Im Kern geht es bei Open Finance um den Zugriff Dritter auf personenbezogene Finanzdaten. Open Finance lässt sich also verkürzt auch als Erweiterung des Open Bankings über den Zahlungsverkehr hinaus auf Bank-, Anlage- und Versicherungsprodukte verstehen. Doch während das Open Banking mit der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) bereits Eingang in die Finanzmarktregulierung gefunden hat, fehlt bei Open Finance noch ein Rechtsrahmen zur übergreifenden, rechtlich wie technisch sicheren und interoperablen Umsetzung. Im Zuge ihrer Strategie für ein digitales Finanzwesen will die Europäische Kommission dies nun ändern.

Möglicher Ablauf eines Datenzugriffs im Rahmen von Open Finance

Wie kann Open Finance in der Praxis aussehen? Abbildung 1 veranschaulicht den Datenzugriff schematisch am Beispiel einer Versicherungskundin. Das Beispiel ist an den Ablauf des Datenzugriffs auf Zahlungsverkehrsdaten nach der Zweiten Zahlungsdiensterichtlinie angelehnt. Wie letztlich der Datenzugriff konkret erfolgen wird, ist Gegenstand des angekündigten Open Finance-Rechtsrahmens und zurzeit noch nicht bekannt.

Abb. 1: Beispielhafte Darstellung eines Datenzugriffs im Rahmen von Open Finance

© BaFin

In diesem abgebildeten Beispiel gewährt die Kundin, die mit einem Versicherungsunternehmen eine Vertragsbeziehung zum Beispiel zu einer Lebensversicherung unterhält, einem Open Finance-Dienstleister Zugriff auf ihre Daten.

Dieser Open Finance-Dienstleister bietet der Kundin beispielsweise ein Pensions-Dashboard an und fasst dafür für sie die bestehenden Altersvorsorgeprodukte unterschiedlicher Anbieter in einer App zusammen. Bei diesen Anbietern erfolgt dann ebenfalls ein Datenzugriff des Open Finance-Dienstleisters.

Darauf basierend und mit weiteren Informationen zur finanziellen Situation der Kundin, die zum Teil auch über den Datenzugriff im Rahmen von Open Finance durch den Open Finance-Dienstleister bezogen werden können, könnte die App eine mögliche Versorgungslücke ausweisen – und der Open Finance-Dienstleister Vorschläge zur Deckung dieser Lücke unterbreiten. Solche Dienstleistungen würden auf Grundlage einer direkten Vertragsbeziehung zwischen der Kundin und dem Open Finance-Dienstleister erfolgen.

In dem Beispiel muss der Open Finance-Dienstleister mit der Zustimmung der Kundin zum Datenzugriff auf das Versicherungsunternehmen zugehen, und dieses muss ihm dann die Daten bereitstellen. Der Zugriff erfolgt regelmäßig über technische Schnittstellen. Damit ist dann auch zwischen dem Versicherungsunternehmen und dem Open Finance-Dienstleister in einem regulierten Umfeld kein individuelles Vertragsverhältnis mehr erforderlich.

Voraussetzungen für eine erfolgreiche Umsetzung von Open Finance aus Sicht der Finanzaufsicht

Um die angestrebte Förderung von Innovation und Wettbewerb durch Zugriff auf Daten im Finanzsektor zu erreichen, sind aus Sicht der BaFin bestimmte Voraussetzungen zu erfüllen. Maßstab hierfür sind die gesetzlichen Aufgaben der BaFin, also die Wahrung der Integrität und Stabilität des Finanzsystems und der kollektive Verbraucherschutz. Dazu gehört es auch, das Vertrauen der Kundinnen und Kunden in das Finanzsystem sicherzustellen.

Auch Geschäftsmodelle, die auf dem Open Finance-Konzept aufbauen, müssen sich daran messen lassen. Vor diesem Hintergrund hat die BaFin aufsichtliche Voraussetzungen und Rahmenparameter formuliert, die aus ihrer Sicht in einem Open Finance-Rahmenwerk berücksichtigt werden sollten:

(1) Betreiberbegriff und mögliche Erlaubnispflichten von Open Finance-Dienstleistern

Beim Betreiberbegriff geht es um die Frage, was ein Open Finance-Dienstleister ist bzw. wer einen Open Finance-Dienst betreibt. Damit verbunden ist auch die Frage, ob und wie Open Finance-Dienstleister einer Finanzregulierung unterstehen sollen, um die Risiken neuer Geschäftsmodelle (z.B. IT-Risiken, Verbraucherschutzrisiken, Reputationsrisiken, etc.) adäquat zu adressieren.

Hiermit verbunden sind auch Überlegungen zu einem regulatorisch-aufsichtlichen „Level-Playing-Field“. Das bedeutet: Anbieter vergleichbarer Dienstleistungen mit gleichartigem Risikoprofil sollten den gleichen regulatorischen Vorgaben unterliegen. Sprich, auch hier sollte der Grundsatz „same business, same risks, same rules“ zur Anwendung kommen. Daher sollte geprüft werden, ob und wie diese Dienste erlaubnispflichtig sind und damit auch einer laufenden Aufsicht unterstehen müssten.

(2) Standardisierungsgrad und Interoperabilität technischer Zugangsschnittstellen sowie Standardisierung von Daten

Um den Zugriff auf Daten sicher, aber auch möglichst direkt, automatisiert und standardisiert durchführen zu können, hängt Open Finance wesentlich von der technischen Umsetzung, der Zustimmung der Kunden zum Datenzugriff und der Umsetzung des Datenzugriffs selbst ab. Gegebenenfalls lassen sich hierfür die bereits im Rahmen der Zweiten Zahlungsdiensterichtlinie eingesetzten Schnittstellen erweitern.

Neben der Standardisierung von Schnittstellen und Daten stellen sich natürlich auch die grundlegenden Fragen, ob die Schnittstellen verpflichtend oder freiwillig einzurichten sind, und wer eine Standardisierung durchführt.

(3) Vermeidung aufsichtlicher Lücken im Hinblick auf die unterschiedlichen Zuständigkeiten beteiligter Behörden

Open Finance berührt, wie auch andere Digitalisierungsthemen im Finanzmarkt, verschiedene Zuständigkeiten. Diese sollten bestmöglich ineinandergreifen, sodass möglichst keine blinden Flecken entstehen.

Ein Beispiel ist das Zusammenspiel von Finanzaufsicht und Datenschutz. Während der Zugriff des Open Finance-Dienstleisters auf die bei einem Finanzunternehmen vorhanden Daten wahrscheinlich durch einen zukünftigen Open Finance-Rechtsakt geregelt wird, unterliegt die weitere Verarbeitung der Daten natürlich weiterhin dem Datenschutzrecht. Mögliche aufsichtliche Zuständigkeiten bei dem Datenzugriff und der Datenverarbeitung müssen bestmöglich ineinandergreifen.

(4) Gegenseitigkeit beim Datenzugang und/oder mögliche Bepreisung beim Zugriff auf technische Zugangsschnittstellen und/oder Daten

Die Gegenseitigkeit beim Datenzugang, auch als Reziprozität bezeichnet, nimmt Bezug darauf, dass nicht nur die produktführenden, beaufsichtigten Unternehmen Daten bereitstellen, sondern auch Open Finance-Dienstleister und gegebenenfalls auch weitere Unternehmen. Denn auch diese verfügen über Daten, die für die produktführenden und datenbereitstellenden Unternehmen relevant sein können. Je nach Ausgestaltung sollte damit auch ein wettbewerbliches „Level-Playing-Field“, also gleiche Wettbewerbsbedingungen für alle Anbieter, hergestellt und einer Konzentration auf einzelne Marktteilnehmer, im Sinne einer Oligopolisierung oder gar Monopolisierung, entgegengewirkt werden.

Die Bepreisung stellt eine Kompensation für die Kosten dar, die mit der Bereitstellung von Daten und Schnittstellen verbunden sind. Sie könnte darüber hinaus auch für den Fall kompensieren, in dem ein gegenseitiger Datenzugang nicht umsetzbar oder werthaltig ist. Ferner könnte eine Bepreisung einen Anreiz für die Bereitstellung hochwertiger Schnittstellen und Daten bieten. Sie sollte die Datenbereitstellung und den -austausch aber auch nicht durch überhöhte Preise verhindern. Insofern spielt neben der Frage, ob eine Bepreisung eine grundsätzliche Option ist, auch die Frage nach deren Höhe bzw. nach dem Preisbildungsmechanismus eine wichtige Rolle.

Erste Ergebnisse einer Diskussion bei der BaFinTech 2022 in Berlin

Bei der BaFinTech 2022 haben Experten der BaFin mit Marktteilnehmern über Open Finance und eine mögliche Ausgestaltung der oben genannten Voraussetzungen in einem Rahmenwerk diskutiert.

Mit Blick auf die Erfassung der Risiken und die Herstellung eines „Level-Playing-Fields“ zeichnete sich in der Diskussion ab, dass eine regulatorisch-aufsichtliche Erfassung der Open Finance-Dienstleister angebracht sein könnte. Orientierung zur Erfassung könnten die Kontoinformationsdienste nach der Zweiten Zahlungsdiensterichtlinie bieten, konkret nach § 1 Abs. 34 Zahlungsdiensteaufsichtsgesetz.

In der Diskussion ergab sich seitens der Diskussionsteilnehmer auch, dass aufgrund der Heterogenität der Produkte und Daten der Markt die Entwicklung der anwendungsbezogenen Standards technischer Zugangsschnittstellen und Daten übernehmen bzw. maßgeblich daran beteiligt werden sollte. Ergänzend wurde von den Diskussionsteilnehmern darauf hingewiesen, dass man auf den genutzten Zugangsschnittstellen und auf bereits laufenden marktgetriebenen Initiativen aufbauen könne. Die Diskussionsteilnehmer merkten ferner an, dass ein im Markt entwickelter Standard, der sich durchgesetzt hat, auch als gesetzlicher Standard eingeführt werden könne, falls die Einrichtung von Zugangsschnittstellen künftig verpflichtend sein sollte.
Im Hinblick auf technische Zugangsschnittstellen sprachen sich Marktteilnehmer in der Diskussion auch für die Einrichtung von Funktionen aus, die über den reinen Datenzugriff hinausgehen. Dies könne beispielsweise auch ermöglichen, die Schnittstellen zur Auslösung von Geschäftsvorfällen, z.B. für Vertragsabschlüsse, über Open Finance-Dienstleister zu nutzen.

Nächste Schritte

Die Europäische Kommission hat in ihrem Arbeitsprogramm für 2023 angekündigt, den Legislativvorschlag zu einem Open Finance-Rahmenwerk im 2. Quartal 2023 vorzulegen. Die von der Europäischen Kommission im vergangenen Jahr ins Leben gerufene Expertengruppe zum Europäischen Finanzdatenraum hat zudem einen Bericht zu Open Finance veröffentlicht und an die Europäische Kommission übergeben.

Wenngleich die Diskussion in diesem Bericht über den Finanzmarkt hinaus auf Open Data ausgerichtet ist, so stimmen die oben genannten Voraussetzungen für einen Datenaustausch aus Sicht der Finanzaufsicht mit den von der Expertengruppe identifizierten Punkten eines Rahmenwerks im Wesentlichen überein. Offen lässt der Bericht indes noch, welche konkreten Regelungen zu diesen Punkten in Abstimmung mit der geltenden Regulierung (z.B. Datenschutz, Finanzregulierung) zu treffen sind. Auch hier seien noch weitere Arbeiten und Diskussionen erforderlich.

Die BaFin verfolgt die Diskussion zum Open Finance-Rahmenwerk und ist mit den unterschiedlichen Anspruchsgruppen im Dialog. Sie wird sich mit einer Position auf Basis ihrer Zuständigkeit und Aufgaben zur Stabilität und Integrität des Finanzsystems sowie des kollektiven Verbraucherschutzes in die weitere Diskussion zu Open Finance aktiv einbringen.