Es gilt das gesprochene Wort.

Meine Damen und Herren,

Gesellschaft und Wirtschaft erfahren zurzeit einen tiefgreifenden technologischen Wandel. Die digitale Vernetzung nimmt zu, und dank neuer Technologien können immer komplexere Aufgaben bewältigt werden. Ein zurzeit viel diskutierter Aspekt des digitalen Wandels ist das Open Banking. So selbstverständlich wir heute darüber sprechen, so sehr hätte Open Banking noch vor wenigen Jahren nach Science Fiction geklungen. Hätten Sie vor 30 Jahren jemanden gefragt, was Open Banking ist, dann wäre ihm die Antwort sicher nicht leicht gefallen. Manch einer hätte vielleicht an den Tag der offenen Tür oder an die Geldautomaten gedacht, die damals gerade aufkamen. Wie sehr sich die Wirklichkeit auf den Finanzmärkten verändert hat, merken Sie auch daran, dass Ali Baba bis vor wenigen Jahren bloß eine Figur aus 1001 Nacht¹⁾ war und man Amazonen nur als kriegerische Frauen kannte. Heute denken digital natives bei diesen Namen selbstverständlich an Bigtechs, die mittlerweile viel Geld um den Globus bewegen - und die jederzeit in der Lage wären, auch in Europa ins klassische Bankgeschäft einzusteigen. In China wickeln schon heute Millionen von Menschen Bankdienstleistungen über solche Bigtechs ab, Unternehmen, bei denen die Nutzung von Kundendaten längst zur DNA ihres geschäftlichen Erfolges geworden ist. Diese Wirklichkeit wird sich noch weiter verändern. So wird die gezielte Analyse der weltweit massenhaft verfügbaren Daten mit Sicherheit auch jenseits der Bigtechs für weitere Produkt- und Prozessinnovationen genutzt werden. Regulierern und Aufsehern stellt sich dabei naturgemäß die Frage, wie mit dieser immer wieder neuen digitalen Wirklichkeit umgegangen werden soll.

Um uns diese Wirklichkeit möglichst umfassend zu erschließen, müssen wir zunächst ein möglichst klares Verständnis darüber bekommen, was Innovationen tatsächlich für die Finanzmärkte bedeuten. Das gilt auch für das Open Banking, für das es bislang keine allgemein anerkannte Definition gibt. Wir können uns dieses neue System aber als eine Art Baukasten vorstellen, aus dem sich der Kunde seine gewünschten Finanzdienstleistungen selbst zusammenzimmern kann. Die verschiedenen Bausteine können dabei durchaus von unterschiedlichen Anbietern stammen und nicht bloß aus dem geschlossenen Ökosystem einer einzelnen Bank. Diese Baukastenwelt ist auch für uns Aufseher eine Herausforderung – sie wird bunter, aber auch undurchsichtiger und heterogener. Auch deshalb tun wir gut daran unsere Regeln und Arbeitsprozesse zu evaluieren. Mit unseren Bankaufsichtlichen Anforderungen an die IT (BAIT) und den veränderten Vorgaben an die IT-Kenntnisse von Bankmanagern haben wir bereits auf den digitalen Wandel reagiert. Konkret beschäftigen wir uns auch mit Fragen des Outsourcings und mit Aspekten der Compliance. Aufsicht und Regulierung werden aber nur dann mit der Innovationsgeschwindigkeit mithalten können, wenn sie vorausschauend, technologieneutral und prinzipienbasiert konzipiert sind. Anpassungen sind dann seltener erforderlich, und das Vertrauen in eine beständige, nicht einzelfallbezogene oder von sachfremden Interessen geleitete Finanzmarktregulierung und -aufsicht wird gestärkt. Außerdem müssen bei jeder einzelnen regulatorischen Initiative die Detailfragen genau bedacht werden, da die Weichen sonst ganz unterschiedlich gestellt werden könnten. Lassen Sie mich dies an einem aktuellen Beispiel, nämlich dem Vollzug der Zweiten Zahlungsdiensterichtlinie oder, um die englische Abkürzung zu verwenden: der PSD 2 , erläutern.

Bis Anfang dieses Jahres war die PSD 2 in allen EU-Mitgliedsstaaten in nationales Recht umzusetzen. Deutschland hat, anders als andere Länder, diese Aufgabe pünktlich erfüllt. Ganz bewusst haben die Mütter und Väter dieser Richtlinie deren Anwendung auf Zahlungsdienste und Zahlungskonten beschränkt und dabei unter anderem das Spar- und das Wertpapiergeschäft ausgeklammert. Der deutsche Gesetzgeber hat daran auch nicht gerührt. Rein technisch betrachtet, schafft die PSD 2 zunächst zwei neue beaufsichtigte Zahlungsdienste: den Zahlungsauslösedienst und den Kontoinformationsdienst. Unternehmen, die einen solchen Dienst anbieten wollen, müssen sich einem Erlaubnis- oder Registrierungsverfahren stellen – und unterstehen anschließend der laufenden Aufsicht. In der Theorie mag das nicht besonders spannend klingen. In der Praxis stellen sich aber grundsätzliche Fragen nach der technischen Machbarkeit, der Datensicherheit und dem Schutz der Verbraucher. Somit könnte der PSD 2 durchaus eine Benchmarkfunktion für ähnliche künftige Regulierungsvorhaben zukommen.

Noch ist seit der Scharfschaltung der PSD 2 nicht allzu viel Zeit vergangen, doch bereits jetzt liegen der BaFin zwölf Erlaubnisanträge vor, um Zahlungsauslöse- und Kontoinformationsdienste zu erbringen. Hinzu kommen 13 Registrierungsanträge von Unternehmen, die ausschließlich Kontoinformationsdienste erbringen wollen. Bei den meisten Anträgen handelt es sich um bereits bekannte Geschäftsmodelle, wie etwa das Bezahlen in einem Online-Shop, Multi-Banking-Apps und Finanz-Analyse-Tools. Aus dem Markt sind uns aber auch Geschäftsmodelle bekannt, die darauf abzielen, dass Kunden an der Ladenkasse bezahlen können, indem sie mit ihrem Smartphone eine Online-Banking-Überweisung auslösen. Die gesamte Vielfalt der Geschäftsmodelle, die diese Richtlinie möglich machen wird, werden wir wahrscheinlich erst in ein paar Jahren einschätzen können. In jedem Fall dürften aber die Erfahrungen, die wir jetzt mit den Zahlungsdiensten machen, Einfluss darauf haben, wie wir künftig mit anderen Geschäftsfeldern des Open Bankings regulatorisch umgehen werden. Die Frage nach dem Umgang mit Kundendaten dürfte dabei mit Sicherheit eine Rolle spielen.

Vor dem Inkrafttreten der PSD 2 waren die Legitimität und Legalität dieser Dienste durchaus umstritten. In einigen anderen Mitgliedsstaaten der Europäischen Union waren sie sogar verboten – zumindest dann, wenn der Dienstleister beim Online-Zugriff auf persönliche Daten so auftrat, als wäre er der Kunde selbst. Die Richtlinie löst diese Rechtsunsicherheit auf; Anbieter solcher Dienste haben nun einen gesetzlichen Anspruch auf einen Zugang zum Kundenkonto. Immer vorausgesetzt, der Kunde stimmt zu. Allerdings wird die Art und Weise des Zugangs reguliert; die Details dazu finden sich in einer Delegierten Verordnung der EU-Kommission, deren Vorgaben der Markt bis Mitte September 2019 umsetzen muss.

Ein echter Knackpunkt scheint die Suche nach einer europaweit standardisierten Lösung für den sicheren Zugang zu Konteninformationen zu sein. Die erwähnte Delegierte Verordnung lässt mehrere Möglichkeiten zu. Zum einen können die Institute ihre bestehenden Online-Banking-Websites so anpassen, dass sie Drittdienstleistern einen PSD2-konformen Zugang ermöglichen. Denkbar sind aber auch selbstgestrickte Schnittstellen der einzelnen Banken, kurz APIs (Application Programming Interfaces), an denen die neuen Zahlungsdienstleister andocken können. Banken können aber auch eine API implementieren, die einer weithin akzeptierten Standard-Spezifikation entspricht. Sozusagen ein Passepartout, das für möglichst alle Anbieter in der Baukastenwelt zugänglich ist. Nur diese Variante ist wirkliches Open Banking, weil sie es neuen Playern ermöglicht, ohne allzu hohe Kosten und allzu viel technischen Aufwand am Markt teilzunehmen.

So hehr das Ziel einer einheitlichen Schnittstelle ist, so unterschiedlich sind die Wege, diesen Vorsatz zu erreichen. In Großbritannien beispielsweise ist die Entwicklung einer allgemein akzeptierten Schnittstelle Teil einer staatlich initiierten Open-Banking-Initiative. In Deutschland gibt es keine staatlichen Vorgaben dazu, die Marktteilnehmer haben selbst die Initiative ergriffen. In einer Marktwirtschaft halte ich eine solche eigenverantwortliche Lösung auch für angemessen. Allerdings kommt staatlichen Akteuren im bewährten Modell der sozialen Marktwirtschaft die Rolle zu, einen stabilen Ordnungsrahmen für langfristig erfolgreichen Wettbewerb zu schaffen. Und so sind wir als BaFin gerne bereit, die Initiative der Deutschen Kreditwirtschaft, in der „Berlin Group“ eine standardisierte Schnittstelle für den Zugang für Zahlungsauslösedienste und Kontoinformationsdienste zu entwickeln, dadurch zu unterstützen, dass wir die aufsichtlich zulässigen Grenzen und Möglichkeiten aufzeigen. Allerdings ist es mir wichtig, dass in den weiteren Standardisierungsprozess auch die Fintechs stärker einbezogen werden. Sie sind es, die die Schnittstellen später vorwiegend nutzen werden. Jedoch muss den Fintechs klar sein, dass nicht alle ihre Träume in Erfüllung gehen können. Der Wunsch, auch zu solchen Daten Zugang zu erhalten, die über reine Zahlungskonteninformationen hinausgehen, wird durch die PSD 2 nicht abgebildet und kann auch nicht Pflichtbestandteil einer einheitlichen Schnittstelle werden.
Meine Damen und Herren,

die Welt der PSD 2 wird aber mit Sicherheit nicht die finale Entwicklungsstufe der Finanzmärkte bleiben. Während diese Richtlinie eher auf Evolution als auf Revolution setzt und deshalb mit der Modernisierung eines Gebäudes verglichen werden kann, in dem den Banken weiterhin eine tragende Rolle im Zahlungsverkehr zukommt, träumen im Silicon Valley und andernorts schon manche von einem Komplettabriss, von der vollständigen Disruption. Es war Bill Gates, der 1994 prophezeite, dass in Zukunft zwar das Bankgeschäft, jedoch nicht die Banken selbst gebraucht würden. Eine Vorstellung, die mit Blick auf Phänomene wie die Blockchain und virtuelle Währungen realistischer erscheint als jemals zuvor. Dennoch halte ich Prognosen über den nahenden Tod der klassischen Kreditinstitute für stark übertrieben. Über Jahrzehnte hinweg haben sie Erfahrungswissen angesammelt, und sie verstehen es, aufsichtliche Vorgaben effizient umzusetzen. Zudem verfügen sie über einen entscheidenden Vorteil: das Vertrauen ihrer Kunden. Sie bringen durchaus Voraussetzungen mit, um sich auch unter veränderten Bedingungen an den Finanzmärkten behaupten zu können. Trotzdem täten die Institute gut daran, Open Banking als Katalysator für den Wandel zu begreifen und ihre digitalen Systeme weiter auszubauen und zu modernisieren. Übrigens ist es schon heute jedem Institut, das Einlagen entgegennehmen und Kredite vergeben darf, ohne weitere BaFin-Zulassung möglich, die neuen Geschäftsfelder der Zahlungsauslöse- und Kontoinformationsdienste zu betreten. Die rechtlichen Voraussetzungen dafür liegen vor. Auch darüber hinaus sehe ich die klassischen Institute in keiner schlechten Ausgangsposition, um selbst Honig aus der Digitalisierung zu saugen: Gerade Hausbanken verfügen über umfassende Daten aus Zahlungsverkehr und Kontoführung und haben zudem einen Überblick über das Gesamtportfolio aller Kunden. Außerdem ist schon jetzt erkennbar, dass sich viele Banken im harten Wettbewerb der neuen digitalen Welt zu Plattformen entwickeln werden, an die sich Newcomer aus der Welt der Fintechs mit ihren Produkten und Innovationen andocken können. Ein Modell, das ähnlich funktioniert wie der Markt für Smartphones, wo Programmierer ständig daran arbeiten, ihre Apps für die gängigen Betriebssysteme der Branchenführer kompatibel zu gestalten. Eine solche Plattformication würde allerdings auch bedeuten, dass viele kleinere und mittlere Banken unter Druck geraten.

Andererseits stellt sich mir angesichts der Debatten über Disruption an den Finanzmärkten die Frage, inwieweit wir als Regulierer und Aufseher einen totalen Umbruch an einem so neuralgischen Punkt überhaupt zulassen oder ihn gar durch aktives Handeln herbeiführen sollten. Funktionsfähige Finanzmärkte schaffen eine Verbindung zwischen dem Investitionsbedarf und dem Kapitalbedarf einer Volkswirtschaft. Sie sorgen dafür, dass finanzielle Mittel von Kreditgebern zu Kreditnehmern fließen können. Ungeschützte oder unkontrollierte Disruption wäre fatal. Wenn die Finanzmärkte über einen längeren Zeitraum hinweg aus dem Lot sind, dann kann das, wie wir spätestens seit der Finanzkrise 2007/2008 wissen, schwere Folgen für die gesamte Weltwirtschaft haben. Auf einem derart sensiblen Terrain sind Gesetzgeber und Regulierer gefordert, die Weichen mit größtmöglicher Umsicht zu stellen und einem evolutionären Wandel den Vorzug vor allzu abrupten Umbrüchen zu geben. Damit diese Herausforderung gelingt, sind eine faktenbasierte Analyse von Innovationen und deren Wirkungen sowie ein regelmäßiger Abgleich mit Wissenschaft und Industrie unverzichtbar.

Klar muss aber auch sein: Bestandsschutz für Banken darf es ebenso wenig geben wie regulatorische Boni für Newcomer. Vorausschauend müssen wir nachdenken, wie dezentral angelegte Geschäftsmodelle und immer komplexer werdende Algorithmen und interne Modelle bestmöglich beaufsichtigt werden können. Auch den Verbrauchern und deren Interessen sind wir als BaFin gesetzlich verpflichtet. Hierbei müssen wir nicht nur die Gefährdung durch Cyberrisiken oder den Missbrauch persönlicher Daten im Fokus haben, sondern auch die ausufernde Nutzung von Kundendaten. Dies könnte im Extremfall dazu führen, dass viele Verbraucher langfristig das Vertrauen in die Finanzindustrie insgesamt verlieren. Die Unternehmen täten daher gut daran, genau abzuwägen, inwieweit der Zusatznutzen durch die Monetarisierung von persönlichen Daten, auch bei formal erfolgter Zustimmung des Kunden, die potenziellen negativen Auswirkungen auf die Reputation und das Verbrauchervertrauen überhaupt überwiegt. Diese Entscheidung kann und sollte der Gesetzgeber den Unternehmen in einer Marktwirtschaft nicht in toto abnehmen. Auf der anderen Seite müssen die Verbraucher noch stärker dafür sensibilisiert werden, welchen Wert und Bedeutung die Daten haben, die sie freiwillig preisgeben, und wer über sie verfügen kann. Nur so kann das Vertrauen in etablierte und neue Anbieter und in den Finanzmarkt insgesamt auch in der neuen digitalen Welt gesichert werden.

Meine Damen und Herren,

Regulierung muss den Rahmen so setzen, dass sich die positiven Kräfte der Digitalisierung bestmöglich entfalten können. Gleichzeitig gilt es, die Risiken zu minimieren. Und wenn dann jemand wie Ali Baba, ich meinen den aus 1001 Nacht, vor den Toren des digitalen Finanzmarktes „Sesam, öffne Dich“ ruft, dann darf ihn dahinter nicht gleich die nächste Krise erwarten. Zwar auch kein Schatz wie im orientalischen Märchen, aber immerhin die Möglichkeit, in einem stabilen Umfeld und mit den entsprechenden Voraussetzungen erfolgreich Geschäfte zu betreiben.

In diesem Sinne freue ich mich auf Ihre Fragen und die anschließende Diskussion im Panel.

Fußnote: