Stellt die PSD2 den Zahlungsverkehr auf den Kopf?
28. Februar 2019, mit Joël Kaczmarek, Andre Bajorat, Miriam Wohlfarth
Dieses Transkript wurde maschinell erstellt. Wenn dir ein Fehler auffällt, schreib uns gerne zu diesem unter redaktion@digitalkompakt.de.
Joel Kaczmarek: Hallo und herzlich willkommen zu einem neuen Fincast-Podcast von Digital Kompakt. Mein Name ist Joel Kaczmarek und wie immer heute in kompetenter Fintech-Begleitung von der guten Miriam und dem guten André. Guten Morgen.
Miriam Wohlfahrt: Guten Morgen, lieber Joel. Guten Morgen, lieber André.
André Bajorat: Guten Morgen, ihr beiden.
Joel Kaczmarek: Habt ihr eigentlich schon wieder Energie? Ihr habt ja gerade euer PEX-Event hinter euch. Da ist ja erfahrungsgemäß bei Events immer viel zu tun. Wie lief's? Seid ihr drauf?
Miriam Wohlfahrt: Also es lief gut. Wenig geschlafen, viel gesprochen. Am Wochenende viel geschlafen, wenig gesprochen und viel Sport gemacht, um sich zu regenerieren. Heute bin ich eigentlich wieder ganz fit.
Joel Kaczmarek: Hervorragend. Bei dir, André?
André Bajorat: Ja, also Miriam hat es ganz gut zusammengefasst. Ich denke, das war wieder mal eine ganz runde Nummer. Wir stoßen mittlerweile so ein bisschen an die Kapazitätsgrenzen in der Örtlichkeit, wo wir da waren. Aber das ist ja eher ein schönes Problem. und ja, freuen uns jetzt auf die nächsten Sachen, die dann irgendwie kommen werden. Also wir haben jetzt ein bisschen Zeit bis in den Herbst.
Joel Kaczmarek: Gut, für alle, die gerade zuhören, sich wunderbar labern die Onkels und Tanten da. Also PEX ist eine Event-Reihe, die macht mit Payment & Banking. Es gibt die PEX und die BEX. Wird das eigentlich gesponsert hier aus Bremen, euer BEX-Event?
André Bajorat: Nee, meine Oma hat mir auch immer gesagt, Junge, trink kein Bier aus grünen Flaschen. Also insofern, nee.
Joel Kaczmarek: Gut, aber das sind zwei Events. Das eine, die Packs drehen sich um Payment, die Bags um Banking, im Soho-Haus in Berlin in dem Fall. Und kann ich ja nur wärmstens empfehlen. Also alleine, dass man es schafft, diese vielleicht versnobbte Location da schon sympathisch zu gestalten, dass man sich da wohlfühlt, das ist ja schon eine Leistung. Und auf der Bühne passieren wirklich gute Sachen. Also Alle, die da nicht waren diesmal und das jetzt hören, sollten dort hingehen, auch wenn sie zum Beispiel zum Thema PSD2 ins Gespräch kommen wollen. Das ist nämlich heute unser Thema. So, jetzt sitzt man da und denkt so, PSD2, ist das irgendwie so eine neue Konsole von Sony? Nee, ist es nicht. Und wir haben, glaube ich, mit Andre hier gefühlt den PSD2-Papst mit an Bord. Magst du mal anfangen, indem du mal definierst, was ist das eigentlich, PSD und PSD2?
André Bajorat: Also PSD 2 bedeutet in der ausgesprochenen Form Payment Service Direktive 2. Ist ein Gesetz, ein europäisches Gesetz, was vor einiger Zeit auf den Weg gebracht worden ist und seit ungefähr einem Jahr offiziell ist und jetzt gerade in die nationalen Ländergesetze übertragen wurde. Es ist ein voll harmonisiertes Gesetz, das heißt also, es ist nicht so, dass du es machen kannst, sondern du musst es machen. Trotzdem sind noch ein paar Länder hinten dran. Wie die Ziffer 2 schon sagt, gab es auch eine PSD 1 und das Ziel der Payment Service Direktiven, wie so oft, wenn es aus europäischen Federn kommt, hat das Ziel, den Wettbewerb im Zahlungsverkehr und im Banking zu erhöhen. Und das ist das, was mit der PSD 2 auch im Fokus stand.
Joel Kaczmarek: Also wir werden heute mal anfangen, indem wir das Ganze so ein Stück weit erklären, was das eigentlich ist, was es für Implikationen hat, Folgen vielleicht auch schon mal anreißen. Dann machen wir, glaube ich, nochmal eine zweite Folge, wo wir auch mal aufnehmen können, was für Geschäftsmodelle sich eigentlich aus der PST2 so ermöglichen. Und man darf ja sagen, du hast ja viel gerödelt bei dem Thema. Also deswegen werden wir heute, glaube ich, viel Airtime-Andre haben. Miriam ist da glaube ich so bedingt von betroffen, lange nicht so intensiv wie ihr mit FIGO. Aber im Prinzip, was du gerade gesagt hast, wenn man jetzt sagt, eine Direktive, das ist ein bisschen wie bei der DSGVO, dass man dann so sich auf einmal wundert, hoppala, da wird jetzt auf einmal was auf europäischer Ebene umgesetzt. Also man kann daraus ja auch schließen, es ist ein langwieriger Prozess, nachdem das entstanden ist. Also es ist jetzt nichts, was übernachtet worden ist.
André Bajorat: Total. Der langwierige Prozess ist wahrscheinlich im Grunde genommen fast gestartet Ende der 2000er Jahre in Deutschland. Da gab es eine Auseinandersetzung zwischen zwei Payment-Verfahren, zwischen dem von Banken gegründeten GiroPay und dem am Markt sehr erfolgreichen Sofortüberweisung. Was da passiert ist, die Kollegen von Sofortüberweisung haben die Bankeninfrastruktur. genutzt, um ein Payment-Verfahren aufzubauen. Und das fanden die Banken damals nicht so spannend und haben sich da auch gegen gewährt, in Anführungszeichen, mit einem eigenen Verfahren, was nicht ganz so erfolgreich war am Markt. Und dann hat man halt gemerkt, okay, die Banken versuchen, ich sag mal, die Infrastruktur für sich selber mehr oder weniger exklusiv nutzen zu wollen und anderen das Leben schwerer zu machen. Und genau das war dann auch so einer der Gründe dafür, dass die PST2 ins Leben gerufen wurde, dass man aus wettbewerbsrechtlicher Sicht gesagt hat, das kann nicht sein, dass die Bankeninfrastruktur und das Online-Banking-Konto eines Kunden nur von den Banken genutzt werden kann, so der Kunde das will, sondern halt auch von Dritten. Und das war so ein bisschen der Trigger und wie gesagt, das schon so etwa, ich würde mal sagen, losgetreten so in den Jahren 2007, 2008.
Joel Kaczmarek: Miriam, das ist ja auch so gar nicht so weit weg von eurer Gründungsphase, wenn ich mich richtig entsinne. Hattet ihr mit dem Thema PSD auch zu tun, als ihr irgendwie Payment machen wolltet und Rechnung?
Miriam Wohlfahrt: Also mit Rechnung hat das eigentlich gar nichts zu tun gehabt. Ich habe das natürlich immer so am Rande mitgekriegt, weil ich kannte den Georg Schad, das war damals derjenige, der bei der Sofortüberweisung, der war damals einer der Geschäftsführer und das war dessen Ich sage jetzt mal, persönliche Mission auch, das irgendwie durchzusetzen vor irgendwelchen Gerichten, dass er da Recht bekommt. Ich habe mich ab und zu immer mit ihm darüber unterhalten. Wir selber hatten damit wenig zu tun, weil Rechnungskauf als solches hat ja nichts damit zu tun, dass wir an irgendwelche Daten von Banken wollten. Also ich sage es mal so ganz einfach gesagt. Also wir hatten dann aber erst später, als wir angefangen haben mit Ratebay, haben wir ja zuerst mal gedacht, wir brauchen für die Rechnung keine Lizenz, haben die Rate mit Bank gemacht. Hat sich dann aber herausgestellt, dass das so leider nicht funktioniert hat. Wir haben dann ja eine ZHG-Lizenz beantragt. Das war so 2012. 13, als wir die beantragt haben, also einige Jahre nach der Gründung erst. Und als wir ZAG beantragt haben, weil die ZAG-Lizenz ist natürlich, die PSD ist ein Teil der ZAG. Also wir haben natürlich jetzt mit unserer bestehenden Lizenz auch gewisse Möglichkeiten, innerhalb von PSD zwei Sachen zu machen. Aber wenn wir zum Beispiel angenommen, wir würden gerne Zusatzdienste hier machen wollen, wie so Zahlungsauslösung oder Kontoinformationsdienste-Anbieter, dann müssten wir unsere Lizenz upgraden. Ich hoffe, das hilft. so als Erklärung.
Joel Kaczmarek: Ich überlege gerade, André, kannst du mal erklären, bevor wir uns mal durch die unterschiedlichen Versionierungen von PSD hangeln und die ganzen Begriffe. Das müssen wir mal interessant machen. Vielleicht hätten wir uns so ein Bullshit-Bingo daneben legen sollen oder so. Dass wenn Leute uns jetzt zuhören, die jedes Mal einen Schnaps kippen müssen, wenn wir was bestimmtes sagen oder so.
André Bajorat: Man kann es eigentlich ganz platt sagen und letztendlich hat es die Bild-Zeitung vor einem Jahr auch schon mal versucht, platter zu sagen. Eigentlich kann die PSD2 dazu führen, dass nun die Online-Banking-Daten von Kunden und die Daten, die halt im Online-Banking-Konto drin sind, in jedem dritten Dienst abgebildet werden können. Das heißt, du kannst plötzlich in einem Amazon-Konto, dein Girokonto sehen. Du kannst bei Amazon Überweisungen ausführen. Das macht die PST2 möglich. Gleichzeitig damit verbunden ist natürlich, dass die Informationen, die im Girokonto sind, plötzlich auch in anderen Diensten genutzt werden können. Man muss ganz klar dazu sagen, dass das immer nur dann geht und immer nur dann funktioniert, wenn du, wenn ich, wenn Miriam als Kunden das wollen. Das ist etwas, was manchmal so ein bisschen nicht so richtig in den Vordergrund gestellt wird, dass es immer on behalf of des Kunden nur dann funktioniert. Da wird manchmal aus meiner Perspektive der Nutzer mehr oder weniger sehr, sehr, sehr, sehr stark geschützt und möglicherweise auch ein Stück weit zu sehr geschützt. Und man setzt nicht so unbedingt auf den autonomen Nutzer oder auf den Nutzer, der halt weiß, was er tut. Und das ist ein bisschen so eine Diskussion, die rund um die PSD2 funktioniert. Aber platt gesagt kann man sagen, das, was die Banken als Infrastruktur haben, mit dem Konto und mit den Überweisungen, kann plötzlich mit PSD2, ohne dass man dafür bezahlt als Dritter, von Dritten genutzt werden.
Joel Kaczmarek: Das wäre meine nächste Frage gewesen, da wäre ich als Bank ziemlich genervt, wenn ich quasi eine Schnittstelle und einen Service bereitstellen muss und kriege nicht mal Geld dafür. Also ich denke jetzt gerade so an mein Buchhaltungstool, da kann ich auch irgendwie meine Rechnung und meine Belege gegenhalten gegen mein Konto und dann zuordnen. Dass ich das kann sozusagen, müsste nach der Logik dann ja auf PSD2 basieren, richtig?
André Bajorat: Das ist genau richtig, ja. Also Buchhaltungstools sind ein typisches Beispiel dafür, wo wahrscheinlich auch jetzt wenige sagen, oh, das ist aber super heikel oder datenschutzmäßig ganz, ganz merkwürdig, sondern da sagt man ja ganz klar, der Mehrwert ist für dich ganz klar ersichtlich und es macht Sinn, dass die Bank, dass das Banking in diesem Dienst stattfindet. Aber genau, diese Buchhaltungstools müssen Mit PSD 2 sich nun auch selber lizenzieren bzw. registrieren, um ein Kontoinformationsdienst, also auf das Konto zugreifen zu können, um zu lesen, oder ein Zahlungsauslösungsdienst, also das heißt Payments, Überweisungen auszuführen, zu sein.
Joel Kaczmarek: Und da muss ich echt keinen Cent für zahlen?
André Bajorat: Nee, das ist in der Tat, was wettbewerbsrechtlich halt gewollt ist, dass die Infrastruktur der Banken von Dritten genutzt werden kann, damit der Kunde sein Konto dafür benutzen kann. Du merkst es ja an vielen, vielen Stellen, dass Regulation aus Brüssel sehr häufig auch dazu führt, dass, ich nenne das mal monopolartige Gebilde, wenn du die Banken als Summe, als monopolartiges Gebilde nimmst oder Oligopol oder wie auch immer, oder böse gesagt als Kartell, siehst, da ein bisschen aufgeweicht werden soll, damit der Zugang für Dritte ermöglicht wird. Und da sagt man halt, die Basisinfrastruktur muss jedem Dritten kostenlos zur Verfügung gestellt werden, so er denn die Regulierung erfüllt. Also das ist schon nochmal eine Hürde, die Leute jetzt plötzlich nehmen müssen, die vorher nicht da war, dass man sich bei einer Aufsichtsbehörde wie einer BaFin in Deutschland für so einen Dienst registrieren, lizenzieren lassen muss.
Joel Kaczmarek: Okay, also es kann jetzt nicht jeder Hinz und Kunz hingehen und sagen, ich möchte eine Kontodaten haben, du musst nur Ja sagen und darf sie verarbeiten, sondern es gibt quasi Hürden und Auflagen, die man erfüllen muss, um das tun zu dürfen.
André Bajorat: Genau.
Miriam Wohlfahrt: Und du hast natürlich auch immer den Verbraucher, der auch sagen muss, ja, ich möchte, dass du das darfst. Und wenn der Verbraucher kein Vertrauen in genau diesen Dienst hat, dann ist es auch schwer, von dem Verbraucher eben diese Einwilligung zu bekommen.
Joel Kaczmarek: Und was sind das für brennende Reifen, durch die ich da über der BaFin springen muss?
André Bajorat: Du musst halt deine Organisation so ausrichten, dass es einer Aufsichtsbehörde, einer Bankenaufsichtsbehörde genügt. Und das ist nichts, was klassischerweise in einem Startup oder in einem Tech-Unternehmen in der DNA drin ist. Und du musst einfach neben sowas wie Inhaberkontrollverfahren und Geschäftsleitertauglichkeit, was Miriam auch alles kennt, für ihren ZAG-Antrag, musst du halt auch deine Prozesse, was ich gerade schon sagte, so ausrichten, dass es einer Aufsichtsbehörde, einer Bundesbank genügt. Du musst reporten, du musst Versicherungen abschließen. Ich würde das keine brennenden Reifen nennen, aber das sind erstmal sehr ungewohnte Reifen, auf denen man dann hoffentlich nicht ausrutscht, an die man sich auch erstmal gewöhnen muss, dass man halt dann diese Reifen fahren soll.
Joel Kaczmarek: Jetzt hast du ja schon gesagt, es gab irgendwie Versionierung. Was ist denn durch PSD 2 jetzt nochmal anders geworden, was bei PSD 1 sozusagen noch nicht gegeben war?
André Bajorat: In der PSD 1 ging es vor allen Dingen um das Thema Payments. Und da stand das Thema Kontozugriff gar nicht so im Fokus. Und dort wurde einfach die Möglichkeit gegeben, sowas wie mit E-Money-License leichter zu bekommen. Dort wurde die Möglichkeit gegeben, dass du ohne eine Vollbank zu sein auch Payments ausführen kannst, Gelder halten kannst und dergleichen. Das war die PSD 1. In der PSD 2 ist dazugekommen, dass es jetzt Dritte gibt. und Dritte sich lizenzieren lassen können, um auf die Konteninfrastruktur der Banken zuzugreifen. Das ist sozusagen die Neuerung für die sogenannten Dritten, in der PSD2-Sprache TPPs, Third Party Provider genannt. Und auf der anderen Seite ist neu dazu gekommen, dass die Banken zu etwas verpflichtet worden sind. Die Banken sind dazu verpflichtet worden, ihre Infrastruktur zu verpflichten. zu öffnen via einer API. Das heißt, es gibt eine Vorgabe von Seiten der European Banking Authority, der EBA, wo Banken vorgegeben wird, dass sie ab September 2019, also jetzt in wenigen Monaten, allen lizenzierten TPPs einen Zugriff via API gestatten müssen. Und das ist etwas, was dazugekommen ist, was natürlich einfach ein unglaublich großes destruktives Potenzial hat, dass plötzlich eine europaweit komplette Infrastruktur sich öffnet und in Dienste integriert werden kann.
Joel Kaczmarek: TPP, gutes Stichwort. Ich habe vermuten andere im Vorfeld so Begriffe, die man immer klären dürfte, sollte, könnte, zusammengestellt bekommen. Und da stehen ganz viele drauf. Vielleicht gehen wir mal so ein paar Abkürzungen durch, dass wenn Leute uns jetzt hören, die am Schanktisch dann auch gesprächsfähig sind, wenn in der Kneipe der Wahl auf einmal über RTS, PIS, AIS und solche Sachen gesprochen wird. Wollen wir nicht mal durchgehen, dass wir mal so ein grobes Grundverständnis bei Leuten erzeugen? Also RTS steht hier auf meiner Linie als erstes. Was wäre das?
André Bajorat: Die RTS sind die sogenannten Regulatory Technical Standards und das ist das, was die EBA, die ich gerade schon erwähnt habe, noch eine Abkürzung, die European Banking Authority, was die EBA vorgegeben hat und an die sich die Banken halten müssen, wenn sie ihre neuen APIs ab September 2019 zur Verfügung stellen. Diese Regulatory Technical Standards klingen ein bisschen wie, wie das Wort schon sagt, regulatorisch. Vorgaben, aber technische Standards. Da erwarten natürlich viele, dass da wirklich auf nahezu Bit- und Byte-Ebene vorgegeben wird, was gemacht werden soll. Dem war leider nicht ganz so der Fall, sondern die RTS waren eher posage beschrieben und momentan gibt es eine ganze Menge an Interpretationen zu diesen sogenannten RTS, die von den Banken momentan in verschiedenen Arbeitsgruppen, in verschiedenen Konsortien in die Tat umgesetzt werden. Also da gibt es sowas wie eine Burling Group, da gibt es sowas wie eine Stats Group und so versuchen sich gerade die europäischen Banken zusammenzutun, um diese neue Anforderung gemeinsam am besten stemmen zu können. Und dafür sind die RTS die Grundlage für die neue API.
Joel Kaczmarek: Also TPP waren die Third-Party-Providers, RTS waren die Regulatory Technical Standards. So, jetzt habe ich hier noch so heiße Begriffe wie AIS, also A-I-S.
André Bajorat: Genau. Der AIS ist die englische Form vom Account Information Service, im deutschen Kontoinformationsdienst. Das heißt, du hast in der PSD 2 auf das Konto bezogen zwei verschiedene Arten von Lizenzierung, Registrierungsmöglichkeit. Einmal, dass du dich um das Thema Kontoinformationen kümmerst, also das Konto auslesen willst, um, wie du es gerade beschrieben hast, in der Buchhaltungssoftware zum Beispiel offene Posten abzugleichen. Dann bist du sozusagen ein TPP mit dem Fokus AIS, Account Information Service, im deutschen Kontoinformationsdienst.
Joel Kaczmarek: Okay, dann ist PIS wahrscheinlich Payment Information Service.
André Bajorat: Payment Initiating Service. Nah dran. Das ist sozusagen so ein bisschen der größere Bruder, wenn du so willst. Also beim AIS musst du dich offiziell auch nur registrieren bei der BaFin. Beim PIS musst du dich lizenzieren. Also da hört man schon kleine Unterschiede. Mit dem PIS sind ein paar mehr Pflichten noch verbunden, wie eine Versicherung und dergleichen. Und da geht es in der Tat darum, dass du die Payments für den Kunden on behalf of das Kunden initiieren darfst. Also das ist der Sofortüberweisungsfall in der Regulationssprache.
Joel Kaczmarek: Ich stelle mir gerade vor, wie so deine Abendgespräche mit deiner Frau zu Hause am Esstisch sitzen, wenn du so kommst und sagst, oh Schatz, heute war ja ein Tag, ey, ich hatte wieder so einen TPP, der konnte AIS und PIS nicht auseinanderhalten, weil er einfach seine RTS nicht im Griff hatte. Mann, Mann, Mann, Mann, Mann.
Miriam Wohlfahrt: Du kannst eigentlich mal so einen Rap daraus machen.
Joel Kaczmarek: Mach doch mal einen Payment-Rap oder Banking-Rap.
André Bajorat: MFG, ja. Ja, genau.
Joel Kaczmarek: SCA, also SCA habe ich hier noch als letztes Kürzel, was wir vielleicht noch festklopfen, bevor wir die Leute dann wieder ein bisschen prosarischer abholen.
André Bajorat: SCA bedeutet Strong Customer Authentication. Das ist etwas, was in der PST2 auch geregelt ist, dass der Kontozugriff generell auch im Aiming die Sicherheit erhöht werden soll und dass du halt eine starke Kundenauthentifizierung zukünftig immer benötigst. Und somit zukünftig sehr, sehr häufig, wenn wir etwas Neues im Banking in Deutschland haben, dass du nicht nur dich einloggst mit Kontonummer und PIN oder Benutzername und PIN, sondern wahrscheinlich sehr häufig noch eine TAN oder ein anderes Merkmal mit eingeben wirst, also vielleicht sogar noch ein Fingerprint geben, was noch einen zweiten Faktor. Das ist, um das Ganze sicherer zu machen. Und das führt möglicherweise dann dazu, dass aber auch gewisse User-Experience-Verhalten, die wir heute kennen und die wir schätzen gelernt haben, nicht mehr ganz so smooth funktionieren. Wie so oft ist es ja auch da wieder ein Wawonspiel zwischen Sicherheit und Convenience. Und immer dann, wenn du halt dann plötzlich noch einen zweiten Faktor hast oder diesen Faktor häufiger wiederholen musst. Also du kennst das vielleicht ein bisschen, wenn du dein Google-Konto oder sowas mit irgendeinem anderen Dienst connected hast. Dann fragt dich Google auch hin und wieder mal nach 30, 60, 90 Tagen, Bitte gib mir nochmal erneut deinen Zugang, damit wir das sozusagen freigeben können. Dass man halt sagt, das ist nicht auf unendlich diese Freigabe und so ähnlich wird es auch in der PSD 2 sein, dass man zum Beispiel den Kontozugriff, wenn man den dauerhaft eigentlich einem Dienst wie deinem Buchhaltungstool zur Verfügung stellen wollte, alle 90 Tage nochmal aktualisieren muss. Also dann wieder mit einer TAN möglicherweise, das ist noch ein bisschen offen, diesen Zugriff wiederum für 90 Tage ermöglichen kann.
Miriam Wohlfahrt: Ich habe mal eine Zwischenfrage hier. André, wie weit sind denn die Banken eigentlich im Moment, wenn du sagst September?
André Bajorat: Naja, das ist ein wirklich interessantes und spannendes Thema. Die Banken wissen das ja nun ungefähr seit Februar 2018, dass die späteste Zeit da ist, dass man im September fertig sein muss. Aber da sind damals die ATS verabschiedet worden. Und da hat man gesagt, sobald die ATS fertig sind, also verabschiedet wurden, die mussten dann nochmal durch die Kommission und durch das Parlament und dergleichen, also Europaparlamente, Ab da hat man 18 Monate Zeit für die Umsetzung. Und das heißt, momentan sind alle Banken, nahezu alle Banken in Europa, die Zahlungsverkehrskonten anbieten, und das sind ja die meisten Retail-Banken, sind dabei, das umzusetzen. Wir wissen, dass eine ganze Menge Banken wirklich auf einem guten Weg sind, aber es gibt echt auch noch ganz, ganz viele, die noch viele Fragezeichen haben. Eigentlich erwartet man jetzt im März, also so ungefähr in vier bis fünf Wochen, die ersten Testversionen der Banken. Warum? Es gibt noch eine Folge. Momentan greifen ja auch sogenannte nicht lizenzierte Dritte auf die Bankeninfrastrukturen zu und machen das über nicht ganz so saubere Wege wie zum Beispiel Screenscraping. Das heißt, du nimmst die Webseite der Bank, loggst dich da als Kunde sozusagen ein, im Behalf des Kunden ein und machst dort auch Überweisungen oder zieht die Daten aus dem Konto heraus. Und dieses sogenannte Screenscraping wird natürlich von den Banken ungerne gesehen und ist auch vermeintlich nicht ganz so sicher. Also haben die Banken die Möglichkeit, wenn sie eine API anbieten, die performant ist und die sechs Monate im Testbetrieb für performant erklärt wurde von ihren lokalen Aufsichtsbehörden, die Möglichkeit, wenn sie die die angeboten haben, eine Freigabe für diese APIs zu erlangen und dann Screenscraping zu verbieten. Lange geredet, was heißt das? Banken müssten jetzt im März ihre API fertig haben, um sie in einer Testumgebung zur Verfügung stellen zu können für Dritte, die darauf arbeiten können, um im September, wenn es sowieso live geht, überall die APIs eigentlich verfügbar sein müssen. Green Scraping verbieten zu können. Und das möchten viele Banken. Deshalb ist März gerade der erste Termin. Und da, Miriam, glaube ich, wird nicht jeder so weit sein, dass er im März wirklich die APIs zur Verfügung stellen könnte. Da gab es kürzlich auch einen Brief, der wohl vom BDB geschrieben worden ist, der auch im Handelsblatt von der Katharina Schneider zitiert wurde, wo die Banken nochmal auf die BaFin versucht haben, Einfluss zu nehmen, dass doch bitte jetzt an diesen Banken-APIs nicht noch weiter geschraubt werden sollen, nicht noch weiter Vorgaben gemacht werden sollen, weil alle Banken momentan damit sehr, sehr stark beschäftigt sind. Also Ich glaube, da wird noch die eine oder andere Bank ihre Probleme bekommen, die APIs fertig zu haben im September, Schrägstrich im März, um die Testphase loslaufen zu lassen.
Miriam Wohlfahrt: Tut mir leid, wenn ich jetzt gerade von den Begriffen hier abkomme, aber eine Frage hätte ich jetzt auch noch, weil wenn du sagst, diese Drittanbieter, gibt es denn da viele, die eigentlich da schon in den Startlöchern stehen, um solche Sachen dann zu testen bei den Banken?
André Bajorat: Naja, es gibt momentan in Deutschland ja eine ganze Menge, die heute schon Banking in ihren Diensten drin haben. Bisher sind es nur zwei, die auch schon diese sogenannte Lizenzierung bei der BaFin hinter sich haben. Der Rest, und da spricht man momentan so etwa von 30, die die BaFin schon mal bestätigt hat. Und ich glaube, ich hatte mit dem Matthias Terlau letzte Woche da auch darüber gesprochen, dass noch eine ganze Menge mehr kommen, alleine in Deutschland. Also wir werden wahrscheinlich 50, 60, 70 TPPs alleine aus Deutschland haben, die zukünftig auf diese APIs zugreifen können. Ja, momentan fragen Banken auch bei uns, können wir das mal testen, können wir möglicherweise mal unsere APIs testen. Das ist ein bisschen ein Wabonspiel. Du willst natürlich diese APIs sehr früh auch implementieren, aber gleichzeitig willst du natürlich nicht irgendwie so der kostenlose Testmuckel sein, der denen sozusagen sagt, was sie noch zu tun haben. Also es ist gerade echt in der Tat ein ganz leichtes Spiel und das wird, glaube ich, noch wirklich interessant ab März, wer testbereit ist auf der Bankenseite und wer auch testwillig ist auf der TPP-Seite. Aber grundsätzlich gibt Gibt es die ersten Requests von Banken, wie zum Beispiel die neuen APIs mal testen wollen?
Joel Kaczmarek: Gut, also ich sehe, wir brauchen nicht nur Schnaps zum Kippen, wenn hier mal ein Buzzword fällt, wir brauchen auch ein bisschen Popcorn. Das wird ja hier nicht langweilig, was da passiert. Kleiner Bankenkrimi sozusagen. Kannst du auch mal deine eigene Reise mit Figo durch die PSD2 ein bisschen uns skizzieren?
André Bajorat: Also was FIGO ist, wir sind ein Banking Service Provider. Wir haben ja schon ein paar Mal in dem Podcast auch darüber kurz gesprochen. Also wir sind ein Account Information Service und ein Payment Initialing Service. Wir haben angefangen lange bevor es die PSD2 gab und haben uns sehr technologisch aufgestellt. Wir waren ein API-Anbieter, sind ein API-Anbieter, ein Konnektivitätsbereitsteller, der halt seinen Partnern die Konnektivität zu den Bankkonten zur Verfügung stellt. Da hatten wir in Deutschland eine etwas sonderbare Rolle, weil es hier schon immer sogenannte Standards gab, um auf die Konten zugreifen zu können. Das hatte sich einfach so etabliert aus einer ganz alten Welt, aus der BTX-Welt und danach aus einer HWCI-Welt. Das ist ein bisschen sonderbar im Vergleich zu anderen europäischen Ländern, die das gar nicht so kennen. Deshalb war es aber für uns als FIGO in Deutschland relativ gut möglich, alle Banken zu connecten. und es war auch mehr oder weniger anerkannt und von vielen Leuten auch häufig genutzt, wie du es in deiner Buchhaltungssoftware beschreibst, dass du dein Konto nicht nur bei deiner Bank siehst, sondern halt auch in Drittdiensten. Darauf haben wir uns immer konzentriert, haben die Konnektivität zur Verfügung gestellt, also als Infrastrukturprovider eine API und damit greifst du auf alle Banken zu, führst auch Payments aus. vor der PST2 und dann haben wir uns, als die PST2 immer näher kam, dazu entschlossen, diese Lizenzen zu beantragen und diese Registrierung vorzunehmen und waren dann auch der erste in Deutschland, der diese Account Information Service und Payment Initiating Service Lizenz bekommen hat, haben die auch gepassportet, das heißt, du kannst, wenn du in einem Land in Europa diese Lizenz bekommst, kannst du sie mit relativ geringem Aufwand in die anderen europäischen Länder passporten. Das heißt, du kannst deine Lizenz dann auch in Polen und in England und in Frankreich und in Spanien und sowas benutzen. Das haben wir getan und sind jetzt sozusagen ein, wie Miriam das selber von sich schon gerade gesagt hat, ein ZAG-Institut mit dem Fokus Account Information Service und Payment Initiating Service. Was wir noch obendrauf gebaut haben, ist ein Produkt, das nennen wir RackShield. Und das ermöglicht sogenannten TPPs eigentlich, die Nutzung unserer Infrastruktur ohne eine eigene Lizenz zu beantragen. Das heißt, du hast ein Buchhaltungstool, willst gerne weiter auf Banking-Daten zugreifen, möchtest Payments ausführen, möchtest aber keine eigene Lizenz beantragen. Dann kannst du ein Produkt von uns benutzen, indem du unsere Technik nutzt und unsere Lizenz, die wir haben, wir diesem Partner mit zur Verfügung stellen. Und das ist etwas, was unsere Reise bisher war, wo wir uns halt technisch auf Konnektivität, auf die Internationalisierung und auf dieses RecShield, also auf die Lizenz, die wir halt auch als Produkt unserem Partner zur Verfügung stellen, konzentriert haben.
Joel Kaczmarek: Geld verdient ihr jetzt im Prinzip über diese Redirects oder wie muss man sich das vorstellen?
André Bajorat: Wir verdienen Geld darüber, dass wir eine API zur Verfügung stellen, die von unserem Partner genutzt wird und dort ist es eine nutzerabhängige Bepreisung, dass du entweder den Zugang zum Konto bezahlst oder aber Zahlungsauslösedienste bezahlst.
Joel Kaczmarek: Okay, und ist das gerade so ein Stück weit? dann irgendwie Goldgräberstimmung für euch, wenn das gerade alles noch so in der Findung ist und ihr zu den Ersten gehört, die da schon lizenziert seid? Also merkst du so ein Stück weit so, hurra, ihr seid ganz vorn dabei, jetzt kommt eine Riesenwelle und es gibt noch nicht so viele Schiffe, die man außer eurem heben kann? Oder ist das überspitzt?
André Bajorat: Es ist durchaus ein Das ist eine super spannende Zeit gerade und es gibt eine ganze Menge Unternehmen auch europaweit, die da gerade loslegen und du merkst, dass das Interesse an diesem Account Information Service und Payment Engineering Service plötzlich europaweit und auch weltweit zunimmt. Das heißt, eine Goldgräberstimmung ist das ein Stück weit schon. weil das, was wir in Deutschland, was ich beschrieben habe, eigentlich schon immer hatten, diesen Kontozugriff, plötzlich europaweit möglich ist. Du hast gesagt, wir machen möglicherweise nochmal einen Podcast zu dem Thema Use Cases und zum Thema Anwendungsfälle, weil plötzlich viele sich die Frage stellen, was kann ich denn alles damit tun? Und da sind wir natürlich in einer ganz guten Situation, weil wir jetzt nicht ganz am Anfang stehen, sondern weil wir halt schon Konnektivität in verschiedenen Ländern gebaut haben, weil wir schon eine Lizenz haben, weil wir ein Produkt haben, weil wir eine ganze Menge Kunden haben, sowas wie eine Deutsche Bank, eine Commerzbank, eine erste Bank in Österreich. die uns schon nutzen und einfach bewiesen haben, dass wir halt auch mit großen Partnern skalieren können.
Joel Kaczmarek: Lass uns da in der Tat mal eine einzelne Folge machen. Was sind Folgen? Welche Möglichkeiten? Welche Player gibt es da eigentlich, die davon jetzt Gebrauch machen? Einen Satz oder eine Sache, die mich nochmal interessieren würde, war Deutschland eigentlich so ein Treiber von diesem ganzen Thema? Habe ich das irgendwie richtig wahrgenommen?
André Bajorat: Ja, auf jeden Fall ist es einer der Katalysatoren gewesen. Also durch diese Sofortüberweisungs-Giro-Pay-Auseinandersetzung gab es da plötzlich so eine Art Präzedenzfall, wo man dann plötzlich merkte, da gibt es eigentlich Interfierte Dritte, die auf die Banken und Infrastruktur zugreifen wollen. Und dann gab es halt auch Ziemlich gute Lobbyarbeit von den Kollegen von Sofortüberweisung und auf jeden Fall ist das, was in der PST2 stattfindet, ein Stück weit eine deutsche Historie.
Joel Kaczmarek: Und bevor es die gab, war das da irgendwie wilder Westen oder war da sozusagen hier wirklich so Mafia-Clan-technisch, die Banken waren am Hebel und kein anderer konnte damit was machen? Wie lief es da ab?
André Bajorat: Na, witzigerweise eigentlich gar nicht so sehr Mafia, weil die Banken in so einer Art Selbstverpflichtung sich vor langer, langer Zeit mal irgendwann auf so etwas wie HBCI geeinigt hatten, Home Banking Computer Interface. Und das war eine Schnittstellenbeschreibung, auf die im Grunde genommen jeder zugreifen konnte. Und insofern war das in Deutschland immer relativ leicht, auf die Bankeninfrastruktur zuzugreifen. Dann gab es aber darüber hinaus durchaus ein bisschen Wilden Westen, weil viele Dienstleister darüber hinaus schlussendlich Greenscraping betrieben haben, was ich vorhin schon mal versucht habe zu beschreiben. Also das heißt, du lässt halt im Hintergrund irgendwie einen Browser laufen, loggst dich halt im Namen des Kunden auf die Webseite ein. Das fühlt sich halt nicht so richtig gut an. Ja, das hört sich auch schon fast ein bisschen nach Phishing an und das war schon ein bisschen Wildwest und in anderen europäischen Ländern und auch weltweit. Screenscraping gar nicht so untypisch. Also es gibt ein amerikanisches Unternehmen, nennt sich Plate, gerade eine unglaubliche Finanzierungsrunde gemacht, so 250 Millionen US-Dollar, glaube ich, machen im Grunde genommen dasselbe wie wir, also die Banken, Infrastruktur, Connecten und Dritten zur Verfügung stellen. Die haben das nur auf Screenscraping-Basis gemacht.
Miriam Wohlfahrt: Apropos Wildwest, ich muss noch so ein bisschen dran denken an so die Zeiten im Jahr 2000. Bis wann kam die PST1? Wann war das? Ich weiß schon gar nicht mehr.
André Bajorat: Kann ich dir gerade ehrlich gesagt ad hoc auch nicht sofort sagen, aber könnte ich jetzt mal nachgucken, sage ich dir gleich.
Miriam Wohlfahrt: Es gab schon mal so ein bisschen mehr Wildwest, also wenn ich so drüber nachdenke. Als ich angefangen habe mit Online-Payments 2000, das war ja noch vor dem 11. September, waren die, ich sage mal, Regularien schon nochmal ganz anders. Also es war ein
André Bajorat: 2007 und musste in Kraft treten bis November 2009, die PSD1.
Miriam Wohlfahrt: Okay, alles klar. Also 2000, als ich damals bei Bippet, hieß diese Firma, die wurde nachher irgendwann mal Worldpay. Wir hatten damals, gab es so Umbrella Agreements mit großen Kreditkartenanbietern. Und da konntest du einfach unter deren Schirm quasi deren Konditionen weiterverkaufen. Das war auch vollkommen okay. Und diese ganzen KYC-Regularien, also KYC, diese ganzen Geldwäschegesetze, das war alles nicht geregelt so richtig. Weil es war ja im Prinzip eine neue Branche, die sich aufgibt. hat also zahlungen im internet zu verarbeiten und nicht nur zu verarbeiten sondern auch auszahlungen zu machen. es gab überhaupt nichts was das irgendwie reguliert hat. das war schon ein bisschen wild west und frei. und dann kamen einmal immer mehr sachen. also vor allem nach dem 11 september fing das damals an dass eben auch diese ganzen terrorrichtlinien kamen geldwäsche gesetze das war vorher nicht. also du musstest dann anfangen nachzuweisen wer ist dein kunde? sind die nicht irgendwie verwickelt in irgendwelche komischen sachen und so weiter? und es wurde nachher auch alles Teil der PSD 1, also diesem ersten, bis du diese Lizenz bekommen hast, einen Payment-Anbieter zu sein. Sobald du Geld in den Fingern hältst, was du verteilst, das muss dann reguliert werden. Und das war eben vor dieser ersten PSD nicht reguliert.
Joel Kaczmarek: Ist ja ein bisschen bitter oder ironisch, das ausgerechnet Terrorismus und Terrorismusbekämpfung dann hier unser ganzes Kommerzsystem quasi.
Miriam Wohlfahrt: Also ich glaube schon, dass das damals extrem viel verändert hat. Ich weiß noch, damals diese Terrorpiloten, die haben ja irgendwie mit Kreditkarte irgendwelche Flugsachen bezahlt und es wurde also auch ganz normal über Internetshops abgewickelt, was man damals einfach noch nicht festgestellt hat, weil es nicht diese Blacklist gab. Und heute müssen ja alle Anbieter, müssen sich ja auch sehr stark danach richten.
Joel Kaczmarek: Gut, also wir merken, alles wird regulierter, alles wird geordneter. Wir sind vom Wilden Westen jetzt eher in das idyllische Stadtbild auf dem Wege quasi. Abschließende Frage, gibt es Kritik eigentlich an dem Thema? Das gibt es bestimmt. Wie wird die Diskussion über PST2 so geführt?
André Bajorat: Auf verschiedenen Ebenen. Also es gibt eine ganze Menge Kritik von Verbraucherschützern, die das Gefühl haben, dass wir als Kunden nicht mehr genug geschützt sind. Also der mündige Bürger wird da ein bisschen in Frage gestellt, dass es viel zu leicht wird für große Konzerne plötzlich das Konto zuzugreifen und der Kontoschatz von den Leuten ausgenutzt werden kann. Also man muss natürlich sagen, und das ist ja auch nicht ganz falsch, dass in so einem Girokonto, wenn du den Zugriff aufs Konto hast, schon eine ganze Menge Wahrheit drin steckt. Also das Auslesen eines Kontoauszugs über 90 Tage oder möglicherweise sogar länger, führt natürlich schon dazu, dass Joel, wenn du auf mein Konto guckst, du relativ viel über mich weißt. Du weißt wahrscheinlich, wo ich wohne, was ich für ein Auto fahre, wie viele Kinder ich habe, was ich verdiene sowieso, welche Versicherungen ich habe, wie ich konsumiere. Also da kann man schon eine ganze Menge Sachen daraus ablesen. Und da sind ein paar Verbraucherschützer einfach der Meinung, dass wir als Kunden da noch viel besser geschützt werden müssten. Das ist die eine Sicht. Also dass Verbraucherschützer sagen, boah, wehret da den Anfängen und habt Obacht. Und Banken haben natürlich die Kritik an der PSD2, die du vorhin schon mal angedeutet hast, dass es eigentlich nicht sein kann, dass es eine Art Free Lunch ist, dass da einfach jemand auf ihre Informationen, auf ihre Infrastruktur zugreifen kann, ohne dafür zu bezahlen. Das ist die größte Kritik aus der Bankenwelt und dass man halt dazu verpflichtet wird, auch eine neue API zur Verfügung zu stellen und dergleichen. Im Blickwinkel der TPPs gibt es halt sehr stark Kritik daran, wie jetzt momentan die APIs sich ausgestalten und ein Stück weit auch daran, wie lange das Ganze halt dauert und welche Fußfesseln einem da angelegt werden. Also ein Beispiel der TPP in der Zukunft. der Kontoinformationen oder Zahlungsauslösedienste erbringen will, lässt sich eigentlich lizenzieren, damit er die Kontoinformationsdaten des Kunden halten darf. Das heißt, wenn Joel sein Buchhaltungstool benutzt, das Buchhaltungstool mit Figo zusammenarbeitet, dann sind wir als lizenzierter Partner derjenige, der deine Kontoinformationsdaten überhaupt verarbeiten darf. Dafür beantragst du die Lizenz. Und jetzt ist es so, dass momentan so ein Wort im Raum schwebt, das sogenannte Redirect, dass aus dem Prozess des jeweiligen Buchhaltungstools, also des TPPs, das ist an deiner Stelle das Buchhaltungstool, immer ein Redirect zur Bank erfolgt, wo du deine Credentials eingibst. Also ein Stück weit führst du damit das, was du eigentlich dem TPP erlauben wolltest, nämlich die Verarbeitung, Weitergabe der Online Banking Credentials an die Bank ad absurdum, weil der gar nicht mehr damit in Berührung kommt. Also eigentlich das, was du lizenzieren lassen, was du beaufsichtigen willst, gar nicht mehr macht. Und das ist gerade eine Diskussion, die von Seiten der TPPs geführt wird, weil damit natürlich wiederum die User Experience sehr stark leiden kann. Dass du halt aus dem Prozess wieder zur Bank verlinkst und die Bank plötzlich wieder in der Ruhe ist. Da sagen wir, die Verbraucherschützer sind eigentlich gut und so weiter. Also heiße Diskussionen, die momentan auch um das Thema Redirect geführt werden.
Joel Kaczmarek: Und ich meine, wenn du von Redirects sprichst und irgendwie den Buchhaltungstools und Shopping-Plattformen dieser Welt, die auf deine Dienste zugreifen, wie kontrollierst du die denn? Also du bist total fein reguliert als Figo, du musst irgendwie ganz viele Stunts machen, um da irgendwie die brennenden Reifen zu erfüllen, von denen wir gesprochen hatten. Und dann hast du jetzt aber ganz viele Kunden, die du ja auch wahrscheinlich in der Tiefe gar nicht alle einzeln irgendwie überprüfen kannst.
André Bajorat: Ja doch, wir machen schon einen neuen Partner-Prozess, also dass wir den Partner kennen und besser kennen. Also wir machen keinen Full-KYC oder keine Geldwäscheprüfung oder dergleichen. Aber wir kennen den Partner und wir monitoren den Partner natürlich auch, was da passiert. Und letztendlich sind wir aber dafür verantwortlich, was der Endkunde, losgetriggert durch diesen Dienst, den wir dann ein Stück weit kennenlernen, lostritt. Ja, dafür sind wir schon verantwortlich.
Joel Kaczmarek: Aber grundsätzlich werden noch Banken so gefühlt ein bisschen zu so einem Erfüllungsgehilfen, oder?
André Bajorat: Ja. Ja, das ist in der Tat so. Und es ist ja auch so eine Entwicklung, die wir im Payment schon sehr, sehr lange gesehen haben. Durch das E-Commerce getriggert, merktest du halt, dass die Banken zwar am Anfang gar nicht so schlecht waren und auch das Thema Payment auch versucht haben voranzutreiben, aber im Laufe der Jahre halt total die Butter vom Brot genommen bekommen haben und heute die großen Payment-Projekte. Dienstleister ja keine Banken mehr sind. Und wenn sie Bankenglück haben, sind sie noch irgendwo daran beteiligt. Aber Paypal zum Beispiel ist ja nicht aus einer klassischen Bank entstanden. Und das ist halt etwas, wo wir merken, dass die Banken in der Tat an vielen, vielen Stellen, wo es um Alltagsrelevanz geht, mehr und mehr zum Erfüllungsgehilfen werden. Das liegt aber daran, dass wir als Kunden einfach andere Dinge plötzlich gut finden und eine andere Experience erwarten und die eine oder andere Bank vielleicht verpasst hat im Laufe der letzten Jahre. wirklich sich auf den Kunden zu konzentrieren und vielleicht auch durch Regulierung ein bisschen zu sehr an sich selber gedacht hat und zu wenig an das, was wir Kunden eigentlich wollen. Und das haben ein paar andere, die die Banken als Erfüllungsgehilfen im Hintergrund nutzen, vielleicht besser auf die Reihe bekommen.
Miriam Wohlfahrt: Und du siehst ja aus dem E-Commerce heraus kommend, wie Payment-Anbieter Banklizenzen bekommen, beziehungsweise eine Wirecard oder ein Adyen, die haben ja auch eine Vollbanklizenz, sind aber keine klassische Bank, sind eigentlich Payment-Anbieter, die aus dem E-Commerce kommen, aber sehr getriggert durch den Kunden. Du siehst einfach, wie die Welt sich da wandelt. Das ist ein Beispiel.
Joel Kaczmarek: Abschließend, gibt es noch Futter für eine PSD3 oder sind wir sozusagen jetzt erstmal durchreguliert?
André Bajorat: Ne, da gibt es auf jeden Fall Food dafür. Also wenn wir das Ziel haben, dass die Bankeninfrastruktur sich in der Breite öffnet und dritte Zugriff auf die Daten auch über das Zahlungskonto hinaus haben sollten, dann ist natürlich Platz für eine PSD3, weil momentan reden wir halt nur über das Girokonto und du hast natürlich noch eine ganze Menge mehr an Transaktionsmöglichkeiten in einer Bank, die man natürlich wunderbar auch in einer PSD3 regeln könnte, also Depots und Sparkonten und Darlehenskonten und dergleichen.
Joel Kaczmarek: Gut, aber darüber sprechen wir das nächste Mal. Welche Folgen sich für Banken, Dritte und Verbraucher ergeben? Welche Möglichkeiten sich da auch geschäftsmodellseitig bieten? Also in diesem Sinne, gute Zuhörerschaft. Schaltet wieder ein, wenn es um das Thema PSC2 das nächste Mal wieder geht. Dann in Anwendungsorientierung. Und ich danke euch beiden ganz, ganz herzlich. Lieber André, dass du sozusagen in die Bütt gegangen bist, dass du uns schon alles erkämpft hast und mit uns teilst. Und liebe Miriam, dass du uns auch dein Praxiswissen dazu teilst.
Miriam Wohlfahrt: Ich habe auch viel gelernt wieder.
André Bajorat: Ist gut. Ja, ich hoffe, dass es jetzt irgendwie nicht so sehr Nerd-Talk war und dass ihr ansatzweise mitgekommen seid bei den ganzen Begrifflichkeiten und dem Versuch, Regulatorik anschaulich zu erklären.
Joel Kaczmarek: In diesem Sinne, das mal als schönes Schlusswort. Danke euch.
Miriam Wohlfahrt: Danke. Danke.
André Bajorat: Tschüss. Tschüss.
