Nach PSD2 kommt nun FIDA. Die neue EU-Regulierung zielt darauf ab, einen sicheren und autorisierten Zugang zu einer breiten Palette von persönlichen und geschäftlichen Finanzdaten zu ermöglichen. Sie ermöglicht neue Potentiale für Open Banking.
Die neue EU-Regulierung FIDA hat das Potenzial, Kunden zu stärken und Innovationen zu fördern.
Partner des Bank Blogs
Im Jahr 2018 veränderte die zweite Zahlungsdiensterichtlinie (PSD2) die Zahlungsverkehrslandschaft in der EU durch die Einführung offener Schnittstellen (APIs) im Rahmen des Open Bankings. Mit dem Ziel, den Wettbewerb im Zahlungssektor zu steigern, hat PSD2 einen Rahmen für die einwilligungsbasierte Weitergabe und Nutzung von Zahlungskontodaten durch andere Dienstleister als traditionelle Banken und Zahlungsinstitute geschaffen.
Dies öffnete die Tür für neue Marktteilnehmer, wie zum Beispiel FinTechs, die erstmals mit dem Zugang zu wertvollen Zahlungskontodaten von Kunden die Chance erhielten, in den (bis dahin) stark von Banken dominierten Zahlungsmarkt einzusteigen.
Aufbauend auf den Erkenntnissen aus dem Open Banking hat die EU-Kommission am 28. Juni 2023 ihren Vorschlag vorgestellt, der mit einer Verordnung über den Zugang zu Finanzdaten (FIDA/(Financial Data Access)) den allerersten Regulierungsrahmen für Open Finance (als Weiterentwicklung des Open Banking) schaffen soll. Der Vorschlag wurde im Einklang mit den wichtigsten Grundsätzen zum Schutz personenbezogener Daten entwickelt, die in der EU-Datenschutz-Grundverordnung (DSGVO) verankert sind.
Klare Rollendefinitionen
Der vorgeschlagene Rahmen unterscheidet zwischen Dateninhabern – Finanzunternehmen, die Kundendaten sammeln, speichern und anderweitig verarbeiten, und Datennutzern – Unternehmen, die mit der Erlaubnis eines Kunden rechtmäßigen Zugriff auf Kundendaten haben. Alle betroffenen Finanzinstitute mit Ausnahme von AISPs (Account Information Service Provider) und FISPs (Financial Information Service Provider), also Dritte, die kein Finanzinstitut darstellen, können im Allgemeinen sowohl als Dateninhaber als auch als Datennutzer fungieren.
FISPs stellen hierbei eine neue Art von autorisierten Marktteilnehmern dar, die ausschließlich zum Zweck der Bereitstellung von Finanzinformationen Zugriff auf Kundendaten haben dürfen.
Die FIDA definiert klare Rechte und Pflichten für den Datenzugriff
Auf Verlangen des Kunden sind die als Datenhalter fungierenden Institutionen verpflichtet, ihnen die Daten des Kunden zur Verfügung zu stellen. Die gleiche Verpflichtung gilt, wenn ein Antrag auf Datenzugriff von einem Datennutzer gesendet wird, der auf der Grundlage der Zustimmung des Kunden handelt. Hierbei muss der Kunde die Datenzugriffsrechte der Datennutzer jederzeit kontrollieren und verwalten können. Hierzu ist ein entsprechendes Dashboard im geschlossenen Online-Kundenbereich des jeweiligen Datenhalters vorgesehen.
Kundendaten sind hierbei personenbezogene und nichtpersonenbezogene Daten, die von einem Finanzinstitut im Rahmen der normalen Geschäftstätigkeit mit Kunden erhoben und verarbeitet werden. In diesem Fall können Institutionen, die als Dateninhaber fungieren, jedoch eine Vergütung für den Datenabruf verlangen. Datennutzer, die Kundendaten auf der Grundlage des vorgeschlagenen Rahmenwerks verarbeiten, sind verpflichtet, die Kundendaten ausschließlich für den Zweck zu verarbeiten, für den die Einwilligung des Kunden erteilt wurde, und sind verpflichtet, diese Daten im Falle des Widerrufs der Einwilligung des Kunden zu löschen.
Die vorgeschlagene Verordnung schafft darüber hinaus einen neuen Zulassungsrahmen für FISPs, die vor Aufnahme ihrer Tätigkeit in der EU eine Zulassung von ihren nationalen zuständigen Behörden einholen müssen. Hierzu werden die europäischen Aufsichtsbehörden beauftragt, technische Regulierungsstandards zu entwickeln, die die Zulassungsanforderungen detaillierter definieren. Sobald sie zugelassen sind, können FISPs auf der Grundlage des EU-Passes im gesamten EU-Binnenmarkt auf ähnliche Weise tätig sein wie Finanzinstitute, die bereits durch die EU-Finanzregulierung reguliert werden.
Financial Data Sharing Schemes – verbindliche Schnittstellenstandards
Innerhalb von 18 Monaten nach Inkrafttreten der vorgeschlagenen Verordnung müssen Dateninhaber und Datennutzer einem oder mehreren Shemes zur gemeinsamen Nutzung von Finanzdaten beitreten, deren Hauptziel (unter anderem) darin bestehen wird, die Entwicklung einer gemeinsamen Datenteilung zu fördern und branchenweit anerkannte Schnittstellenstandards zu entwickeln.
Hierzu sollen entsprechende Gremien gebildet werden, um die Schnittstellenstandards für innerhalb des Gremiums abgestimmte Use-Cases zu definieren und verbindlich im Markt zu etablieren. Nachfolgend sind die folgenden Unternehmen, die im Finanzdienstleistungssektor tätig sind, zur Umsetzung dieser Schnittstellen verpflichtet:
- Kreditinstitute,
- Zahlungsinstitute einschließlich Kontoinformationsdienstleister (AISPs),
- E-Geld-Institute,
- Wertpapierfirmen,
- Krypto-Asset-Dienstleister (CASPs) und Emittenten wertreferenzierter Token im Sinne der neuen Markets in Crypto-Assets (MiCA)-Verordnung;
- Alternative Investmentfondsmanager (AIFMs);
- OGAW-Verwaltungsgesellschaften;
- Versicherungs- und Rückversicherungsunternehmen;
- Versicherungsvermittler und Versicherungsvermittler in Nebentätigkeit;
- Einrichtungen der betrieblichen Altersvorsorge;
- Ratingagenturen;
- Crowdfunding-Dienstleister;
- europaweite Anbieter privater Altersvorsorgeprodukte.
Welche Arten von Daten fallen in den Geltungsbereich des vorgeschlagenen Rahmenwerks?
Die vorgeschlagene FIDA-Verordnung erweitert den Umfang der Daten, die für eine einwilligungsbasierte Weitergabe in Frage kommen, die nun weit über die bereits abgedeckten Zahlungskontodaten im Rahmen des PSD2-Rahmens hinausgeht und Finanzdaten im Zusammenhang mit Folgendem abdeckt:
- Hypothekarkreditverträge, Darlehen und Konten (mit Ausnahme von zahlungskontobezogenen Daten, die bereits unter PSD2 geregelt sind).
- Ersparnisse, Investitionen in Finanzinstrumente, versicherungsbasierte Anlageprodukte, Krypto-Assets, Immobilien und andere damit verbundene finanzielle Vermögenswerte sowie wirtschaftliche Vorteile aus solchen Vermögenswerten, einschließlich Daten, die im Rahmen von Eignungs- und Angemessenheitsbewertungen gemäß MiFID II verarbeitet werden;
- Versorgungsansprüche in der betrieblichen Altersversorgung im Rahmen der Einrichtungen der betrieblichen Altersvorsorge II und Solvency II;
- Nichtlebensversicherungsprodukte (z. B. Kfz-Versicherung);
- Bonitätsbeurteilung von Unternehmen (Datenerhebung im Rahmen eines Kreditantragsverfahrens oder aufgrund einer Bonitätsanfrage).
Noch nichts ist in Stein gemeißelt
Die vorgeschlagene Verordnung muss noch ihren Weg durch den EU-Gesetzgebungsprozess finden, der durch die bevorstehenden EU-Wahlen, die im nächsten Frühjahr anstehen, höchstwahrscheinlich noch länger dauern wird. Vor diesem Hintergrund ist es unwahrscheinlich, dass FIDA vor Ende 2024 / Anfang 2025 in Kraft treten wird. Änderungen in der finalen Gesetzgebung sind noch möglich, auch mit Hinblick auf die Stellungnahmen der Verbände und Lobbygruppen.
So unterstützt die Deutsche Kreditwirtschaft (DK) grundsätzlich die Idee von FIDA, betont jedoch die Notwendigkeit einer sicheren Dateninfrastruktur, die den Kundenbedürfnissen gerecht wird und fairen Wettbewerb fördert. Darüber hinaus hält die DK den vorgeschlagenen Zeitrahmen für die Umsetzung der FIDA für zu ambitioniert und schlägt ein stufenweises Vorgehen mit schrittweiter Erweiterung des Anwendungsbereichs vor. Dies würde ermöglichen, Erfahrungen zu sammeln und Probleme zu vermeiden. Die Segmentierung nach Kundengruppen oder Machbarkeitsanalysen könnten als Grundlage für die schrittweise Einführung dienen
Ebenso unterstützt die DK die Idee von „Schemes“ im FIDA-Entwurf, die eine zentrale Rolle bei der Datenfreigabe spielen. Nichtsdestotrotz bestehen Bedenken hinsichtlich des Governance-Modells, da das aktuell vorgeschlagene Modell zu langwierigen Verhandlungen führen könnte. Die DK schlägt vor, effizientere Governance-Modelle zu prüfen.
Ausblick – mehr Chancen als Risiken für etablierte Finanzinstitute
Insbesondere die deutsche Finanzszene wartet schon seit Langem auf einen Regulierungsrahmen für Open Finance, denn die Unsicherheit im Umgang mit offenen Schnittstellen und der damit verbundenen Bereitstellung von Kundendaten war groß. Daher ist der Vorstoß der europäischen Kommission als sehr begrüßenswerte Entwicklung zu sehen.
Die vorgeschlagene Verordnung muss noch ihren Weg durch den EU-Gesetzgebungsprozess finden, der durch die bevorstehenden EU-Wahlen, die im nächsten Frühjahr anstehen, höchstwahrscheinlich noch länger dauern wird. Vor diesem Hintergrund ist es unwahrscheinlich, dass der neue Rahmen vor Ende 2024/ Anfang 2025 in Kraft treten wird. Nichtsdestotrotz gibt es noch verschiedene offene Fragen, die sich wahrscheinlich erst mit dem finalen Entwurf der Regulierung beantworten werden. Hier ist insbesondere noch die Frage nach der Aufstellung des Gremiums für die Financial Data Sharing Schemes als auch nach der Auswahlkriterien für die entsprechenden Schnittstellen (APIs) durch das Gremium zu stellen.
Aufgrund der Komplexität des vorgeschlagenen Rahmenwerks, vor allem aus betrieblicher und technischer Sicht, sollten Finanzinstitute diese Zeit jedoch sinnvoll nutzen und frühzeitig mit den Vorbereitungen für die Umsetzung beginnen. Dies sollte nicht nur die Vorbereitung der reinen regulatorischen Umsetzung, sondern vielmehr auch das Mitwirken in dem Gremium für die Financial Data Sharing Schemes als auch eine eigene Open Finance-Strategie beinhalten. Institute sollten sich heute bereits aktiv mit geeigneten Use-Cases auseinandersetzen, um in Rahmen der Schemes mitzugestalten. Dann können sie aktiv von der neuen Offenheit profitieren.
