Allgemeiner Konsens in der Diskussion um die Nutzung von FinTS3 durch Dritte ist ja - grob gesagt: Ab 14.09.2019 nicht mehr erlaubt. Dritte müssen die PSD2-API nutzen.
Mich würde aber mal interessieren, aus welchen rechtlichen Anforderungen konkret das hervorgeht. Und vor allem: Ab wann genau das gilt.
Beispiel 1: User benutzt ein Bankingprogramm. Er ist kein Computer-Experte oder Programmierer. Er kann also weder seine Hardware noch seine Software analysieren. Beide stammen von Dritten. Er muss ihnen vertrauen. Er darf FinTS nutzen.
Beispiel 2: User nutzt einen web-basierten Dienst auf dem er seine Bank-Zugangsdaten im Rahmen irgend eines Vorgangs (z.Bsp. Online-Bonitätsprüfung) eingibt. Der Web-Dienst reicht die Login-Daten 1:1 per FinTS an die Bank weiter, führt die Kontenabfrage durch und errechnet aus den Daten ein Ergebnis. Der Web-Dienst speichert weder die Zugangsdaten noch die Kontodaten. Sie werden nur für die Dauer der Kommunikation mit dem FinTS-Server genutzt und danach verworfen. Lediglich das errechnete Ergebnis bleibt erhalten. Z.Bsp. ein Bonitäts-Score, der keinerlei Kontodaten mehr enthält. Sowohl Hardware als auch Software stammen von einem Dritten. Der Kunde muss ihnen vertrauen.
Muss in Beispiel 2 die PSD2-API genutzt werden? Wenn ja, warum? In beiden Fällen läuft es auf Systemen, denen der Kunde vertrauen muss. Lediglich der Aufstellungsort des Rechners ist ein anderer. Ich könnte Beispiel 1 dann aber auch so erweitern: Der User nutzt keinen Rechner, der auf seinem Schreibtisch steht sondern einen virtuellen Cloud-Desktop. Bei Microsoft kann man sich sowas z.Bsp. mieten. Oder alternativ ein Terminalserver.
Die Juristen, die die PSD2-Vorgaben geschrieben haben, mussten das ja in einer nicht-technischen und allgemein-gültigen Juristen-Sprache verfassen. Daher meine Frage: Weiss jemand, aus welchen Sätzen der EU-Richtlinie konkret sich die Anforderung zur Nutzung der PSD2-API in o.g. Szenario ergibt und kann diese zwischen den beiden genannten Beispielen überhaupt unterscheiden?
Mich würde aber mal interessieren, aus welchen rechtlichen Anforderungen konkret das hervorgeht. Und vor allem: Ab wann genau das gilt.
Beispiel 1: User benutzt ein Bankingprogramm. Er ist kein Computer-Experte oder Programmierer. Er kann also weder seine Hardware noch seine Software analysieren. Beide stammen von Dritten. Er muss ihnen vertrauen. Er darf FinTS nutzen.
Beispiel 2: User nutzt einen web-basierten Dienst auf dem er seine Bank-Zugangsdaten im Rahmen irgend eines Vorgangs (z.Bsp. Online-Bonitätsprüfung) eingibt. Der Web-Dienst reicht die Login-Daten 1:1 per FinTS an die Bank weiter, führt die Kontenabfrage durch und errechnet aus den Daten ein Ergebnis. Der Web-Dienst speichert weder die Zugangsdaten noch die Kontodaten. Sie werden nur für die Dauer der Kommunikation mit dem FinTS-Server genutzt und danach verworfen. Lediglich das errechnete Ergebnis bleibt erhalten. Z.Bsp. ein Bonitäts-Score, der keinerlei Kontodaten mehr enthält. Sowohl Hardware als auch Software stammen von einem Dritten. Der Kunde muss ihnen vertrauen.
Muss in Beispiel 2 die PSD2-API genutzt werden? Wenn ja, warum? In beiden Fällen läuft es auf Systemen, denen der Kunde vertrauen muss. Lediglich der Aufstellungsort des Rechners ist ein anderer. Ich könnte Beispiel 1 dann aber auch so erweitern: Der User nutzt keinen Rechner, der auf seinem Schreibtisch steht sondern einen virtuellen Cloud-Desktop. Bei Microsoft kann man sich sowas z.Bsp. mieten. Oder alternativ ein Terminalserver.
Die Juristen, die die PSD2-Vorgaben geschrieben haben, mussten das ja in einer nicht-technischen und allgemein-gültigen Juristen-Sprache verfassen. Daher meine Frage: Weiss jemand, aus welchen Sätzen der EU-Richtlinie konkret sich die Anforderung zur Nutzung der PSD2-API in o.g. Szenario ergibt und kann diese zwischen den beiden genannten Beispielen überhaupt unterscheiden?
