PSD2 und DSGVO fordern Banken heraus

PSD2 und DSGVO stellen Finanzbranche vor besondere Herausforderungen

Eine strenge Regulierung ist für Banken und Finanzinstitute keineswegs neu. 2018 kommen mit PSD2 und DSGVO zwei zusätzliche Verordnungen, deren Umsetzung sie vor besondere Herausforderungen stellt.

Basel II, Basel III, Mindestanforderungen an das Risikomanagement (MaRisk), Solvabilitätsverordnung (SolvV), Kreditwesengesetz — das sind nur wenige ausgewählte Beispiele aus der Liste der Regulierungsgesetze, die Banken und Finanzinstitute zu beachten haben. Sie wird in diesem Jahr mit PSD2 und DSGVO um zwei weitere Verordnungen ergänzt, die noch in der ersten Jahreshälfte in Kraft treten.

Schon nächste Woche, am 13. Januar 2018, wird die Payment Services Directive (PSD2) wirksam. Mit ihr möchte die Europäische Kommission den Wettbewerb im Markt der Payment Services ankurbeln und Drittanbietern, die nicht im Besitz einer Banklizenz sind, den Eintritt erleichtern. Sie verpflichtet Banken unter anderem dazu, Schnittstellen einzurichten, die Zahlungsdienstleistern den Zugriff auf die Konten der Bankkunden gewähren. „Banken müssen erkennen, dass PSD2 für sie eine große Herausforderung darstellt“, schreibt der IT-Dienstleister DXC. Diese liegt einerseits darin,  die technischen Voraussetzungen für die Umsetzung der Direktive zu bewältigen und auf den stärker werdenden Wettbewerb zu reagieren. Andererseits ist zu beachten, dass die Banken gleichzeitig auch die europäische Datenschutzgrundverordnung (EU-DSGVO oder GDPR) umzusetzen haben. Letztere tritt im Mai 2018 in Kraft. Während die PSD2 Dienstleistern den Zugang zu persönlichen Bankdaten erleichtert, stärkt die DSGVO die Rechte der Verbraucher und verlangt von den Unternehmen einen verbesserten Datenschutz.

Weil der Gesetzgeber Verstöße gegen die EU-DSGVO mit hohen Geldstrafen belegt, sollten sich die Banken und Finanzdienstleister dringend mit den Vorgaben auseinandersetzen und die verbleibenden Monate bis zum Inkrafttreten der Verordnung nutzen. Obwohl die zweijährige Übergangsfrist für die EU-DSGVO demnächst ablaufen wird, wissen viele der Verantwortlichen bei Banken und Finanzdienstleistern noch immer zu wenig über diese Verordnung.

Eine DXC-Umfrage unter CEOs, leitenden Angestellten aus Geschäftsführung und Fachbereichen bei Banken und Finanzinstituten ergab, dass 24 Prozent der Befragten noch nicht einmal von der EU-DSGVO gehört haben. 52 Prozent haben immerhin schon ihr gehört, wissen aber nicht oder nur ungefähr, worum es geht. Lediglich 11 Prozent sagen, dass sie sich der EU-DSGVO bewusst sind und die Details kennen, die für ihr Unternehmen interessant sind.

Laut einer DXC-Umfrage unter CEOs und leitenden Angestellten bei Banken und Finanzinstituten haben 24 Prozent der Befragten noch nicht von der DSGVO gehört.
Diese Ergebnisse der Umfrage sollten bei allen Verantwortlichen angesichts der für die Umsetzung der Vorgaben verbleibenden Zeit die Alarmglocken schrillen lassen. Zumal sich für die Banken und Finanzinstitute aus dem Mix aus PSD2 und DSGVO spezielle Herausforderungen ergeben:

  • Wie verhindert man beispielsweise, dass ein Drittanbieter unerlaubterweise die Bankdaten, die er über die API erhält, weiterverkauft?
  • Wie kann die Bank sicherstellen, dass der Kunde auch tatsächlich das Einverständnis für die Transaktion über einen Drittanbieter gegeben hat? Schließlich verschärft die EU-DSGVO die Handhabung von Einverständniserklärungen.
  • Wie kann man verhindern, dass Hacker über die API Zugang zu den Bankdaten erhalten? Die EU-DSGVO verlangt von den Banken den Nachweis, dass sie alles in ihrer Macht stehende getan haben, um einen solchen Einbruch zu verhindern.

Damit diese und weitere Aufgabenstellungen aus der EU-DSGVO am Stichtag 25. Mai 2018 bewältigt sein werden, dürfen die Verantwortlichen keine Zeit mehr verlieren. Insbesondere sollten sie darauf achten, einen ganzheitlichen Ansatz zu wählen, um Lücken bei der Umsetzung der Vorgaben aus den verschiedenen Gesetzen und Direktiven zu vermeiden.