Die Rolle der Daten in einem offenen Bankensystem

Was ist Open Banking?

Unter Open Banking versteht man die Öffnung von Bankdaten und -infrastrukturen für Drittanbieter unter Verwendung von Standard-APIs (Application Programming Interfaces), die es den Kunden ermöglichen, ihre Finanzdaten auf sichere Weise mit Drittanbietern auszutauschen. 

Open Banking basiert auf zwei grundlegenden Prinzipien: 

• Daten haben einen Wert.
• Die Daten, die die traditionellen Institute besitzen, gehören dem Verbraucher und nicht der Bank. Wenn die Verbraucher ihre Daten nutzen möchten, um Zugang zu besseren Produkten und Dienstleistungen zu erhalten, ist das ihr gutes Recht.

Aus Sicht des Verbrauchers soll es personalisierter, zugänglicher, bequemer und intelligenter werden. Vom Standpunkt der Industrie aus betrachtet, senkt es die Hürden für den Eintritt in die Finanzdienstleistungsbranche und für Innovationen.  

Es handelt sich um ein System, das Finanzinstitute dazu ermutigt, Daten über offene Programmierschnittstellen (APIs) sicher mit Drittanbietern wie Fintechs oder anderen Finanzinstituten zu teilen. Mit Open Banking können Kunden ihre Finanzdaten einfach und sicher mit anderen Dienstleistern, wie z.B. Budgetierungs-Apps oder Investment-Plattformen, teilen, ohne ihre Anmeldedaten anzugeben. Es bietet auch eine Möglichkeit, die finanzielle Transparenz zu verbessern, indem es den Kunden ermöglicht, Produkte und Dienstleistungen verschiedener Anbieter zu vergleichen und fundierte Entscheidungen über ihre Finanzen zu treffen.  

Hier finden Sie ein passendes Beispiel dafür, was Open Banking ist und was es nicht ist. Partner-APIs (wie Visa und MasterCard) gelten nicht als Open Banking. Offene APIs, die zwar öffentlich gehostet werden, aber Ihre eigenen proprietären Datenstrukturen und Protokolle erfordern, fallen ebenfalls nicht in den Bereich des Open Banking. Open Banking ist erreicht, wenn alle Akteure und Finanzinstitute eine Standard-API verwenden.  

Quelle: APIDays London

Open Banking Rahmenwerke

Datensicherheit und Datenschutz stehen im Mittelpunkt von Open Banking, während gleichzeitig die Standardisierung der APIs und Verträge gewährleistet wird. Es werden Rahmenwerke benötigt, um die technischen Standards und Richtlinien zu definieren, die entscheiden, wie diese Daten sicher und effizient zwischen verschiedenen Parteien ausgetauscht werden können. Einige der von verschiedenen Ländern formulierten Standards sind:  

• Der Open Banking Standard (Großbritannien): Dieser Rahmen wurde von der britischen Wettbewerbs- und Marktaufsichtsbehörde (CMA) entwickelt und verpflichtet die neun größten Banken des Landes, Kundendaten über offene APIs sicher mit Drittanbietern zu teilen.
• Die Zweite Richtlinie über Zahlungsdienste (PSD2) (EU): PSD2 ist eine Richtlinie der Europäischen Union, die von Banken verlangt, Drittanbietern über offene APIs offenen Zugang zu ihren Zahlungssystemen und Kundendaten zu gewähren. Sie schreibt außerdem eine starke Kundenauthentifizierung vor und legt Regeln für den Umgang mit Streitigkeiten zwischen Parteien fest.
• Das Recht auf Verbraucherdaten (CDR) (Australien): Das CDR ist ein australischer Rechtsrahmen, der den Verbrauchern das Recht gibt, auf ihre Daten zuzugreifen und diese mit Unternehmen aus dem Banken-, Energie- und Telekommunikationssektor zu teilen. Es verpflichtet diese Unternehmen, offene APIs für den Datenaustausch zur Verfügung zu stellen und schreibt Regeln für den Datenschutz und die Datensicherheit vor.
• Das API Playbook der Monetary Authority of Singapore (MAS) (Singapur): Das MAS API Playbook bietet technische Richtlinien für Finanzinstitute in Singapur, um offene APIs zu entwickeln, die den Best Practices der Branche und den regulatorischen Anforderungen entsprechen.
• The Financial Data Exchange (FDX) (USA): FDX ist ein gemeinnütziger Branchenverband in den USA, der einen Standard für den sicheren und transparenten Datenaustausch zwischen Finanzinstituten, Fintechs und anderen Drittanbietern über offene APIs entwickelt hat.

In Indien gibt es einen Rahmen für Open Banking, das Account Aggregator (AA) System. Das AA-System wurde von der Reserve Bank of India (RBI) eingeführt, um den sicheren und effizienten Austausch von Finanzinformationen zwischen Finanzinstituten und ihren Kunden zu ermöglichen. Im Rahmen des AA-Systems fungieren lizenzierte Kontoaggregatoren als Vermittler zwischen Finanzinstituten und Kunden und erleichtern den Austausch von Kundendaten über offene APIs. Kunden können das AA-System nutzen, um ihre Finanzdaten sicher zwischen mehreren Finanzinstituten auszutauschen, ohne dass sie ihre Anmeldedaten oder andere sensible Informationen weitergeben müssen.

Das AA-System ist Teil der umfassenderen Bemühungen der RBI zur Förderung des digitalen Zahlungsverkehrs und der finanziellen Inklusion in Indien und hat das Potenzial, neue Geschäftsmöglichkeiten für Fintech-Startups und andere Drittanbieter zu erschließen. Mehrere große Banken und Finanzinstitute in Indien haben sich bereits dem AA-System angeschlossen, darunter die ICICI Bank, die HDFC Bank, die Axis Bank und die Kotak Bank, und es wird erwartet, dass weitere folgen werden, sobald das System auf breiter Basis angenommen wird.  

Was sind die Compliance-Aspekte der Implementierung von Open Banking?

Da ein hohes Maß an Kommunikation zwischen mehreren Parteien stattfindet, müssen Finanzinstitute und Drittanbieter die Compliance-Anforderungen einhalten, um die Sicherheit und den Schutz der Kundendaten zu gewährleisten. Einige davon sind:  

• Datenschutz und Privatsphäre: Alle Dienstleister müssen sich an die Vorschriften halten, die für die jeweilige Region gelten, in der sie tätig sind. Beispiele hierfür sind die General Data Protection Regulation (GDPR) in der Europäischen Union und das Personal Data Protection Bill in Indien. Dieser Aspekt bezieht sich auf die Einholung der Zustimmung des Kunden zur gemeinsamen Nutzung von Daten, die Umsetzung strenger Sicherheitsmaßnahmen zum Schutz der Kundendaten und die Gewährleistung, dass die Daten nur für die Zwecke verwendet werden, für die sie weitergegeben wurden.
• Starke Kundenauthentifizierung: Finanzinstitute und Drittanbieter müssen die Anforderungen an eine starke Kundenauthentifizierung (SCA) erfüllen, die die Verwendung von mindestens einer Zwei-Faktor-Authentifizierung für den Zugriff auf Kundenkonten und -daten vorschreibt.
• Einhaltung gesetzlicher Vorschriften: Finanzinstitute und Drittanbieter müssen die geltenden gesetzlichen Bestimmungen einhalten, wie z.B. die Zweite Zahlungsdiensterichtlinie (PSD2) in der Europäischen Union oder das Account Aggregator (AA) System in Indien. Diese Vorschriften können Anforderungen an den Datenaustausch, die Sicherheit und den Datenschutz beinhalten.
• Einhaltung von Standards: Finanzinstitute und Drittanbieter müssen technische Standards für die gemeinsame Nutzung von Daten einhalten, wie z.B. den Open Banking Standard oder den Financial Data Exchange (FDX) Standard.
• Haftung und Streitbeilegung: Es ist auch wichtig, über Verfahren zur Beilegung von Streitigkeiten und zur Zuweisung der Haftung im Falle von Fehlern oder Betrug im Zusammenhang mit der gemeinsamen Nutzung von Daten zu verfügen.

Datenarchitektur für Open Banking 

Daten spielen beim Open Banking eine zentrale Rolle. Ein Unternehmen muss über eine solide Datenverwaltung und -architektur verfügen, um die oben genannten Compliance-Verpflichtungen erfüllen zu können. Der Austausch von Daten (kunden-, transaktions- und finanzbezogen) zwischen Finanzinstituten und Drittanbietern über offene APIs ist die Grundlage von Open Banking. Diese Daten können die Transaktionshistorie, den Kontostand und andere Finanzinformationen umfassen, die zur Bereitstellung einer Reihe von Diensten wie Kontoaggregation, Budgetierung und Kreditwürdigkeitsprüfung genutzt werden können. Einige der Kernkomponenten aus der Sicht der Daten sind die Verwendung offener APIs, die Einführung einer Microservices-Architektur, ein starkes Data-Governance-Rahmenwerk und der Einsatz von Analysen zur Verbesserung der Kundenerfahrung. Die folgende Abbildung zeigt die Elemente einer soliden Datenverwaltung und -architektur, die Unternehmen auf ihrem Weg zum Open Banking übernehmen müssen.  

Quelle: Deloitte

Darüber hinaus ist ein effizientes Integrationssystem der Schlüssel, um sicherzustellen, dass der API-Aufruf saubere, genaue Daten erhält, die aktuell und auf dem neuesten Stand sind. Diese Integration kann entweder über Anwendungsintegration oder Datenvirtualisierung erfolgen. Die Informationen aus mehreren Quellen können in ein virtuelles Data Warehouse integriert werden, anstatt alle Datenquellen physisch zusammenzuführen. Dadurch wird sichergestellt, dass die Daten nicht verschoben werden, während die erforderlichen Informationen bereitgestellt werden. Außerdem wird so die Entstehung von Datensümpfen vermieden.  

Fazit

Wenn wir Open Banking nur aus der Perspektive des Konzepts betrachten, geht es um die gemeinsame Nutzung von Daten, die Zusammenarbeit und die Bereitstellung effizienter Dienstleistungen für seine Kunden. Es ist sehr wahrscheinlich, dass das gleiche Konzept auch auf andere Branchen ausgeweitet werden kann, z.B. auf den Einzelhandel und die Telekommunikation, um mehr Mehrwertdienste für ihre Kunden zu schaffen. Es bleibt abzuwarten, wie das Konzept auf andere Branchen ausgeweitet werden kann, da es von der Funktionsweise der Branche und dem sie unterstützenden Ökosystem abhängt. Entscheidend wird sein, dass die Grundsätze der Sicherheit, Skalierbarkeit, Compliance, des API-Designs und der Datenverwaltung beachtet werden. Durch eine sorgfältige Gestaltung der Datenarchitektur können Finanzinstitute (und in Zukunft auch andere) ihren Kunden einen sicheren und bequemen Zugang zu ihren finanziellen (und persönlichen) Daten bieten und gleichzeitig die gesetzlichen Vorschriften einhalten.