Reibungsloses Consent Management ist einer der Eckpfeiler der erfolgreichen PSD2-Implementierung. Oliver Dlugosch, CEO von ndgit, erklärt, wie Banken sich dedizierte APIs zunutze machen können, um Komplexität zu reduzieren und Prozesse nahtloser zu gestalten.
Die PSD2 ist Treiber für eine Vielzahl neuer Serviceangebote zwischen Banken und Drittanbietern (TPPs). Aber bevor das offene Ökosystem für Finanzdienstleistungen funktioniert, müssen belastbare Mechanismen für das Zustimmungs-Management (Consent Management) für den Kunden herrschen: Es muss sichergestellt sein, dass jeder Zugriff auf Kontoinfomationen und Zahlungen mit der vollen Zustimmung des Endkunden geschieht.
Explizite Zustimmung des Kunden erforderlich
Ob ein Kunde ohne Karte online shoppen will, eine aggregierte Ansicht seiner Bankkonten erhalten oder ein Instrument zur Analyse seines Ausgabeverhaltens anwenden möchte, – ob ein Finanzdienstleistungsunternehmen zeitnah Kunden prüfen möchte, oder ein kleines Unternehmen versucht, Kredite mit einem alternativen Anbieter abzuschließen: Der Kunde muss immer seine ausdrückliche Zustimmung geben.
Und diese Zustimmungen müssen eine ganze Reihe von Sicherheitsbestimmungen erfüllen, die einen Handlungsrahmen eröffnen, in dem zum Beispiel eingeleitete Transaktionen storniert werden können, Rückverfolgbarkeit gewährleistet und das Betrugsrisiko reduziert werden kann.
Die aktuellen Parameter beinhalten:
Die Identität des TPP: Mit wem möchte der Kunde Daten austauschen?
Welche Daten möchten der Kunde weitergeben (z.B. Zahlungsdetails)?
Wie häufig soll dies geschehen (täglich/monatlich/..)?
Wie lange ist die Einwilligung gültig (z.B. 12 Monate)
Was die Parameter nicht beinhalten, ist die Offenlegung von Informationen, die mit der Identität des Kunden zusammenhängen, etwa Adresse, Geburtsdatum oder Sozialversicherungsnummer. Diese Informationen sind auch nicht notwendig und werden auch nicht abgefragt, um eine Zahlung oder einen Zugang zu den Kontodaten zu initiieren.
Sobald die Zustimmung gegeben wurde, können Kunden den Kontoauskunfts- oder Zahlungsauslösungsservice des TPP in Anspruch nehmen. Der TPP gibt dann die Informationsanfrage an die jeweilige Bank weiter und überprüft, ob die Zustimmung eingeholt wurde. Die Bank prüft wiederum, ob die Zustimmung erteilt wurde und ob sie auch zu der handelnden Person gehört.
Das Datenbild wird aussagekräftiger
Aber die PSD2-Anforderungen sind nur ein Puzzleteil im so genannten “Customer Consent”-Prozess. Es gibt wichtige Überschneidungen mit der neuen Allgemeinen Datenschutzverordnung (DSGVO), die einen sicheren Rechtsrahmen zum Schutz personenbezogener Daten schafft und sicherstellt, dass die Weitergabe dieser Daten „nur freiwillig, spezifisch, informiert und unmissverständlich“ erfolgt.
Die DSGVO bringt auch mit sich, dass Verbraucher die Möglichkeit haben müssen, alle personenbezogenen Daten, die zu ihrer Person gespeichert werden, einzusehen, zu bearbeiten, herunterzuladen und zu löschen. Da gehören besonders die Zustimmungs-Einstellungen. Das versetzt Banken effektiv in die Lage, die Daten ihrer Kunden zu kontrollieren und macht sie verantwortlich für die Zwecke und die Art und Weise der Verarbeitung und Weitergabe personenbezogener Daten.
Eigenverantwortung im Consent-Prozess
TPPs werden aller Voraussicht nach den Consent-Prozess mit ihren Kunden initiieren, einschließlich der Zustimmung für ihre eigenen Aktivitäten und der Verwendung der einmal erhaltenen Daten. Banken wiederum tragen letztlich die Verantwortung dafür, die direkte Zustimmung ihrer Kunden zu bestätigen oder separat einzuholen.
Das bedeutet, dass sie in der Lage sein müssen, in ihrem Online-Banking all die Werkzeuge bereitzustellen, die den Kunden den Opt-In ermöglichen. Zudem müssen Banken ihren Kunden erlauben, anderen den Zugang zu Finanzdaten sowie autorisierte Zahlungen in ihrem Namen zu gestatten.
Mehr noch: Gemäß PSD2 müssen Banken Dritten Zugang gewähren, entweder über die gleichen Schnittstellen, die sie für die Interaktion mit Kunden verwenden, oder als Alternative eine neue „dedizierte Schnittstelle“ eigens für diesen Zweck entwickeln.
Die Reduktion der Komplexität
Dass das Management von PSD2- und DSGVO-konformen Multichannel-Consents und ihrer Lebenszyklen, mit einer Vielzahl von TPPs und über einen sehr weiten Kundenstamm eine enorme Herausforderung darstellt, ist klar. Und es wird sicher nicht leichter durch die Tatsache, dass Banken notwendigerweise von Haus aus komplexe Organisationen mit vielen internen Service- und IT-Silos sind.
Um erfolgreich zu sein, müssen sie innovative Methoden anwenden bei der Einholung, bei der Aufzeichnung und beim unabänderlichen Nachweis der Zustimmung ihrer Kunden. Das Gleiche gilt für die Handhabung der personenbezogenen Daten. Dazu braucht es APIs, die reibungslos in ihre eigenen bestehenden, vorab authentifizierten Kunden-Touchpoints eingebettet werden können. Diese ermöglichen es TPPs, die Zustimmung des Kunden über Websites und Benutzeranwendungen einfach zu erfassen, um wiederum ihre Dienste zu vereinfachen.
Das Beste herausholen aus APIs
Um den eigenen Erfolg sicherzustellen, sollten Banken Ausschau halten nach etablierten APIs, die
Consent in Echtzeit erfassen können
auditierbare und unveränderliche Consent-Zertifikate erzeugen können
schnell, nahtlos und sicher in bestehende Systeme integriert werden können
skalierbare, flexible und anwenderzentrierte Plattformen anbieten
individuell anpassungsfähige Präferenzzentren anbieten, in denen Kunden ihre Zustimmung problemlos erklären, ändern und widerrufen können.
Um den Consent-Prozess möglichst reibungsfrei gestalten zu können, verwenden einige TPPs ihre eigenen APIs für die direkte Zustimmung. Diese erlauben es den Benutzern, Zahlungen oder Anweisungen einzuleiten, ohne dazu einen Banking-Kanal besuchen zu müssen.
In der Praxis jedoch werden die meisten einen zweistufigen Prozess bevorzugen: Der TPP leitet die Zustimmung des Verbrauchers über eine von der Bank bereitgestellte API ein und die Bank bleibt für die direkte Bestätigung mit dem Kunden verantwortlich. Das bietet allen Beteiligten den größtmöglichen Schutz vor Betrug. Und hier kommt ndgit ins Spiel: Die API-Management-Plattform von ndgit beinhaltet ein erprobtes und bewährtes Consent Management, das Banken hilft, den Zustimmungs-Prozess so sicher und reibungslos wie nur möglich zu gestalten.
Die Zahlungsdiensterichtlinie PSD2 wurde am 14. September 2019 mit dem Ziel in Kraft gesetzt, den Verbraucherschutz sowie die Sicherheit elektronischer Zahlungen zu verbessern. Darüber hinaus zielte das Regelwerk darauf ab, den Wettbewerb einerseits und Innovationen andererseits zu fördern. 2022 stellte die Europäische Kommission die PSD2 auf den Prüfstand. Dazu führte sie mehrere Konsultationen zum Erfolg […]
Bereits seit dem 14. September 2019, also mehr als 3 Jahre, ist die europäische Zahlungsdiensterichtlinie PSD2 nun schon in Kraft. Zeit für ndgit, einen Blick in die Statistiken unserer PSD2-Lösung zu werfen. Die folgend dargestellten Erkenntnisse und Ausblicke basieren auf dem Einsatz des Produkts in führenden Banken Europas, verteilt auf 36 Produktiv-Instanzen über acht Länder […]
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
Next level embedded finance platforms: Von der regulatorisch gesteuerten zur marktgesteuerten Open-Banking-Infrastruktur Die Einführung der PSD2 hat Banken unter Druck gesetzt, die Zahlungsdienstleisterrichtlinie bis zum Stichtag Anfang 2018 umzusetzen. Die Folge war eine Sonderkonjunktur für Dienstleister, die auf das Management der PSD2-relevanten Schnittstellen (APIs) spezialisiert sind. Ndgit schaffte es so innerhalb kurzer Zeit unter die […]
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
Open Banking & Open Finance Trends 2022 Die Corona-Epidemie hat den Megatrend Digitalisierung noch einmal beschleunigt, gerade auch im Bereich Open Finance. 2022 erwarten wir daher wieder einen Boom in einer ohnehin schon äußerst dynamischen Branche. Zeit, zurück- und nach vorne zu schauen: Was waren die Top-Themen in Open Finance 2021? Und welche Trends werden das kommende […]
Die Zusammenarbeit mit einem externen PSD2-API-Lösungsanbieter kann unterschiedliche Vorteile haben: zum Beispiel niedrigere Kosten und Risiken oder neue Umsatzquellen, Geschäftsmodelle oder externe Serviceangebote durch Drittanbieter (TPPs)...
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
2021 wird sich die Digitalisierung der Bankenwelt noch einmal erheblich beschleunigen. In diesen Webinaren möchten wir zeigen, welche Möglichkeiten Banken haben, diese Entwicklung für sich zu nutzen.
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
Die zweite EU-Zahlungsdienstleisterrichtlinie PSD2 ist seit gut einem Jahr vollständig in Kraft. Zeit für ndgit, einen der Pioniere im Bereich PSD2-Compliance, zurück und nach vorne zu schauen.
In den vergangenen 18 Monaten war es vor allem ein Thema bzw. ein Akronym, das die Bankenbranche beschäftigte: PSD2 oder ausgeschrieben Payment Service Direktive II. Getrieben durch die gesetzlichen Vorgaben, mussten Banken Strategien und Lösungen entwickeln, um ihre Systeme für Drittanbieter zu öffnen [...]
14. März 2019 – ein denkwürdiges Datum, denn an diesem Tag macht der europäische Finanzmarkt den Schritt in ein neues Zeitalter: PSD2 (Payment Service Directive II) sei Dank wird der Einstieg für neue Anbieter von Finanzdiensten deutlich erleichtert und die Vielfalt von neuen bankenunabhängigen Services für Kunden gefördert.
Die Umsetzung der PSD2 ist für viele Banken die Einstiegsdroge ins Open Banking. Hier wird bei der Bank Software aufgespielt, die die PSD2-Vorgaben umsetzt – z.B. eine auf API Technologie basierende out-of-the-box Lösung von ndgit.
Die aktuell geltenden Vorgaben durch die PSD2 erfordern grundsätzlich eine Zwei-Faktor-Authentifizierung im Zahlungsverkehr, aber bei manchen Transaktionen gibt es dann doch Ausnahmen. Oliver Dlugosch, CEO von ndgit bringt Klarheit in den Wirrwarr um die sicheren "Einsatzregeln" für Banken und Zahlungsdienstleister.
Die im Jahr 2018 in Kraft getretene neue europäische Zahlungsdiensterichtlinie PSD II gleicht einem Zündfunken zur Transformation der gesamten Bankenbranche. Der Funke mag noch klein sein, aber: Er bewirkt schon heute weitreichende Veränderungen in der Anlagepolitik und -strategie, wie Oliver Dlugosch, CEO ndgit, erläutert.
Wenn die europäische PSD2-Richtlinie 2018 national umgesetzt sein wird, bedeutet das eine Zäsur. Banken verlieren per Gesetz die exklusive Informations-Hoheit über den Kunden und müssen gegenüber Dritten den Zugriff auf das Konto unter geregelten Bedingungen öffnen.
