Vor rund 100 Tagen hat die Deutsche Bank mit dbAPI ein Open Banking Programm eingeführt. Über die ersten Erfahrungen, Sicherheitsstandards und die weiteren Perspektiven habe ich mich mit dem verantwortlichen Projektleiter Joris Hensen unterhalten.
Nach einjähriger Testphase hatte die Deutsche Bank im vergangenen Jahr eine Schnittstelle für Drittanbieter eingeführt. Über dbAPI können diese – nach vorangegangener Prüfung und Aufnahme in das Programm – auf Kunden- und Kontodaten zugreifen und ihre Anwendungen den Bankkunden personalisiert anbieten. Jede Anwendung setzt allerdings die explizite Erlaubnis zur Datennutzung durch den Kunden voraus.
Bei der Einführung wurde von großer Nachfrage berichtet. Mehr als 1.000 Entwickler hätten sich über das Entwicklerportal registriert. Sofern sie die notwendigen Daten- und Sicherheitsstandards der Bank erfüllen, sollten sie innerhalb von nur 14 Tagen mit realen Kundendaten arbeiten können.
Interview mit Joris Hensen, Projekt- und Innovationsmanager Deutsche Bank
Rund 100 Tage nach dem offiziellen Start sprach der Bank Blog mit Joris Hensen, dem Leiter des Programms über die ersten Erfahrungen. Er ist verantwortlich für die Entwicklung des API Programms der Deutschen Bank, das er Anfang 2015 mitbegründet hat. In seiner mehr als zehnjährigen Tätigkeit bei der Deutschen Bank war er in verschiedenen internationalen Projekten als Projekt- und Innovationsmanager tätig. Joris Hensen versteht sich als Intrapreneur und hat sich den Zukunftstrends in Hinblick darauf verschrieben, wie sie das Leben der Menschen verändern und verbessern können.
Es war der richtige Schritt, auf API-Produkte zu setzen
Der Bank Blog: Trotz PSD2 scheint es um dbAPI ruhig geworden zu sein. Wie sahen die ersten 100 Tage Open Banking aus?
Joris Hensen: Für uns waren die vergangenen 100 Tage alles andere als ruhig … Wir haben neben dem Finanzguru weitere Anwendungen an unsere API angebunden und sind dazu mit vielen Interessenten im regen Austausch. So erfahren wir, welche Nachfrage es gibt und worauf wir uns konzentrieren sollten. Die wichtiges Erkenntnis ist: Es war der richtige Schritt, auf API-Produkte zu setzen. Sie veredeln Daten und wenden gefragte Businesslogiken darauf an. Diese Produktbausteine werden nicht nur von Entwicklern, sondern auch von Produkt- und Marketingmanagern verstanden und nachgefragt.
Wir sehen in unseren Daten ein Potential, das über das hinausgeht, was PSD2 als regulatorischen Mindeststandard vorschreibt. Das nutzen wir auch, um uns vom Wettbewerb abzusetzen. Deshalb haben wir uns mit der dbAPI bewusst schon vor der PSD2 für Drittanbieter geöffnet.
Der Bank Blog: Wie viele der 1.000 Erstanmelder sind inzwischen in das neue Programm aufgenommen und wie viele wurden abgelehnt?
Joris Hensen: Seit kurzem ist die sechste Anwendung live. Mit einer zweistelligen Zahl an Unternehmen sind wir in fortgeschrittenen Gesprächen oder sogar bereits im Aufnahmeprozess. Uns ist aber auch bewusst, dass nicht jeder Entwickler, der sich einen Zugang zu unserer Testumgebung anlegt, eine Anwendung veröffentlichen wird, die unsere Daten nutzt.
Für das Vertrauen unserer Kunden prüfen wir Drittanbieter absolut gewissenhaft
Der Bank Blog: Sie stellen ja eine Aufnahme in das Programm innerhalb von 14 Tagen in Aussicht. Wie sieht der Prüfprozess aus, den Drittanbieter durchlaufen müssen, bevor Sie Zugang zu Ihren Systemen erhalten?
Joris Hensen: Ein Vertrag kommt nach einer intensiven zweiwöchigen Prüfung zustande. Darin stellen wir sicher, dass der Drittanbieter unsere Daten- und Sicherheitsstandards einhält. Wir prüfen die handelnden Personen des Unternehmens per „Know your Customer“-Verfahren (KYC) und ob es sich bei dem Drittanbieter um ein Unternehmen mit Sitz in der EU handelt. Die Anwendung muss strikt die Interessen der Deutschen Bank und unserer Kunden unterstützen und sie muss unsere ethischen Grundsätze einhalten. Im Sinne der Datensparsamkeit schauen wir auch, ob für die Anwendung denn tatsächlich alle Daten benötigt werden, die angefordert wurden.
Der Bank Blog: Wie viele Mitarbeiter arbeiten an der Prüfung von neuen Interessenten und wie viele an der Überwachung im Livebetrieb?
Joris Hensen: Das Vertrauen unserer Kunden bekommen und bewahren wir nur, wenn wir die Drittanbieter absolut gewissenhaft prüfen. Daneben haben wir einen ungemein spannenden Austausch mit den Unternehmen. Daraus haben sich bereits Konzepte für weitere Angebote und API-Produkte ergeben. Da wir den eigentlichen Antragsprozess mittlerweile digital auf unserem Developer Portal abwickeln, sind bei der Prüfung neuer Interessenten vor allem Fachabteilungen wie Recht, Compliance oder IT-Sicherheit beteiligt. Die Überwachung haben wir automatisiert, so dass wir Meldungen erhalten, wenn etwas auffällig ist und unsere Entwickler sofort eingreifen können. Im Kern kümmern sich fünf Entwickler um die Überwachung des Livebetriebs.
Am Ende entscheidet der Kunde, welche Daten er freigibt
Der Bank Blog: Der aktuelle Missbrauchsfall bei Facebook zeigt die Gefahren von offenen Schnittstellen. Wie verhindern Sie, dass Kundendaten über ihre Partner hinaus weitergegeben werden?
Joris Hensen: Jedes Unternehmen, das in den Livebetrieb wechselt, verpflichtet sich vorab vertraglich, die in der EU geltenden Standards zum Schutz und zur Nutzung der Kundendaten einzuhalten. Konkret ist das zukünftig vor allem die Datenschutzgrundverordnung (DSGVO). Wer dagegen verstößt, muss mit einer umgehenden Sperrung und rechtlichen Schritten rechnen. Ein weiterer großer Unterschied zu Facebook: Wenn ein Kunde einem Drittanbieter den Datenzugriff erlaubt, dann gilt das keineswegs für alle Ewigkeit. Nutzt eine Person die Anwendung eines Drittanbieters längere Zeit nicht, wird die Zugriffsberechtigung ausgesetzt. Das beugt einer unberechtigten Weitergabe zusätzlich vor.
Der Bank Blog: Wie stellen Sie die Sicherheit der Kundendaten bei der Integration von Drittanbietern dar?
Joris Hensen: Wir verwenden für unsere API standardisierte Authorisierungsverfahren wie OAuth2 und OpenID sowie branchenübliche API-Standards wie REST. Wir testen die Datensicherheit unserer Schnittstelle in regelmäßigen Abständen. Und am Ende entscheidet der Kunde, welche Daten er freigibt. Vor der Nutzung einer mit der dbAPI verknüpften Anwendung wird er darüber informiert, auf welche Daten die App zugreifen möchte. Er muss in jedem Einzelfall sein ausdrückliches Einverständnis geben und kann dieses jederzeit widerrufen.
Der Bank Blog: Auf Ihrer Webseite wird lediglich Finanzguru als Partner genannt. Gibt es eine Liste Ihrer Partner, die man einsehen kann? Über welche anderen Partner und deren Angebote können Sie uns berichten?
Joris Hensen: Nur drei Monate nach dem Start unserer Schnittstelle befinden wir uns derzeit mit aktuell sechs Anwendungen im Livebetrieb. Da ist beispielsweise die Deutsche Vermögensberatung (DVAG) sowie der Authentifizierungsservice Verimi. Grundsätzlich unterscheiden wir zwischen Kooperationen wie mit den dwins, die den Finanzguru entwickelt haben, und rein technischen Anbindungen. Diese namentlich nicht genannten Anbindungen bewegen sich sowohl im B2B- als auch im B2C-Bereich, sind jedoch keine Kooperationen.
Die Kunden sind begeistert
Der Bank Blog: Wie sahen die bisherigen Reaktionen von Kunden auf das neue Angebot aus?
Joris Hensen: Nehmen Sie die Finanzguru-App als Beispiel: Die Kunden sind begeistert. In einem Tweet zur Finanzguru-App hieß es vor ein paar Tagen: „So geht übersichtlich und informativ in Sachen Konto im Jahr 2018“. Darüber freuen wir uns natürlich. Auch im iTunes-Store erhält die App viel Zustimmung. Aktuell wird die App hier mit 4,5 von 5 Sternen bewertet.
Es gibt auch einige skeptische Stimmen, weil wir als Bank ein völlig neues Terrain betreten. Manche unserer Kunden können solche Angebote deshalb noch nicht einordnen. Wir haben hier also auch eine Kommunikationsaufgabe und die nehmen wir genauso ernst wie die Weiterentwicklung des Angebots.
Der Bank Blog: Wie viele Kunden haben bereits Freigaben für Drittanbieter erteilt?
Joris Hensen: Wir sind sehr zufrieden, denn die Freigaben steigen Monat für Monat. So viel kann ich verraten: Alleine im Februar haben wir mehr als 90.000 API-Calls verarbeitet, Tendenz steigend. Wir erwarten, dass sich das Wachstum mit jeder zusätzlichen Anwendung weiter beschleunigen wird.
Der Bank Blog: Auf welche innovativen Produkte und Services können sich Ihre Kunden innerhalb der kommenden Monate freuen?
Joris Hensen: Besonders spannend sind Anwendungen „beyond banking“, also Apps und Services, die auf Bankdaten beruhen, aber im App-Store nicht in der Kategorie „Finanzen“ sondern zum Beispiel unter „Gesundheit und Fitness“ erscheinen. Denn was viele unterschätzen: Bankdaten, vor allem die Transaktionen, sind ein Spiegelbild unseres Alltags. Sie ermöglichen personalisierte Apps der nächsten Generation. Hier haben wir bereits viele spannende Anfragen aus den unterschiedlichsten Branchen erhalten. Darüber hinaus haben wir über Kundenfeedback Fokusthemen wie E-Commerce oder Buchhaltung identifiziert, die wir gezielt weiterentwickeln.
dbAPI ist keine offene Schnittstelle
Der Bank Blog: Nach welchen Kriterien wählen Sie Drittanbieter aus? Wer darf und wer darf nicht auf Ihre Plattform?
Joris Hensen: Wegen der sensiblen Daten unserer Kunden können wir unsere API – anders als ein Kartenservice oder eine Wettervorhersage – nicht als offene API anbieten. Wir haben jedoch ein starkes Interesse daran, möglichst viele attraktive Anwendungen auf die Plattform zu holen und sind daher grundsätzlich für jedes Unternehmen offen. Zudem gilt: Nicht wir wählen die Drittanbieter aus, sondern die Drittanbieter uns. Wenn dann jemand eine gute Idee hat und nicht sicher ist, ob sein Unternehmen oder der Anwendungsfall unsere Kriterien erfüllt, kann er sich über unsere Internetseite gerne an uns wenden.
Plattform-Geschäftsmodelle zielen auf Netzwerk-Effekte ab
Der Bank Blog: Erklärtes Ziel von dbAPI war es ja nicht nur, den Kunden über das klassische Bankgeschäft hinausgehende innovative Dienste und Services anzubieten, sondern damit auch neue Ertragsquellen zu erschließen. Wie schaut das Business Modell im Detail aus?
Joris Hensen: Plattform-Geschäftsmodelle zielen im Kern auf Netzwerk-Effekte ab. Das sieht in unserem Fall so aus: Über die Anbindung von Drittanbietern steigern wir die Bandbreite an personalisierten Apps, für die unsere Kunden ihre Daten sicher und intelligent nutzen können. Das wiederum macht die Deutsche Bank für Neukunden attraktiver. Und mit jedem weiteren Kunden werden wir attraktiver für Drittanbieter – der Kreislauf verstärkt sich also selbst und erschließt uns neue Ertragsquellen. Zu unserem Angebot an Drittanbieter gehören eine sehr realitätsnahe Testumgebung sowie Service und Beratung im Aufnahmeprozess („Onboarding“) und Livebetrieb. Dazu kommt eine größere Datentiefe wie etwa längere Transaktionshistorien. Für häufige Anwendungsfälle haben wir maßgeschneiderte API-Produkte wie die Altersverifizierung entwickelt. Das sind Leistungen, die in der Gesamtheit Geld wert sind.
Der Bank Blog: Auf Ihrer Webseite sprechen Sie von individuellen Preismodellen. Was kann man sich darunter vorstellen? Welche unterschiedlichen Preismodelle bieten Sie an?
Joris Hensen: Wir beginnen ja gerade erst damit, unsere Plattform aufzubauen. Insofern gilt: Natürlich wollen wir mittelfristig damit Geld verdienen. Aber wie bei allen erfolgreichen Plattformen darf die kurzfristige Monetarisierung nicht das langfristige Wachstum hemmen. Zudem muss sich der Marktpreis für API-Zugriffe auf Bankdaten noch finden. Das ist alles andere als trivial. Die Aufnahme neuer Partner hat in jedem Fall Priorität.
Relevanz ist die Währung von dbAPI
Der Bank Blog: Welchen Ergebnisbeitrag erwarten Sie sich von dbAPI innerhalb der kommenden fünf Jahre?
Joris Hensen: Wir haben einen Geschäftsplan, möchten aber keine konkreten Zahlen veröffentlichen. Zunächst ist es ohnehin wichtiger, mit der dbAPI die Rolle zu erweitern, die die Bank im Leben ihrer Kunden spielt. Relevanz ist hier die Währung. Für unsere Kunden wollen wir mittelfristig zum Begleiter in allen Lebenslagen werden, mit Apps und Services „beyond banking“. Und das in einer Qualität und mit einer Datensicherheit, wie sie andere Plattformen nicht bieten können. Im Gegensatz zu Likes oder Suchanfragen spiegeln Bankkundendaten nicht nur das Interesse einer Person, sondern ihr wirkliches Verhalten wider. Das ermöglicht intelligente, personalisierte Funktionen und Inhalte.
Der Bank Blog: Wie sehen die nächsten Etappenziele für dbAPI aus?
Joris Hensen: Wir führen zahlreiche Gespräche mit potenziellen Partnern – vom Start-up bis zum Großunternehmen. Das Interesse ist da. Jetzt ist es unsere Aufgabe, möglichst viele Gespräche in echte Anwendungen umzumünzen. Zudem betreiben wir ein wenig Aufklärung, denn Entwicklern und App-Anbietern ist oft gar nicht bewusst, welches Potenzial Bankdaten bieten, um digitale Inhalte intelligent zu personalisieren. Aber am Ende funktionieren Vertrieb und Kommunikation nur dann, wenn wir Substanz vorzuweisen haben. Deshalb entwickeln wir die dbAPI konsequent weiter. Neben den Innovationen wie die Entwicklung neuer API-Produkte wird die dbAPI auch den Zugang zur PSD2-Umsetzung der Deutschen Bank bieten.
Der Bank Blog: Herzlichen Dank für das Gespräch.