Mitte 2023 veröffentlichte die Europäische Kommission ihre Entwürfe für die nächste Phase der Finanzregulierung. Neben der Zahlungsdiensterichtlinie PSD3 und der Zahlungsdienste-Verordnung PSR ist FIDA der dritte zentrale Baustein. FIDA wird Unternehmen verpflichten, ihre Kundendaten anderen Finanzinstituten und -informationsdienstleistern bereitzustellen und zwar weit über Kontoprodukte hinaus. Das schafft Räume für innovative Geschäftsmodelle – gleichzeitig dürfte der Wettbewerb intensiver werden. Obwohl hinsichtlich des Zeitrahmens für FIDA sowie der technischen Ausgestaltung noch etliche Fragezeichen bestehen, werden sich die Inhalte voraussichtlich nicht mehr nachhaltig ändern. Wir beantworten die wichtigsten Fragen:
Inhaltsverzeichnis
Was ist FIDA?
Den Verordnungsentwurf zu Financial Data Access veröffentlichte die EU-Kommission am 28. Juni 2023. Jenseits von PSD3/PSR erweitert er den Anwendungsbereich des Open Bankings hin zu Open Finance. Er schafft innerhalb der regulierten Finanzindustrie ein gesetzliches Zugangsrecht zu Kundendaten und schließt dabei erstmalig auch Versicherer ein. Konkret heißt das, dass Finanzinstitute (Dateninhaber) anderen Finanzunternehmen und registrierten Drittanbietern (Datennutzern) Kundendaten über standardisierte APIs zur Verfügung stellen müssen. Voraussetzung ist die Zustimmung des Kunden, dessen Souveränität über seine Finanzdaten weiter gestärkt werden soll. Mit FIDA unterliegt das Data Sharing im Finanzsektor künftig EU-weit einer einheitlichen Gesetzesgrundlage.
Was sind Drittanbieter im Sinne von FIDA?
Als Drittanbieter werden im FIDA-Entwurf Account Information Service Provider (AISP) und Financial Information Service Providern (FISP) genannt. FISPs sind dabei eine neue Art von autorisierten Marktteilnehmern, die für das Bereitstellen von Finanzinformationsdiensten auf die in FIDA aufgeführten Kundendaten zugreifen dürfen. Hierfür ist ein Zulassungsrahmen zu schaffen, dessen Anforderungen noch detailliert zu definieren sind.
Welche Unternehmen sind von FIDA betroffen?
FIDA adressiert neben Kredit-, Zahlungs- und E-Geld-Instituten u.a. auch Rating-Agenturen, Wertpapierfirmen, Krypto-Asset-Dienstleister und Fondsgesellschaften. Darüber hinaus nimmt FIDA erstmalig Versicherungen und große Versicherungsvermittler ins Visier: Betroffen sind beispielsweise alle Versicherungssparten des Kompositbereichs, kapitalbildende Lebensversicherungen sowie die private und betriebliche Altersvorsorge. Im FIDA-Entwurf ausgeschlossen ist der Teil der Lebensversicherung, in dem biometrische Daten benötigt werden; ebenso die Kranken- und Pflegeversicherung.
Welche Daten fallen unter das FIDA-Regelwerk?
Durch die PSD2 haben lizenzierte Drittanbieter seit 2019 Zugang zu Kontoinformationen und Zahlungsdiensten. Die vorgeschlagene FIDA-Verordnung erweitert den Umfang der Daten nun über Zahlungskontendaten hinaus auf personenbezogene und nichtpersonenbezogene Kundendaten, die von einem Finanzinstitut im Rahmen der Geschäftstätigkeit erhoben und verarbeitet werden. Beispielhaft sind hier Daten folgender Bereiche zu nennen: Kredite, Darlehen, Spar- und Geldanlagen, Krypto-Assets, Immobilien, versicherungsbasierte Anlageprodukte, Altersvorsorge, Sachversicherungen und Bonitätsbeurteilungen.
Welche Rechte und Pflichten ergeben sich mit Blick auf den Datenzugriff?
Finanzinstitute werden mit FIDA verpflichtet, Daten in Echtzeit und in einem anerkannten Standard bereitzustellen – erleichtert werden soll dies durch sogenannte Financial Data Sharing Schemes. Abfrageberechtigt sind dabei sowohl der Kunde selbst als auch vom Kunden autorisierte Finanzunternehmen und registrierte Drittanbieter. Der Kunde muss die Zugriffsrechte der Datennutzer dabei jederzeit verwalten können. Dies soll über ein vom Finanzinstitut bereitgehaltenes Dashboard (Financial Data Access Permission Dashboard) sichergestellt werden. Datennutzer dürfen die erhaltenen Daten nur für Zwecke verarbeiten, für die eine explizite Einwilligung erteilt wurde – im Falle eines Widerrufs sind sie zur Löschung verpflichtet.
Was sind Financial Data Sharing Schemes?
Um verbindliche Schnittstellenstandards zu etablieren, sieht FIDA vor, den Datenaustausch über Financial Data Sharing Schemes zu organisieren. Finanzinstitute und registrierte Drittanbieter erarbeiten dabei einen gemeinsamen Standard für den Zugriff und regeln die Nutzungskosten. Damit ein solches Finanzdaten-Austauschsystem anerkannt wird, muss es einen erheblichen Anteil des Marktes für ein Produkt oder eine Dienstleistung umfassen. Als Beispiel für ein marktgetriebenes Open-Finance-Schemes nennt die Europäische Kommission (Seite 127) u.a. das API-Framework der Berlin Group. Kalkül der Kommission ist es, dass sich jeder Markt auf einige wenige, wenn nicht sogar nur ein Scheme einigt. Finanzinstitute müssen mindestens einem Scheme beitreten. Mehrfachmitgliedschaften sind erlaubt, jedoch dürfte dies in erster Linie für Datennutzer von Interesse sein.
Was sind die Unterschiede zwischen FIDA und PSD2?
Während PSD2 ausschließlich Kontoprodukte und damit Kredit-, Zahlungs- und E-Geld-Institute fokussiert, adressiert FIDA (fast) die gesamte regulierte Finanzindustrie und zielt auf einen deutlich breiteren Bestand personenbezogener und nichtpersonenbezogener Kundendaten ab. Ein zentraler Unterschied ist zudem, dass für das Bereitstellen von Schnittstellen unter FIDA Gebühren fällig werden, das heißt, das Finanzinstitut kann als Dateninhaber – zum ersten Mal und anderes als unter PSD2 – eine Vergütung für den Abruf bzw. die Daten verlangen.
Wie sieht der Zeitplan von FIDA aus?
Der EU-Gesetzgebungsprozess für den Verordnungsentwurf für FIDA steht noch aus. Die Frage ist, ob dieser kurzfristig in Gang kommen wird. Zumal hinsichtlich der Aufstellung der Gremien für die Financial Data Sharing Schemes sowie die Auswahlkriterien für die entsprechenden APIs noch offene Fragen bestehen. Daher ist anzunehmen, dass FIDA nicht vor Ende 2024 bzw. Anfang 2025 in Kraft tritt. Nach aktuellem Stand müssen Dateninhaber und Datennutzer danach innerhalb von 18 Monaten mindestens einem Scheme zur Nutzung von Finanzdaten beitreten. Weitere sechs Monate später müssen dann die ersten Daten übermittelt werden können – sprich die Schnittstelle muss bis dahin umgesetzt und bereitgestellt sein.
Welche Kritik an FIDA gibt es?
Einer der Hauptkritikpunkte an FIDA ist der ambitionierte Zeitplan. Verschiedene Verbände bemängeln die zu kurzen Fristen, die keine sachgerechte Implementierung erlauben würden. In der Konsequenz fordern sie eine verlängerte Einführungszeit, einen reduzierten und/oder präzisierten Anwendungsbereich bzw. schlagen sie alternativ ein stufenweises Vorgehen mit schrittweiser Erweiterung des Anwendungsbereichs vor. Zudem wird größere Klarheit mit Blick auf die Financial Data Sharing Schemes eingefordert. Nicht zuletzt wird darauf hingewiesen, dass die aktuellen Gebührenvorgaben keinem marktgerechten Niveau entsprächen.
Lesen Sie hier die Stellungnahmen verschiedener Verbände:
Wie können sich Finanzinstitute auf FIDA vorbereiten?
Die FIDA-Verordnung ist komplex, insofern ist es für Finanzinstitute sinnvoll, sich bereits jetzt mit ihren Anforderungen auseinanderzusetzen. Während Banken bereits auf Erfahrungen aus der Implementierung von APIs im Rahmen der PSD2 zurückgreifen können, gilt es für viele andere Finanzunternehmen zunächst einmal ihre technische Infrastruktur zu prüfen – so z.B. auf ihre API-Fähigkeit hin. Auf strategischer Seite stellt sich die Frage der Auswirkungen von FIDA auf das eigene Geschäftsmodell. Falls noch nicht geschehen, ist es jetzt höchste Zeit, eine Open-Finance-Strategie zu definieren.
Offenheit als oberste Prämisse
Fazit: FIDA ist ein riesiger Schritt
Nach PSD2 läutet die EU mit FIDA die nächste Runde in Richtung Open Finance ein. Der Verordnungsentwurf, der darauf abzielt, einen sicheren Zugang zu einer breiten Palette von Finanzdaten zu ermöglichen, wird den Wettbewerb im Finanzsektor weiter verstärken. Er bereitet die Basis für neue und innovative Geschäftsmodelle, die gegenüber den Kundinnen und Kunden mit Mehrwerten punkten werden.
Unter dem Strich zwingt der Gesetzgeber Finanzinstitute in radikale Offenheit und damit in die Digitalisierung zu investieren. Erstmals müssen sie einen umfassenden Zugriff auf Kunden- und Produktdaten – quasi ihre „Kronjuwelen“ – gewährleisten. Dies ist ein riesiger Schritt, der neben technischen auch strategische Herausforderungen bereithält. Nicht zuletzt gilt es, die Frage zu beantworten, mit welchen Services und Dienstleistungen ich mich als Finanzinstitut zukünftig wettbewerbsfähig in diesem Ökosystem positionieren kann.
Bildquelle: Shutterstock, Grafik: PASS
