API

API ist eine Abkürzung für „Application Programming Interface“. Eine API ist eine von einer Softwareanwendung (=Application) zur Verfügung gestellte Schnittstelle, über welche Aktionen der Applikation veranlasst werden können, ohne dass die über eine klassische Benutzeroberfläche erfolgen muss.

Die Applikation kann von einer anderen Applikation mit Befehlen oder Folgen von Befehlen (Skripten) angesprochen werden, die Quelltext-Charakter haben. Daher erfordert die Nutzung einer API die Kenntnis der zugehörigen Befehle und Parameter, die die Schnittstelle verarbeiten kann bzw. über die sie Ergebnisse ausgibt. Von der API zu unterscheiden sind Binärschnittstellen (sog. Application Binary Interface, ABI), die die Entgegennahme oder Ausgabe von Binärdaten erlauben. Eine API kann aber durchaus eine Applikation veranlassen, Daten über eine ABI entgegen zu nehmen, zu verarbeiten und/oder wieder auszugeben.

Unter Sicherheitsaspekten ist beim Betrieb einer Anwendung mit einer API darauf zu achten, dass Zugriffe auf die API abgesichert sind, z.B. mittels einem sogenannten API-Key, Zugriffen nur über eine gesicherte Verbindung, Zugriffe nur von einem bestimmten, autorisiertem System, usw. Im Payment-Bereich werden APIs gerne verwendet, um Zahlungsdienste in eCommerce-Angebote einzubinden, um Zahlungsdienste mit ergänzenden Diensten wie z.B. zur Online-Identifizierung zu koppeln, oder um andere Dienste zu nutzen, die der Vorbereitung oder Abwicklung der Zahlung dienen, z.B. ein Scoring System. Je nach Zweck des Systems, Umfang der Einbindung und Kritikalität des mittels API angesprochenen Systems für das System der Partei, die die Applikation mittels API anspricht, stellen sich dabei unterschiedliche aufsichtsrechtliche, datenschutzrechliche, aber auch schlicht zivilrechtliche Fragen, z.B. zu Service Level.

Auch bei der Umsetzung der PSD2 spielen APIs eine große Rolle, so nutzen z.B. AIS (Account Information Services, Konteninformationsdienste) die API eines Bankensystems, um von dort Daten abzufragen. Gesetzgeber und Aufsichtsbehörden haben jedoch bisher nur generell-abstrakte Vorgaben und keine konkret-technischen (Mindest-) Anforderungen an solche APIs definiert. Dies hat zum Entstehen mehrerer konkurrierender API Standards geführt. Inwieweit sich diese Vielfalt positiv (im Sinne von Wettbewerb) oder negativ (im Sinne eines Hemmnisses für AIS und ähnliche Dienste) entpuppt, muss sich zeigen.