PSD2 – Eine Herausforderung für die Finanzwirtschaft

Ein zentrales Thema, das in der Finanzwirtschaft zu erheblichen Änderungen führen wird, hat sich in der öffentlichen Wahrnehmung noch nicht umfassend durchgesetzt. Dies ist anders als bei der Europäischen Datenschutz-Grundverordnung (EU-DSGVO), die sich durch stetigen Hinweis durch Presse, Hersteller, Anwälte und Analysten langsam und sicher Aufmerksamkeit erzielt hat. Notwendigkeit und Sinnhaftigkeit der Umsetzung dieser Europaweit und darüber hinaus gültig werdenden Änderungen am Datenschutz sind zumindest kommuniziert, auch wenn noch erheblicher Handlungsbedarf herrscht.

Steckbrief PSD2

Doch was ist die PSD2? Das Akronym steht für die überarbeitete „Payment Services Directive“. Es handelt sich also um eine zweite Fassung der EU-Zahlungsdienste-Richtlinie. Im Zentrum steht die Öffnung des Marktes für Finanzdienstleistungen gegenüber Innovation und neuen, technisch und vom Service-Portfolio aktuelleren Teilnehmern. Gleichzeitig soll die Transparenz und Effizienz durch offene, einheitliche technische Standards gesteigert werden. Ein erheblich verbessertes Niveau der Sicherheit der Kunden soll die Bereitschaft zur Nutzung dieser Dienste erhöhen. Formal ist die PSD2 eine EU Direktive, die durch die EBA (European Banking Association) durch verbindlich werdende Vorgaben in Form von Regulatory Technical Standards (RTS) ausgearbeitet wird. Wichtig ist, wann sie Gültigkeit erlangt, denn dies ist bereits im Januar kommenden Jahres, am 13. Januar 2018. Das gibt für eine Anpassung bestehender Prozesse und eine angemessene Zukunftsstrategie nur wenig zeitlichen Spielraum

Disruptive Änderungen?

Gerne wird derzeit von umfassenden, systemverändernden, also disruptiven Änderungen gesprochen. Führt auch die PSD2 zu solchen? Zumindest sorgt sie für eine Anpassung der geltenden Regelungen an die derzeit sich abzeichnenden Veränderungen der Nutzung von Bankdienstleistungen. Europas Finanzindustrie soll hierbei zu einem integrierten und effizienteren Markt für Zahlungsdienstleistungen werden. Gleichzeitig sollen diese Zahlungen sicherer werden. Wohl die größte Herausforderung stellt aber die Anforderung zum Aufbau einer einheitlichen technischen Plattform in Form von technischen Kooperationsschnittstellen (Application Programmer Interfaces = APIs) zur Teilnahme durch neue Zahlungsdienstleister dar. Kooperation statt Abschottung und Ende-zu-Ende-Sicherheit über Unternehmensgrenzen hinweg statt Service-Inseln ist vorher fast undenkbares Neuland für die Finanzindustrie. Klar kannte man Clearing-Schnittstellen und SEPA gab erste Hinweise darauf, wie modernes Banking aussehen kann, aber derzeit werden im Finanzwesen viele Karten neu gemischt

Status Quo

Eine Studie, die KuppingerCole und PWC vor wenigen Monaten gemeinschaftlich durchgeführt haben, hatte zum Ziel zu ermitteln, wie weit die Europäische Finanzindustrie sich schon angemessen auf die kommende PSD2 vorbereitet hat. Die Ergebnisse zeigen, dass hier durchaus noch die Notwendigkeit für eine erhebliche verbesserte Anpassung an die kommenden Anforderungen besteht. Der Reifegrad von Banken und anderen Instituten im Finanzwesen, der notwendig ist, um etwa eine sichere, vertrauenswürdige Öffnung von Schnittstellen gegenüber anderen Marktteilnehmern zu gewährleisten, ist oft noch nicht erreicht.

Quo vadis

Einige zentrale Stellschrauben hin zur PSD2 und damit zu einer Teilhabe an der nächsten Generation des Zahlungswesens in Europa sind schnell genannt, aber eine Herausforderung in der Umsetzung: Agilität und Kundenzufriedenheit im sich verändernden Banking sind zentrale Kriterien, die über Markterfolg und Wettbewerbsfähigkeit etablierter wie innovativer Marktteilnehmer entscheiden.

Ein neues Verständnis von Kundenidentitäten, deren Identifikation jenseits von herkömmlichen Ident-Verfahren (z.B. Postident) und ihre anforderungsgerechte Verarbeitung werden umso wichtiger. Starke, adaptive Authentifizierungsverfahren werden zur Schlüsseltechnologie, für Sicherheit und Anwenderzufriedenheit, neben der von der PSD2 ohnehin geforderten Multifaktorauthentifizierung. Die sichere Verwaltung und Bereitstellung von Banking-APIs auf der Basis von API-Management-Tools und API-Sicherheits-Werkzeugen wird unumgänglich. In der Studie zeigen sich aber nicht zuletzt auch Schwächen in der internen Organisation, die überwunden werden müssen, um alle relevanten Ansprechpartner im Unternehmen einzubinden, damit PSD2-Compliance erreichbar ist, wenn sie in deutlich weniger als einem Jahr greift

Fertig? Los?

Die Ermittlung, wo ein Unternehmen mit Blick auf PSD2 steht und welche nächsten Schritte notwendig werden, ist nicht ohne weiteres möglich. Die Analyse des Reife- und Umsetzungsgrades von EU-DSGVO und PSD2, die für Finanzunternehmen Hand in Hand gehen können und sollten, kann und sollte durch externe Expertise befördert werden. Schon der enge Zeitrahmen legt nahe, dass es hierbei nicht um aufwändige Consulting-Projekte beliebiger Kostendimensionen gehen kann. Vielmehr ist es ratsamen, die Reife der betroffenen Unternehmen zu ermitteln und gezielt mit Blick auf Effizienz zu stärken.