Screen Scraping | PayTechLaw | PPRO

GASTBEITRAG: Ralf Ohlhausen von PPRO über „Screen Scraping“

Banken gegen Fintechs: Streit um Screen Scraping

Fast hätte man den Eindruck gewinnen können, dass Banken und Fintechs sich eigentlich prächtig ergänzen, der Markt groß genug für beide ist und es sogar eine fruchtbare Zusammenarbeit geben kann. Die im Januar 2018 anstehende PSD2 hätte diese gefühlte Wahrheit festigen sollen. Doch jetzt zeigt ein Streit um ein technisches Detail eben dieser PSD2, wie schwer sich die Banken mit den Fintechs tun. Gekämpft wird dabei mit harten Bandagen und der Ausgang des Streits ist ungewiss. Die Rede ist von Screen Scraping.

Banken gegen Fintechs, dieses schwierige Verhältnis sorgte lange für Schlagzeilen in der Finanzbranche. Doch nach Jahren des Gegeneinanders glätteten sich die Wogen. Die innovativeren Fintechs besannen sich auf ihre technischen Stärken, auf Nutzerorientierung und ihre Fähigkeit, neue Dinge schnell umzusetzen. Die Banken dagegen warfen ihre Marktmacht und den Zugang zu den Kunden in die Waagschale. Da schöpften viele Branchenkenner Hoffnung. Statt Grabenkämpfen könnte man doch einfach nebeneinander oder vielleicht sogar miteinander arbeiten, das Beste aus beiden Welten nutzen und so die Weichen für moderne Finanzmärkte stellen. Dass diese Annahme viel zu romantisch war für die Finanzbranche, zeigt der aktuelle Streit über ein technisches Detail der PSD2.

Screen Scraping: Kontrollierter Zugriff oder Hack?

Zentrales Streitthema ist ein Detail, das von der Europäischen Bankenaufsicht (European Banking Authority, EBA) in einem Begleitdokument zur PSD2 aufgeführt wurde. In einem Draft ihrer Regulatory Technical Standards (RTS) geht es um die Kunden-Authentifizierung und die sichere Kommunikation zwischen Banken und Fintech-Unternehmen. Darin wollte die EBA eine Technik namens Screen Scraping untersagen, die bisher von Fintech-Unternehmen auf breiter Front eingesetzt wird, um auf Daten von Bankkunden – in deren Auftrag und mit deren Erlaubnis – zuzugreifen. Ein solches Verbot würde eindeutig die Banken bevorzugen und Fintech-Unternehmen unnötige Steine in den Weg legen. Statt dem direkten Zugriff auf die Daten sah der Entwurf vor, dass für Fintech-Unternehmen auch die Bereitstellung einer Programmierschnittstelle (API) ausreicht. Die Positionen: Die Fintechs fühlen sich existenziell bedroht und fürchten um ihr Geschäftsmodell, die Banken stellen sich auf die Hinterbeine und argumentieren, dass sich a) der Fremdzugriff nicht regulieren lässt und b) man den Nutzer nicht dazu erziehen sollte, sensible Zugangsdaten an Drittanbieter zu verteilen.

Fintechs schließen sich zusammen

Für die entscheidenden Verhandlungsetappen hatten sich über 70 Fintech-Unternehmen zusammengeschlossen und warben um die Anpassung des Standards rund um Screen Scraping. Die Fintechs sind fest davon überzeugt, dass der Umweg über die API einen negativen Effekt für sie hätte und die Banken bevorzugen würde – ganz im Gegensatz zu dem, wofür die PSD2 ursprünglich vorgesehen war. Die vorgesehenen Standards hätten außerdem einen nachteiligen Einfluss auf den Wettbewerb, gefährdeten die Kontrolle der Verbraucher über ihre persönlichen Finanzdaten und hätten besonders negative Auswirkungen auf die zukünftige Innovation in Europa, nannten die Fintechs weitere Gründe. Darüber hinaus sehen Sie das Verbot von Screen Scraping als unvereinbar mit der PSD2 an. Vielmehr würde das Fintechs in eine technologische Abhängigkeit von Banken zwingen, da sie diese in die Position des Torwächters für den Fintech-Sektor versetzen würden.

Vorschläge zur Verbesserung

Die Fintechs zählten aber nicht nur die Nachteile für das eigene Geschäft und ihre Bedenken auf. In einem gemeinsamen Papier umrissen sie auch Vorschläge, wie die Standards sowohl den Wettbewerb als auch die Innovation und Verbraucherauswahl verbessern könnten. Das hatte hohe Wellen geschlagen und dazu geführt, dass die Europäische Kommission den Ball zurück an die EBA gespielt hat. Der klare Auftrag der Kommission: Der RTS zur sicheren Kommunikation zwischen Banken und Fintechs ist extrem wichtig, weil er hohe Sicherheitsstandards für elektronisches Bezahlen schafft und gleichzeitig benutzerfreundlich sein soll. Trotzdem müssen alle Marktteilnehmer fair behandelt werden, d.h. beide Seiten dürfen keine Nachteile erfahren.

Teilerfolg für Fintechs

Die EBA ist nun dabei, die Vorschläge der EU Kommission zu analysieren. Während sie den automatisierten Direktzugriff bereits als grundsätzlich konform mit der zweiten Zahlungsdienste-Richtlinie (PSD2) anerkannt hatte, solange sie durch einen lizenzierten Third Party Provider (TPP), der sich der Bank gegenüber zweifelsfrei als solcher identifiziert, ausgeführt wird, könnte dieser nun auch trotz der Bereitstellung einer dedizierten API genutzt werden, falls diese den Performance-Ansprüchen nicht genügt. Das soll davor schützen, dass Banken den Fintechs nur abgespeckte und langsame APIs bereitstellen und ihre eigenen Dienste über den schnellen Direktzugriff abwickeln. Eine echte Wahlfreiheit für Fintechs gibt es aber nicht.

Banken schlagen zurück

Auch die Banken lassen ihren Einfluss spielen und sind auch in Sachen PR unterwegs. Dazu haben Sie ein Video rund um Screen Scraping produziert, das die Fintech-Vertreter auf die Palme bringt. Das Video suggeriert dabei, dass es sich bei Screen Scraping um eine irreguläre Praxis handelt. So verteufelt das von den Verbänden initiierte Video den Direktzugriff auf beispiellose Art und Weise. Den Banken geht es wohl Letzten Endes gar nicht darum, den Direktzugriff auf Kundendaten komplett zu verbieten. Vielmehr wollen sie sich ein Entscheidungsrecht darüber erkämpfen, wem sie Zugriff auf die direkte Kundenkontaktschnittstelle einräumen und wem nicht.

Die PSD2 zielt darauf ab, die Zahlungssicherheit zu stärken, und führt damit zu mehr Kontrolle und unter dem Strich zu weniger Flexibilität– für Banken und Fintechs gleichermaßen. PSD2-lizenzierte Software wird ständig überprüft werden, um die Einhaltung der Richtlinie und den Schutz der Kundendaten zu gewährleisten. Dabei muss man auch den Blick in die Praxis wagen, denn selbst ohne solche Überwachung gab es bislang keinen einzigen Fall von Datenabfluss oder -missbrauch, der auf Screen Scraping zurückzuführen ist, und damit ist die Angst bezüglich der Sicherheit der Technologie hinfällig.

Ralf Ohlhausen

Ralf Ohlhausen, Diplom-Mathematiker und Master of Telecommunications Business, verfügt über 25 Jahre Berufserfahrung in den Bereichen E-Commerce, Financial Services, mobile Telekommunikation und IT. Zuletzt war er als President Europe bei SafetyPay tätig; weitere Stationen seiner internationalen Karriere waren Führungspositionen bei Digicel, O2, British Telecom und Mannesmann-Kienzle.Bei PPRO verantwortet er die weltweite Expansionsstrategie des Payment-Lösungsanbieters, ein besonderer Fokus liegt dabei auf dem weiteren Ausbau des Portfolios an alternativen Bezahlarten. Seit Ende 2016 ist Ralf Ohlhausen Mitglied des Euro Retail Payments Board (ERPB) der Europäischen Zentralbank (EZB) und vertritt dort die Interessen der Electronic Money Association (EMA).

Über die PPRO Group

Als Spezialist für länderübergreifendes elektronisches Bezahlen löst die PPRO Group die Komplexität von E-Payment-Prozessen im internationalen E-Commerce. Das Unternehmen bietet Payment Service Providern (PSP) und Finanzdienstleistern Acquiring-, Collecting- und Processing-Dienstleistungen für eine Vielzahl alternativer Zahlarten in mehr als 100 Ländern. Im Rahmen eines einzigen Vertrags, einer technischen Schnittstelle, einer Plattform und einer Abrechnung werden sämtliche Zahlungen für Kunden von PSP und Finanzdienstleistern abgewickelt, eingesammelt und konsolidiert. Damit vereinfachen Online-Händler elektronische Bezahlvorgänge, bauen ihre E-Commerce-Reichweite aus und erzielen höhere Konversionsraten.Die PPRO Group ist zudem Herausgeberin von Visa und Mastercard Prepaid-Karten unter den Marken VIABUY für Konsumenten sowie CrossCard und Fleetmoney für Unternehmenskunden.Diese Lösungen sind an E-Geld-Konten gekoppelt und werden mit Zusatzprodukten wie individuellen IBAN und NFC-Stickern angeboten.Die PPRO Group wurde 2006 in London gegründet und ist ein EU-zertifiziertes Finanzistitut mit einer E-Geld-Lizenz der britschen Bankenaufsicht FCA. Weitere Informationen unter www.ppro.com/de.

(Titelbild: Copyright © fotolia)

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.