Digitalisierung & Zahlungsverkehr

Als erster sogenannter Asset Broker nimmt die Token GmbH als Abnehmer der Dienste an giroAPI teil. Die Token GmbH ist ein in Berlin ansässiges Unternehmen und Teil der globalen Token.io-Gruppe, das Zahlungsverkehrslösungen in verschiedenen Bereichen anbietet. Wir erwarten, dass sich im August weitere Asset Broker sowie Banken giroAPI anschließen werden.

Sechs Jahre nach der Einführung der PSD2 ist damit erstmals ein produktives Scheme live gegangen, das die Idee von Open Finance in Europa konkret umsetzt. Für beide Seiten – Banken und Asset Broker – ergibt sich daraus eine echte Win-win-Situation. Die Zusammenarbeit ist partnerschaftlich und die angebotenen Dienste werden zu marktwirtschaftlichen Konditionen bereitgestellt und kommen letztlich den gemeinsamen Endkunden zugute.

Zukünftig sind weitere Dienste geplant, die in sogenannten Subschemes gebündelt werden. Ganz oben auf der Roadmap steht „Request to Pay“, dessen Einführung für das kommende Jahr vorgesehen ist.

9. Januar 2025

• Empfangen der Echtzeitüberweisung ermöglichen
• Deckelung der Entgelte für die Echtzeitüberweisung auf das Niveau der klassischen Überweisung
• Prüfung gegen Embargo-Listen der EU

9. April 2025

• Jährliche Berichte über Entgelte und Transaktionen; erstmaliger Bericht rückwirkend ab 26. Oktober 2022

9. Oktober 2025

• Senden der Echtzeitüberweisung anbieten
• Abgleich von IBAN und Name („Verification of Payee“)

Die EU-Kommission möchte mit der Verpflichtung, die Echtzeitüberweisung anbieten zu müssen, innovative Zahlverfahren, beispielsweise am POS ermöglichen. Damit wird eine 24x7-Überweisung in beliebiger Höhe ermöglicht, sodass auch außerhalb der Geschäftszeiten, an Wochenenden und Feiertagen Zahlungen sofort ausgeführt werden können. Dies stellt erhebliche Anforderungen an die Liquiditätsversorgung von Banken, die jederzeit sicherstellen müssen, dass genügend Deckung auf den Konten der zentralen Abwicklungssysteme vorhanden ist. Vorschläge, wie diese Herausforderung gemeistert werden kann, werden derzeit diskutiert.

Wir erwarten eine zügige Umsetzung der Lösung im Eurosystem.

Oft befinden sich diese Vorhaben als Berichte noch im Verhandlungsstatus im ECON-Ausschuss des Parlaments, wie beispielsweise FIDA, der digitale Euro und PSR/PSD3. Hier wird häufig noch um abschließende Berichte zu den jeweiligen Themen gerungen, um diese als Position in den nachfolgenden Trilog mit dem Europäischen Rat einzubringen.

Im Falle von FIDA und PSR/PSD3 liegen bereits die Berichte als abgestimmte Kompromisse im ECON-Ausschuss vor. Allerdings wird derzeit noch lebhaft im Europäischen Rat über Umsetzungsdetails debattiert. Der Bericht zum digitalen Euro hat vor den Wahlen den Status der Kompromissfassung im Ausschuss noch nicht erreicht.

Die Regulierung zur europäischen digitalen Identität (eIDAS 2.0) ist bereits seit dem 20. Mai 2024 in Kraft getreten und wird derzeit um bis zu 40 Durchführungsrechtsakten der Kommission ergänzt werden. Diese sollen Details der Implementierung regeln und befinden sich derzeit in Konsultation mit den Stakeholdern.

Im Bereich des IKT-Risikomanagements müssen Risikobewertungen für alle IKT-Assets inkl. Quellcodes durchgeführt werden. Die zu prüfende Anzahl der IKT-Assets steigt unter DORA um ein Vielfaches. Gerade die darauf aufbauende Einwertung, ob die IKT-Dienste eine kritische oder wichtige Funktion mindestens unterstützen, ist eine wichtige Voraussetzung für das Management von IKT-Drittparteirisiken und die Anpassung der Verträge. Dass entgegen der Ankündigung in Art. 30 (v) DORA bisher nicht auf die Verwendung von Standardvertragsklauseln zurückgegriffen werden kann, ist bei dem engen Umsetzungszeitplan mehr als bedauerlich.

Wir dürfen bei allen Herausforderungen nicht außer Acht lassen, dass die langfristigen Chancen von DORA enorm sind. Gerade durch die Definition standardisierter Anforderungen für den Umgang mit IT-Risiken und Cyber-Sicherheit in der gesamten EU können Finanzinstitute und Drittdienstleister ihre Sicherheitsvorkehrungen besser aufeinander abstimmen und gezielter verbessern. Viel gibt es noch zu tun, bis DORA seine Wirkkraft einer sichereren und resilienteren Finanzwirtschaft erfüllen kann.

Wir wünschen uns daher eine praktikablere Umsetzung insbesondere im Bereich des IKT-Risikomanagements, die die Belastungen für die Finanzdienstleister in ein angemessenes Verhältnis zu den zu erreichenden Zielen setzt.

Um auf die Dienste der Banken zugreifen zu können, müssen diese, ebenso wie die Banken selbst, dem sogenannten giroAPI-Scheme beitreten, das die rechtlichen, fachlichen und technischen Bedingungen für die Zugriffe definiert. giroAPI erweitert den Funktionsumfang im Vergleich zu den gesetzlich in der Zahlungsdiensterichtlinie (PSD2) definierten Diensten. Jedoch können Banken für die angebotenen Dienste der giroAPI Entgelte erheben, was neue Geschäftsmodelle für Banken und Dritte ermöglicht. Mit giroAPI wird ein neues digitales Ökosystem geschaffen, von dem sowohl Anbieter als auch Abnehmer profitieren.

In den letzten vier Jahren wurden die Anforderungen an das giroAPI-Scheme abgestimmt und definiert. Das Bundeskartellamt hatte letztes Jahr prinzipiell grünes Licht für das giroAPI-Scheme gegeben. Nun müssen die Verträge vorbehaltlich einer abschließenden kartellrechtlichen Prüfung unterzeichnet werden, damit giroAPI Ende dieses Jahres/Anfang nächsten Jahres starten kann. Das Interesse bei den Dritten ist groß und wir erwarten eine rege Beteiligung an giroAPI.

Die Karteninhaber haben durchschnittlich zwei Mal häufiger mit ihrer girocard bezahlt, was einer Steigerung um 5,3 % auf insgesamt 3,84 Milliarden Transaktion entspricht. 

Diese Entwicklungen sind im aktuellen Marktumfeld positiv. Im Wettbewerb mit anderen Kartensystemen als auch anderen Zahlverfahren kann sich das girocard-System weiterhin behaupten. Damit das Debitbezahlsystem der deutschen Banken und Sparkassen, gesteuert durch die Deutsche Kreditwirtschaft als Governance Authority, weiterhin stark und vertrauensvoll am Markt auftreten kann, sollen Funktionalitäten eingeführt werden. Die Online-Altersverifikation wird bereits erfolgreich pilotiert. Kundenbindungsprogramme können in den Bezahlprozess mit der girocard integriert werden. Desweiteren wird das girocard-System um eine sogenannte „flexible Autorisierung“ erweitert. Damit werden erstmalig neue Akzeptanzbereiche erschlossen, die vom Handel nachgefragt werden und Kunden weiter an die Nutzung der Karte binden, wie bspw. Reservierungen und Teilzahlungen.

Wir unterstützen dies.

Die KI-Verordnung der Europäischen Union (AI-Act) soll in erster Linie verhindern, dass der Einsatz von KI die Grundrechte von EU-Bürgern einschränkt. Zugleich werden grundlegende Anforderungen für den Einsatz generativer KI formuliert. Wichtige Punkte bleiben ungeklärt. So fehlt etwa eine klare Definition von KI. Auch für die Schulungen von Mitarbeitenden im Umgang mit KI sowie die notwendige menschliche Überwachung von KI fehlen noch Rahmenbedingungen.

Wir fordern hier zügig praxisgerechte, rechtssichere Leitplanken. Wir begrüßen den pragmatischen Ansatz der Bundesanstalt für Finanzdienstleistungsaufsicht bei der Prüfung von KI-Modellen in der Banksteuerung. KI wird hier als eine von vielen Technologien behandelt, die Banken testen und verantwortlich einsetzen. Noch zu erwartende Handreichungen des Bundesamts für Sicherheit in der Informationstechnik zur Standardisierung können dabei wertvolle Unterstützung bieten. Dadurch wird der eigenverantwortliche Einsatz von KI unterstützt. 

Die Einführung erfolgt im Wesentlichen in drei Stufen:

→ 9. Januar 2025
- Empfangen der Echtzeitzahlung ermöglichen
- Deckelung der Entgelte für Echtzeitzahlung auf das Niveau der Überweisung
- Prüfung gegen Embargo-Listen der EU

→ 9. April 2025
- Jährliche Berichte über Entgelte und Transaktionen

→ 9. Oktober 2025
- Senden der Echtzeitzahlung anbieten
- Empfänger überprüfen (Abgleich von IBAN und Name, Verification of Payee [VOP]) Viele Fragen sind offen.

Beispielsweise wie außerhalb der Geschäftszeiten innerhalb von 10 Sekunden Währungen umgerechnet werden können. Der Abgleich von IBAN und Name wird im European Payment Council (EPC) spezifiziert und soll Ende 2024 bereitstehen. Jedoch wirft die technische Umsetzung viele Fragen auf.

Wir haben rechtliche Fragen an die EU-Kommission gesendet, die diese sammelt und in einer FAQ-Liste veröffentlichen möchte. Technische Fragen werden wir auf nationaler und europäischer Ebene diskutieren. Anfang Mai 2024 möchte das BMF ein deutsches Begleitgesetz entwerfen und veröffentlichen, das hoffentlich einige rechtliche Fragen klärt.

Die Dritten warten schon ungeduldig auf den Beginn und die Banken sind mitten in der technischen Umsetzung nach der Berlin-Group-Spezifikation. Wir erwarten, dass zu Beginn schon eine kritische Masse an Banken vorhanden ist, die die Dienste anbieten werden. Auf EU-Ebene existiert die SPAA-Initiative, die offiziell bereits gestartet ist. Leider gibt es bisher nur drei Teilnehmer, die die Dienste nutzen wollen, aber keine Anbieter (Banken). Die Gründe sind vielfältig. Beispielsweise sind die Entgelte kostenbasiert und bieten bei Zahlungen keinen adäquaten Risikopuffer. Auch erscheint die Governance fragwürdig, in der die Anbieter de facto in der Minderheit sind und somit nicht entscheiden können, welche Dienste sie anbieten müssen. Die SPAA-Initiative steht unter hohem politischem Druck und wird von der EZB und der EU-Kommission eng begleitet.

Wir sind überzeugt, dass die beiden Initiativen erfolgreich sein können, sehen jedoch Vorzüge in der marktwirtschaftlich geprägten giroAPI-Initiative. Wir möchten interessierte Banken ermuntern, sich an der giroAPI-Initiative zu beteiligen.

Wir erwarten zudem weitere, sektorspezifische Regulierungen auf nationaler und europäischer Ebene. Das KI-Gesetz definiert vier Risikoklassen für KI. Damit sollen mögliche Auswirkungen spezifischer Anwendungsfälle von KI auf die Bürger und deren Grundrechte geregelt werden. Eine Ausnahme stellen KI-Modelle mit allgemeinem Verwendungszweck dar, sogenannte „General Purpose AI“, wie z.B. ChatGPT. Diese unterliegen einer technischen Systemregulierung, um ihre Risikoklasse bestimmen zu können. Viele Fragen zur Anwendung und nationalen Umsetzung sind noch offen. Die EU-Mitgliedstaaten müssen laut Verordnung nationale Behörden einrichten oder Verantwortliche für die Durchsetzung des Gesetzes bestimmen. Ob es auch in Deutschland eine neue Behörde für die Aufsicht von KI geben wird, ist noch offen. In Spanien wurde bereits eine Behörde (AESIA) gegründet und auch in den Niederlanden gibt es bereits ähnliche Planungen. Unklar ist zudem, wie genau die Anwendung des KI-Gesetzes beispielsweise auf hochrisikobehaftete Kreditwürdigkeitsprüfungen von Banken ausgestaltet werden wird.

Wir bringen uns aktiv in den Prozess der nationalen finanzwirtschaftlichen Umsetzung ein, um innovationsfeindliche und bürokratische Tendenzen zu vermeiden.

Die EU-Kommission hatte Mitte letzten Jahres einen Vorschlag zur Regulierung eines digitalen Euros vorgelegt. Dieser wird im
ECON-Ausschuss des EU-Parlaments und im EU-Rat der Mitgliedstaaten derzeit intensiv diskutiert. Es sind bereits jetzt schon zahlreiche Änderungen vorgeschlagen worden. Bis zur EU-Wahl im Juni 2024 wird es über diese Anpassungen jedoch keinen Konsens geben. Die Einführung des digitalen Euros ist daher nicht vor 2030 zu erwarten. Für eine erfolgreiche Einführung eines digitalen Euros sind der legislative Vorschlag und die Konzeption der EZB noch erheblich anzupassen. Zahlreiche Aspekte müssen genauer untersucht werden. Dazu zählt u.a. das Festlegen eines niedrigen dreistelligen Haltelimits pro Nutzer. Dies spielt in allen Diskussionen auf EU-Ebene eine zentrale Rolle, um die Stabilität des Finanzsystems nicht zu gefährden. Auch die Kosten eines digitalen Euros für Finanzintermediäre und das gesamte Eurosystem müssen betrachtet werden. Aber letztlich entscheidet die Kundenakzeptanz über den Erfolg eines digitalen Euros.

Wir sind überzeugt, dass die zahlreichen Fragen erst umfassend beantwortet werden müssen, bevor der digitale Euro im Markt erfolgreich sein kann.

Bis zum 9. Januar 2025 sind Institute in Euro-Ländern verpflichtet, passiv für Echtzeitzahlungen erreichbar zu sein, bis zum 9. Oktober 2025 aktiv für das Versenden sowie für die Empfängerüberprüfung. Entgelte für Echtzeitzahlungen dürfen nicht höher als jene für andere Überweisungen sein.

Die wichtigsten Punkte sind:

• Verpflichtende Unterstützung

Nach dem vorläufigen finalen Stand der Regulierung sollen die Institute verpflichtet werden, die Echtzeitüberweisung aktiv und passiv anzubieten.

• Entgelte

Die Entgelte für die Echtzeitüberweisung dürfen das Niveau der EU-Standardüberweisung nicht überschreiten.

• Technische Schwierigkeiten

Ende 2023 wurden die Fristen und Konditionen für die Echtzeitüberweisung im Trilog angepasst. Dabei wurde die Antwortzeit von derzeit maximal 25 Sekunden auf 10 Sekunden reduziert und die Zahlerbank muss das Konto des Kunden wieder glattstellen, wenn innerhalb von 10 Sekunden keine positive Antwort der Empfängerbank erfolgt. Dies hat schwerwiegende Auswirkungen:

• Dadurch entfällt die Zeit, die bei ausbleibender Antwort für Recherchen benötigt wird, und es kann zu inkonsistenten Zuständen bei der Zahler- und der Empfängerbank führen.
• Zudem müssten in der Übergangszeit zwei Varianten der Echtzeitüberweisung mit unterschiedlichen Fristen unterstützt werden, was unrealistisch ist.
• Des Weiteren muss in kurzer Zeit das Regelwerk für Echtzeitüberweisungen im EPC angepasst werden, was bei derartig einschneidenden Änderungen mehrere Wochen öffentlich konsultiert wird. Auch dies scheint kaum darstellbar zu sein.

Daher läuten derzeit bei den deutschen und europäischen Verbänden sowie beim EPC die Alarmglocken und es wird versucht, die für eine Verabschiedung vorbereitete Regulierung noch anzupassen.

• Verifikation von IBAN und Empfänger

Die Zahlerbank muss die IBAN mit dem Namen des Zahlungsempfängers auf Basis der Informationen der Empfängerbank abgleichen (Verifikation des Zahlers) und bei etwaigen Abweichungen den Zahler über eine Art Ampel informieren. Nach welchen Kriterien die drei Kategorien grün, gelb und rot ausgewertet werden sollen, bleibt nach dem derzeitigen Stand der Diskussion den Instituten überlassen. Weder eine europäische noch eine deutsche Leitlinie wird hierbei die Institute unterstützen. Für diese Kommunikation zwischen Zahler- und Empfängerbank soll ein Standard bis Mitte 2025 etabliert werden. Ob diese Kommunikation über die bestehende Infrastruktur für Zahlungen abgewickelt werden wird, ist derzeit noch offen. Favorisiert wird auch eine API-Lösung nach dem Vorbild der Berlin Group. Unabhängig von einer technischen Lösung muss wahrscheinlich eine europäische Plattform für den Austausch von Nachrichten zur Verifikation aufgebaut werden. Alternativ kann auch auf Basis eines zentralen Verzeichnisses ein Routing dieser neuen Nachrichten erfolgen.

Angesichts der vielen offenen Punkte drängt die Zeit. Die Übergangsfisten mit neun bzw. 18 Monaten für die passive bzw. aktive Erreichbarkeit von Echtzeitzahlungen sind wahrscheinlich kaum realistisch. Auch die Frist von 18 Monate zur Umsetzung der Verifikation von IBAN und Name des Empfängers erscheint unzureichend. Daher besteht derzeit Unsicherheit, ob die Regulierung der Echtzeitüberweisung planmäßig noch vor der Sommerpause 2024 im EU-Parlament verabschiedet werden kann.