Open Finance beschreibt dabei den Austausch von Daten der Finanzindustrie über den Zahlungsverkehr hinaus, wie beispielsweise Daten zu Darlehen, Depots oder Versicherungen. Grundsätzlich ist auch bei Open Finance die Auslösung von Transaktionen über Dritte im Kundenauftrag denkbar.

Open Banking

Ausgangspunkt der Open-Finance-Entwicklung war Open Banking. Der Begriff steht ganz allgemein für die Idee eines „offenen Bankwesens“. Dies beinhaltet sowohl den Zugang zu personenbezogenen Daten und auch Produktdaten durch Dritte mit Zustimmung der Kundinnen und Kunden als auch die Auslösung von Transaktionen durch Kundinnen und Kunden über Dritte.

Konkret sind unter dem Begriff Open Banking aber meist die durch die Vorgaben der Zweite Zahlungsdiensterichtlinie (Payment Services Directive 2 - PSD 2) in das Zahlungsdiensteaufsichtsgesetz (ZAG) eingeführten Erlaubnis- beziehungsweise Registrierungstatbestände der Zahlungsauslöse- und Kontoinformationsdienste gemeint.

Verkürzt ermöglichen diese Dienste die Nutzung technischer Schnittstellen zum Abruf von Zahlungsverkehrsdaten und zur Auslösung von Zahlungsaufträgen bei kontoführenden Instituten über Dritte, sofern die Kundin oder der Kunde dies veranlasst. Wesentliches Ziel dieser Öffnung des Zahlungsverkehrs für Dritte waren die Ermöglichung und Regulierung neu aufgekommener Innovationen für den Markt sowie für die Kundinnen und Kunden.

Wichtige Informationen zu Zahlungsdiensten finden Sie kompakt auf einer gesonderten Seite der BaFin. Nähere Ausführungen zum Anwendungsbereich des ZAG finden Sie darüber hinaus in einem Merkblatt der BaFin mit Hinweisen zum Zahlungsdiensteaufsichtsgesetz.

Open Insurance

Der Begriff Open Insurance wird, genau wie der Begriff Open Banking, zwar vielfach verwendet, er ist aber nicht gesetzlich definiert. Unter Open Insurance ist insbesondere die verpflichtende Weitergabe von Versicherungsdaten auf Grundlage der ausdrücklichen Zustimmung der Verbraucherinnen und Verbraucher zu verstehen. Um allerdings alle Risiken und Vorteile für Verbraucher und die Branche einbeziehen zu können, empfiehlt sich eine breitere Auslegung des Begriffs. Danach fällt unter Open Insurance der Zugang zu und die gemeinsame Nutzung von versicherungsbezogenen Daten, unabhängig vom Personenbezug, die in der Regel über Programmierschnittstellen (sogenannte APIs) erfolgen. Bei dieser breiteren Auslegung ist auch der Datenaustausch über APIs im Backoffice und in einer für die Verbraucherinnen und Verbraucher nicht direkt sichtbaren Weise, erfasst (z.B. zwischen Versicherern und Versicherungsvermittlern oder anderen Drittparteien/Outsourcing-Partnern, darunter auch Internet der Dinge (IoT)-Anbieter).

Europäische Regulierung zu Open Finance

Zur Weiterentwicklung des Rechtsrahmens für Open Finance in der EU hat die Europäische Kommission am 28.06.2023 das Financial Data Access and Payments Package vorgelegt.

PSD3 und PSR zu Open Banking im Zahlungsverkehr

Zur Überarbeitung der PSD2 enthält das Paket Legislativvorschläge für eine Dritte Zahlungsdiensterichtlinie (Payment Services Directive 3 – PSD3) sowie zur Einführung einer Zahlungsdiensteverordnung (Payment Services Regulation – PSR). Mit diesen Vorschlägen soll die PSD2 in zwei nebeneinanderstehende Regelungen aufgespalten werden. Die Vorschläge befinden sich zurzeit in Verhandlungen auf EU-Ebene. Gemäß Vorschlag soll die PSR als Verordnung 18 Monate und in Teilen erst 24 Monate nach Inkrafttreten unmittelbar anwendbar sein. Wie auch die PSD2 wäre die PSD3 als Richtlinie nach Inkrafttreten noch in das nationale Recht der EU-Mitgliedstaaten umzusetzen.

Inhaltliche Schwerpunkte der Vorschläge zur PSD3 und zur PSR liegen neben der Neuordnung und Anpassung des regulatorischen Rahmens und des Aufsichtsregimes in der Erhöhung des Wettbewerbs bei elektronischen Zahlungen sowie der Förderung der Funktionsfähigkeit des Open Bankings. Außerdem sollen der Verbraucherschutz sowie die Harmonisierung und Durchsetzbarkeit der regulatorischen Vorgaben gestärkt werden.

Im Hinblick auf das Open Banking sind Anpassungen der Vorgaben zu technischen Schnittstellen, der starken Kundenauthentifizierung und der Betrugsbekämpfung ebenfalls Gegenstand der Vorschläge. Ferner sieht der PSR-Vorschlag die Pflicht zur Bereitstellung eines Berechtigungs-Dashboards durch kontoführende Zahlungsdienstleister gegenüber ihren Kundinnen und Kunden zur Überwachung und Verwaltung der erteilten Zustimmungen vor.

FIDA zu Open Finance allgemein und über den Zahlungsverkehr hinaus

Um Open Finance über den Zahlungsverkehr hinaus in der EU einzuführen, hat die Europäische Kommission mit dem Entwurf einer Verordnung über einen Rahmen für den Zugang zu Finanzdaten (Financial Data Access, kurz FIDA-VO-E) einen Rechtsrahmen für weitere Bereiche (z.B. Kredite, Versicherungen, Wertpapiere) vorgelegt.

Dieser Vorschlag befindet sich zurzeit in Verhandlungen auf EU-Ebene. Er sieht eine Anwendbarkeit von 24 Monaten und in Teilen von 18 Monaten nach Inkrafttreten vor.

Ziel des Vorschlags ist es, auf Basis von Finanzdaten mehr Innovationen und Wettbewerb zum Vorteil der Kundinnen und Kunden zu ermöglichen. Dazu enthält der FIDA-VO-E ein gesetzliches Datenzugangsrecht für Kundinnen und Kunden sowie – mit Zustimmung der Kundinnen und Kunden – für Dritte innerhalb der regulierten Finanzindustrie. Kunden sind sowohl Verbraucherinnen und Verbraucher als auch Unternehmen. Eine Transaktionsauslösung über Dritte ist nicht vorgesehen.

Ferner führt der Verordnungsvorschlag für den Datenzugriff durch Dritte den neuen Erlaubnistatbestand des Finanzinformationsdienstleisters (Financial Information Service Provider, FISP) ein. Der Datenzugriff durch Dritte ist damit auf die regulierte Finanzindustrie beschränkt. Für FISP gelten grundsätzlich die Vorgaben der Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act – DORA).

Nach dem FIDA-Verordnungsvorschlag sollen Datennutzer (z.B. die neuen Finanzinformationsdienstleister sowie Banken, Wertpapierfirmen oder Versicherungsunternehmen) gesetzlich definierte Datenkategorien der Kundinnen und Kunden bei Dateninhabern (z.B. Banken, Wertpapierfirmen, Versicherungsunternehmen) abrufen dürfen. Jeweils unter der Voraussetzung, dass Kundinnen und Kunden den Datennutzern zuvor ihre Zustimmung gegeben haben. Der Zugang zu Zahlungskontodaten bleibt jedoch weiter über die PSD2 (zukünftig PSR/PSD3) geregelt und ist rechtlich und inhaltlich von dem Zugang nach dem FIDA-VO-E abzugrenzen. Außerdem sieht der FIDA-VO-E ausdrücklich kein Zugangsrecht für Daten zur gesetzlichen Altersvorsorge, zur Kreditwürdigkeitsprüfung von Verbrauchern sowie zu Kranken- und Lebensversicherungen vor.

Der Zugriff bzw. die Bereitstellung der Daten zwischen Unternehmen soll innerhalb vertraglicher Systeme – sogenannter Financial Data Sharing Schemes – erfolgen, die Dateninhaber und -nutzer auf Basis vorgegebener Anforderungen selbst umsetzen. Daher ist auch eine Pflicht zur Mitgliedschaft von Dateninhabern und -nutzern in diesen Systemen vorgesehen. Im Fokus der Systeme steht unter anderem die Standardisierung von Daten und Zugangsschnittstellen. Dateninhabern soll dabei auch das Recht auf eine Vergütung für die Datenbereitstellung gegenüber Datennutzern zustehen.

Ferner sollen Dateninhaber dazu verpflichtet werden, ihren Kundinnen und Kunden sogenannte Financial Data Permission Dashboards bereitzustellen, ähnlich wie bei der PSR. So sollen Kundinnen und Kunden die gegenüber Datennutzern erteilten Datenzugriffsberechtigungen überwachen und verwalten (z.B. widerrufen) können.

Häufig gestellte Fragen