden.
Vor der Einführung von Open Banking war Screenscraping für Apps (Software-Anwendungen) die einzige Möglichkeit, Zugang zum Bankkonto eines Kunden zu erhalten. Die weit verbreitete Methode wurde von vielen Buchhaltungs-Software-Lösungen verwendet. Open Banking ist eine deutlich sicherere Alternative, da hier die Sicherheitsmerkmale nicht abgefragt werden müssen.