Anfangs träumte ich vom Spielplatz für Geldhäuser und Fintechs, von der Revolution des Bankwesens. Heute sehe ich die Schnittstellen zu meinem Konto sehr kritisch. Ich würde sogar sagen: Schafft die Dinger wieder ab. Die PSD3 bietet alle Chancen hierfür.
Die Payment and Banking-Szene ist unzweifelhaft niemals langweilig. Kein Monat vergeht, ohne dass neue Produkte, Banken, Fintechs und Payment-Lösungen auf den Markt kommen. Aber wer braucht das eigentlich alles und muss man das alles gut finden? Unser Autor Nils Wischmeyer beleuchtet in seiner Kolumne „Nils nörgelt“ ab monatlich ein Produkt, Thema oder eben den „letzten heißen Scheiß“. Etwas zu meckern gibt es schließlich (fast) immer.
Es gab eine Zeit, da war kein Superlativ zu hoch für die Richtlinie, die abgekürzt nur PSD2 heißt. Banken, sogenannte Experten und Fintechs schrien von Revolution, von der Richtlinie, die alles verändern sollte und von der vielleicht größten Chance für Fintechs, naja, irgendwie, seit es Fintechs gibt. Nun kommt bald die PSD3, so ist zumindest zu hören, und die hat endlich die große Chance, den größten Fehler dieser viel zu komplizierten Richtlinie auszubügeln: die Schnittstellen!
Warum hat keiner Angst vor dem Zugriff auf die Daten
Denn die PSD2 hat für die vielen Millionen Bankkunden in Deutschland ein Tor geöffnet, das wir vermutlich nie wieder schließen und maximal einschränken können – und das extrem gefährlich ist. Denn während alle über das Ende der Tan-Liste sprachen, über das „Level Playing Field“ und die tollen Mehrwerte, die Fintechs doch alle bringen könnten, sprach damals kaum einer über die wahren Folgen einer Schnittstellenöffnung. Erstmals überhaupt dürfen seit einigen Jahren allerlei Firmen auf mein Konto schauen, es auslesen, es auswerten. Und mit zunehmendem Alter stört mich das ganz massiv. Denn es bedeutet, dass wir Kunden gegenüber Apps, Fintechs, Start-ups und allerlei Abarten davon so gläsern sind wie noch nie. Warum redet keiner darüber, während sich bei der Corona-App alle Angst um ihre Daten haben? Sagt es mir!
Schnittstellen brauchen Warnschilder wie bei Zigaretten
Keine Kreditkartenfirma sieht so viel, kein großer Tech-Konzern ist es, vor dem wir uns in fünf oder zehn fürchten müssen. Nein, der Zugriff auf mein Konto ist längst real – und ich will, dass der so schnell wie möglich wieder verschwindet. Weil er für mich kaum Mehrwert hat, ich so zum Datenspielball der Fintechs werde und weil er mich nackig macht. Um das zu verhindern, sollten die Gesetzgeber den Kontozugriff in der PSD3 wahlweise gänzlich streichen – oder einschränken und mit einem deutlichen Warnsignal für die Verbraucherinnen und Verbraucher verbinden: ACHTUNG, HIER WEIß JEMAND, WAS DU KAUFST.
Anfangs habe ich diese Schnittstellen als große Bereicherung empfunden. Ich konnte endlich meine Bankkonten in einer App bündeln, ohne dass ich ständig die App wechseln musste und ich lud mir sogar die App eines Fintechs herunter, das mir mithilfe einer App ein tolles Haushaltsbuch erstellte. Wie genau das Onboarding damals lief, weiß ich nicht mehr, aber vermutlich gab es irgendwelche Kästchen, in die ich irgendwelche Häkchen setzte, zack zack, ich wollte ja sehen, wie das schöne Ding arbeitet. Long story short: Das Haushaltsbuch war unübersichtlicher als mein Kontoauszug, weil es jede Umbuchung zwischen Unterkonten als Einnahme zählte und irgendwie hatte ich schnell ein kleines Vermögen zusammen. Ich habe die App also wieder gelöscht und mir nicht viel dabei gedacht.
Eine Schnittstelle zu meinem Konto zeigt intime Daten
Dabei war ganz schön viel dabei. Ich habe diesem Fintech mit vielleicht 20 Mitarbeitern und einem Bierkühlschrank meine intimsten Informationen anvertraut. Ohne darüber nachzudenken, tauchten dort Informationen darüber auf, wo ich einkaufe, wie viel Geld ich in verschiedenen Läden ausgab und welche Einnahmen ich auch hatte. Sie wüssten auch, ob ich eine Glücksspielsucht hätte, ob ich gerne rauche oder für wie viel Euro ich jeden Monat Tabletten oder Ähnliches kaufe. Frühere Recherchen haben gezeigt, dass so ein Konto alles verrät, was Kreditkartenfirmen nie wussten: An wen ich Unterhalt zahle, wie hoch meine Versicherungssumme ist und was ich im Monat für Wellness ausgebe. Heute frage ich mich: War da vielleicht etwas dabei, was ich lieber nicht preisgegeben hätte? Und mich beschleicht das dunkle Gefühl, dass dem so ist, aber eigentlich will ich es gar nicht so genau wissen. Ich würde mich ja doch nur ärgern.
Die Lehre, die ich aus dieser Erfahrung gezogen habe, ist aber klar: Ich gebe keiner Bank, keinem Fintech und keinem Hexenmeister noch einmal Zugriff auf meine Kontodaten, wenn nicht unbedingt nötig. Denn die Informationen betreffen mein persönliches Wohlbefinden und selbst wenn Banken behaupten, sie würden nur einen kleinen Teil davon anschauen oder sogar einen Filter einbauen, dann muss ich sagen: Das glaube ich nicht. Der Verbraucherzentrale Bundesverband (VZBV) schrieb in einer Studie von 2022 nämlich: Selbst wenn eine Bank oder ein Fintech „lediglich begrenztes Interesse an den Kontodaten hat, weil beispielsweise nur die Identität bestätigt werden soll, wird ihm über die Schnittstelle aktuell ein Komplettzugriff auf das Konto gewährt. Es gibt Dienste, die angeben, welche Informationen sie bei einem Zugriff abfragen, bei anderen bleibt aber weitgehend im Dunkeln, was und wie oft etwas abgefragt wird und was mit den Daten konkret geschieht.“
Wir brauchen eine Reformation der API: weniger Daten und bessere Hinweise für Verbraucher
Die entsprechende Fettung habe ich mir selbst erlaubt, aber sie zeigt, worauf ich hinaus will: Alle Verbraucher tappen heute im Dunkeln, was die Firmen mit unseren hoch intimen Daten machen, die wir für Services abgeben, die meist nicht einmal besonders hilfreich sind. Und das ist schon sehr euphemistisch ausgedrückt. Die PSD3, ohne die Vorschläge der EU nun schon gelesen zu haben, sollte meiner Meinung nach nämlich den Verbraucher in den Fokus stellen, nicht die Innovationskraft von Fintechs. Die konnten das die letzte fünf Jahre unter Beweis stellen und naja, viel bei rumgekommen ist leider nicht. Oder habe ich als einziger eine Bankrevolution verpasst?
Ich fordere von der PSD3 daher einen besseren Schutz für Verbraucherinnen und Verbraucher als bisher. Dieser kann in einem Verbot der Schnittstellen bestehen, so wie es ja vorher auch funktionierte, was allerdings sicherlich die radikalste und vielleicht auch nicht zielführende Variante wäre. Immerhin gibt es auch sinnvolle Anwendungsmöglichkeiten (Stichwort Identitätscheck), die so ein kurzer, begrenzter (!) Kontoeinblick liefern kann. Er könnte und müsste aber zumindest in einer deutlichen Beschränkung der Schnittstelle bestehen. Nicht erst das Fintech sollte filtern, was es lesen will und was nicht, sondern die Bank sollte nur begrenzte und unsensible Daten über mich herausgeben (müssen). Vielleicht müsste ich als Verbraucher sogar die Möglichkeit haben, anzugeben, welche Posten auf dem Kontoauszug herausgehen dürfen und welche eben nicht.
PSD3 hat das Potenzial, Missstände zu beheben
Überdies braucht es eine deutlich stärkere Kennzeichnung dessen, was gerade passiert. PSD2, KID, API: Das sind Begrifflichkeiten, unter denen man sich wenig bis gar nichts vorstellen kann und eher geneigt ist, ein Häkchen zu setzen, um schnell zum Produkt zu kommen. Dass dabei hochsensible Kontodaten übermittelt werden, sollte auffällig und in einfacher Sprache bei jedem versuchten Zugriff aufploppen. Banken, die sich nun wehren und sagen, „das macht ja dann keiner mehr“, kann ich nur sagen: Genau das ist mein Punkt. Die PSD3 könnte somit den größten Missstand der PSD2 beseitigen – und statt für Fintech im Sinne der Verbraucher arbeiten.
__