Neue und alte Banken-APIs – eine Übersicht

Mit der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) müssen Banken neue Schnittstellen schaffen. Ganz rund laufen die neuen APIs aber noch nicht.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 116 Beiträge

(Bild: Mohamed Hassan via Pixabay)

Von
  • Markus Montz

Seit kurzem müssen Banken Konten-Schnittstellen anbieten, wie die Zweite Europäische Zahlungsdiensterichtlinie (PSD2) sie vorschreibt. Außerhalb Deutschlands ist das häufig eine grundsätzliche Neuerung, aber die PSD2-Schnittstellen unterscheiden sich auch vom existierenden deutschen Standard.

Zu den zentralen Gedanken der PSD2 gehört das "Open Banking": Eine Bank bietet jedem Kunden die Möglichkeit, dass in seinem Auftrag dritte Dienste über eine dedizierte Bankenschnittstelle auf seine Konten zugreifen. Der Drittdienstleister kann darüber mithilfe der Umsatzdaten die Finanzen analysieren oder die Bonität präzise prüfen. Ein anderer Dienstleister überweist einem Händler im Auftrag des Kunden Geld; der Händler erhält eine Bestätigung und kann die Ware sofort versenden – das Prinzip hinter der "Sofortüberweisung" der Sofort AG (heute Klarna).

Mit Ausnahme von Deutschland gab es EU-weit lange Zeit kaum dedizierte Bankenschnittstellen. Daher nutzten Dritte als Workaround oft das sogenannte Screenscraping. Dabei stellt der Kunde einem Drittdienstleister seine Zugangsdaten für sein Onlinebanking zur Verfügung. Der loggt sich damit im Hintergrund automatisiert in dessen Konto ein und führt die abgesprochene Dienstleistung aus. Das Problem bei Screenscraping ist, dass weder Sie noch Ihre Bank kontrollieren können, welche Daten tatsächlich abfließen. Daher schreibt die PSD2 vor, dass Banken zugelassenen Drittdienstleistern zukünftig eine dedizierte, kostenlose Schnittstelle anbieten müssen – die sogenannte PSD2-Schnittstelle. Das hilft zum Beispiel Anbietern von Multibanking-Apps.

Die PSD2 traf dabei auf ein Deutschland, in dem Bankenschnittstellen ganz normal sind – als freiwillige Leistung unter dem Namen "Homebanking Computer Interface" (HBCI) und seit 2002 "Financial Transaction Services" (FinTS). Diese waren auch die Grundlage für Dienste wie Sofort oder eben Anbieter von Home- und Multibanking-Anwendungen. Die Unterschiede zwischen PSD2-Schnittstelle und FinTS sind indessen bedeutend.

Die PSD2-Schnittstellen der Banken haben vier wichtige Eigenschaften: Erstens müssen Banken sie nur für Zahlungskonten vorhalten, im Regelfall Girokonten. Zweitens beschränkt die PSD2 die Schnittstellen auf den Zugriff durch Drittdienstleister, die von eigenen Servern aus operieren und von einer nationalen Finanzaufsicht in der EU zugelassen sind. Umgekehrt müssen solche Drittdienstleister grundsätzlich die PSD2-Schnittstelle nutzen. Auf andere Wege dürfen sie nur ausweichen, wenn diese Schnittstelle Funktionsmängel hat (Notfallmechanismus). Hier wie dort müssen sie sich aber mit elektronischen eIDAS-Zertifikaten authentifizieren, die sie erst nach der Zulassung erhalten.

Drittens müssen die Schnittstellen die gleichen Funktionen ("Vorgänge") vorhalten wie das gewöhnliche Onlinebanking des jeweiligen Hauses, und sie müssen alle Zugriffe protokollieren. Zwischenfälle sind meldepflichtig. Viertens muss der Kontoinhaber dem Zugriff zuvor explizit und widerruflich zugestimmt haben.

Kundenfreigaben für Drittdienstleister sind widerruflich. Sie können im Onlinezugang Ihrer Bank einsehen, wem Sie was erlauben, und Zugriffe jederzeit unterbinden.

Dafür hat die EU in der PSD2 neue Klassen von Zahlungsinstituten definiert. Ein Drittdienstleister, der auf PSD2-Schnittstellen zugreifen will, benötigt eine Erlaubnis als Zahlungsauslösedienst (ZAD) oder wenigstens eine Registrierung als Kontoinformationsdienst (KID) – je nach Geschäftsmodell. In Deutschland registriert oder erlaubt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), in Österreich die Finanzmarktaufsicht (FMA).

Beim Erlaubnis- respektive Registrierungsverfahren muss ein Antragssteller unter anderen ein umfangreiches Sicherheits- und Datenschutzkonzept einreichen. Ein ZAD muss zudem ein Anfangskapital von 50.000 Euro und eine Berufshaftpflichtversicherung nachweisen. Die Haftpflicht braucht auch ein KID.

Ob ein Dienst eine Erlaubnis oder Registrierung besitzt, können Sie in offiziellen Registern nachsehen, etwa im ZAG-Register der BaFin, in der Unternehmensdatenbank der FMA oder im englischen Payment Institutions Register der Europäischen Bankenaufsicht. Dienste, die statt der PSD2-Schnittstelle den deutschen FinTS-Standard nutzen, finden sich nicht unbedingt in diesen Registern.

Die Haftung regelt Artikel 73 der PSD2. Erleiden Sie als Kunde unverschuldet einen Schaden, muss Ihnen diesen zunächst Ihre Bank ausgleichen. Liegt die eigentliche Ursache beim Drittdienstleister, kann die Bank das Geld von ihm zurückfordern. Das ist dann aber nicht mehr Ihr Problem. Endkunden sollte im Ernstfall also kein unmittelbarer finanzieller Schaden entstehen, solange sie die Sorgfaltspflichten beachtet haben. Das betrifft unter anderem die Empfehlung, PINs und Passwörter grundsätzlich nicht zu hinterlegen.

Praktisch laufen die PSD2-Schnittstellen bei vielen Banken noch etwas unrund. Dazu hat beigetragen, dass die Ausführungsbestimmungen der PSD2 keinerlei technische Spezifikationen enthalten. Vielmehr soll der Markt die besten Lösungen hervorbringen.

Fast alle deutschen und österreichischen Kreditinstitute haben sich dazu im Konsortium "Berlin Group" organisiert, das mittlerweile Basisspezifikationen formuliert hat. Sie lassen den Banken im Detail jedoch Freiheiten. Zudem nutzen die Banken die möglichen Ausnahmen unterschiedlich, etwa die 90-Tage-Regel beim Login. Zwar übt die europäische Bankenaufsicht sanften Druck aus, diese Ausnahme für die Schnittstellen zu implementieren. Es gibt aber keine Pflicht.

Die technischen Probleme waren und sind vielfältig. So lehnten manche Bankenschnittstellen anfangs die eIDAS-Zertifikate ab, konnten keine Daueraufträge verarbeiten oder brachen Authentifizierungsprozesse ab. Mittlerweile haben viele Banken zwar nachgebessert. Die BaFin hat aber bis Redaktionsschluss noch keiner deutschen Bank oder Sparkasse eine Genehmigung erteilt, die erwähnten Notfallmechanismen zu sperren – das ist erst dann möglich, wenn die PSD2-Schnittstelle tadellos läuft.

Zu diesen Notfallmechanismen gehört der deutsche Bankschnittstellen-Standard FinTS. Er stammt aus den späten Neunzigerjahren – also einer Zeit, in der man unter "Cloud" noch eine Wolke am Himmel verstand. Daher ist FinTS anders als die PSD2-Schnittstelle auf einen URL-Zugriff vom Endgerät des Nutzers her ausgelegt. Drittdienstleister können aber grundsätzlich auch von Servern mit FinTS arbeiten. Das Funktionsspektrum von FinTS geht über die PSD2-Schnittstellen hinaus: Es unterstützt neben Giro- auch Spar-, Kreditkarten- und andere Konten, samt großem Funktionsumfang. Zwar bestimmt bei FinTS jede Bank selbst, was sie anbietet. Faktisch sind die Institute aber sehr freigiebig.

Zum Inkrafttreten der Vorgaben zur Starken Kundenauthentifizierung haben viele Kreditinstitute allerdings ihre Methoden neu organisiert. Das gefällt nicht allen Kunden. Man kann im Einzelfall tatsächlich darüber streiten, ob eine Abschaffung der dedizierten HBCI-Chipkarten und -Lesegeräte wirklich erforderlich war.

Als Schnittstelle aber wollen die meisten deutschen Kreditinstitute FinTS offen halten – insbesondere auch für Endnutzer, die mit ihren Anwendungen vom PC oder Mobilgerät aus die Bank direkt ansteuern. Eine Lücke in der PSD2 lässt dies rechtlich zu. Darüber hinaus haben Drittdienstleister so die Möglichkeit, Nicht-Zahlungskonten einzubinden (was die Mehrfach-Authentifizierung bei einigen Bankzugängen erklärt).

Dieser Artikel stammt aus c't 21/2020.

(mon)