{"id":19960,"date":"2026-05-28T10:50:37","date_gmt":"2026-05-28T10:50:37","guid":{"rendered":"https:\/\/greyson.eu\/?post_type=glossary&p=19960"},"modified":"2026-05-28T12:09:39","modified_gmt":"2026-05-28T12:09:39","slug":"psd2-und-open-banking","status":"publish","type":"glossary","link":"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/","title":{"rendered":"PSD2 und Open Banking"},"content":{"rendered":"
\n

Die europ\u00e4ische Finanzlandschaft hat im letzten Jahrzehnt einen tiefgreifenden Wandel durchlaufen, der von einer einzigen regulatorischen Vorgabe angetrieben wurde: der Zahlungsdiensterichtlinie 2 (PSD2<\/b>). Diese umfassende EU-Verordnung hat in Verbindung mit der allgemeinen Marktbewegung hin zu Open Banking die Art und Weise, wie Finanzinstitute, Fintech-Unternehmen und Drittanbieter mit den Zahlungsdaten von Verbrauchern und Unternehmen interagieren, grundlegend ver\u00e4ndert. F\u00fcr IT-Entscheidungstr\u00e4ger und F\u00fchrungskr\u00e4fte im Bereich der digitalen Transformation ist das Verst\u00e4ndnis von PSD2 und Open Banking nicht mehr optional \u2013 es ist unerl\u00e4sslich, um sich in der modernen Architektur von Finanzdienstleistungen zurechtzufinden, Compliance-Risiken zu managen und Innovationschancen zu nutzen.<\/p>\n

Dieser Leitfaden bietet eine fundierte Untersuchung von PSD2 und Open Banking: ihre Urspr\u00fcnge, regulatorischen Anforderungen, technische Umsetzung, gesch\u00e4ftliche Auswirkungen und zuk\u00fcnftige Entwicklung. Ob Sie nun als CTO API-Integrationsstrategien bewerten, als Compliance-Beauftragter regulatorische Verpflichtungen pr\u00fcfen oder als Fintech-Gr\u00fcnder neue Zahlungsdienste aufbauen \u2013 dieser Artikel wird Ihnen das Wissen vermitteln, um fundierte Entscheidungen zu treffen.<\/p>\n

Was ist PSD2 und wie funktioniert es?<\/h2>\n

Ursprung und Entwicklung \u2014 von PSD zu PSD2<\/h3>\n

Die im Jahr 2007 verabschiedete Zahlungsdiensterichtlinie (Payment Services Directive, PSD) war der erste Versuch der Europ\u00e4ischen Union, die Regulierung von Zahlungsdiensten in den Mitgliedstaaten zu harmonisieren. Die urspr\u00fcngliche PSD legte Grundregeln f\u00fcr Zahlungsdienstleister, Verbraucherschutzstandards und die Abwicklung des grenz\u00fcberschreitenden Zahlungsverkehrs fest. Bis zu den fr\u00fchen 2010er Jahren hatte sich die Zahlungslandschaft jedoch drastisch ver\u00e4ndert. Mobile Banking, Online-Handel und Fintech-Innovationen hatten sich weit schneller entwickelt, als es die Richtlinie von 2007 vorhergesehen hatte. Die Erwartungen der Verbraucher an nahtlose Zahlungen in Echtzeit waren gestiegen. Betrugsbedrohungen hatten sich weiterentwickelt. Die Wettbewerbslandschaft hatte sich fragmentiert.<\/p>\n

Als Reaktion darauf schlug die Europ\u00e4ische Kommission die \u00fcberarbeitete Zahlungsdiensterichtlinie 2 (PSD2) vor, die formell als Richtlinie (EU) 2015\/2366 verabschiedet wurde. Die PSD2 trat am 12. Januar 2016 in Kraft und gab den EU-Mitgliedstaaten zwei Jahre Zeit, die Richtlinie in nationales Recht umzusetzen \u2014 eine Frist, die von den meisten Nationen bis Januar 2018 eingehalten wurde. Die kritischste Compliance-Anforderung \u2014 die starke Kundenauthentifizierung (SCA<\/b>) \u2014 wurde jedoch erst am 14. September 2019 verbindlich, was den Zahlungsdienstleistern eine zus\u00e4tzliche \u00dcbergangsfrist einr\u00e4umte, um die erforderliche Sicherheitsinfrastruktur zu implementieren.<\/p>\n

Die Entwicklung von der PSD zur PSD2 spiegelt einen grundlegenden Wandel in der Regulierungsphilosophie wider: von einer statischen Regelsetzung hin zu einer anpassungsf\u00e4higen Governance, die Innovationen f\u00f6rdern und gleichzeitig Verbraucher sch\u00fctzen und die Finanzstabilit\u00e4t wahren soll. Heute arbeitet die Europ\u00e4ische Kommission bereits an der PSD3, von der erwartet wird, dass sie den Geltungsbereich von Open Finance weiter ausbaut und die Verbraucherrechte st\u00e4rkt.<\/p>\n\n\n\n\n\n\n\n
Regulierungsphase<\/strong><\/td>\nJahr der Verabschiedung<\/strong><\/td>\nInkrafttreten<\/strong><\/td>\nHauptschwerpunkte<\/strong><\/td>\nStatus<\/strong><\/td>\n<\/tr>\n<\/thead>\n
Zahlungsdiensterichtlinie (PSD)<\/b><\/span><\/td>\n2007<\/span><\/td>\n2009<\/span><\/td>\nHarmonisierung, Verbraucherschutz, grenz\u00fcberschreitende Zahlungen<\/span><\/td>\nErsetzt durch PSD2<\/span><\/td>\n<\/tr>\n
Zahlungsdiensterichtlinie 2 (PSD2)<\/b><\/span><\/td>\n2015<\/span><\/td>\nJanuar 2016 (Umsetzung bis Jan. 2018)<\/span><\/td>\nOpen Banking, SCA, Zugang f\u00fcr Drittanbieter, Zahlungssicherheit<\/span><\/td>\nAktiv (vollst\u00e4ndige Konformit\u00e4t seit Sept. 2019)<\/span><\/td>\n<\/tr>\n
Zahlungsdiensterichtlinie 3 (PSD3) \u2014 Vorschlag<\/b><\/span><\/td>\n2023<\/span><\/td>\nErwartet 2025\u20132026<\/span><\/td>\nErweiterter Geltungsbereich (Sparen, Investitionen), Open Finance, gest\u00e4rkte Verbraucherrechte<\/span><\/td>\nIm Gesetzgebungsverfahren<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Kernziele und Geltungsbereich<\/h3>\n

Die PSD2 wurde entwickelt, um vier prim\u00e4re Ziele zu erreichen, die jeweils ein bestimmtes Marktversagen oder eine regulatorische L\u00fccke schlie\u00dfen:<\/p>\n

    \n
  1. \n

    Schaffung eines integrierteren und effizienteren europ\u00e4ischen Zahlungsverkehrsmarktes.<\/b> Durch die Harmonisierung der Vorschriften f\u00fcr Zahlungsdienste im gesamten Europ\u00e4ischen Wirtschaftsraum (EWR) beseitigte die PSD2 fragmentierte nationale Vorschriften, die zuvor den grenz\u00fcberschreitenden Zahlungsverkehr behindert hatten. Diese Integration verringert Reibungsverluste f\u00fcr multinationale Unternehmen und erm\u00f6glicht es paneurop\u00e4ischen Fintech-Plattformen, effizient zu skalieren.<\/p>\n<\/li>\n

  2. \n

    Schaffung gleicher Wettbewerbsbedingungen f\u00fcr Zahlungsdienstleister.<\/b> Die urspr\u00fcngliche PSD hatte Markteintrittsbarrieren f\u00fcr Nicht-Banken-Zahlungsdienstleister geschaffen. Die PSD2 erkennt explizit neue Kategorien von Zahlungsdienstleistern an \u2014 Kontoinformationsdienstleister (AISPs<\/b>) und Zahlungsausl\u00f6sedienstleister (PISPs<\/b>) \u2014 und gew\u00e4hrt ihnen einen regulierten Zugang zu den Bankkonten der Kunden (vorbehaltlich der Zustimmung des Kunden). Diese Demokratisierung der Zahlungsdienste hat es Tausenden von Fintech-Startups erm\u00f6glicht, innovative Dienste auf den Markt zu bringen, die zuvor unm\u00f6glich waren.<\/p>\n<\/li>\n

  3. \n

    Erh\u00f6hung der Zahlungssicherheit und Reduzierung von Betrug.<\/b> Die Anforderung der PSD2 zur starken Kundenauthentifizierung schreibt vor, dass alle Online-Zahlungstransaktionen mit zwei unabh\u00e4ngigen Authentifizierungsfaktoren verifiziert werden m\u00fcssen. Diese Anforderung hat den Zahlungsbetrug im gesamten EWR drastisch reduziert, obwohl sie auch betriebliche Herausforderungen f\u00fcr H\u00e4ndler und Verbraucher mit sich gebracht hat.<\/p>\n<\/li>\n

  4. \n

    Schutz von Verbraucher- und Unternehmensdaten.<\/b> Die PSD2 legt strenge Anforderungen an die Daten-Governance fest und schreibt die ausdr\u00fcckliche Zustimmung des Verbrauchers vor, bevor ein Drittanbieter auf Kontoinformationen zugreifen kann. Sie verlangt von Zahlungsdienstleistern au\u00dferdem die Implementierung robuster Cybersicherheitsma\u00dfnahmen, die Meldung von Sicherheitsvorf\u00e4llen und die Einhaltung von Standards f\u00fcr die betriebliche Resilienz.<\/p>\n<\/li>\n<\/ol>\n

    Geografische und sektorale Anwendbarkeit<\/h3>\n

    Die PSD2 gilt f\u00fcr alle Zahlungsdienstleister, die innerhalb des Europ\u00e4ischen Wirtschaftsraums (EWR) t\u00e4tig sind, wozu alle EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen geh\u00f6ren. Die Richtlinie gilt im Rahmen spezifischer Post-Brexit-Vereinbarungen auch f\u00fcr Zahlungsdienstleister im Vereinigten K\u00f6nigreich, obwohl das Vereinigte K\u00f6nigreich mit der Entwicklung seines eigenen regulatorischen Rahmens f\u00fcr Open Banking begonnen hat.<\/p>\n

    Zu den Zahlungsdienstleistern, die der PSD2 unterliegen, geh\u00f6ren traditionelle Banken, Zahlungsinstitute (lizenzierte Nicht-Banken-Zahlungsabwickler), E-Geld-Institute und bestimmte Fintech-Unternehmen. Drittanbieter \u2014 AISPs und PISPs \u2014 m\u00fcssen bei ihrer nationalen Finanzaufsichtsbeh\u00f6rde registriert sein und die technischen und sicherheitsrelevanten Standards der PSD2 einhalten, selbst wenn sie keine Kundengelder halten.<\/p>\n

    F\u00fcr Unternehmen, die in Mittel- und Osteuropa (MOE) t\u00e4tig sind \u2014 einschlie\u00dflich der Slowakei, der Tschechischen Republik und anderer EU-Mitgliedstaaten \u2014, ist die Einhaltung der PSD2 obligatorisch. Dies hat sowohl Herausforderungen als auch Chancen mit sich gebracht: Finanzinstitute mussten erheblich in API-Infrastrukturen und Sicherheitsprotokolle investieren, w\u00e4hrend Fintech-Unternehmen neue Kan\u00e4le f\u00fcr Innovation und Wettbewerb gefunden haben.<\/p>\n

    Was sind die Schl\u00fcsselkomponenten der PSD2-Compliance?<\/h2>\n

    Starke Kundenauthentifizierung (SCA)<\/h3>\n

    Die starke Kundenauthentifizierung (SCA) ist wohl die sichtbarste und betrieblich folgenreichste Anforderung der PSD2. Die SCA schreibt vor, dass alle Online-Zahlungstransaktionen mit zwei oder mehr unabh\u00e4ngigen Elementen aus drei Kategorien authentifiziert werden m\u00fcssen:<\/p>\n

      \n
    • \n

      etwas, das Sie wissen<\/b> (Wissen, wie z. B. ein Passwort oder eine PIN),<\/p>\n<\/li>\n

    • \n

      etwas, das Sie besitzen<\/b> (Besitz, wie z. B. ein Mobiltelefon oder ein Hardware-Token),<\/p>\n<\/li>\n

    • \n

      etwas, das Sie sind<\/b> (Inh\u00e4renz, wie z. B. ein biometrischer Fingerabdruck oder Gesichtserkennung).<\/p>\n<\/li>\n<\/ul>\n

      Die technischen Regulierungsstandards f\u00fcr die SCA, die von der Europ\u00e4ischen Bankenaufsichtsbeh\u00f6rde (EBA<\/b>) im M\u00e4rz 2018 ver\u00f6ffentlicht wurden, wurden am 14. September 2019 verbindlich. Ab diesem Datum drohten jedem Zahlungsdienstleister, der die SCA nicht implementierte, aufsichtsrechtliche Sanktionen und die Haftung f\u00fcr betr\u00fcgerische Transaktionen.<\/p>\n

      Die PSD2 und die EBA-Leitlinien enthalten jedoch einige wichtige Ausnahmen von der SCA-Pflicht, sofern die Zahlungsdienstleister nachweisen k\u00f6nnen, dass die Transaktion in eine Kategorie mit geringem Risiko f\u00e4llt:<\/p>\n

        \n
      • \n

        Transaktionen mit geringem Wert:<\/b> Zahlungen unter 30 \u20ac (wobei dieser Schwellenwert von den einzelnen Mitgliedstaaten angepasst werden kann).<\/p>\n<\/li>\n

      • \n

        Wiederkehrende Zahlungen:<\/b> Transaktionen, bei denen der Zahler bereits die erste Zahlung in einer Reihe authentifiziert hat.<\/p>\n<\/li>\n

      • \n

        Whitelisting von H\u00e4ndlern:<\/b> Zahlungen an H\u00e4ndler, die der Kunde explizit genehmigt hat.<\/p>\n<\/li>\n

      • \n

        Zahlungen an sich selbst:<\/b> \u00dcberweisungen zwischen Konten desselben Kunden.<\/p>\n<\/li>\n

      • \n

        Vertrauensw\u00fcrdige Beg\u00fcnstigte:<\/b> \u00dcberweisungen an vorab genehmigte Empf\u00e4nger.<\/p>\n<\/li>\n<\/ul>\n

        Diese Ausnahmen waren unerl\u00e4sslich, um zu verhindern, dass die SCA den E-Commerce und wiederkehrende Abonnementmodelle l\u00e4hmt. Sie haben jedoch auch Sicherheitsl\u00fccken geschaffen: Betr\u00fcger haben die Ausnahmeregelungen ausgenutzt, und Zahlungsdienstleister m\u00fcssen hochentwickelte, risikobasierte Authentifizierungssysteme implementieren, um zwischen risikoarmen Transaktionen und potenziellem Betrug zu unterscheiden.<\/p>\n

        \u00dcber die grundlegende Zwei-Faktor-Anforderung hinaus f\u00fchrt die PSD2 das Konzept der dynamischen Verkn\u00fcpfung (dynamic linking)<\/b> f\u00fcr kartengest\u00fctzte Transaktionen ein. Die dynamische Verkn\u00fcpfung erfordert, dass der Authentifizierungsprozess den Zahlungsbetrag und die Daten des Zahlungsempf\u00e4ngers explizit best\u00e4tigt. Dies verhindert Man-in-the-Middle-Angriffe, bei denen ein Betr\u00fcger eine Zahlung abf\u00e4ngt und die Transaktionsdetails nach der Authentifizierung \u00e4ndert.<\/p>\n

        Open-Banking- und API-Standards<\/h3>\n

        W\u00e4hrend die SCA die Zahlungssicherheit betrifft, befassen sich die Open-Banking-Bestimmungen der PSD2 mit dem Datenzugriff und der Interoperabilit\u00e4t. Artikel 4 der PSD2 verlangt, dass Zahlungsdienstleister autorisierten Drittanbietern Kontoinformationen und Zahlungsausl\u00f6sedienste \u00fcber sichere, standardisierte APIs zur Verf\u00fcgung stellen. Diese APIs m\u00fcssen den \u201egemeinsamen und sicheren offenen Kommunikationsstandards\u201c entsprechen.<\/p>\n

        Die technischen Regulierungsstandards der EBA legen fest, dass diese APIs wie folgt beschaffen sein m\u00fcssen:<\/p>\n

          \n
        • \n

          Standardisiert:<\/b> Konsistent \u00fcber alle Zahlungsdienstleister hinweg, sodass Drittanbieter Code einmal schreiben und in mehrere Banken integrieren k\u00f6nnen.<\/p>\n<\/li>\n

        • \n

          Sicher:<\/b> Gesch\u00fctzt durch Verschl\u00fcsselung, gegenseitige Authentifizierung und Zugriffskontrollen.<\/p>\n<\/li>\n

        • \n

          Zuverl\u00e4ssig:<\/b> Verf\u00fcgbar in 99,5 % der F\u00e4lle (mit dokumentierten SLAs).<\/p>\n<\/li>\n

        • \n

          Leistungsstark:<\/b> In der Lage, Anfragen innerhalb definierter Antwortzeitfenster zu verarbeiten.<\/p>\n<\/li>\n<\/ul>\n

          In der Praxis hat dies zur Entstehung von Open-Banking-API-Standards wie dem Open Banking Standard<\/i> (UK), der Berlin Group NextGenPSD2<\/i>-Spezifikation (Europa) und verschiedenen nationalen Implementierungen gef\u00fchrt. Diese Standards definieren die technische Struktur von API-Anfragen und -Antworten, Authentifizierungsprotokolle und Datenformate.<\/p>\n

          Ein kritischer Aspekt von Open-Banking-APIs ist, dass sie auf einem einwilligungsbasierten Modell basieren. Ein Drittanbieter kann nicht ohne die ausdr\u00fcckliche, informierte Zustimmung des Kunden auf dessen Kontodaten zugreifen. Der Kunde muss dar\u00fcber informiert werden, auf welche Daten der TPP (Third-Party Provider) genau zugreift, wie lange und zu welchem Zweck. Diese Einwilligung wird im Bankkonto des Kunden hinterlegt und kann jederzeit widerrufen werden.<\/p>\n

          Kontoinformationsdienste (AIS) und Zahlungsausl\u00f6sedienste (PIS)<\/h3>\n

          Die PSD2 unterscheidet zwei Hauptkategorien von Drittanbieterdiensten, die \u00fcber Open-Banking-APIs betrieben werden:<\/p>\n

            \n
          • \n

            Kontoinformationsdienste (AIS):<\/b> Ein AISP ist ein lizenzierter Drittanbieter, der auf die Kontoinformationen eines Kunden \u2014 Transaktionshistorie, Kontostand, Zahlungshistorie \u2014 zugreifen darf, um Finanzmanagement-, Analyse- oder Beratungsdienste bereitzustellen. Beispiele hierf\u00fcr sind Apps f\u00fcr das pers\u00f6nliche Finanzmanagement (wie die Budgetierungsfunktionen von Revolut oder N26), Anwendungen zur Ausgabenverfolgung und Finanzanalyseplattformen. Ein AISP kann keine Zahlungen ausl\u00f6sen; er kann Kontodaten nur lesen.<\/p>\n<\/li>\n

          • \n

            Zahlungsausl\u00f6sedienste (PIS):<\/b> Ein PISP ist ein lizenzierter Drittanbieter, der im Namen eines Kunden Zahlungen direkt vom Bankkonto des Kunden ausl\u00f6sen kann. Beispiele hierf\u00fcr sind Fintech-Zahlungsplattformen (wie Wise oder die Zahlungslinks von Stripe), Rechnungszahlungsdienste und alternative Checkout-L\u00f6sungen. Ein PISP kann Zahlungen ausl\u00f6sen, kann aber in der Regel keine historischen Kontodaten lesen (obwohl einige Implementierungen einen eingeschr\u00e4nkten Datenzugriff zur Betrugspr\u00e4vention erlauben).<\/p>\n<\/li>\n<\/ul>\n\n\n\n\n\n\n
            Dienstleistungstyp<\/strong><\/td>\nDatenzugriff<\/strong><\/td>\nZahlungsausl\u00f6sung<\/strong><\/td>\nAnwendungsf\u00e4lle<\/strong><\/td>\nRegulatorische Anforderungen<\/strong><\/td>\n<\/tr>\n<\/thead>\n
            Kontoinformationsdienst (AIS)<\/b><\/span><\/td>\nJa \u2014 Nur-Lese-Zugriff auf Transaktionshistorie, Saldo, Kontodetails<\/span><\/td>\nNein<\/span><\/td>\nPers\u00f6nliches Finanzmanagement, Budget-Apps, Finanzanalysen, Kredit-Scoring<\/span><\/td>\nMuss lizenziert sein; muss die ausdr\u00fcckliche Zustimmung des Kunden einholen; muss die Fristen f\u00fcr die Datenspeicherung einhalten (in der Regel 90 Tage)<\/span><\/td>\n<\/tr>\n
            Zahlungsausl\u00f6sedienst (PIS)<\/b><\/span><\/td>\nEingeschr\u00e4nkt \u2014 in der Regel nur zur Betrugspr\u00e4vention und Zahlungsbest\u00e4tigung<\/span><\/td>\nJa \u2014 kann Einzel- oder Dauerauftr\u00e4ge ausl\u00f6sen<\/span><\/td>\nAlternative Checkouts, Rechnungsbezahlung, grenz\u00fcberschreitende \u00dcberweisungen, Peer-to-Peer-Zahlungen<\/span><\/td>\nMuss lizenziert sein; muss die ausdr\u00fcckliche Zustimmung des Kunden einholen; muss SCA zur Zahlungsbest\u00e4tigung implementieren; muss Transaktionsbelege bereitstellen<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

            Sowohl AIS- als auch PIS-Anbieter m\u00fcssen formell bei ihrer nationalen Finanzaufsichtsbeh\u00f6rde registriert sein. In der EU ist dies in der Regel die nationale Zentralbank oder die Finanzmarktaufsichtsbeh\u00f6rde. Die Registrierung erfordert den Nachweis technischer F\u00e4higkeiten, von Sicherheitsma\u00dfnahmen, Governance-Strukturen und finanzieller Solidit\u00e4t. Einmal registriert, erhalten AIS- und PIS-Anbieter das gesetzliche Recht, auf Kundenbankkonten zuzugreifen (vorbehaltlich der Zustimmung des Kunden), und unterliegen der laufenden aufsichtsrechtlichen \u00dcberwachung.<\/p>\n

            Wie erm\u00f6glichen Open-Banking-APIs den Austausch von Finanzdaten?<\/h2>\n

            API-Architektur und technische Umsetzung<\/h3>\n

            Open-Banking-APIs basieren auf Standard-Webtechnologien: RESTful-HTTP-Protokollen, JSON-Datenformaten und der OAuth-2.0-Authentifizierung. Dieses technische Fundament wurde bewusst gew\u00e4hlt, um die Eintrittsbarrieren f\u00fcr Fintech-Entwickler zu senken und die Kompatibilit\u00e4t mit verschiedenen Bankensystemen zu gew\u00e4hrleisten.<\/p>\n

            Ein typischer Open-Banking-API-Ablauf funktioniert wie folgt:<\/p>\n

              \n
            1. \n

              Kunde initiiert eine Anfrage:<\/b> Ein Kunde nutzt eine Fintech-App und klickt auf eine Schaltfl\u00e4che wie \u201eVerbinden Sie Ihr Bankkonto\u201c. Die App leitet den Kunden auf die Login-Seite seiner Bank (oder die Schnittstelle eines Aggregators) weiter.<\/p>\n<\/li>\n

            2. \n

              Kunde authentifiziert sich und erteilt seine Einwilligung:<\/b> Der Kunde meldet sich mit seinen normalen Zugangsdaten bei seiner Bank an. Die Bank zeigt daraufhin einen Bildschirm zur Einwilligung an, auf dem genau zu sehen ist, auf welche Daten die Drittanbieter-App wie lange und zu welchem Zweck zugreifen wird. Der Kunde genehmigt oder lehnt die Anfrage explizit ab.<\/p>\n<\/li>\n

            3. \n

              Bank generiert einen Autorisierungscode:<\/b> Wenn die Anfrage genehmigt wird, generiert die Bank einen zeitlich begrenzten Autorisierungscode und leitet den Kunden zur\u00fcck zur Fintech-App.<\/p>\n<\/li>\n

            4. \n

              Drittanbieter-App tauscht Code gegen Zugriffstoken aus:<\/b> Die Fintech-App verwendet den Autorisierungscode, um ein Zugriffstoken (Access Token) vom API-Server der Bank anzufordern. Dieser Austausch findet von Server zu Server statt, nicht \u00fcber den Browser des Kunden. Dadurch wird sichergestellt, dass die App die Bankzugangsdaten des Kunden niemals sieht.<\/p>\n<\/li>\n

            5. \n

              Drittanbieter-App fragt Kontodaten ab:<\/b> Die Fintech-App verwendet das Zugriffstoken, um API-Anfragen an die Open-Banking-API der Bank zu senden, Kontoinformationen und die Transaktionshistorie abzurufen oder Zahlungen wie autorisiert auszul\u00f6sen.<\/p>\n<\/li>\n

            6. \n

              Bank gibt Daten zur\u00fcck und protokolliert den Zugriff:<\/b> Die Bank gibt die angeforderten Daten in einem standardisierten JSON-Format zur\u00fcck und protokolliert jeden API-Zugriff f\u00fcr Audit- und Compliance-Zwecke.<\/p>\n<\/li>\n<\/ol>\n

              Dieser OAuth-2.0-Ablauf stellt sicher, dass die Fintech-App niemals direkten Zugriff auf die Bankzugangsdaten des Kunden erh\u00e4lt. Stattdessen fungiert die Bank als vertrauensw\u00fcrdiger Vermittler und gibt zeitlich begrenzte Zugriffstoken aus, die jederzeit widerrufen werden k\u00f6nnen.<\/p>\n

              Aus technischer Sicht haben Banken Open-Banking-APIs in der Regel \u00fcber einen von zwei Ans\u00e4tzen implementiert:<\/p>\n

              \n

              Ansatz 1: Direkte API-Integration<\/b><\/p>\n

              Die Bank baut ihre eigene Open-Banking-API direkt auf ihrem Kernbankensystem auf und macht Kontodaten und Zahlungsausl\u00f6sefunktionen \u00fcber standardisierte Endpunkte zug\u00e4nglich. Dieser Ansatz bietet ein Maximum an Kontrolle und Anpassungsm\u00f6glichkeiten, erfordert jedoch erhebliche Investitionen in die Entwicklung.<\/p>\n

              Ansatz 2: API-Aggregationsplattform<\/b><\/p>\n

              Die Bank arbeitet mit einer externen API-Aggregationsplattform zusammen (wie Plaid, TrueLayer oder OpenBanking.org.uk), die als Schnittstelle zwischen den Altsystemen (Legacy Systems) der Bank und Drittentwicklern fungiert. Die Aggregationsplattform \u00fcbernimmt die Authentifizierung, Datennormalisierung und API-Standardisierung. Dies verringert den Entwicklungsaufwand f\u00fcr die Bank, f\u00fchrt jedoch zu einer Abh\u00e4ngigkeit vom Aggregator.<\/p>\n<\/blockquote>\n

              Viele gro\u00dfe europ\u00e4ische Banken haben einen hybriden Ansatz gew\u00e4hlt: Sie entwickeln Kern-Open-Banking-APIs intern, beteiligen sich aber gleichzeitig an branchen\u00fcblichen Plattformen, um eine breitere Kompatibilit\u00e4t im \u00d6kosystem zu gew\u00e4hrleisten.<\/p>\n

              Verbrauchereinwilligung und Daten-Governance<\/h3>\n

              Ein grundlegendes Prinzip von PSD2 Open Banking ist die ausdr\u00fcckliche, informierte Einwilligung des Verbrauchers. Bevor ein Drittanbieter auf Kontodaten zugreifen oder Zahlungen ausl\u00f6sen kann, m\u00fcssen dem Kunden klare Informationen \u00fcber folgende Punkte vorgelegt werden:<\/p>\n

                \n
              • \n

                Die Identit\u00e4t des Drittanbieters<\/p>\n<\/li>\n

              • \n

                Die spezifischen angeforderten Daten oder Funktionen (z. B. \u201eTransaktionshistorie der letzten 90 Tage lesen\u201c oder \u201eZahlungen bis zu 5.000 \u20ac ausl\u00f6sen\u201c)<\/p>\n<\/li>\n

              • \n

                Die Dauer der Einwilligung (z. B. \u201ef\u00fcr 90 Tage\u201c oder \u201ebis auf Widerruf\u201c)<\/p>\n<\/li>\n

              • \n

                Der Zweck des Datenzugriffs (z. B. \u201eum Budgetberatung anzubieten\u201c oder \u201eum Rechnungszahlungen abzuwickeln\u201c)<\/p>\n<\/li>\n<\/ul>\n

                Dieses Einwilligungsmodell unterscheidet sich erheblich vom traditionellen Modell mit \u201eBenutzername und Passwort\u201c, bei dem ein Kunde seine Bankzugangsdaten an eine Drittanbieter-App \u00fcbergab und ihr damit unbegrenzten Zugriff auf unbestimmte Zeit gew\u00e4hrte. Das Einwilligungsmodell der PSD2 ist weitaus granularer und transparenter.<\/p>\n

                Die Daten-Governance im Rahmen der PSD2 umfasst auch strenge Speicherfristen. Kontoinformationsdienstleister d\u00fcrfen Transaktionsdaten in der Regel nur bis zu 90 Tage nach Ablauf der Einwilligung des Kunden aufbewahren. Dies verhindert, dass Fintech-Unternehmen ohne fortlaufende Einwilligung permanente Datenbanken mit der Finanzhistorie von Kunden aufbauen.<\/p>\n

                Dar\u00fcber hinaus steht die PSD2 im Einklang mit der Datenschutz-Grundverordnung der EU (DSGVO<\/b>), die Kunden zus\u00e4tzliche Rechte einr\u00e4umt: das Recht auf Auskunft \u00fcber ihre Daten, das Recht auf Berichtigung unrichtiger Daten und das Recht auf Vergessenwerden (Datenl\u00f6schung). Diese Rechte machen die Daten-Governance noch komplexer und erfordern von Fintech-Unternehmen und Banken die Implementierung robuster Datenverwaltungs- und L\u00f6schverfahren.<\/p>\n

                Sicherheitsma\u00dfnahmen und Betrugspr\u00e4vention<\/h3>\n

                Open-Banking-APIs sind lohnende Ziele f\u00fcr Cyberkriminelle. Eine kompromittierte API k\u00f6nnte Millionen von Kundentransaktionen, Guthaben und pers\u00f6nliche Finanzdaten offenlegen. Folglich schreibt die PSD2 strenge Sicherheitsma\u00dfnahmen vor:<\/p>\n

                  \n
                • \n

                  Verschl\u00fcsselung:<\/b> Jede API-Kommunikation muss \u00fcber TLS-1.2-Protokolle (oder h\u00f6her) verschl\u00fcsselt werden. Sensible Daten m\u00fcssen sowohl bei der \u00dcbertragung (zwischen API-Client und Server) als auch im Ruhezustand (gespeichert auf den Systemen der Bank) verschl\u00fcsselt sein.<\/p>\n<\/li>\n

                • \n

                  Gegenseitige Authentifizierung:<\/b> Sowohl der Drittanbieter als auch die Bank m\u00fcssen sich gegenseitig authentifizieren, bevor Daten ausgetauscht werden. Dies wird in der Regel durch digitale Zertifikate und gegenseitiges TLS (mTLS) erreicht, was Man-in-the-Middle-Angriffe verhindert.<\/p>\n<\/li>\n

                • \n

                  Zugriffskontrollen:<\/b> Von der Bank ausgestellte Zugriffstoken m\u00fcssen in ihrem Umfang (Festlegung, welche Daten oder Funktionen genau zug\u00e4nglich sind) und ihrer Dauer (Ablauf nach einem festgelegten Zeitraum, in der Regel 90 Tage) begrenzt sein. Banken m\u00fcssen au\u00dferdem Rate Limiting (Ratenbegrenzung) und Anomalieerkennung implementieren, um verd\u00e4chtige API-Nutzungsmuster zu identifizieren und zu blockieren.<\/p>\n<\/li>\n

                • \n

                  Transaktions\u00fcberwachung:<\/b> Bei Zahlungsausl\u00f6sediensten m\u00fcssen Banken alle Antr\u00e4ge auf Zahlungsausl\u00f6sung auf Anzeichen von Betrug oder unbefugtem Zugriff \u00fcberwachen. Dazu geh\u00f6rt der Abgleich von Transaktionsbetr\u00e4gen mit historischen Mustern, die \u00dcberpr\u00fcfung, ob der Zahlungsempf\u00e4nger mit dem fr\u00fcheren Verhalten des Kunden \u00fcbereinstimmt, und die Kennzeichnung ungew\u00f6hnlicher grenz\u00fcberschreitender \u00dcberweisungen oder Transaktionen mit hohem Wert.<\/p>\n<\/li>\n

                • \n

                  Meldung von Vorf\u00e4llen:<\/b> Wenn eine Bank oder ein Drittanbieter eine Sicherheitsverletzung erleidet, die sich auf Open-Banking-APIs auswirkt, muss der Vorfall der nationalen Finanzaufsichtsbeh\u00f6rde innerhalb eines definierten Zeitrahmens gemeldet werden (bei schwerwiegenden Vorf\u00e4llen in der Regel innerhalb von 24 Stunden). Die EBA ver\u00f6ffentlicht Leitlinien zur Klassifizierung von Vorf\u00e4llen und zu den Meldeverfahren.<\/p>\n<\/li>\n

                • \n

                  Penetrationstests und Sicherheitsaudits:<\/b> Banken und gro\u00dfe Drittanbieter sind verpflichtet, regelm\u00e4\u00dfige Penetrationstests und Sicherheitsaudits ihrer Open-Banking-Infrastruktur durchzuf\u00fchren, in der Regel mindestens einmal j\u00e4hrlich. Diese Tests m\u00fcssen von unabh\u00e4ngigen Sicherheitsfirmen durchgef\u00fchrt und f\u00fcr die aufsichtsrechtliche Pr\u00fcfung dokumentiert werden.<\/p>\n<\/li>\n<\/ul>\n

                  Welche gesch\u00e4ftlichen Auswirkungen haben PSD2 und Open Banking?<\/h2>\n

                  Auswirkungen auf Finanzinstitute<\/h3>\n

                  F\u00fcr traditionelle Banken ist die PSD2 ein zweischneidiges Schwert gewesen. Einerseits hat sie erhebliche Kapitalinvestitionen in die API-Infrastruktur, in Sicherheitssysteme und in die Einhaltung regulatorischer Vorschriften erzwungen. Die europ\u00e4ischen Banken gaben kollektiv Milliarden von Euro aus, um Open-Banking-Plattformen aufzubauen, spezialisierte Talente einzustellen und Altsysteme umzugestalten, um Kontodaten \u00fcber APIs bereitzustellen.<\/p>\n

                  Andererseits hat Open Banking neue Umsatzm\u00f6glichkeiten geschaffen. Banken k\u00f6nnen ihre Kundenbeziehungen und Daten durch folgende Ma\u00dfnahmen monetarisieren:<\/p>\n

                    \n
                  • \n

                    API-Lizenzgeb\u00fchren:<\/b> Erhebung von Geb\u00fchren von Drittanbietern f\u00fcr den Zugriff auf Premium-Open-Banking-APIs.<\/p>\n<\/li>\n

                  • \n

                    Premium-Datendienste:<\/b> Angebot erweiterter Analysen, Erkenntnisse und pr\u00e4diktiver Dienste f\u00fcr Fintech-Partner.<\/p>\n<\/li>\n

                  • \n

                    White-Label-L\u00f6sungen:<\/b> Bereitstellung von Open-Banking-Infrastruktur f\u00fcr kleinere Regionalbanken oder Fintech-Plattformen.<\/p>\n<\/li>\n

                  • \n

                    Partnerschaften im \u00d6kosystem:<\/b> Aufbau strategischer Allianzen mit Fintech-Unternehmen, um das Serviceangebot zu erweitern und neue Kundensegmente zu erreichen.<\/p>\n<\/li>\n<\/ul>\n

                    Die tiefgreifendste Auswirkung der PSD2 auf Banken war jedoch die Disruption des Wettbewerbs. Fintech-Unternehmen, die mit Open-Banking-APIs ausgestattet sind, konnten innovative Zahlungs- und Finanzmanagementdienste auf den Markt bringen, ohne eine eigene Bankeninfrastruktur aufbauen zu m\u00fcssen. Dies hat den Wandel hin zu Embedded Finance (eingebetteten Finanzdienstleistungen) beschleunigt, bei dem Finanzdienste direkt in nicht-finanzielle Apps integriert werden (z. B. Zahlungsoptionen in E-Commerce-Plattformen, Budgetierungstools in Buchhaltungssoftware).<\/p>\n

                    F\u00fcr Banken in Mittel- und Osteuropa hat die PSD2 zudem die M\u00f6glichkeit geschaffen, auf Augenh\u00f6he mit westeurop\u00e4ischen Finanzinstituten zu konkurrieren. Ein slowakisches oder tschechisches Fintech-Unternehmen kann heute Dienste aufbauen, die sich nahtlos in jede EU-Bank integrieren lassen, unabh\u00e4ngig von deren Gr\u00f6\u00dfe oder geografischer Lage.<\/p>\n

                    Chancen f\u00fcr Fintechs und Drittanbieter<\/h3>\n

                    F\u00fcr Fintech-Unternehmen und Drittanbieter war die PSD2 bahnbrechend. Die regulatorische Vorgabe, dass Banken Open-Banking-APIs bereitstellen m\u00fcssen, hat einen riesigen neuen Markt f\u00fcr innovative Finanzdienstleistungen geschaffen:<\/p>\n

                      \n
                    • \n

                      Zahlungsausl\u00f6sedienste:<\/b> Unternehmen wie Wise, Stripe und Revolut haben Milliarden-Umsatz-Gesch\u00e4fte aufgebaut, indem sie alternative Zahlungsmethoden anbieten, die die Zahlungsausl\u00f6sedienste der PSD2 nutzen. Anstatt dass Kunden ihre Kartendaten auf der Website eines H\u00e4ndlers eingeben m\u00fcssen, k\u00f6nnen sie sich direkt bei ihrer Bank authentifizieren und die Zahlung in Sekundenschnelle autorisieren.<\/p>\n<\/li>\n

                    • \n

                      Pers\u00f6nliches Finanzmanagement:<\/b> Apps wie Emma, Money Dashboard und Plaid haben Kontodaten von Tausenden von Banken \u00fcber Open-Banking-APIs aggregiert, sodass Kunden alle ihre Konten an einem Ort sehen und personalisierte Finanzratschl\u00e4ge erhalten k\u00f6nnen.<\/p>\n<\/li>\n

                    • \n

                      Kredit-Scoring und Kreditvergabe:<\/b> Fintech-Kreditgeber nutzen Open-Banking-APIs, um auf Echtzeit-Transaktionsdaten zuzugreifen. Dies erm\u00f6glicht schnellere und genauere Kreditentscheidungen als traditionelle Auskunfteien. Dies hat die Kreditvergabe demokratisiert und es kleinen Unternehmen sowie Einzelpersonen mit begrenzter Kredithistorie erleichtert, Zugang zu Kapital zu erhalten.<\/p>\n<\/li>\n

                    • \n

                      Rechnungs- und Geb\u00fchrenzahlung:<\/b> B2B-Fintech-Plattformen nutzen Zahlungsausl\u00f6sedienste, um die Abl\u00e4ufe bei der Rechnungsbegleichung zu vereinfachen. Unternehmen k\u00f6nnen Lieferanten direkt von ihren Bankkonten aus bezahlen, ohne dass eine manuelle Dateneingabe oder papierbasierte Prozesse erforderlich sind.<\/p>\n<\/li>\n<\/ul>\n

                      Die regulatorische Verpflichtung zur Unterst\u00fctzung von Open Banking hat auch die Markteintrittsbarrieren f\u00fcr Startups gesenkt. Ein Fintech-Gr\u00fcnder ben\u00f6tigt keine Banklizenz mehr, um einen Zahlungsdienst zu starten; er muss sich lediglich als Zahlungsausl\u00f6sedienstleister registrieren und sich in bestehende Bank-APIs integrieren.<\/p>\n

                      Risikomanagement und regulatorische Verpflichtungen<\/h3>\n

                      Trotz der Chancen haben die PSD2 und Open Banking neue Risiken und regulatorische Verpflichtungen mit sich gebracht, die Unternehmen sorgf\u00e4ltig verwalten m\u00fcssen:<\/p>\n

                        \n
                      • \n

                        Compliance-Aufwand:<\/b> Organisationen, die AIS- oder PISP-Dienste anbieten, m\u00fcssen eine aufsichtsrechtliche Registrierung erlangen, technische Standards implementieren, Sicherheitszertifizierungen aufrechterhalten und Berichte an die Aufsichtsbeh\u00f6rden \u00fcbermitteln. F\u00fcr Startups und kleine Unternehmen kann dieser Compliance-Overhead erheblich sein.<\/p>\n<\/li>\n

                      • \n

                        Betriebliches Risiko:<\/b> Open-Banking-APIs sind kritische Infrastrukturen. Wenn eine API ausf\u00e4llt oder eine schlechte Leistung erbringt, kann dies den gesamten Fintech-Dienst st\u00f6ren. Banken und Drittanbieter m\u00fcssen robuste Verfahren f\u00fcr Monitoring, Disaster Recovery und Business Continuity implementieren.<\/p>\n<\/li>\n

                      • \n

                        Cybersicherheitsrisiko:<\/b> Open-Banking-APIs sind lohnende Ziele f\u00fcr Cyberkriminelle. Eine einzige Sicherheitsverletzung k\u00f6nnte Millionen von Kundendatens\u00e4tzen offenlegen und zu beh\u00f6rdlichen Bu\u00dfgeldern, Klagen und Reputationssch\u00e4den f\u00fchren. Unternehmen m\u00fcssen massiv in Sicherheitstools, Bedrohungs\u00fcberwachung und Incident-Response-Kapazit\u00e4ten investieren.<\/p>\n<\/li>\n

                      • \n

                        Datenschutz und DSGVO-Compliance:<\/b> Drittanbieter m\u00fcssen die Anforderungen der DSGVO f\u00fcr die Datenverarbeitung, -speicherung und -l\u00f6schung erf\u00fcllen. Dies ist eine besondere Herausforderung f\u00fcr Unternehmen, die Daten von mehreren Banken aggregieren und zu Analysezwecken aufbewahren.<\/p>\n<\/li>\n

                      • \n

                        Regulatorische Weiterentwicklung:<\/b> Die PSD2 selbst entwickelt sich weiter, und die PSD3 ist bereits am Horizont erkennbar. Unternehmen m\u00fcssen sich \u00fcber regulatorische \u00c4nderungen auf dem Laufenden halten und bereit sein, ihre technische und betriebliche Infrastruktur entsprechend anzupassen.<\/p>\n<\/li>\n<\/ul>\n

                        Wie unterscheidet sich PSD2 von Open Banking?<\/h2>\n

                        Regulatorische vs. marktgetriebene Ans\u00e4tze<\/h3>\n

                        Ein weit verbreitetes Missverst\u00e4ndnis ist, dass PSD2 und Open Banking synonym herk\u00f6mmliche Begriffe sind. Tats\u00e4chlich handelt es sich um unterschiedliche, sich jedoch \u00fcberschneidende Konzepte:<\/p>\n

                        \n

                        PSD2 ist eine verbindliche EU-Verordnung.<\/b> Alle im EWR t\u00e4tigen Zahlungsdienstleister m\u00fcssen die Anforderungen der PSD2 erf\u00fcllen, ob sie wollen oder nicht. Die Nichteinhaltung f\u00fchrt zu beh\u00f6rdlichen Sanktionen, Bu\u00dfgeldern und dem potenziellen Verlust von Betriebslizenzen.<\/p>\n

                        Open Banking ist eine marktgetriebene Bewegung.<\/b> W\u00e4hrend die PSD2 vorschreibt, dass Banken Open-Banking-APIs bereitstellen m\u00fcssen, geht die breitere Open-Banking-Bewegung \u00fcber die Anforderungen der PSD2 hinaus. Open Banking umfasst freiwillige Initiativen von Banken und Fintech-Unternehmen, um Finanzdaten zu teilen und Innovationen von Drittanbietern zu erm\u00f6glichen, selbst in Rechtsordnungen, in denen es keine regulatorische Verpflichtung gibt.<\/p>\n<\/blockquote>\n

                        Beispielsweise verpflichtete die Open-Banking-Initiative des Vereinigten K\u00f6nigreichs, die \u00e4lter als die PSD2 ist, die neun gr\u00f6\u00dften britischen Banken zur Bereitstellung von Open-Banking-APIs, noch bevor die PSD2 verbindlich wurde. In \u00e4hnlicher Weise haben Australien und Singapur Open-Banking-Initiativen gestartet, die auf regulatorischen Vorgaben basieren, jedoch andere technische Standards und einen anderen Geltungsbereich als die PSD2 aufweisen.<\/p>\n

                        Im Grunde genommen ist die PSD2 die europ\u00e4ische regulatorische Umsetzung des breiteren Open-Banking-Konzepts. Sie definiert das \u201eWie\u201c und \u201eWas\u201c von Open Banking im EWR und legt genau fest, welche APIs bereitgestellt werden m\u00fcssen, welche Sicherheitsstandards einzuhalten sind und welche Drittanbieter f\u00fcr den Zugriff auf Kundendaten autorisiert sind.<\/p>\n

                        Geografischer Geltungsbereich und regionale Unterschiede<\/h3>\n

                        Die PSD2 gilt nur f\u00fcr Zahlungsdienstleister, die im EWR t\u00e4tig sind. Au\u00dferhalb des EWR wird Open Banking im Rahmen anderer regulatorischer Rahmenbedingungen oder marktgetriebener Initiativen betrieben:<\/p>\n

                          \n
                        • \n

                          Vereinigtes K\u00f6nigreich:<\/b> Nach dem Brexit hat das Vereinigte K\u00f6nigreich ein eigenes Open-Banking-Framework entwickelt, das weitgehend an der PSD2 ausgerichtet ist, jedoch einige Unterschiede bei den technischen Standards und den Zeitpl\u00e4nen f\u00fcr die Umsetzung aufweist.<\/p>\n<\/li>\n

                        • \n

                          Australien:<\/b> Das Consumer Data Right<\/i> (CDR)-Framework schreibt Open Banking f\u00fcr die vier gr\u00f6\u00dften Banken vor, wobei eine Erweiterung auf andere Finanzinstitute geplant ist.<\/p>\n<\/li>\n

                        • \n

                          Singapur:<\/b> Die Monetary Authority of Singapore<\/i> (MAS) hat freiwillige Open-Banking-Initiativen mit spezifischen API-Standards und Sicherheitsanforderungen gef\u00f6rdert.<\/p>\n<\/li>\n

                        • \n

                          Vereinigte Staaten:<\/b> In den USA gibt es kein umfassendes Open-Banking-Mandat, obwohl das Consumer Financial Protection Bureau<\/i> (CFPB) Open-Banking-Regeln vorgeschlagen hat, die Banken dazu verpflichten w\u00fcrden, Kundendaten mit Fintech-Konkurrenten zu teilen.<\/p>\n<\/li>\n<\/ul>\n

                          F\u00fcr Unternehmen, die in mehreren Regionen t\u00e4tig sind, f\u00fchrt diese Fragmentierung zu Komplexit\u00e4t. Ein Fintech-Unternehmen muss unter Umst\u00e4nden PSD2-konforme APIs f\u00fcr EWR-Kunden, UK-Open-Banking-APIs f\u00fcr britische Kunden und CDR-konforme APIs f\u00fcr australische Kunden implementieren \u2014 jeweils mit unterschiedlichen technischen Spezifikationen, Sicherheitsanforderungen und beh\u00f6rdlicher Aufsicht.<\/p>\n

                          Was sind die h\u00e4ufigsten Missverst\u00e4ndnisse \u00fcber PSD2 und Open Banking?<\/h2>\n

                          Missverst\u00e4ndnis Nr. 1: PSD2 und Open Banking sind dasselbe<\/h3>\n

                          Fakt:<\/b> Wie oben erl\u00e4utert, ist die PSD2 die regulatorische Vorgabe der EU f\u00fcr Open Banking. Open Banking ist das breitere Marktkonzept. Sie h\u00e4ngen zusammen, sind aber verschieden. Das Verst\u00e4ndnis dieser Unterscheidung ist f\u00fcr die Compliance und die strategische Planung wichtig.<\/p>\n

                          Missverst\u00e4ndnis Nr. 2: Open Banking ist nur f\u00fcr Verbraucher da<\/h3>\n

                          Fakt:<\/b> Obwohl Open-Banking-APIs oft f\u00fcr Verbraucher vermarktet werden (z. B. Finanz-Apps), sind sie f\u00fcr Unternehmen gleicherma\u00dfen relevant. Zahlungsausl\u00f6sedienste werden von B2B-Fintech-Plattformen in gro\u00dfem Umfang genutzt, um die Rechnungsbegleichung und das Cashflow-Management zu vereinfachen. Kontoinformationsdienste werden von Business-Intelligence-Plattformen genutzt, um Finanzanalysen in Echtzeit bereitzustellen. Regulierungsbeh\u00f6rden und Branchenverb\u00e4nde diskutieren zunehmend \u00fcber Open Banking f\u00fcr KMU und Firmenkunden, nicht mehr nur f\u00fcr Verbraucher.<\/p>\n

                          Missverst\u00e4ndnis Nr. 3: SCA-Ausnahmen machen die Authentifizierung optional<\/h3>\n

                          Fakt:<\/b> SCA-Ausnahmen (f\u00fcr Kleinbetr\u00e4ge, wiederkehrende Zahlungen etc.) sind konditioniert und risikobasiert. Ein Zahlungsdienstleister kann nicht einfach beschlie\u00dfen, die SCA f\u00fcr alle Kleinbetr\u00e4ge zu \u00fcberspringen; er muss Risikoanalyse-Systeme implementieren, um sicherzustellen, dass die Transaktion tats\u00e4chlich die Bedingungen f\u00fcr eine Ausnahme erf\u00fcllt. Wenn ein Zahlungsdienstleister eine Ausnahme f\u00e4lschlicherweise gew\u00e4hrt und ein Betrug auftritt, haftet der Dienstleister f\u00fcr die betr\u00fcgerische Transaktion. Ausnahmen sind eng gefasst und erfordern eine sorgf\u00e4ltige Umsetzung.<\/p>\n

                          Missverst\u00e4ndnis Nr. 4: Der Austausch von Open-Banking-Daten ist von Natur aus unsicher<\/h3>\n

                          Fakt:<\/b> Obwohl Open Banking den Austausch von Finanzdaten von Kunden mit Dritten beinhaltet, bieten das einwilligungsbasierte Modell der PSD2, die Verschl\u00fcsselungsanforderungen und die Zugriffskontrollen tats\u00e4chlich einen besseren Schutz als das traditionelle Modell des \u201ePasswort-Teilens\u201c (Screen Scraping), das davor praktiziert wurde. Wenn ein Kunde einem Drittanbieter seine Einwilligung erteilt, gew\u00e4hrt er Zugriff auf einen klar definierten Datensatz f\u00fcr einen begrenzten Zeitraum und kann diese Einwilligung jederzeit widerrufen. Das ist weitaus granularer und transparenter, als einer App die Bankzugangsdaten zu \u00fcberlassen und darauf zu hoffen, dass sie keinen Missbrauch damit treibt.<\/p>\n

                          Wie sieht die Zukunft von Open Banking und PSD3 aus?<\/h2>\n

                          PSD3-Roadmap und erwartete \u00c4nderungen<\/h3>\n

                          Die Europ\u00e4ische Kommission hat bereits das Gesetzgebungsverfahren f\u00fcr die PSD3 eingeleitet, wobei die Umsetzung f\u00fcr den Zeitraum 2025\u20132026 prognostiziert wird. W\u00e4hrend \u00fcber die PSD3 noch verhandelt wird, zeichnen sich einige wichtige \u00c4nderungen ab:<\/p>\n

                            \n
                          • \n

                            Erweiterter Geltungsbereich \u00fcber den Zahlungsverkehr hinaus:<\/b> Es wird erwartet, dass die PSD3 die Prinzipien des Open Banking auf andere Finanzprodukte ausweitet, einschlie\u00dflich Sparkonten, Investmentdepots, Versicherungsprodukte und Hypotheken. Dieser breitere Geltungsbereich wird auch als offenes Finanzwesen (Open Finance<\/b>) bezeichnet.<\/p>\n<\/li>\n

                          • \n

                            Gest\u00e4rkte Verbraucherrechte:<\/b> Die PSD3 wird voraussichtlich die Rechte der Verbraucher st\u00e4rken, auf ihre eigenen Daten zuzugreifen und ihre Finanzbeziehungen auf konkurrierende Anbieter zu \u00fcbertragen. Dies k\u00f6nnte das Recht beinhalten, Kontodaten in standardisierten Formaten herunterzuladen und den Anbieter mit minimalem Aufwand zu wechseln.<\/p>\n<\/li>\n

                          • \n

                            H\u00f6here Sicherheit und betriebliche Resilienz:<\/b> Die PSD3 wird wahrscheinlich strengere Anforderungen an die Cybersicherheit stellen, darunter verbindliche Verschl\u00fcsselungsstandards, h\u00e4ufigere Sicherheitsaudits und k\u00fcrzere Fristen f\u00fcr die Reaktion auf Vorf\u00e4lle.<\/p>\n<\/li>\n

                          • \n

                            Echtzeitzahlungen als Standard:<\/b> Die PSD3 k\u00f6nnte vorschreiben, dass alle Banken die Ausl\u00f6sung von Echtzeitzahlungen unterst\u00fctzen m\u00fcssen, wodurch sich die Abrechnungszeiten von Tagen auf Sekunden verk\u00fcrzen.<\/p>\n<\/li>\n

                          • \n

                            Vereinfachte Autorisierung und Authentifizierung:<\/b> Mit der PSD3 k\u00f6nnten flexiblere Authentifizierungsmethoden eingef\u00fchrt werden, was m\u00f6glicherweise die Abh\u00e4ngigkeit von SCA-Ausnahmen verringert, indem eine risikobasierte Authentifizierung erm\u00f6glicht wird, die sowohl sicher als auch benutzerfreundlich ist.<\/p>\n<\/li>\n<\/ul>\n

                            Aufkommende Trends im Bereich Open Finance<\/h3>\n

                            \u00dcber die PSD3 hinaus pr\u00e4gen mehrere \u00fcbergeordnete Trends die Zukunft von Open Banking und Open Finance:<\/p>\n

                              \n
                            • \n

                              Embedded Finance:<\/b> Finanzdienstleistungen werden zunehmend direkt in nicht-finanzielle Anwendungen integriert. Ein Kunde kann einen Kredit beantragen, w\u00e4hrend er auf einer E-Commerce-Plattform einkauft, oder seine Ersparnisse \u00fcber eine Budgetierungs-App anlegen. Open-Banking-APIs erm\u00f6glichen dieses Modell, indem sie Drittanbieter-Apps den Zugriff auf Finanzdaten und das Ausl\u00f6sen von Transaktionen im Namen von Kunden erlauben.<\/p>\n<\/li>\n

                            • \n

                              Echtzeitzahlungen:<\/b> Sofortzahlungssysteme (wie die SEPA-Echtzeit\u00fcberweisung in der EU) werden zum Standard und erm\u00f6glichen eine Zahlungsabwicklung rund um die Uhr an jedem Tag des Jahres. Dieser \u00dcbergang von der Batch-Verarbeitung zur Echtzeit-Abrechnung ver\u00e4ndert das Cashflow-Management und die Zahlungsabl\u00e4ufe grundlegend.<\/p>\n<\/li>\n

                            • \n

                              Offene Daten und Finanztransparenz:<\/b> Regulierungsbeh\u00f6rden und Verbrauchersch\u00fctzer fordern mehr Transparenz bei den Preisen und Bedingungen von Finanzdienstleistungen. Open-Banking-APIs k\u00f6nnten erweitert werden, um Preisdaten offenzulegen. Dies w\u00fcrde es Kunden erm\u00f6glichen, Finanzprodukte einfach zu vergleichen und den Anbieter zu wechseln.<\/p>\n<\/li>\n

                            • \n

                              Grenz\u00fcberschreitendes Open Banking:<\/b> Obwohl die PSD2 in erster Linie innerhalb des EWR gilt, gibt es ein wachsendes Interesse daran, Open Banking \u00fcber L\u00e4ndergrenzen hinweg zu erm\u00f6glichen, um global integrierte Finanzdienstleistungen anzubieten.<\/p>\n<\/li>\n<\/ul>\n

                              H\u00e4ufig gestellte Fragen (FAQs)<\/h2>\n

                              Was ist der Hauptunterschied zwischen PSD1 und PSD2?<\/h3>\n

                              Die urspr\u00fcngliche PSD (2007) konzentrierte sich auf die Schaffung eines harmonisierten rechtlichen Rahmens f\u00fcr Zahlungen innerhalb der EU, um den Wettbewerb zu st\u00e4rken und den Verbraucherschutz zu verbessern. Die PSD2 (2015) weitete diesen Rahmen aus, indem sie das Open Banking einf\u00fchrte (Verpflichtung f\u00fcr Banken, autorisierten Dritten Zugriff auf Kontodaten zu gew\u00e4hren) und strengere Sicherheitsanforderungen wie die starke Kundenauthentifizierung (SCA) vorschrieb.<\/p>\n

                              Wer reguliert Open-Banking-Drittanbieter (TPPs)?<\/h3>\n

                              Drittanbieter m\u00fcssen von der zust\u00e4ndigen Finanzaufsichtsbeh\u00f6rde ihres jeweiligen Heimatlandes (wie der BaFin in Deutschland oder der FMA in \u00d6sterreich) zugelassen oder registriert werden. Sobald sie in einem EU-Land registriert sind, k\u00f6nnen sie ihre Dienste im gesamten EWR \u00fcber das sogenannte Passporting-Verfahren anbieten.<\/p>\n

                              Kann eine Bank einem Drittanbieter den Zugriff auf mein Konto verweigern?<\/h3>\n

                              Eine Bank darf einem autorisierten Drittanbieter den Zugriff nur dann verweigern, wenn begr\u00fcndete und ordnungsgem\u00e4\u00df nachgewiesene Bedenken hinsichtlich eines unbefugten oder betr\u00fcgerischen Zugriffs bestehen. In einem solchen Fall muss die Bank den Vorfall der nationalen Aufsichtsbeh\u00f6rde melden. Ansonsten ist sie gesetzlich verpflichtet, den Zugang zu gew\u00e4hren, sofern der Kunde seine Einwilligung erteilt hat.<\/p>\n

                              Kostet die Nutzung von Open-Banking-Diensten den Endverbraucher Geld?<\/h3>\n

                              Gem\u00e4\u00df den PSD2-Vorschriften m\u00fcssen Banken den grundlegenden Zugang zu Kontodaten und zur Zahlungsausl\u00f6sung f\u00fcr regulierte Drittanbieter kostenlos zur Verf\u00fcgung stellen. Ob der Drittanbieter selbst f\u00fcr seine darauf aufbauende App oder Dienstleistung Geb\u00fchren verlangt, bleibt seinem eigenen Gesch\u00e4ftsmodell \u00fcberlassen; viele Basisdienste f\u00fcr Verbraucher sind jedoch kostenlos.<\/p>\n

                              Wie kann ich eine erteilte Open-Banking-Einwilligung wieder widerrufen?<\/h3>\n

                              Sie k\u00f6nnen Ihre Einwilligung entweder direkt in der Anwendung des Drittanbieters widerrufen oder sich in das Online-Banking Ihrer Bank einloggen. Banken sind verpflichtet, ein \u201eDashboard\u201c oder eine \u00dcbersicht bereitzustellen, in der Kunden alle aktiven Verkn\u00fcpfungen mit Drittanbietern einsehen und den Zugriff mit sofortiger Wirkung sperren k\u00f6nnen.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

                              Die europ\u00e4ische Finanzlandschaft hat im letzten Jahrzehnt einen tiefgreifenden Wandel durchlaufen, der von einer einzigen regulatorischen Vorgabe angetrieben wurde: der Zahlungsdiensterichtlinie 2 (PSD2). Diese umfassende EU-Verordnung hat in Verbindung mit der allgemeinen Marktbewegung hin zu Open Banking die Art und Weise, wie Finanzinstitute, Fintech-Unternehmen und Drittanbieter mit den Zahlungsdaten von Verbrauchern und Unternehmen interagieren, grundlegend […]<\/p>\n","protected":false},"author":7,"featured_media":0,"parent":0,"template":"","glossary-cat":[],"class_list":["post-19960","glossary","type-glossary","status-publish","hentry"],"yoast_head":"\nPSD2 und Open Banking - Greyson<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"PSD2 und Open Banking - Greyson\" \/>\n<meta property=\"og:description\" content=\"Die europ\u00e4ische Finanzlandschaft hat im letzten Jahrzehnt einen tiefgreifenden Wandel durchlaufen, der von einer einzigen regulatorischen Vorgabe angetrieben wurde: der Zahlungsdiensterichtlinie 2 (PSD2). Diese umfassende EU-Verordnung hat in Verbindung mit der allgemeinen Marktbewegung hin zu Open Banking die Art und Weise, wie Finanzinstitute, Fintech-Unternehmen und Drittanbieter mit den Zahlungsdaten von Verbrauchern und Unternehmen interagieren, grundlegend […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/\" \/>\n<meta property=\"og:site_name\" content=\"Greyson\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-28T12:09:39+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data1\" content=\"25\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/\",\"url\":\"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/\",\"name\":\"PSD2 und Open Banking - Greyson\",\"isPartOf\":{\"@id\":\"https:\/\/greyson.eu\/de\/#website\"},\"datePublished\":\"2026-05-28T10:50:37+00:00\",\"dateModified\":\"2026-05-28T12:09:39+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Domovsk\u00e1 str\u00e1nka\",\"item\":\"https:\/\/greyson.eu\/de\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Glossary Terms\",\"item\":\"https:\/\/greyson.eu\/de\/glossary\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"PSD2 und Open Banking\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/greyson.eu\/de\/#website\",\"url\":\"https:\/\/greyson.eu\/de\/\",\"name\":\"Greyson\",\"description\":\"Let\u2019s make future GREYT together\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/greyson.eu\/de\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"PSD2 und Open Banking - Greyson","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/","og_locale":"de_DE","og_type":"article","og_title":"PSD2 und Open Banking - Greyson","og_description":"Die europ\u00e4ische Finanzlandschaft hat im letzten Jahrzehnt einen tiefgreifenden Wandel durchlaufen, der von einer einzigen regulatorischen Vorgabe angetrieben wurde: der Zahlungsdiensterichtlinie 2 (PSD2). Diese umfassende EU-Verordnung hat in Verbindung mit der allgemeinen Marktbewegung hin zu Open Banking die Art und Weise, wie Finanzinstitute, Fintech-Unternehmen und Drittanbieter mit den Zahlungsdaten von Verbrauchern und Unternehmen interagieren, grundlegend […]","og_url":"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/","og_site_name":"Greyson","article_modified_time":"2026-05-28T12:09:39+00:00","twitter_card":"summary_large_image","twitter_misc":{"Gesch\u00e4tzte Lesezeit":"25\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/","url":"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/","name":"PSD2 und Open Banking - Greyson","isPartOf":{"@id":"https:\/\/greyson.eu\/de\/#website"},"datePublished":"2026-05-28T10:50:37+00:00","dateModified":"2026-05-28T12:09:39+00:00","breadcrumb":{"@id":"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/greyson.eu\/de\/glossary\/psd2-und-open-banking\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Domovsk\u00e1 str\u00e1nka","item":"https:\/\/greyson.eu\/de\/"},{"@type":"ListItem","position":2,"name":"Glossary Terms","item":"https:\/\/greyson.eu\/de\/glossary\/"},{"@type":"ListItem","position":3,"name":"PSD2 und Open Banking"}]},{"@type":"WebSite","@id":"https:\/\/greyson.eu\/de\/#website","url":"https:\/\/greyson.eu\/de\/","name":"Greyson","description":"Let\u2019s make future GREYT together","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/greyson.eu\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"}]}},"related_terms":"","external_url":"","internal_reference_id":"","_links":{"self":[{"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/glossary\/19960","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/glossary"}],"about":[{"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/types\/glossary"}],"author":[{"embeddable":true,"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/users\/7"}],"version-history":[{"count":2,"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/glossary\/19960\/revisions"}],"predecessor-version":[{"id":19993,"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/glossary\/19960\/revisions\/19993"}],"wp:attachment":[{"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/media?parent=19960"}],"wp:term":[{"taxonomy":"glossary-cat","embeddable":true,"href":"https:\/\/greyson.eu\/de\/wp-json\/wp\/v2\/glossary-cat?post=19960"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}