Start-ups bekommen viel zu tun


Wer sich die Mitarbeiter der Finanzaufsicht Bafin bisher als wenig auskunftsbereite Beamte vorgestellt hat, die nur allzu gern einen „Abgelehnt“-Stempel auf die Anträge innovativer Finanztechnologieunternehmen hämmern, der wurde am Dienstag in Frankfurt eines Besseren belehrt. Auf einer Informationsveranstaltung erklärten knapp ein Dutzend Bafin-Mitarbeiter detailliert, welche Änderungen die EU-Zahlungsdiensterichtlinie PSD2 ab 13. Januar 2018 bringt und welche Anforderungen insbesondere Drittanbieter wie Fintechs nun erfüllen müssen. Ganz uneigennützig war das nicht, die Aufseher hoffen, dass ihnen durch gute Erklärungen unnötige Erlaubnisanfragen und fehlerhafte Anträge erspart bleiben. Dennoch war das Engagement bemerkenswert: Eine Mitarbeiterin sorgte sogar mit einem kurzen Rapp auf die Abkürzungen der PSD2 für Auflockerung („PIS, API und PSU – was mach‘ ich nu?“).

Die PSD2 (Payment Service Directive 2) soll den Zahlungsverkehr für Verbraucher in der EU bequemer und sicherer machen und zugleich den Wettbewerb fördern. Für die Kunden bedeutet das: Elektronische Zahlungen werden sicherer, ebenso wie einige Finanz-Apps, die Dienste rund ums Konto anbieten. Für die Banken heißt es: Sie müssen künftig auf Kundenwunsch auch Drittanbietern den Zugriff auf Kontodaten ihrer Kunden gewähren. Und diese Drittanbieter brauchen dafür eine Erlaubnis der Finanzaufsicht oder müssen sich zumindest dort registrieren lassen. Auf der Bafin-Veranstaltung wurde aber klar: Insbesondere für junge Unternehmen ist die Regulierung nicht gerade ein Klacks.


Schon heute gibt es Finanz-Apps, die auf Kontodaten bei den Banken zugreifen. Kunden können damit ihre Daten von unterschiedlichen Zahlungskonten aggregieren und so eine komplette Finanzübersicht bekommen. Diese Angebote stammen meist von Finanztechnologie-Start-ups, aber auch Banken haben inzwischen solche „Multi-Banking-Tools“. Andere Apps durchsuchen die Kontobuchungen nach Verträgen und schlagen beispielsweise Alarm, wenn ein günstigeres Angebot verfügbar ist. Wenn Anbieter auf diese Art Kontodaten verarbeiten, zählen sie gemäß PSD2 künftig als Kontoinformationsdienste. Davon unterscheiden sich die Zahlungsauslösedienste, die nicht nur Kontodaten auswerten, sondern im Namen der Kunden Zahlungen auf den Konten anstoßen.

Bisher waren beide Geschäftsmodelle unreguliert. Doch wer ab dem 13. Januar als Kontoinformationsdienst agieren will, muss sich bei der Bafin registrieren lassen und wer als Zahlungsauslösedienst aktiv ist, braucht eine Erlaubnis der Aufsicht. Beides ist an umfangreiche Bedingungen geknüpft. Eine Übersicht (siehe Foto) der Bafin nennt 19 Punkte, die Unternehmen im Erlaubnisverfahren zum Zahlungsauslösedienst berücksichtigen müssen. Nur auf fünf davon dürfen Kontoinformationsdienste verzichten.


So müssen beispielsweise alle Zahlungsinstitute ausführliche Angaben zu ihrem Geschäftsmodell, Geschäftsplan, zur Unternehmenssteuerung sowie zum organisatorischen Aufbau des Unternehmens machen – das sind die Basics. Außerdem müssen sie angeben, wie sie sensible Zahlungsdaten schützen und wie sie bei sogenannten Sicherheitsvorfällen, bei Kundenbeschwerden oder in einem Krisenfall agieren würden.



Was das Antragsverfahren beschleunigt

Sowohl Kontoinformations- als auch Zahlungsauslösedienste müssen sich in Zukunft zudem für den Haftungsfall absichern. Dafür müssen sie eine Berufshaftpflicht mit Mindestdeckungssumme oder eine „gleichwertige Garantie“ vorweisen. Je nach konkreter Gestaltung ihres Geschäftsmodells müssen mindestens 150.000 bis 200.000 Euro abgesichert sein. Zahlungsauslösedienste müssen außerdem ein Anfangskapital von mindestens 50.000 Euro vorweisen. Offen ist noch, inwiefern solche Diensteanbieter auch die Pflichten aus dem Geldwäschegesetz erfüllen müssen. Das kläre die Bafin aktuell noch mit dem Bundefinanzministerium, hieß es.


Hat ein Anbieter heute schon eine Lizenz als E-Geld-Institut darf er auch ab dem kommenden Jahr ohne zusätzliche Erlaubnis als Kontoinformations- oder Zahlungsauslösedienst agieren, er muss das Geschäft nur bei der Bafin anzeigen. Sonstige Zahlungsinstitute müssen gegebenenfalls einen Antrag auf Erlaubniserweiterung stellen. Eine Übergangsregel soll für jene gelten, die schon heute ein Geschäftsmodell betreiben, das ab dem kommenden Jahr reguliert ist. Das ist im Umsetzungsgesetz zur PSD2 in Paragraf 68 geregelt. Demnach sollen die Unternehmen ab dem 13. Januar drei Monate Zeit haben, um einen entsprechenden Antrag auf Erlaubnis oder Registrierung zu stellen.

Damit die Anträge schnell bearbeitet werden kann, sollten Unternehmen die Unterlagen möglichst geordnet abgeben. „Plausibilität ist ein wichtiges Prüfungskriterium“, sagte Monika Herpers vom Referat für Zahlungs- und E-Geld-Institute bei der Bafin. „Der Antrag sollte einen roten Faden haben und keine Widersprüche enthalten.“ Und er dürfe nicht primär das Ziel verfolgen, die Bafin „happy“ zu machen. Vielmehr müsse das Geschäftsmodell den gesetzlichen Vorgaben entsprechen.


Sobald die Bafin eine Erlaubnis erteilt oder eine Registrierung akzeptiert hat, werden die Unternehmen ins Institutsregister auf der Homepage der Aufsicht eingetragen. Anbieter, die von Aufsichtsbehörden anderer EU-Länder bewertet wurden, sollen dort nicht aufgenommen werden. Eine EU-weite Übersicht wird aber ein Register der europäischen Bankenaufsicht EBA bieten. Die Gefahr, dass Anbieter die neue Regulierungspflicht umgehen, bewertet eine Bafin-Mitarbeiterin auf Nachfrage des Handelsblatts als gering: Viele seriöse Unternehmen stünden heute schon mit den Aufsehern in Kontakt und schwarze Schafe würden meist von ihren Konkurrenten gemeldet.


EU-Kommission legt RTS vor

Offen war bis vor wenigen Tagen noch, wie genau der Datenaustausch zwischen Banken und den Kontoinformations- oder Zahlungsauslösediensten überhaupt ablaufen soll. Erst in der vergangenen Woche hat die Europäische Kommission die finale Version der sogenannten technischen Regulierungsstandards (RTS) veröffentlicht. Diese ergänzen die eigentliche PSD2-Richtlinie. In den nächsten drei Monaten werden sie noch vom Europäischen Parlament und dem Rat geprüft und dann im Amtsblatt veröffentlicht. Anderthalb Jahre später, also im Herbst 2019, müssen die Vorgaben umgesetzt sein.

Der Datenaustausch soll dann nur noch über sogenannte dezidierte Schnittstellen – Application Programming Interface (API) – laufen. Eine der wichtigsten Eigenschaften dieser API soll sein, dass Banken und Drittanbieter einander darüber identifizieren können – die Anbieter können also nicht anonym bleiben. Zudem sollen die speziellen Schnittstellen laut EU-Kommission gewährleisten, dass ein Drittanbieter nur auf solche Daten zugreifen kann, „die für die Erbringung der Dienste benötigt werden, zu denen der Verbraucher seine Zustimmung erteilt hat“.


Bisher läuft der Datenaustausch oftmals über das sogenannte Screen-Scraping. Dabei nutzen Drittanbieter die Konto-Login-Daten der Kunden, um in ihrem Auftrag auf das Online-Banking zuzugreifen. Die Deutsche Kreditwirtschaft (DK) hat sich vehement gegen dieses Verfahren gewährt. Zum einen sei es nicht sicher und zum anderen könne der Kunde dabei nicht kontrollieren, welche Daten ein Drittanbieter auslese – schließlich bekomme er über das Konto-Login einen sehr breiten Zugriff auf die Kontodaten.

Entsprechend erfreut reagierten die Banken nun darauf, dass dieses Verfahren ab Herbst 2019 grundsätzlich nur noch dann zum Einsatz kommen soll, falls die Datenschnittstellen nicht funktionieren. Bei einigen Fintechs wird dies als „großer Kompromiss“ bezeichnet, sie hätten gerne weiterhin die Wahlmöglichkeit zwischen Datenschnittstelle und Screen-Scraping gehabt. So betonte etwa die Future of European Fintech Alliance, eine Interessenvertretung von 73 europäischen Fintechs, dass in der Folge die Qualität der Banken-Schnittstellen genau überwachen werden müsse.


Einen konkreten Standard für die Schnittstellen habe der Gesetzgeber mit Absicht nicht definiert, erläuterte Doris Dietze, die im Bundesfinanzministerium das Referat Digitale Finanztechnologien, Zahlungsverkehr und Finanzsanktionen leitet, am Dienstag auf der Bafin-Veranstaltung. Man habe die Hoffnung, dass der Markt einen Standard entwickelt, mit dem alle Beteiligten zufrieden sein werden. Aktuell gibt es dazu schon unterschiedliche Ansätze. Deutsche Banken und Sparkassen haben sich etwa der „Berlin Group Initiative“ angeschlossen, in der sich mit anderen Unternehmen und Bankverbänden an einer „europaweit einheitlichen Schnittstellenspezifikation“ arbeiten.

Parallel dazu arbeiten sowohl Fintechs als auch einzelne Banken an eigenen Lösungen. So präsentierte die Deutsche Bank in der vergangenen Woche ihre „dbAPI“, die nach ihrer Aussage „deutlich über die Mindestanforderungen der PSD2 hinausgeht“. Ob sich innerhalb der nächsten knapp zwei Jahre ein einziger Schnittstellenstandard durchsetzen wird, ist bislang offen. Sicher scheint aber, dass Verbraucher von besseren Kontrollmöglichkeiten profitieren werden.

KONTEXT

Tipps für erfolgreiche Fintech-Kooperationen

Flucht aus den vier Wänden

Ein eigenes Innovationslabor innerhalb eines Start-up-Ökosystems kann helfen, sich von organisatorischen und kulturellen Zwängen zu lösen. Komplett abgeschnitten von der Hauptorganisation sollte dies aber auch nicht sein, eine umsichtige Verbindung fördert den wirtschaftlichen Erfolg.

Schneller Anbindungsprozess

Große Organisationen sollten flexible Prozesse bereithalten, um Fintechs schnell einzugliedern.

Pragmatischer Umgang mit intellektuellem Eigentum

Lizenzbedingungen gewinnen an Bedeutung. Deshalb sollten Banken auch hier einen flexiblen Ansatz wählen.

Koordinierte Innovationsstrategie

Fintechs werden immer unterschiedlicher und Fintech-Zentren entwickeln sich global. Multinationale Banken brauchen deshalb einen koordinierten Plan und eine zentrale Wissensbasis, um die attraktivsten Innovationen zu identifizieren.

Die Partner kennen

Bevor Banken mit einem Fintech kooperieren, sollten sie die Gründer persönlich kennenlernen. Das bringt mehr Erkenntnisse als beispielsweise ein 200-seitiger Fragebogen.

Das richtige Investmentmodel

Zunächst einen Minderheitsanteil an einem Fintech zu erwerben kann sinnvoller sein als das junge Unternehmen gleich komplett zu übernehmen. So wird vermieden, dass Innovationen ausgebremst werden.

Quelle

Simmons & Simmons, Hyperfinance, April 2017

KONTEXT

Strategische Erfolgsfaktoren für Banken

Rang 7

Kooperation mit Drittanbietern wie Fintechs (57 Prozent)

Rang 6

Angebote zur Personalisierung (69 Prozent)

Rang 5

Wahl der richtigen technischen Plattform (71 Prozent)

Rang 4

Bereitstellen von Echtzeit-Informationen während einer Transaktion (71 Prozent)

Rang 3

Co-Innovation mithilfe von Kundenfeedback (72 Prozent)

Rang 2

Einheitliches und konsistentes Nutzererlebnis auf allen Endgeräten (79 Prozent)

Rang 1

Richtiger Umgang mit Sicherheitsaspekten

Quelle

GFT Digital Banking Survey, Stand Juni 2016