Die Zeit drängt und Banken stehen vor entscheidenden Fragen zur Umsetzung der PSD2-konformen Schnittstelle: make or buy? Inhouse versus Outsourcing? Was genau geben die RTS vor? Die Antworten müssen schnell gefunden werden, denn die BaFin kann die Fristverletzung sanktionieren.

Umsetzung der Schnittstellen für PSD2

Die Umsetzung der Schnittstellen (APIs) für PSD2 muss kurzfristig erfolgen.

Partner des Bank Blogs

Die Zeit zur Umsetzung von PSD2 läuft: Die finalen Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung, die im März 2018 von der EBA (European Banking Authority) veröffentlicht wurden, geben die Frist zur Bereitstellung einer funktionierenden Schnittstelle vor. Bis zum 14. März 2019 müssen Banken und Zahlungsdienste den so genannten Drittanbietern (Third Party Providers) eine Testumgebung (Sandbox) und die dazugehörige technische Dokumentation der Schnittstelle zur Verfügung stellen. Ab 14. September 2019 ist dann der Produktivbetrieb zu realisieren.

Die überwiegende Mehrheit der mehreren tausend Banken in Deutschland ist zum jetzigen Zeitpunkt, rund drei Monate vor Fristende, noch lange nicht so weit. Stand heute können sie weder mobil noch online eine technisch einwandfreie, zuverlässige und sichere Identifikation und Authentifizierung bereitstellen. Der Grund sind unter anderem volle Entwicklungs-Roadmaps und Sprints sowie zu wenig Ressourcen in den IT-Abteilungen der Kreditinstitute. Auch deshalb schauen sich Banken nach schlüsselfertigen Lösungen von externen Partnern um.

Doch wo liegen die Vor- und Nachteile von „make“ or „buy“ und Inhouse versus Outsourcing? Welcher Umsetzungsgrad empfiehlt sich für Banken für die pflichtgemäße Bereitstellung einer dezidierten XS2A-Schnittstelle? „Compliance only“ oder doch weitere Potenziale ausschöpfen mit dem erweiterten Open-Banking-Ansatz, bis hin zur proaktiven Bereitstellung weiterer APIs für Anlageprodukte oder Kredite?

Pflicht oder Kür? Banken haben bei der PSD2-Umsetzung die Wahl

Die wichtigste strategische Entscheidung, die Verantwortliche zuerst treffen müssen, ist die Frage, in welchem Umfang sie die PSD2 umsetzen werden. Es gibt dabei die Möglichkeit, sich auf die Minimalanforderung bei der Umsetzung der PSD2 zu fokussieren. Durch diesen kleinsten gemeinsamen Nenner – auch „compliance only“ genannt – wird im Rahmen der Vorgaben der EBA sichergestellt, dass Kontoinformations- und Zahlungsauslösedienste per PSD2-API auf die Kontodaten des Nutzers zugreifen und Transaktionen durchführen können.

Der kleinste gemeinsame Nenner durch „Compliance only“ oder der große Wurf mit Zukunft durch „Open Banking“ – Die Bandbreite der Möglichkeiten in der Umsetzung der PSD2 für Banken ist groß.

Diese gesetzlichen Mindestanforderungen zu erfüllen, kann im ersten Schritt sinnvoll erscheinen. Was dabei vernachlässigt wird, ist der Benefit, den Banken aus der PSD2 ziehen können: Die Idee hinter der PSD2 ist es ja gerade, dem Endkunden Mehrwerte zu bieten und technische Innovationen im Banking-Sektor zu fördern. Wenn also neben den vorgeschriebenen APIs für den Kontozugang (XS2A) auch APIs für Multibanking (z.B. bankenübergreifende Kontoaggregation), Anreicherungen (z.B. Ausgaben-Überwachung) oder sogar für ein eigenes Banking-as-a-Service-Angebot bereitgestellt werden, stellen sich Banken sicher für die Zukunft auf. Hinzu kommt: PSD2 bedeutet eine Öffnung in zwei Richtungen. Anstatt „nur“ den Kontozugang bereitzustellen, kann und sollte eine Bank auch selbst Daten zu ihren Nutzern einholen, um den eigenen Services mehr Aussagekraft zu verleihen. Denn die PSD2 bietet neben Pflichten auch einen großen Gestaltungsspielraum, schließlich können auch Banken zu TTP werden.

Bei der strategischen Entscheidung ist die Zukunftsfähigkeit neben der regulatorischen Sicherheit als wichtigster Faktor einzubeziehen. Die starke Endkundenbeziehung der Banken ist heute ihr größtes Asset. Ohne innovative Services verfällt dieser Wert innerhalb kurzer Zeit.

„Make-or-Buy“?  Diese Entscheidung wird durch den engen Zeitplan beeinflusst

Viele Unternehmen, auch und gerade im sicherheitsrelevanten Banken-Umfeld, haben in der Vergangenheit selbst entwickelte Anwendungen bevorzugt und internalisieren daher speziell bei Schlüsselkomponenten ihrer IT-Architekturen. Diese Herangehensweise ist grundsätzlich vernünftig, denn die Vorteile einer selbst entwickelten Lösung sind hinreichend bekannt: maximale Wertschöpfung, Sicherstellung der Qualität, Unabhängigkeit, keine fremden Reputationsschäden, Geheimhaltungs-Themen und vieles mehr. Auf der anderen Seite stellen PSD2-Lösungen für Banken eine große Herausforderung dar, da sie in der Vergangenheit kaum damit konfrontiert waren. Demgegenüber gibt es spezialisierte Anbieter am Markt, die das Know-how in bereits realisierten Kundenlösungen erworben haben.

Auch mit Hinblick auf den Zeitdruck stellt sich die Frage, ob diese Anbieter die Umsetzung einer PSD2-Lösung nicht sogar effizienter umsetzen können als die bankeigene IT. Technologieanbieter wie beispielsweise NDGIT können mit einer Standard-PSD2-Lösung („PSD2 ready“) Banken auf einen Schlag regulatorisch sicher aufstellen.

Wie immer die Entscheidung ausfällt: Ganz ohne Unterstützung wird eine Bank die regulatorischen Anforderungen nicht umsetzen können. Zumindest die technologische Infrastruktur etwa für sicheres Management von Partnern oder automatisierte Statistiken erfordern die Nutzung von Standardsoftware. Eine weitere wichtige Entscheidung der Banken ist die Fragestellung, ob sie die PSD2-Lösung selbst („on premise“) im eigenen Rechenzentrum betreiben möchten oder einen Software-as-a-Service-Ansatz verfolgen und damit alle Dienste, inklusive Rechenzentrum, einem externen Anbieter übertragen.

Die Vorteile einer SaaS-Lösung (höhere Flexibilität, eine Reduzierung von Aufwänden für Compliance, Datenschutz und IT-Security sowie die Möglichkeit zur Fokussierung aufs Kerngeschäft) können in gewissen Situationen und Gegebenheiten eine kluge Wahl sein. Auch eine Hybrid-Lösung bietet sich in vielen Fällen an: Erfahrungsgemäß wird aus Zeitdruck zuerst auf SaaS gesetzt, um schnell „live“ gehen zu können, und später auf „on premise“ umgestellt – das ist in aller Regel eine völlig unkritische Veränderung.

Fazit: RTS geben Banken vor allem Leitplanken zur Umsetzung vor

Die Frist bis zur Bereitstellungspflicht der PSD2-konformen Schnittstelle durch Banken rückt stetig näher. Die größte Herausforderung dabei: Durch die RTS hat die EBA kein fix definiertes Regelwerk geschaffen. Vielmehr wurden nur verbindliche Rahmenbedingungen, gewisse Leitplanken, gesetzt. Innerhalb derer kann die Umsetzung der PSD2 auf Basis von Marktstandards erfolgen.

Banksysteme sind ausgerichtet, gerade nicht von außen zugänglich zu sein. Mit einem flexiblen API-Management gelingt die Integration und Anbindung von innovativen Services in bestehende Systeme.

Das hat natürlich den Vorteil, dass es verschiedene Wege zur technologischen Realisierung geben kann. Interpretation und Ausgestaltung stellen Banken aber vor eine große Herausforderung. Gremien, wie beispielsweise die Berlin Group, haben in der ersten Stufe Standards definiert. Diese Standards lassen jedoch weitere Optionen offen, die die Kreditinstitute dazu zwingen, die Ausgestaltung und Workflows selbst in die Hand zu nehmen – oder die zweite Hilfestufe zu zünden. Technische Dienstleister, die bereits Erfahrung in der Öffnung von Kernbanksystemen gesammelt haben und die rechtssichere und schnelle Umsetzung einer PSD2-konformen Schnittstelle garantieren, können immer noch rechtzeitig hinzugezogen werden. Das mag angesichts der engen Deadline vielleicht die smartere Entscheidung sein.


Das Whitepaper mit Guideline, Strategien und Optionen für Banken bei ihrer Implementierung der PSD2 können Sie hier kostenfrei beziehen.

Whitepaper mit Guidelines für die PSD2-Einführung.