Ein technisches Detail in der zweiten Payment Service Directive (PSD2) treibt derzeit einen Keil zwischen Banken und Fintechs. In einem ihrer Regulatory Technical Standards (RTS), in dem Prozesse zur sicheren Kommunikation zwischen Kreditinstituten und Fintech-Unternehmen beschrieben werden, geht es um das Thema Screen Scraping. Diese weit verbreitete Technik soll verboten werden.
Das Problem: Fintech-Unternehmen setzen sie auf breiter Front ein, um auf Daten von Bankkunden – in deren Auftrag und mit deren Erlaubnis – zuzugreifen. Ein Screen Scraping-Verbot würde Fintechs vor massive Probleme stellen.
Direkt oder indirekt?
Screen Scraping klingt für viele zunächst besorgniserregend, ist aber genau das, was Bankkunden sonst manuell machen, nur schneller: ein automatisiertes Navigieren, Lesen und Ausfüllen von Webseiten. Viele seriöse Unternehmen inklusive vieler Banken setzen es seit vielen Jahren ohne Probleme ein. Die Europäische Bankenaufsicht (EBA) will nun, dass Banken diesen direkten Zugriff auf die Kundendaten nicht mehr gewähren müssen, wenn sie stattdessen einen anderen, indirekten Zugriff über eine eigens für Drittanbieter eingerichtete Programmierschnittstelle (API) ermöglichen. Die EBA gäbe den Banken damit die Zügel in die Hand, denn was genau eine API können muss, ist nicht festgelegt. Finanztechnologie-Start-ups müssten sich mit einem wahrscheinlich spartanischen Hintertür-Service zufrieden geben.
Angeblich unsicher
Als Argument gegen Screen Scraping muss das Thema Sicherheit herhalten: Kunden würden dazu erzogen, lax mit ihren Zugangsdaten umzugehen und Kreditinstitute wüssten nicht, wer auf Kundendaten zugreift. Doch beides ist in der Praxis nicht haltbar. Die Weitergabe von Zugangsdaten an Zahlungsdienstleister wird schon seit vielen Jahren ohne Probleme praktiziert. Zweck der PSD2 ist es ja gerade, solche Dienstleister nun zu lizensieren und ihnen dabei weitreichende Sicherheitsauflagen zu machen, um das Risiko eines Missbrauchs weiter zu reduzieren. Zudem wird eine Zwei-Faktor-Authentifizierung vorgeschrieben, um zusätzlich sicherzustellen, dass die Zugangsdaten alleine nicht ausreichen, um eine Zahlung auszulösen – was hierzulande ja auch schon lange gang und gäbe ist. Natürlich wissen Banken auch heute schon, ob sich ein Kunde manuell einloggt, oder einen Zahlungsdienst verwendet, der dies in wenigen Millisekunden schafft. Nichtsdestotrotz muss dieser sich künftig explizit identifizieren, damit Geldhäuser wissen, mit wem sie es zu tun haben und außerdem sichergestellt ist, dass keine unlizenzierten Anbieter verwendet werden können.
Verbot am Kunden vorbei
Um Kunden zu binden, sollten Banken gerade solche Drittanbieter fördern, die keine eigenen Zugangsdaten und eigene Konten anbieten, ihnen ihre Kunden also nicht abspenstig machen wollen – im Gegensatz zu Paypal & Co. Zudem sollten sie sich an den Gedanken gewöhnen – wie übrigens alle anderen Unternehmen und die EBA auch – dass Kunden demnächst alle ihre Daten jederzeit und in vollem Umfang erreichen und weitergeben können müssen, auch automatisiert. Denn das sieht Artikel 20 der neuen EU-Datenschutz-Grundverordnung vor, die 2018 in Kraft treten wird.