Alles bleibt beim Neuen (1/2)

Alles scheint möglich, wenn Mitte Januar 2018 die Regelungen der PSD2 in deutschem Recht in Kraft treten: Tödliche Bedrohung durch FinTechs und Millionenchance zugleich, wenn man einzelnen Propheten glaubt. Eine wirkliche Veränderung führt die neue Gesetzeslage aber gar nicht herbei, sondern kodifiziert nur das, was schon längst Realität ist.

Schöne böse neue Welt

Am 13. Januar 2018 ist es so weit – die letzten (und meisten) Regelungen des „Gesetzes zur Umsetzung der zweiten Zahlungsdiensterichtlinie“ treten endgültig in Kraft. Damit wird die zweite EU Payment Service Directive (PSD2) in nationales Recht umgesetzt. Neben der starken Authentifizierung und Veränderungen bei Kreditkartengebühren und -regelungen ist die Stärkung des digitalen Wettbewerbs der wohl wesentlichste Bestandteil der PSD2: „Wir haben (…) die Wettbewerbsvorschriften der EU genutzt, damit sich neue und innovative Akteure neben Banken und anderen etablierten Anbietern am Wettbewerb um digitale Zahlungsdienste beteiligen können“, erklärte die EU-Wettbewerbskommissarin Margrethe Vestager dazu 2015. Konkret heißt das: Regeln, die Zahlungsauslöse- (ZAD) und Kontoinformationsdienstleistern (KID) den Markteintritt erleichtern, und digitale Kontoschnittstellen, die allen zulässigen Anbietern – nicht mehr nur der Hausbank – Zugriff auf detaillierte Kontodaten erlauben.

Große Erwartungen also, die mit diesem Aspekt der PSD2 verknüpft werden. Das treibt manche Akteure mitunter zu abenteuerlichen Behauptungen: Hundert Millionen Euro zusätzlicher Erträge schon 2018 seien möglich, so die offensivsten PSD2-Propheten. Die Bank dürfe sich das nicht entgehen lassen und müsse sofort in neue, digitale Services und Mehrwerte investieren, ihre Kundendaten monetarisieren. Sonst nähmen ihr die FinTechs diese Chance weg. Unklar, welche digitalen Use Cases hinter diesem Millionenbetrag stecken und wie diese umgesetzt werden könnten. An anderen Stellen heißt es, es warte noch viel Schlimmeres: Nutzen die Banken die Chancen aus PSD2 nicht, dann könnten sie zum Erfüllungsgehilfen im Hintergrund verkommen und „austauschbar“ werden. Nicht mehr Bank sein also, sondern nur noch schnöder „kontoführender Zahlungsdienstleister“, wie es das Gesetz nennt.

Drohkulisse und PÜ-Paradies zugleich also. Ist aber PSD2 tatsächlich ein kompletter „Game-Changer“?

Essig in Weinschläuchen?

Viele der Elemente von PSD2 – seien es der Einstieg der FinTechs oder die bessere Nutzung der Kundendaten – sind uns schon vor Jahren in Projekten bei Finanzdienstleistern begegnet. Was an PSD2 ist denn nun neu? Oder wird hier alter Wein in neuen Schläuchen verkauft?

Beispiel: Der so oft genannte Aspekt einer standardisierten Schnittstelle – diese gibt es mit HBCI/FinTS schon heute und wird zahlreich genutzt. Die Debatte, die sich im Sommer und Herbst dieses Jahres rund um die Regulatorisch Technischen Standards (RTS) der European Banking Authority (EBA) für den Access to Accounts (XS2A) abspielte, zeigt, wie wichtig allen Beteiligten dieses Thema ist. Klar: eine einfache, schnelle Schnittstelle, um möglichst alle Daten aus einem Konto „herauszusaugen“, wäre für Dritte ein Segen. Das Datenmonopol der Hausbank wäre vollständig gebrochen. Mit dem Verbot von Screen Scraping und der Bereitstellung einer – aus FinTech-Sicht zu wenig leistungsfähigen – Schnittstelle ändert sich aber gegenüber den bisherigen Arrangements nur wenig.

Die Bankenwelt steht vor gewaltigen Herausforderungen – aber nicht aufgrund der PSD2, sondern des schon seit Jahren bestehenden Digitalisierungsdrucks

Eine weitere vermeintliche Neuerung: Der Kunde würde durch PSD2 zum Souverän über seine Daten, weil nur er bestimmen könne, welcher Drittdienstleistern darauf zugreifen darf. Das führt in die Irre: Auch vor PSD durfte keine Bank Daten einfach so verwenden oder herausgeben; gleichwohl konnten Kunden Dritten über ihre Credentials Zugriff auf die eigenen Daten verschaffen. Mit Sicht auf diese nach wie vor erforderliche Einverständniserklärung werden weder der Kunde deutlich souveräner, noch die Banken weniger souverän als sie es zuvor waren. Für Banken bleibt zudem die altbekannte Schwachstelle, oft zu zaghaft und in zu geringem Umfang Einverständnisse der eigenen Kunden für sinnvolle Datenanalysen einzuholen.

Auch die offiziell forcierte Marktöffnung für KID und ZAD normiert – wenigstens im Falle der Informationsdienste – im Wesentlichen die bereits herrschende Realität. Dazu kommt noch: Mit der überarbeiteten Richtlinie unterwerfen sich alle Marktteilnehmer der Regulatorik, die bisher nur für die Banken galt. Ob hiermit die Innovationskraft eher befeuert oder doch ein wenig gehemmt werden könnte, wird sich zeigen.

Zweifel daran sind also angebracht, ob PSD2 tatsächlich neue Risiken für Banken durch einen Einbruch in deren Kundendatenwelt herbeiführt. Viele heraufbeschworene Use Cases, wie beispielsweise Kontoaggregatoren, gibt es längst. Jede Bank, die etwas auf sich hält, bietet sie in ihrer eigenen Banking-App an. Der Schritt aus der Aggregation in eine systematische Auswertung der fremden Kontodaten ist dann nicht mehr weit. Und auch ohne PSD2 würden sich die Banken dazu anschicken.

Die andere Seite des Drohszenarios, die eine disruptive Killer-Applikation, die ja jede Bank entwickeln könnte, lässt indes noch auf sich warten. Hinter den mehrstelligen Millionenbeträgen, die Instituten oder der Volkswirtschaft mit dieser Investition versprochen werden, stehen große Fragezeichen. Welche Chancen gibt es mit PSD2? Kurz gesagt und vorweggegriffen: Keine, die es nicht auch vorher schon gab.

Dass Banken dringend auf die Erschließung neuer Provisionsquellen angewiesen sind, ist kein Geheimnis. Dass in Datenanalyse und -verwendung selbst grundsätzlich großes Potenzial schlummert, dürfte ebenso klar sein. An beiden Prämissen ändert die Inkraftsetzung der PSD2 aus Bankensicht jedoch nichts. Denn die Möglichkeit, mit den Daten der eigenen Kunden, angereichert durch externe Datenquellen und „Big Data“, den Kunden besser kennenzulernen und Potenziale zu identifizieren, gibt es schon seit Jahren. Für überragende Cross-Selling-Erfolge hat dies nach unseren Erfahrungen bisher keine Bank nutzen können. Im Gegenteil: Beim Cross-Selling erzielen nach wie vor die Sparkassen und Genossenschaftsbanken durch den persönlichen Kontakt mit dem Kunden die höchsten Quoten – weit vor den Direktbanken. Natürlich ist es dennoch wichtig, diesen Weg einzuschlagen und kontinuierlich an den analytischen Fähigkeiten und der Kundenansprache zu arbeiten. Wunder, am besten noch in Rekordzeit, sollten die Banken aber auch unter PSD2 nicht erwarten.

Angebote wie der „eSafe“ der Deutschen Bank oder Vertragsmanager anderer Institute sind dabei Schritte auf dem richtigen Weg - sie sind aber durch den der PSD2 zugrundeliegenden Digitalisierungstrend entstanden, nicht durch die PSD2 selber.