Als die zweite Zahlungsdiensterichtlinie (Payment Services Directive 2, PSD2) 2018 eingeführt wurde, versprach sie nicht weniger als eine Revolution: mehr Wettbewerb, mehr Innovation, mehr Macht für VerbraucherInnen.

Doch sieben Jahre später müssen wir ernüchtert feststellen: Diese Revolution hat nie wirklich stattgefunden. Stattdessen wurde sie zu einem Flickenteppich technischer Lösungen, regulatorischer Grauzonen und enttäuschter Erwartungen. Statt disruptiver Innovation erleben wir Frust in der technischen Umsetzung, Komplexität bei der Integration und regulatorische Ambivalenz.

Als CEO von wealthAPI, einem führenden Anbieter für Finanzdatenaggregation, habe ich hautnah erlebt, wie groß die Lücke zwischen dem regulatorischen Anspruch und der operativen Realität geworden ist. Die PSD2 hat Europa eine Tür geöffnet, aber nur ein Stück weit. Mit der PSD3 haben wir nun die Chance, sie endlich vollständig aufzustoßen. Europa steht an einem Wendepunkt: Es ist die Gelegenheit, das Open-Banking-Versprechen zu erfüllen – oder es endgültig scheitern zu lassen.

PSD2: Gute Absicht, schlechte Umsetzung

Man kann der PSD2 nicht vorwerfen, ambitionslos gewesen zu sein. Die Grundidee war gut: KundInnen sollen Drittanbietern (Third Party Providers, TPPs) den Zugriff auf ihre Kontodaten gewähren können, damit diese bessere digitale Finanzprodukte entwickeln. Sie sollte Wettbewerb fördern, Innovationen ermöglichen und den EndkundInnen mehr Kontrolle über ihre Finanzdaten geben. Damit sollte ein innovationsfreundlicher Wettbewerb entstehen – zum Nutzen der VerbraucherInnen und zur Modernisierung des Finanzsektors. Auf dem Papier klang das gut.

Doch Theorie und Praxis klaffen auseinander. Was folgte, war ein regulatorisches Experiment, bei dem der Markt die Risiken tragen musste. Die Europäische Bankenaufsichtsbehörde (European Banking Authority, EBA) und die zuständigen nationalen Behörden verordneten den Banken neue Pflichten, lieferten aber keine durchsetzungsfähigen Rahmenbedingungen. Ergebnis: ein Wildwuchs an APIs, Sicherheitsmechanismen und Interpretationen der Regulierung.

Die größten Versäumnisse der PSD2

1. Technisches Chaos statt Standardisierung

Die PSD2 schrieb vor, dass Banken Schnittstellen (Application Programming Interfaces, APIs) bereitstellen müssen. Doch wie diese konkret aussehen sollen, blieb vage. Die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) waren schlicht zu schwach. Das Ergebnis:

• Jede Bank kocht ihr eigenes technisches Süppchen.
• Die Authentifizierungsverfahren, Datenmodelle, Formate und Fehlermeldungen unterscheiden sich fundamental.
• Manche Banken bieten gar keine funktionierenden APIs an oder blockieren Anfragen mit bewusst restriktiver Logik.

Für ein Unternehmen wie wealthAPI bedeutet das: Wir müssen für jede Bank eigene Schnittstellen entwickeln, integrieren, testen und warten. In Summe ergibt das einen enormen technischen und operativen Overhead und verhindert Skaleneffekte. Die Integration einer neuen Bank ist kein Plug-and-Play, sondern ein mehrwöchiges Projekt. So sieht keine API-Ökonomie aus.

2. Fehlende Datenparität und kein echtes Open Banking

Ein besonders frustrierender Punkt ist die fehlende Datenparität. Viele Banken geben über ihre APIs nicht alle Daten frei, die den EndverbraucherInnen im Online-Banking zur Verfügung stehen. Die Daten entsprechen häufig nicht dem, was im Online-Banking steht. Typische Beispiele:

• Dispositionskredite werden nicht oder unvollständig angezeigt.
• Daueraufträge fehlen in der Übersicht oder sind nur rudimentär abrufbar.
• Kontoinhabernamen von Zahlungspartnern fehlen – eine essenzielle Information für Transaktionsanalysen oder Betrugserkennung.

Was bringt es, wenn man Zugriff auf das Konto hat, aber nur auf halbe Informationen? Open Banking ohne vollständige Daten ist wie Google ohne Suchergebnisse: möglich, aber nutzlos. Das ist nicht nur ärgerlich, sondern ein Rückschritt für die Idee eines offenen Finanzökosystems.

3. UX-Katastrophe durch überbürokratisierte Sicherheit

Die Einführung der Strong Customer Authentication (SCA), also der starken Kundenauthentifizierung, war ein notwendiger Schritt für mehr Sicherheit im Zahlungsverkehr. Niemand bestreitet die Notwendigkeit von Sicherheit. Aber was die PSD2 unter dem Banner der SCA ermöglicht hat, ist ein Paradebeispiel für praxisferne Regulierung. In der Umsetzung hat sie gravierende UX-Probleme verursacht:

• Medienbrüche zwischen App, Browser und SMS-Token.
• Abbrüche bei Authentifizierungsprozessen, besonders bei mobilen Anwendungen.
• Inkompatibilitäten mit älteren Geräten oder Betriebssystemen.
• Ein Dschungel an TAN-Verfahren und inkonsistente Nutzerführung.

Schlimmer noch: Die Vielfalt der SCA-Methoden ist für TPPs eine technische Zumutung. Wir müssen Dutzende Varianten implementieren und permanent aktualisieren, wenn sich etwas ändert. Jede Authentifizierung wird zur Einzelfallprüfung. Wer als NutzerIn versucht, Konten über Drittanbieter zu verbinden, braucht oft Geduld oder bricht einfach frustriert ab. Innovation braucht Sicherheit, aber sie braucht auch Nutzbarkeit.

4. Regulierung ohne Zähne: Keine Sanktionen, keine Verbesserungen

Das vielleicht das größte Versäumnis der PSD2 war die unzureichende Durchsetzung durch nationale Aufsichtsbehörden. Es gab keine echten Konsequenzen für Banken, die sich nicht an die Regeln hielten. Die Aufsichtsbehörden haben zu oft weggeschaut oder den Banken zu viel Zeit gelassen. Banken, die gegen die Vorgaben verstoßen oder schlechte APIs liefern, mussten und müssen auch noch heute kaum mit Sanktionen rechnen. 

Warum sollten Banken also in hochwertige APIs investieren, wenn niemand sie dazu zwingt? Diese Lücke zwischen Regel und Realität hat das Ziel der PSD2 massiv untergraben. Der Markt blieb auf der Strecke. Ohne Durchsetzung bleibt jedes Regelwerk ein Papiertiger.

PSD3: Die letzte Gelegenheit, es richtig zu machen

Mit der geplanten PSD3 und dem ergänzenden Financial Data Access Framework (FIDA) steht Europa vor der Chance, die Fehler der PSD2 zu korrigieren. Wir bekommen jetzt eine zweite Chance. Aber diese muss entschlossener genutzt werden. Und sie muss endlich den Mut aufbringen, verbindlich zu regeln, was vorher nur vage angedeutet wurde. Damit das gelingt, braucht es keine kosmetischen Korrekturen, sondern einen echten Systemwechsel.

1. Verbindliche Standards statt technischer Beliebigkeit

Die PSD3 darf keine unverbindlichen Wunschlisten mehr enthalten. Sie muss einheitliche, verbindliche Anforderungen an alle APIs stellen. Es braucht klare, europaweit geltende technische Standards. Dazu gehören:

• einheitliche Datenmodelle und Datenformate
• definierte Kommunikationsprotokolle (z. B. REST + OAuth2)
• nachvollziehbare Authentifizierungsverfahren
• standardisierte Fehlercodes und Fehlermeldungen
• klare Test- und Zertifizierungsverfahren
• interoperable Schnittstellen

Interoperabilität darf keine Option mehr sein, sondern muss zur Pflicht werden. Nur so können FinTechs skalieren und Banken ihre Innovationskraft unter Beweis stellen. Erst dann ist Open Banking mehr als ein technisches Feigenblatt.

2. Volle Datenparität plus Erweiterung zu Open Finance

Was im Online-Banking sichtbar ist, muss vollständig über APIs abrufbar sein. Punkt. Keine Ausnahmen, keine Einschränkungen. Und das gilt nicht nur für Zahlungskonten, sondern für die gesamte Finanzwelt. Zudem muss die PSD3 den Anwendungsbereich über Zahlungskonten hinaus erweitern, etwa auf:

• Sparkonten
• Depotkonten
• Kreditverträge
• Versicherungsprodukte

Wenn wir von „Open Finance“ sprechen, müssen wir es auch meinen. Sonst bleiben wir im Halboffenen stecken. Nur dann entstehen neue, ganzheitliche, digitale Geschäftsmodelle: von automatisierter Finanzberatung bis hin zu dynamischem Risikomanagement. Open Banking war gut gedacht, Open Finance und Open Wealth sind die logische Weiterentwicklung.

3. SCA neu denken: Sicherheit ja, aber nutzerzentriert

Sicherheitsanforderungen dürfen nicht länger als Ausrede für schlechte Nutzererfahrung herhalten. Die PSD3 sollte nicht nur Sicherheitsziele definieren, sondern auch UX-Leitlinien für SCA-Verfahren enthalten. Sie muss den Banken klare Leitplanken geben, wie SCA umgesetzt wird: sicher, ja, aber auch reibungslos, verständlich und flexibel. Dazu gehört

• eine einheitliche Nutzerführung
• bevorzugte mobile Verfahren
• weniger Medienbrüche
• flexible, sichere Optionen für TPPs

Eine verbindliche User Experience-Governance gehört in die Regulierung. Ein sicherer Zugang darf keine Hürde sein, sondern muss der Startpunkt für digitale Exzellenz sein.

4. Durchsetzung mit Biss, Regeln müssen gelten

Ohne wirksame Sanktionen wird auch die PSD3 scheitern. Regeln sind nur so stark, wie ihre Durchsetzung. Die PSD3 braucht:

• eine europäische Harmonisierung der Aufsicht
• verbindliche Sanktionen bei Verstößen
• klare Haftungsregelungen zwischen Banken und TPPs

Die Aufsichtsbehörden, sowohl national als auch auf EU-Ebene, müssen mit klaren Sanktionsmechanismen ausgestattet werden. Wer sich nicht an die Regeln hält, muss mit echten Konsequenzen rechnen. Wer blockiert, muss sanktioniert werden. Wer liefert, muss geschützt werden. Nur so entsteht ein fairer Markt.

PSD3 darf keine Evolution sein, sie muss eine Korrektur sein

Europa steht in der digitalen Finanzwelt unter Druck. Die großen Plattformanbieter aus den USA und zunehmend auch aus Asien schlafen nicht. Die USA, das Vereinigte Königreich und asiatische Märkte entwickeln sich mit rasantem Tempo. Europa muss den Anspruch haben, hier nicht nur mitzuhalten, sondern zu führen.

Als API-Plattform für Finanzdaten erleben wir täglich, was Open Banking leisten könnte und woran es scheitert. Wir wissen auch: Die Probleme sind lösbar. Es fehlt nicht an Know-how, sondern an politischem Willen und regulatorischer Klarheit. Open Banking und Open Finance sind unsere Chance, ein innovationsfreundliches, nutzerzentriertes Finanzökosystem aufzubauen, das europäische Werte wie Datenschutz, Wettbewerb, Transparenz verkörpert. PSD3 und FIDA bieten die historische Chance, Open Banking neu zu starten.

Aber dafür muss die PSD3 das liefern, was die PSD2 versäumt hat: Klarheit, Verbindlichkeit, Durchsetzung. Wenn wir jetzt nicht handeln, überlassen wir das Feld anderen Regionen. Wir bei wealthAPI stehen bereit, unseren Beitrag zu leisten. Aber die Richtung muss stimmen.

Was Europa mit der PSD2 begonnen hat, war mutig und richtig. Was daraus geworden ist, war halbherzig. Die PSD3 ist unsere Chance, aus einem politisch motivierten Fragment ein wirklich tragfähiges Fundament für den digitalen Finanzsektor zu machen. Denn Open Finance ist kein Nice-to-have. Es ist die Grundlage für das nächste Kapitel im europäischen Finanzwesen. Ich bin überzeugt: Wenn wir es richtig machen, wird Open Finance nicht nur ein Schlagwort sein, sondern ein Wachstumsmotor für Europas digitale Zukunft.

 

Die Evolution des Open Banking in Europa: Ein Blick auf die wichtigsten Meilensteine von PSD1 bis zur geplanten PSD3

PSD1 tritt in Kraft

13. November 2007

Mit der PSD1 wird der Grundstein für die Harmonisierung des europäischen Zahlungsverkehrs gelegt.

Geburtsstunde Open Banking

12. Juni 2013

Beginn der Überlegungen für eine Revision der Zahlungsdienste-Richtlinie; erste Ideen zu „Open Banking“ und digitalem Zahlungsverkehr.

PSD2 tritt in Kraft

1. Januar 2016

Frist für nationale Umsetzung der PSD2

1. Januar 2018

PSD2 muss von allen EU-Staaten in nationales Recht implementiert sein

Erste Zweifel

1. Januar 2021

Europäische Kommission startet Anhörung (Call for Advice) bei der EBA zur Überprüfung von PSD2.

Studie legt Mängel in der Wirkung der PSD2 offen

1. Februar 2023

Studie der EU-Kommission zur Anwendung und Wirkung von PSD2 wird veröffentlicht.

Nachsteuern des Regulators

1. Juni 2023

EU-Kommission schlägt PSD3 (Direktive) und PSR (Verordnung) vor sowie FIDA-Rahmen zur Ausweitung von Open Finance. Ziele: Betrugsbekämpfung, Verbraucherrechte, Wettbewerb stärken.

PSD3 wird Gesetz und FiDA steht in den Startlöchern

24. September 2025

Erwartete Verabschiedung und Veröffentlichung von PSD3/PSR und FIDA und Beginn der Umsetzungsfristen. PSD3 soll voraussichtlich 18–24 Monate nach Inkrafttreten vollständig gelten.