Die EU arbeitet seit vielen Jahren daran, Vorschriften für einen einheitlichen Markt für Daten (sowohl personenbezogene als auch nicht-personenbezogene) in ganz Europa zu schaffen. Im Jahr 2020 wurden die europäische Datenstrategie und die Strategie für digitale Finanzen wurden eingeführt, und es wurden weitere Anstrengungen unternommen, um Standards für die Datenerfassung, -verwaltung und -verbreitung festzulegen.

In diesem Zusammenhang wurde der Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Rahmenbedingungen für den Zugriff auf Finanzdaten mit dem Namen Financial Data Access (FIDA) eingeführt, der die Datenverordnung ergänzt, die am 11. Januar 2024 in Kraft trat. In diesem Artikel untersuchen wir die FIDA-Rahmenbedingungen: Worum es sich handelt, welche Ziele verfolgt werden, wie der Datenaustausch funktioniert und welche potenziellen Auswirkungen FIDA auf die Finanzdienstleistungsbranche haben könnte.

Worum geht es in diesem Artikel?

• Was bedeutet Zugriff auf Finanzdaten (Financial Data Access, FIDA)?
  
• Ziele
  
• Anwendungsbereich
  
• Datenaustausch
  
• Anbieter von Finanzinformationsdienstleistungen
  
• Zeitplan für die Umsetzung
  
• Potenzielle Auswirkungen auf die Finanzdienstleistungsbranche
  

Was bedeutet Zugriff auf Finanzdaten (Financial Data Access, FIDA)?

Am 28. Juni 2023 hat die Europäische Kommission die Verordnung über den Zugriff auf Finanzdaten (FIDA) vorgeschlagen, um den Zugriff auf Finanzdaten innerhalb der EU und deren Austausch zu verbessern. Die FIDA-Rahmenbedingungen sind Teil einer umfassenderen EU-Strategie zur Schaffung eines offenen Finanzsystems, das den Austausch von Nutzerdaten zwischen Banken, Versicherungen, Wertpapierdienstleistern und anderen Finanzunternehmen ermöglicht. FIDA baut auf den Open-Banking-Regeln der überarbeiteten Zahlungsdiensterichtlinie (PSD2) auf, die darauf abzielt, Zahlungsdienste für die Mitgliedstaaten sicherer und bequemer zu machen, und der Nachfolgeversion PSD3.

FIDA ist Teil der von der Europäischen Kommission ins Leben gerufenen europäischen Datenstrategie, die laut der Mitteilung der Kommission vom 19. Februar 2020 darauf abzielt, „einen einheitlichen europäischen Datenraum zu schaffen – einen echten Binnenmarkt für Daten, der für Daten aus der ganzen Welt offen ist – in dem sowohl personenbezogene als auch nicht personenbezogene Daten, einschließlich sensibler Geschäftsdaten, sicher sind und Unternehmen außerdem einfachen Zugriff auf eine nahezu unendlichen Menge hochwertiger Industriedaten haben, wodurch das Wachstum angekurbelt und Werte geschaffen werden, während gleichzeitig der menschliche CO2-Fußabdruck und der ökologische Fußabdruck minimiert werden.“

In diesem Zusammenhang ist es wichtig zu wissen, dass sich der „Zugriff auf Finanzdaten laut Verordnung auf den Zugriff auf und die Verarbeitung von Daten zwischen Unternehmen und zwischen Unternehmen und Kunden (einschließlich Verbrauchern) auf Kundenanfrage über eine breite Palette von Finanzdienstleistungen“ innerhalb des europäischen Finanzmarktes bezieht.

Ziele

Der Finanzsektor stand in der Vergangenheit vor Herausforderungen beim Austausch von Kundendaten. Datennutzer/innen wie Unternehmen, die Zugriff auf Kundendaten wünschen, hatten oft Schwierigkeiten, Daten von den Finanzinstituten zu erhalten, die diese Informationen erheben, speichern und verarbeiten. Der Datenzugriff wurde nie ordnungsgemäß geregelt und oft nicht überwacht. Darüber hinaus waren die technischen Schnittstellen, über die auf Daten zugegriffen werden konnte, anfällig für Cyberbedrohungen, was Bedenken hinsichtlich der Sicherheit von Kundendaten aufkommen ließ.

Diese Situation schränkt den Zugang zu Finanzdaten ein und stellt neue Marktteilnehmer und kleinere, innovative Dienstleister vor große Herausforderungen, da sie Schwierigkeiten haben, maßgeschneiderte Produkte anzubieten, die den Bedürfnissen der Kundinnen und Kunden entsprechen. Infolgedessen können diejenigen, die nach Finanzprodukten und -dienstleistungen suchen, am Ende höhere Gebühren zahlen, ohne die erwartete Erfahrung zu erhalten.

Die FIDA-Rahmenbedingungen sollen auf zwei Ebenen funktionieren:

• Erstens soll der Datenaustausch zwischen Finanzdienstleistern verbessert werden, um die Entwicklung von Finanzprodukten zu ermöglichen, die den Kundenbedürfnissen besser entsprechen.
  
• Zweitens soll ein besserer Schutz der Privatsphäre der Kundinnen und Kunden gewährleistet werden, indem von den Betreibern hohe Sicherheits- und Vertraulichkeitsstandards verlangt werden und sichergestellt wird, dass die Daten nur
  

Der Vorschlag der Europäischen Kommission steht im Einklang mit der Datenschutz-Grundverordnung (DSGVO), die allgemeine Regeln für die Verarbeitung personenbezogener Daten festlegt und sowohl den Schutz als auch den freien Verkehr personenbezogener Daten gewährleistet. Darüber hinaus werden Verbraucher/innen vor Missbrauch und Datenschutzverletzungen geschützt, da sowohl Dateneigentümer/innen als auch Nutzer/innen die Vorschriften des Digital Operational Resilience Act (DORA) einhalten müssen, der ab dem 16. Januar 2023 in Kraft tritt.

Geltungsbereich

Der Vorschlag sieht vor, dass Daten zu folgenden Produktkategorien zugänglich gemacht werden:

• Hypotheken, Darlehen und Konten (mit Ausnahme der unter PSD2 genannten Zahlungskonten).
  
• Ersparnisse, Investitionen in Finanzinstrumente, Versicherungsanlageprodukte (IBIPs), Krypto-Assets, Immobilien und andere finanzielle Vermögenswerte – zusammen mit dem wirtschaftlichen Nutzen aus diesen Vermögenswerten, einschließlich Daten, die für Eignungs- und Angemessenheitsbewertungen erhoben werden.
  
• Altersvorsorgeprodukte.
  
• Nichtlebensversicherungsprodukte gemäß Richtlinie 2009/138/EG, ausgenommen Krankenversicherungen und Versicherungen gegen Gesundheitsrisiken, einschließlich der für die „Bedarfs- und Bedürfnisprüfung“ und die Beurteilung der Angemessenheit und Eignung des Versicherungsprodukts gesammelten Informationen.
  
• Daten, die zur Beurteilung der Kreditwürdigkeit eines Unternehmens verwendet werden, sofern sie im Rahmen eines Kredit- oder Ratingantrags erhoben werden.
  

Datenaustausch

Bevor wir auf die Besonderheiten des Datenaustauschs eingehen, finden Sie hier ein kurzes Glossar, um die wichtigsten Akteure zu verdeutlichen, die am Austausch von Finanzdaten im Rahmen der FIDA-Verordnung beteiligt sind:

• Kunde/Kundin: Eine natürliche oder juristische Person, die Finanzprodukte und -dienstleistungen nutzt
  
• Dateninhaber: Ein Finanzinstitut (mit Ausnahme von Kontoinformationsdienstleistern), das die in Artikel 2 Absatz 1 genannten Daten erhebt, speichert und verarbeitet
  
• Datennutzer: Eine der (in Artikel 2 Absatz 2 genannten) Einrichtungen, die mit Zustimmung des Kunden/der Kundin rechtmäßigen Zugang zu den Kundendaten hat
  

Dem Vorschlag zufolge soll der Datenaustausch über Systeme für die gemeinsame Nutzung von Finanzdaten (Financial Data Sharing Schemes, FDSS) erfolgen. Dabei handelt es sich um Rahmenvereinbarungen, die von Dateninhabern, Datennutzern und repräsentativen Kunden- und Verbraucherorganisationen getroffen wurden, um die Verwaltung des Datenzugriffs zwischen FDSS-Mitgliedern selbst zu regulieren.
In dem Vorschlag werden auch die Pflichten von Dateninhabern und Datennutzern beim Zugriff auf Finanzdaten der Kundinnen und Kunden dargelegt.

Pflichten der Dateninhaber

Der Dateninhaber hat dem Kunden/der Kundin alle angeforderten Daten unverzüglich, unentgeltlich, fortlaufend und in Echtzeit elektronisch zur Verfügung zu stellen.

Der Dateninhaber muss die Daten des Kunden/der Kundin auch einem Datennutzer zur Verfügung stellen. Zu diesem Zweck muss der Datenverantwortlicher:

• die Kundendaten dem Nutzer/der Nutzerin in standardisierter Form und mindestens in derselben Qualität wie die dem Dateninhaber zur Verfügung stehenden Daten zur Verfügung stellen
  
• eine sichere Kommunikation mit dem Datennutzer gewährleisten, indem er bei der Verarbeitung und Übermittlung von Kundendaten ein angemessenes Sicherheitsniveau aufrechterhält
  
• sicherstellen, dass Datennutzer nachweisen, dass sie die Erlaubnis des Kunden/der Kundin haben, auf die Daten des Kunden/der Kundin zuzugreifen, die sich im Besitz des Dateninhabers befinden
  
• dem Kunden/der Kundin ein Dashboard zur Berechtigungsverwaltung zur Verfügung stellen, damit er die Berechtigungen der Datennutzer einfach überwachen, erneuern und widerrufen kann
  
• die Vertraulichkeit von Geschäftsgeheimnissen und geistigen Eigentumsrechten beim Zugriff auf Kundendaten respektieren
  

Pflichten der Datennutzer

Ein Datennutzer, der Kundendaten erhält, muss seinerseits:

• Kundendaten nur für die spezifischen Zwecke im Zusammenhang mit dem Dienst verarbeiten, den der Kunde/die Kundin ausdrücklich angefordert hat.
  
• die Vertraulichkeit von Geschäftsgeheimnissen und geistigen Eigentumsrechten beim Zugriff auf Kundendaten respektieren
  
• die erforderlichen Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau für die Speicherung, Verarbeitung und Übertragung nicht personenbezogener Daten zu gewährleisten
  
• Kundendaten nicht für Werbezwecke verwenden, außer für Direktmarketing, das den EU- und nationalen Gesetzen entspricht
  

Anbieter von Finanzinformationen

FIDA führt eine neue Kategorie von Finanzinformationsdienstleistern (FISPs) ein, die auf Kundendaten zugreifen können, wenn sie von der zuständigen Behörde eines Mitgliedstaats zur Erbringung von Finanzinformationsdiensten autorisiert sind.

FISPs, die außerhalb des europäischen Finanzmarktes tätig sind, aber auf Finanzdaten innerhalb der EU zugreifen müssen, können dies tun, ohne ein Unternehmen oder eine Zweigniederlassung in der EU zu gründen. Sie müssen jedoch schriftlich eine natürliche oder juristische Person als ihre/n gesetzliche/n Vertreter/in in einem der Mitgliedstaaten benennen, von denen aus die FISP auf die Finanzdaten zugreifen will.

Zeitpläne für die Umsetzung

FIDA tritt 24 Monate nach Inkrafttreten in Kraft, mit Ausnahme der Bestimmungen über FDSS und die Genehmigungsanforderungen für FISPs, die 18 Monate nach Inkrafttreten der Verordnung in Kraft treten.

Potenzielle Auswirkungen auf die Finanzdienstleistungsbranche

Die Umsetzung von FIDA, das auf die Förderung offener Finanzen abzielt, wird sich zweifellos auf den Finanzdienstleistungssektor auswirken. Es wird erhebliche Möglichkeiten für Unternehmen schaffen, Finanzdienstleistungen anzubieten, die stärker personalisiert und auf die Bedürfnisse der Kundinnen und Kunden zugeschnitten sind.

Hier sind einige potenzielle Auswirkungen, die die Implementierung der FIDA-Rahmenbedingungen auf die Finanzdienstleistungsbranche haben könnten:

• Erweitertes Angebot an Finanzprodukten und -dienstleistungen
  Die Finanzdaten, die im Rahmen von FIDA ausgetauscht werden, ermöglichen es Drittentwicklern, Fintech-Start-ups und anderen, neue Finanz-, Investitions- und Versicherungsprodukte und -dienstleistungen zu entwickeln. Dies könnte zu einer Zunahme des innovativen Produktangebots und zu einer Verbesserung der Qualität der Dienstleistungen für die Kundinnen und Kunden führen.

• Mehr personalisierte Dienstleistungen
  Der Zugriff auf Finanzdaten könnte auch zu nutzerzentrierteren und personalisierteren Dienstleistungen führen, was die Kundenzufriedenheit erhöht.

• Verschärfter Wettbewerb
  Der durch FIDA erleichterte Zugriff auf Finanzdaten wird es neuen Marktteilnehmern (d. h. Dritten) ermöglichen, mit traditionellen Finanzinstituten zu konkurrieren, was zu niedrigeren Kosten für die den Kundinnen und Kunden angebotenen Produkte führen könnte. Damit soll ein fairer und unparteiischer Wettbewerb gefördert werden.

• Datenschutzrechtliche Bedenken
  Der offene Austausch von Finanzdaten, der durch die FIDA-Rahmenbedingungen eingeführt wurden, wirft erhebliche Sicherheits- und Datenschutzbedenken auf. Die Betreiber müssen wirksame IT-Sicherheitsmaßnahmen implementieren und die geltenden Datenschutzbestimmungen einhalten, um Datenschutzverletzungen zu verhindern und das Vertrauen der Kundinnen und Kunden zu erhalten.