Abo
  • IT-Karriere:

Anzeige: Was Drittanbieter beim Open Banking beachten müssen

Fintechs können ab Herbst auf Kontodaten von Banken in der EU zugreifen. Um am Open Banking teilzunehmen, müssen sie einige Voraussetzungen erfüllen, etwa eine BaFin-Lizenz und ein spezielles Website-Zertifikat beantragen. Die Testphase beginnt schon im März.

Sponsored Post von Bundesdruckerei veröffentlicht am
Anzeige: Was Drittanbieter beim Open Banking beachten müssen
(Bild: Getty Images)

Ab September 2019 dürfen Zahlungsdienste auf die Onlinekontodaten aller europäischer Banken zugreifen. Geregelt wird das über die zweite Payment Services Directive - kurz: PSD2. Für Fintechs bedeutet das hohes Wachstumspotenzial, aber auch staatliche Regulierung. Zudem braucht es qualifizierte Website-Zertifikate (sogenannte QWACs), um die Kommunikation mit der Bank abzusichern. Hier gibt es einen kurzen Überblick, wie Fintechs an die Schnittstelle zum Open Banking kommen.

1. Schritt: Regulierungspflicht klären

Nicht jeder Zahlungsdienstleister unterliegt der Richtlinie PSD2. Regulierungspflichtig sind nur Fintechs, die über die neuen Banking-APIs auf Konten bei anderen Banken - genauer auf Online-Zahlungskonten - zugreifen möchten. Und nur diese Unternehmen benötigen eine Lizenz der nationalen Finanzaufsichtsbehörde, in Deutschland der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Betroffen sind Zahlungsauslösedienstleister, die auf Bankkonten zugreifen, um Überweisungen vorzunehmen. Zudem betrifft die Richtlinie Kontoinformationsdienstleister, die nur Auskünfte über Kontodaten benötigen. Beide müssen sich bei der BaFin registrieren.

2. Schritt: BaFin-Lizenz beantragen. Achtung: Aufwand!

Die BaFin stellt unterschiedliche Anforderungen an Zahlungs- und Kontoinformationsdienste. Einige Auflagen müssen von beiden Anbietern erfüllt werden. Dazu zählen:

  • die verbindliche Rechtsform "juristische Person" oder "Personenhandelsgesellschaft";
  • eine Berufshaftpflicht oder eine vergleichbare Garantie;
  • eine Sicherheitsstrategie zum Schutz der Nutzer;
  • Beschreibungen, wie das Unternehmen Sicherheitsvorfällen und Kundenbeschwerden über mangelnde Sicherheit begegnet und sie verhindert und wie es das Geschäft im Krisenfall fortführt.

Eigenkapital müssen beide dagegen nicht laufend bereitstellen. Zahlungsauslösedienstleister erwartet auf dem Weg zur BaFin-Erlaubnis zusätzlicher Aufwand. Sie müssen etwa ein Anfangskapital von mindestens 50.000 Euro nachweisen, statistische Daten über Leistungsfähigkeit, Geschäftsvorgänge sowie Betrugsfälle vorlegen und eine Inhaberkontrolle durchführen lassen. Einen Überblick über den kompletten Registrierungsprozess gibt es hier.

Wichtig: Zahlungsdienste sollten für die BaFin-Lizenzierung genügend Zeit einplanen. Drei bis vier Monate kann es durchaus dauern. Die Gebühren liegen zwischen 6.000 und 12.000 Euro.

3. Schritt: Den passenden Vertrauensdiensteanbieter wählen

Die BaFin-Lizenz ist da? Spätestens jetzt benötigen Zahlungsdienste qualifizierte Zertifikate (QWACs), um auf die API des Kreditinstituts zugreifen zu können. Mit QWACs weisen sie sich gegenüber der Bank als Lizenzinhaber aus und sichern die Datenübermittlung.

Erhältlich sind die Zertifikate bei qualifizierten Vertrauensdiensteanbietern, die auf einer Vertrauensliste der EU stehen und zusätzlich die PSD2-Erweiterungen haben. Ein deutscher Anbieter ist die D-TRUST GmbH, eine Tochter der Bundesdruckerei - das erste europäische Unternehmen, das überhaupt zur Ausgabe von QWACs berechtigt war.

4. Schritt: Jetzt schon testen - auch ohne BaFin-Lizenz

Die PSD2 schreibt für Banken ab Mitte März eine Testphase vor, in der Drittanbieter die geöffneten Schnittstellen prüfen können. Für die ZAD und KID ist die Teilnahme an dieser Testphase empfehlenswert, um das eigene System und die Schnittstelle der Banken zu überprüfen. Hier können sich Zahlungsdienste dann auch einen Eindruck vom jeweiligen Schnittstellenstandard verschaffen, den die PSD2 nicht vorschreibt und der deshalb variieren kann. Europaweit am anerkanntesten ist der Berlin-Group-Standard. Für die Testphase ist keine BaFin-Lizenz erforderlich. Kostenlose Testzertifikate sind jetzt schon bei der Bundesdruckerei erhältlich.

5. Schritt: QWACs und QSiegel sichern - und den API-Standard im Blick behalten

Spätestens ab Mitte Juni müssen die Banken ihr Produktivsystem öffnen, Drittanbieter können dann testweise auf echte Kundenkonten zugreifen.

Wichtig zu wissen: Für die Testphase mit echten Kundenkonten muss die BaFin-Lizenz vorliegen. Die benötigten Echtzertifikate gibt es bei den ausgewählten Vertrauensdiensteanbietern. Die D-TRUST zum Beispiel stellt ab Mai Echtzertifikate mit PSD2-Erweiterungen zur Verfügung. Übrigens: Die European Banking Authority (EBA) empfiehlt Banken, neben den QWACs auch qualifizierte Siegel vom Drittanbieter zu verlangen. Diese QSiegel signieren einen Dateninhalt und machen beispielsweise eine Transaktion über Jahre nachvollziehbar. Auch sie sind bei Vertrauensdiensteanbietern wie der D-TRUST erhältlich.

Weitere Details zur PSD2-Richtlinie und zu den Zertifikaten finden Sie hier.

Über die Bundesdruckerei

Sichere Identitäten und sichere Daten sind die Kernkompetenz der Bundesdruckerei. Das Unternehmen schützt mit Technologien Made in Germany sensible Daten und Infrastrukturen. Die Lösungen basieren auf der sicheren Identifikation von Personen und Objekten in der analogen und der digitalen Welt. » Mehr erfahren

Was ist ein Sponsored Post?


    •  /