Auch wenn es zwischenzeitlich so aussah, als ob die Financial Data Access Regulation (Fida) von der Agenda gerutscht wäre, so haben Anfang April nun doch die Trilog-Verhandlungen zwischen EU-Kommission, -Rat und -Parlament zur Umsetzung dieses Regelwerkes begonnen, das eine standardisierte Bereitstellung von Kundendaten unter anderem für Banken und Versicherer vorsieht. Auf sie kommt dabei einiges zu.

„Fida markiert den Übergang von Open Banking zu Open Finance. Die Reichweite der Verordnung ist erheblich – betroffen sind nahezu alle Unternehmen, die unter das europäische Finanzdienstleistungsrecht fallen“, so Daniel Lühmann, Partner bei Simmons & Simmons mit Schwerpunkt auf Financial Services Regulation, gegenüber der Börsen-Zeitung. „Die Einwilligung des Kunden vorausgesetzt, erhalten lizenzierte Dritte als sogenannte Datennutzer künftig über standardisierte APIs Zugang zu umfangreichen Finanzinformationen vom ETF-Kauf bis hin zur Versicherung.“

Für die genaue Umsetzung der Fida werden nun im Trilog die Felder abgesteckt. Die Ausgangslage sieht so aus: Nachdem der Vorschlag für den Rechtsrahmen Mitte Februar auf Betreiben von Frankreich, das kein Datensharing will, kurz vor der Absetzung stand, wurde er dann von der Generaldirektion Finanzmarktregulierung, wo EU-Finanzkommissarin Maria Luís Albuquerque Druck machte, letztendlich in die Liste der Vorhaben aufgenommen. Nun gelte es, zwischen den verschiedenen Positionen zu vermitteln, sagt Lühmann. „Die EU-Kommission hatte schon Mitte 2023 einen ersten Entwurf einer Verordnung formuliert, im April und Dezember 2024 kamen dann Anpassungsvorschläge von Parlament und Rat, welche sich für eine differenzierte und stufenweise Umsetzung nach Produktkategorie aussprachen.“

Seine Erwartung an den Zeitplan ist, dass die Verhandlungen im Trilog bis Ende 2025 abgeschlossen sein könnten. Der Gesetzgebungsprozess könnte wohl Anfang 2026 abgeschlossen sein. Dann müssten anschließend die Datenschemes entwickelt werden, was man brauche, um die Datentransfers zu definieren. „Erst auf der Basis kann dann die API-Entwicklung erfolgen. Und Anfang 2028 könnte es dann mit der Datenteilung unter dem Fida-Regime losgehen.“

Das übergeordnete Ziel der Verordnung ist es, dem Kunden die Herrschaft über seine Daten zu geben und diese im Sinne eines offenen Ökosystems aus den Silos zu befreien. Zugang und Weitergabe von Kundendaten im Rahmen von Finanzdienstleistungen würden damit auf eine neue gesetzliche Grundlage gestellt, sagt Lühmann. Bei den Banken als Dateninhaber stößt das nicht ausschließlich auf Gegenliebe. Zusammen mit den Versicherern schauen sie nun, was man noch herausverhandeln oder limitieren kann.

So kritisiert Tanja Müller-Ziegler, Vorstandsmitglied des BVR, dass mit der Verordnung vor allem zusätzliche bürokratische Anforderungen eingeführt würden, die den Finanzplatz Europa im globalen Wettbewerb schwächten und die angestrebte Wettbewerbsfähigkeit sowie Innovationskraft der EU-Finanzindustrie eher beeinträchtigten. Sie nimmt Anstoß an dem „übermäßig weiten Anwendungsbereich der Verordnung“. Der BVR halte es für unverhältnismäßig, dass künftig auch Daten, die im Beratungsprozess erhoben werden, abgefragt werden könnten. Hinzu komme das Risiko eines unkontrollierten Abflusses europäischer Finanzdaten an internationale Datenunternehmen wie die Big Techs. Der BVR warnt daher ausdrücklich vor einem überhasteten Vorgehen im Trilog.

Sollten offene Fragen nicht zeitnah geklärt werden, müsse das Vorhaben zurückgestellt werden. Der BVR wirbt stattdessen für marktgetriebene Lösungen wie GiroAPI, eine Initiative der genossenschaftlichen Finanzgruppe, die zusammen mit den anderen Verbänden der Deutschen Kreditwirtschaft (DK) vorangetrieben wird. GiroAPI schafft als Scheme eine einheitliche Kontoschnittstelle, die es Drittdienstleistern mit aufsichtlicher Lizenz ermöglicht, unter Einbeziehung ihrer Kunden Zahlungen einfacher zu gestalten sowie Kontoinformationen gezielter abzurufen. Ausweitungen auf weitere Anwendungen im Kontext Request-to-Pay und Open Finance seien schon geplant, hatte die DK bereits Ende Januar mitgeteilt. Das GiroAPI-Scheme basiert auf der EU-weiten Standardisierungsinitiative „Berlin Group“ (OpenFinance API Framework), die für den Bankensektor ein Auge auf alles rund um den Zahlungsverkehr hat.

Den APIs deutscher Banken wird vonseiten der Fintechs allgemein eine gute Qualität bescheinigt. „Schon heute sehen wir den positiven Impact der PSD2, die überhaupt erst Open-Finance-Anwendungen für Verbraucher ermöglicht hat. Aber durch die Überregulierung innerhalb der PSD2 wurde verhindert, dass wirklich effiziente und kundenfreundliche Lösungen entstehen“, so André Rabenstein, CEO von WealthAPI. „Ein Beispiel aus unserem Bereich für die punktuelle Überregulierung ist die Erforderlichkeit einer Zwei-Faktor-Authentifizierung für Transaktionsdaten, die älter als drei Monate sind.“

Um der Überregulierung entgegenzuwirken, sollte die EU Rabenstein zufolge nur Ziele definieren, wie beispielsweise eine Reduzierung von Betrugsfällen auf eine gewisse Prozentzahl, aber den Unternehmen überlassen, wie sie diese Ziele erreichen. „Ich sehe die Notwendigkeit eines robusten und effektiven Rahmens für den Zugang zu Finanzdaten. Der ursprüngliche Fida-Vorschlag hatte aber Schwächen, die zu unnötiger Bürokratie und Belastung für die Unternehmen geführt hätten. Insofern ist es gut, dass Kommission und Rat solche Bedenken schon erkannt haben.“

Für die Banken bedeutet der Beginn des Trilogs, dass sie sich grundsätzlich für die Fida rüsten müssen. „Die Institute sollten nicht abwarten, bis die Verordnung final beschlossen ist. Insbesondere die IT-Anforderungen zur Einrichtung des Kunden-Dashboards und die Implementierung von Schnittstellen für den Austausch von Kundendaten werden signifikant sein und können nicht kurzfristig umgesetzt werden“, so Daniel Lühmann.

Das bedeutet, dass betroffene Dateninhaber dafür eigenständige IT-Projekte aufsetzen müssen, wofür es einen Plan nebst Budgets geben muss, um die Portabilität von Kundendaten zu gewährleisten. So sollen Kunden künftig etwa von ihrer Versicherung verlangen können, dass relevante Daten über ein benutzerfreundliches Format, das Dashboard, für die Nutzung durch Dritte bereitgestellt werden – etwa zur Weitergabe an andere Anbieter als Datennutzer. „Das erhöht die Transparenz im Markt und erleichtert es Verbrauchern, Produkte zu vergleichen oder Anbieter zu wechseln“, sagt Lühmann. Und Insurtechs eröffnet sich die Chance, auf Basis der API-Daten von Assekuranz-Konzernen neue Angebote zu entwickeln. WealthAPI-CEO Rabenstein sagt es so: „Wir brauchen einen Rahmen, der Innovationen fördert und gleichzeitig den Schutz der Kundendaten gewährleistet.“