In einem Rundschreiben teilt die BaFin mit, dass die neuen Kontoschnittstellen der Banken den Anforderungen der PSD2 nicht genügen und die bisherigen Kontoschnittstellen daher nicht abgeschaltet werden können.

Ab dem 14. September 2019 müssen Banken (konkreter: kontoführende Zahlungsdienstleister) sog. Drittdienstleistern (Zahlungsauslösedienstleister und Kontoinformationsdienstleister) Zugang zum Zahlungskonto eines Kunden ermöglichen, wenn dieser den Drittdienstleister nutzen möchte. Das Zahlungsdiensteaufsichtsgesetz (ZAG) schreibt dafür vor, dass Banken und Drittdienstleister auf sichere Weise mit einander kommunizieren müssen. Die European Banking Authority (EBA) hat technische Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation (RTS on SCA and CSC, Delegierte Verordnung (EU) 2018/389) erlassen, die Anforderungen an die Schnittstelle festlegen.

Die Banken und Sparkassen haben in den vergangenen Monaten nun Kontoschnittstellen (API) eingerichtet und diese mit Drittdienstleistern getestet. Die Tests wurden aus Bankensicht erfolgreich abgeschlossen, auch wenn sich weniger Drittdienstleister daran beteiligten als von den Banken erwartet. Einige Banken erproben ihre Kontoschnittstelle bereits seit einiger Zeit im live-Betrieb. Aus dem Fintech-Bereich, dem ein großer Anteil der Drittdienstleister zuzurechnen ist, hörte man jedoch auch weniger positive Meldungen über die Kontoschnittstellen der Banken.

In einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an Banken wird nun darauf hingewiesen, dass die bisherigen Zugangsmöglichkeiten für die Drittdienstleister wohl nicht ab dem 14. September 2019 abgeschaltet werden dürfen. Die RTS der EBA verlangen grundsätzlich die Einrichtung eines Notfallmechanismus, um den Zugang zu den Zahlungskonten für Drittdienstleister zu ermöglichen. So dürfen diese solange die Schnittstellen, die der kontoführende Zahlungsdienstleister seinen Kunden für die Authentifizierung und Kommunikation bereitstellt, nutzen bis für die spezielle (sog. dedizierte) Schnittstelle für die Drittdienstleister ein bestimmtes Verfügbarkeits- und Leistungsniveau hergestellt ist. Jedoch kann die BaFin die kontoführenden Zahlungsdienstleister von dieser Verpflichtung befreien, wenn ihre Kontoschnittstellen gewisse Anforderungen erfüllen. Zu diesen Anforderungen gehören:

  1. Die allgemeinen Anforderungen an die dedizierte Schnittstellen.
  2. Die Schnittstelle wurde zur Zufriedenheit der Drittdienstleister gestaltet und getestet.
  3. Die Schnittstelle wurde mindestens drei (3) Monate lang von Zahlungsdienstleistern in breitem Umfang für die Erbringung von Kontoinformationsdiensten, Zahlungsauslösediensten und zur Bestätigung der Verfügbarkeit eines Geldbetrags bei kartenbasierten Zahlungsvorgängen genutzt.
  4. Alle Probleme im Zusammenhang mit der dedizierten Schnittstelle wurden unverzüglich behoben.

Die EBA hat bereits im Dezember 2018 Leitlinien für die Nutzung der Befreiungsmöglichkeit (EBA/GL/2018/07) erlassen, die von der BaFin übernommen wurden. Die Leitlinien konkretisieren die vorstehenden Anforderungen. Die Banken müssen dann bei der BaFin einen Antrag auf Befreiung stellen. Die Anträge werden dann von der BaFin nach Konsultation mit der EBA im Wege der Einzelfallentscheidungen entschieden.

Neben einzelnen Problemen mit der Verfügbarkeit von Daten oder Funktionen wird wohl insbesondere das Fehlen der dreimonatigen Nutzung von der BaFin als Grund für die Versagung der Befreiung genannt. Die Banken, denen die BaFin die Befreiungen nicht erteilt, müssen weiterhin die Notfallmechanismen vorhalten und Drittdienstleistern neben der dedizierten Schnittstelle weitere Zugriffsmöglichkeiten erlauben. Wie groß der Anteil der Banken seien wird, denen die BaFin zum 14. September 2019 keine Ausnahme erteilt bleibt abzuwarten.