PSD2: Braucht Europa einen einzigen API-Standard?

Author image
Andrei Cazacu, Leiter EU-Politik
3 Aug 2022
Cover image

Die Überprüfung der PSD2 durch die Europäische Kommission wirft die Frage auf: Wie geht es mit Open Banking zukünftig weiter?

Auf Empfehlung der Europäischen Bankenaufsichtsbehörde debattiert die Branche darüber, ob die Einführung eines einheitlichen API-Standards der Schlüssel zu weniger Fragmentierung und zur Optimierung des Open Banking ist.

Die Erfahrung hat gezeigt, dass die Definition eines gemeinsamen API-Standards keine Garantie für eine einheitliche API ist. In diesem Blogbeitrag fassen wir die Fortschritte bei PSD2 zusammen und gehen auf drei wichtige Zukunftsfragen ein:

  1. Brauchen wir einen einheitlichen API-Standard in der EU? 

  2. Werden die Regeln künftig konsequenter angewandt?

  3. Wird es endlich grenzüberschreitende Echtzeitzahlungen geben?


PSD2 war der Startschuss für Open Banking in Europa. Damit erhielten die Kunden das Recht, über Drittanbieter (TPP) auf ihre eigenen Kontodaten zuzugreifen und Zahlungen zu veranlassen. Das war in mehrfacher Hinsicht wegweisend:

PSD2 lockte neue Anbieter in den Markt

PSD2 senkte die Eintrittsbarrieren für neue Anbieter durch das Unterstützen spezieller Schnittstellen zur Auslösung von Zahlungen im Namen von Verbrauchern. Nachdem die Banken offene APIs eingeführt hatten, kam es zu einem sprunghaften Anstieg von Markteintritten. Heute gibt es mehr als 500 zugelassene Unternehmen, die offene Bankdienstleistungen für Kunden in der EU anbieten - vor PSD2 waren es nur eine Handvoll.

PSD2 hat die Innovationen angekurbelt

PSD2 hat AIS, den Zugang zu Transaktionsdaten, sowie PIS die Möglichkeit für Dritte, eine Zahlung auszulösen, zusammengeführt. Das führte zu einem sprunghaften Anstieg der Innovationen, bei denen Unternehmen Zahlungen mit Daten kombinieren können, um leistungsstarke Anwendungsfälle zu schaffen. Die Möglichkeiten reichen von der Nutzer-und Konto-Verifizierung, Bonitätsprüfungen bis hin zum Vereinfachung des  Neukunden-Onboarding. 

PSD2 hat den Zahlungsverkehr sicherer gemacht

Wenn PIS-Zahlungen von Unternehmen eingesetzt werden, können sie manuell ausgeführte  Banküberweisungen ersetzen und fehlgeleitete Zahlungen und Betrug verhindern. Open-Banking-Zahlungen hatten schon immer eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) für die Initiierung, was sie für Betrüger schwer angreifbar macht.

In vielerlei Hinsicht war die Open-Banking-Initiative der EU also ein Erfolg, sowohl für Unternehmen als auch für Verbraucher. Aber wie kann Europa mit anderen Märkten wie dem Vereinigten Königreich mithalten, die noch schneller vorangekommen sind? 

Kehren wir zu den drei großen Fragen zurück:

  1. Brauchen wir einen einheitlichen API-Standard in der EU? 

  2. Werden die Regeln künftig konsequenter angewandt?

  3. Wird es endlich grenzüberschreitende Echtzeitzahlungen geben?

Brauchen wir eine einheitliche API-Norm?

Ob die Europäische Kommission einen einheitlichen API-Standard empfehlen oder vorschreiben sollte, darüber scheiden sich die Geister. 

PSD2 verlangt von den Banken, dass sie bestimmte Kriterien für ihre offenen Bankschnittstellen erfüllen. Aus diesem Grund wurden mehrere Normungsgremien geschaffen, darunter die Berlin Group, STET und PolishAPI. Ihre Aufgabe ist es, Spezifikationen für APIs zu entwickeln, also die Technologie, die zur Entwicklung spezieller Schnittstellen verwendet wird. 

Die Umsetzung wurde jedoch bisher den einzelnen Banken überlassen. Der Begriff "API-Standard" ist daher nicht zutreffend. Bislang gibt es eine Reihe technischer Spezifikationen, aber wenig Koordination darüber, wie sie implementiert werden und wie gut sie funktionieren.

Das ist der Grund, warum dieselben APIs auf unterschiedliche Weise implementiert werden und anders funktionieren. Selbst innerhalb ein und derselben Norm gibt es Unterschiede in der Auslegung und der Umsetzung durch die Banken.

Die Anbieter von Open Banking müssen wiederum jede API von Fall zu Fall behandeln. Mit anderen Worten: Es besteht ein erheblicher Unterschied zwischen einem Standard und der Sicherstellung, dass derselbe Standard auch entsprechend umgesetzt wird.

Somit gibt es zwar eine Reihe von technischen Spezifikationen, aber wenig Koordination darüber, wie sie umgesetzt werden und wie gut sie funktionieren.

Eine gemeinsame API-Norm ist jedoch nicht unbedingt die Lösung.

Erstens gibt es viele Innovationen, die dazu beitragen, die Fragmentierung des offenen Bankwesens zu überwinden. Ein Beispiel dafür ist die API-Aggregation, die in der PSD2-Richtlinie vermutlich gar nicht beabsichtigt war. Dabei spezialisieren sich Fintech-Unternehmen auf die Anbindung an Bank-APIs und schaffen eine einzige API, an die sich weitere Unternehmen anschließen können.

So können sich andere regulierte Open-Banking-Unternehmen auf Ihre innovativen Kundenlösungen konzentrieren, anstatt die Banken-Schnittstellen anzubinden und zu pflegen. Der Markt für API-Aggregation und für Verbraucherdienste ist hart umkämpft und funktioniert gut.

Zweitens gibt es bereits viel Fachwissen in den derzeitigen Standardisierungsgremien. Deshalb ist es nicht notwendig, einen API-Standard von Grund auf neu zu entwickeln.

Was ist also die Lösung?

  • Die Arbeit der bestehenden Normungsgremien ausbauen und harmonisieren

    Die EU sollte den Dialog und die Zusammenarbeit zwischen den bestehenden Normungsgremien fördern. Auf diese Weise würde das technische und kommerzielle Know-how in diesen Gruppen eher genutzt als verloren gehen, und neue Normen würden sich im Laufe der Zeit angleichen und konvergieren, anstatt weiter zu fragmentieren. 

    Die EU sollte auch klären, wie bestehende Normungsgremien mit den vom Europäischen Zahlungsverkehrs-Ausschuss (European Payments Council) entwickelten Spezifikationen interagieren sollten, in Anlehnung an die Arbeit der MSG SPAA.

Einführen einer zentralen Stelle zur Koordinierung der API-Implementierung und -Performance

Anstatt sich auf einen gemeinsamen API-Standard zu konzentrieren, könnte die EU ein zentrales, unabhängiges Gremium einrichten. Alternativ könnte sie bestehende Gremien ermächtigen, sich auf die API-Implementierung und -Performance zwischen den Banken zu konzentrieren.

Dies wäre ein ähnliches Modell wie die Open Banking Implementation Entity (OBIE) im Vereinigten Königreich. Diese ist mit Durchsetzungsbefugnissen der Wettbewerbs- und Marktaufsichtsbehörde ausgestattet und hat dazu beigetragen, Open Banking schneller voranzutreiben als in vergleichbaren Märkten.

Eine zentrale, unabhängige Stelle könnte als einzige vertrauenswürdige Quelle für öffentliche Daten zum Open Banking fungieren. 

Derzeit ist es schwer, verlässliche Daten über die Zahl der Nutzer in Europa oder über die Anzahl der Zahlungen oder Datenabfragen jeden Monat und deren Steigerung zu erhalten. All diese Daten sind im Vereinigten Königreich beim OBIE erhältlich. 

Eine solche Einrichtung könnte auch eine Rolle bei der Schaffung nahtloser und einheitlicherer Authentifizierungen für Zahlungen spielen, indem sie Leitlinien für bewährte Verfahren herausgibt.

Unnötige Reibungsverluste im Authentifizierungsprozess sind ein wesentliches und künstliches Hindernis für die Verbreitung von Open Banking in Europa.

Da Finanz-APIs immer wichtiger werden, müssen sie in der gesamten EU die gleiche Leistung und Funktionalität haben, damit die Verbraucher ein einheitliches Erlebnis haben.

Werden die Vorschriften einheitlicher gelten? (PSR1 oder PSD3?)

Eine weitere Frage, die bei der Revision der PSD2 durch die EU aufgeworfen wurde, lautet: Wird die PSD2 eine Richtlinie bleiben oder eine Verordnung werden? Wird es Spielraum für Interpretationen geben oder werden die Regeln in jedem Land auf die gleiche Weise gelten?

EU-Richtlinien müssen in nationales Recht umgesetzt werden, so dass jeder Mitgliedstaat sie etwas anders auslegen wird. 

Im Gegensatz dazu gelten EU-Verordnungen so, wie sie sind. Das minimiert den Auslegungsspielraum und gewährleistet eine einheitliche Anwendung in allen 27 Mitgliedstaaten .

Im Fall der PSD2 (einer Richtlinie) hat die Flexibilität, sie unterschiedlich umzusetzen, zu Unterschieden in der Auslegung geführt. 

So stufen beispielsweise nur einige EU-Länder Kreditkarten als Zahlungskonten ein, auf die Anbieter von Open Banking zugreifen können. Dieser Mangel an Konsistenz bedeutet, dass die Verbraucher in einigen Ländern weniger Dienstleistungen nutzen können als in anderen.

Die Umwandlung der PSD2 in die Verordnung über Zahlungsdienste (PSR1) würde dem Open Banking helfen und eine schnellere und einheitlichere Umsetzung ermöglichen.

Da es jedoch schwierig sein kann, einen Konsens über eine Verordnung zu erzielen, könnte die Beibehaltung des Richtlinienansatzes zu schnelleren Verbesserungen im Zahlungsverkehr und Open Banking führen. 

Werden wir endlich grenzenlose Echtzeitzahlungen haben?

Wir haben schon früher darüber geschrieben, warum Open Banking Zahlungen in Echtzeit braucht und warum die Gesetzesinitiative der EU in diesem Bereich so wichtig ist.

Open Banking macht Echtzeitzahlungen für Verbraucher und Händler gleichermaßen möglich. Es macht SEPA Instant von einer Überweisungsoption, die nur über Online-Banking verfügbar ist, zu einer alternativen Zahlungsmethode in schnelllebigen Sektoren wie E-Commerce oder bei Investitionen.

Doch im Moment bleibt SEPA Instant hinter seinen europaweiten Ambitionen zurück. Die lückenhafte Abdeckung und die hohen Kosten für die Verbraucher verhindern, dass SEPA Instant die perfekte Ergänzung zu Open-Banking-Zahlungen darstellt.

Open-Banking-Zahlungen werden ihr volles Potenzial in Europa nur dann entfalten, wenn Echtzeitzahlungen überall verfügbar sind.

Und da die IBAN-Diskriminierung immer noch ein Problem darstellt, ist es nach wie vor schwierig und manchmal sogar unmöglich, grenzüberschreitende Open-Banking-Zahlungen vorzunehmen.

Deshalb muss die EU die Überarbeitung der PSD2 durch Rechtsvorschriften ergänzen, die die reibungslose Nutzung von SEPA Instant fördern.

Open-Banking-Zahlungen werden ihr volles Potenzial in Europa nur dann entfalten, wenn Echtzeitzahlungen überall verfügbar sind und Hindernisse wie die IBAN-Diskriminierung beseitigt werden.

Latest
CPA
5 Nov 2024

What are continuous payment authorities (CPAs)?

How can travel operators build a fast and secure Pay by bank experience
1 Nov 2024

Travel operators: how to build a fast & secure Pay by bank experience

User profile with an approved tick next to it, surrounded by UI boxes with data inside
29 Oct 2024

Everything you need to know about bank account verification

Categories to explore
Bleiben Sie auf dem Laufenden
Melden Sie sich für unseren Newsletter mit bereits über 10.000 Abonnenten an. Wir liefern alle Neuigkeiten zu Open Banking direkt in Ihr Postfach.
© TrueLayer (Ireland) Limited 2024. TrueLayer (Ireland) Limited is authorised and regulated by the Central Bank of Ireland under the European Union (Payment Services) Regulations 2018 for the provision of Payment Services (Firm Reference Number: C433487). Registered Office: 6th Floor, 2 Grand Canal Square, Dublin 2, D02 A342, Ireland