Allgemeiner Konsens in der Diskussion um die Nutzung von FinTS3 durch Dritte ist ja - grob gesagt: Ab 14.09.2019 nicht mehr erlaubt. Dritte müssen die PSD2-API nutzen.

Mich würde aber mal interessieren, aus welchen rechtlichen Anforderungen konkret das hervorgeht. Und vor allem: Ab wann genau das gilt.

Beispiel 1: User benutzt ein Bankingprogramm. Er ist kein Computer-Experte oder Programmierer. Er kann also weder seine Hardware noch seine Software analysieren. Beide stammen von Dritten. Er muss ihnen vertrauen. Er darf FinTS nutzen.

Beispiel 2: User nutzt einen web-basierten Dienst auf dem er seine Bank-Zugangsdaten im Rahmen irgend eines Vorgangs (z.Bsp. Online-Bonitätsprüfung) eingibt. Der Web-Dienst reicht die Login-Daten 1:1 per FinTS an die Bank weiter, führt die Kontenabfrage durch und errechnet aus den Daten ein Ergebnis. Der Web-Dienst speichert weder die Zugangsdaten noch die Kontodaten. Sie werden nur für die Dauer der Kommunikation mit dem FinTS-Server genutzt und danach verworfen. Lediglich das errechnete Ergebnis bleibt erhalten. Z.Bsp. ein Bonitäts-Score, der keinerlei Kontodaten mehr enthält. Sowohl Hardware als auch Software stammen von einem Dritten. Der Kunde muss ihnen vertrauen.

Muss in Beispiel 2 die PSD2-API genutzt werden? Wenn ja, warum? In beiden Fällen läuft es auf Systemen, denen der Kunde vertrauen muss. Lediglich der Aufstellungsort des Rechners ist ein anderer. Ich könnte Beispiel 1 dann aber auch so erweitern: Der User nutzt keinen Rechner, der auf seinem Schreibtisch steht sondern einen virtuellen Cloud-Desktop. Bei Microsoft kann man sich sowas z.Bsp. mieten. Oder alternativ ein Terminalserver.

Die Juristen, die die PSD2-Vorgaben geschrieben haben, mussten das ja in einer nicht-technischen und allgemein-gültigen Juristen-Sprache verfassen. Daher meine Frage: Weiss jemand, aus welchen Sätzen der EU-Richtlinie konkret sich die Anforderung zur Nutzung der PSD2-API in o.g. Szenario ergibt und kann diese zwischen den beiden genannten Beispielen überhaupt unterscheiden?

meinst du sowas: https://www.datev.de/web/de/to…inie-psd2/

zu Bsp. 2 = ja = weil alleine der Abruf ja relevant ist, nicht das speichern

Bei DATEV werden die Daten ja aber auch tatsächlich gespeichert.

Die pauschale Unterscheidung zwischen lokalem Rechner und (web-basiertem) Dienst ist in Zeiten der Cloud ja gar nicht mehr so einfach zu ziehen. Es gibt virtuelle Desktops, Cloud-Laufwerke, Remote-Zugriff auf Desktops. Ich denke jedenfalls, dass es schwer ist, die Grenze zwischen den beiden Beispielen juristisch brauchbar zu formulieren. Daher würde mich mal die konkrete Formulierung in der EU-Regulierung interessieren, aus der sich das ergeben soll.

Hallo,

folgende Kriterien sind wohl relevant:

Im Beispiel 1 kommt der Hersteller niemals mit irgendwelchen Banking-Credentials in Kontakt. Im Beispiel 2 laufen die Banking-Credentials über seine Systeme, so dass zumindest die Möglichkeit besteht darauf zuzugreifen. Es geht auch nicht nur darum, ob der Anbieter auf diese Daten zugreift, sondern auch darum, dass hier ein zusätzliches potentielles Sicherheitsrisiko besteht. Bei PSD2-Schnittstellen kommt der Drittanbieter (normalerweise) nicht mit den Banking-Credentials in Kontakt. Durch die BaFin Zulassung soll zudem eine ausreichende Sicherheit, oder zumindest Verantwortlichkeit, sichergestellt werden. Laut PSD2 RTS müssen sich Drittanbieter gegenüber der Bank mit einem speziellen Zertifikat ausweisen. Dies ist in FinTS nicht möglich, aber in den speziellen PSD2-Schnittstellen vorgesehen.

der Link ist ja nur ex. und es geht ja nicht was der Anbieter (hier DATEV) macht

(unabhängig von vorgenanntem)
und nochmals zu deinem Beispiel 2, ein Dritter hat kurzzeitig Zugriff auf die Daten und wenn nur für Sekunden ist, für die Auswertung, dies ist nicht erlaubt.
deine Darstellung von virtuell usw. ist doch wieder was anderes
es geht darum das nur eine 1:1 über FinTS möglich (Bank = Endkunde) ist oder eben über die Drittanbieter-Schnittstelle.

Und genau diese Übergänge sind schwimmend. Die Regelungen, wie sie jetzt gelten, und vor Allem, wie sie praktiziert werden (90-Tage-Regel, um überhaupt noch damit arbeiten zu können) sind doch absurd!

Warum zum Beispiel kann man nicht verdammt noch mal auch Programme an PCs "koppeln" (Besitz)? Irgendeine Möglichkeit wird man da sicher finden können, wenn man das nur will - andere Software schafft das ja auch. Im Schlimmsten Fall könnte man einen entsprechenden usb-Stick mit Chip verwenden, aber bitte allegemeingültig - nicht für jeden etwas Anderes...

Das würde aber voraussetzen, dass die lokale Banking-Software völlig autark ist. Sie dürfte also nie mit dem Hersteller-Server kommunizieren (Online-Updates? Lizenz-Check?). Worauf ich hinaus will: In Beispiel 2 wird dem Anbieter unterstellt, dass er Zugriff auf die Daten hat. In Beispiel 1 wird aber nicht mal in Erwägung gezogen, dass er den Zugriff haben könnte. Das sind unterschiedliche Bewertungsmaßstäbe, die nur darauf basieren, dass die Hardware einmal beim Kunden steht und einmal remote ist. Aber wen interessiert in Zeiten der Cloud noch, wo die Hardware steht?

Oder nochmal anders formuliert. Man könnte doch Szenarien konstruieren, bei deen FinTS streng genommen eigentlich nicht verwendet werden darf: Ich nutze einen Remote-Desktop auf der Hardware eines Dritten. Oder die Sparkasse bietet für besonders "technik-unaffine" Menschen ein vorkonfiguriertes Smartphone an, auf dem bereits die Banking-App installiert ist. Oder ich nutze einen Rechner in einem Internet-Cafe.

Eben, es ist völlig willkürlich. Über weite Strecken scheint es mir, als ob die ganzen EU-Vorschriften von Leuten mit Alu-Hut ausgedacht wurden.

Es geht ja noch weiter: Selbst auf der WebSite der Bank sind gewissermaßen dritte beteiligt: Der Browserhersteller, der Webseiten-Programmierer, Plugin-Lieferanten und und und...

warum das ist doch erlaubt.
nur der Datenabruf muss 1:1 erfolgen (dh. du kannst sehr wohl vom In.-Caf. o. ähnliches abrufen
der Rest (ist theoretisch egal)

... dh. wenn du deinem Score-Anbieter später Zugriff (also nach! Abruf) auf deine Bankdaten gibst, ist das deine Sache.


wenn du damit meinst, wer das (effektiv) später prüft, nunja das wird in den Sternen stehen

Der 1:1 Datenabruf wäre auch in Beispiel 2 gegeben, wenn der Dienst die Daten nirgends speichert sondern 1:1 an den FinTS-Server durchreicht.


Ne, mit ging es in der Tat nicht darum, wer das prüft. Sondern ich wollte mal hinterfragen, wo genau diese Anforderung mit dem Nutzungsverbot durch Dritte eigentlich genau steht. Wir nehmen die hier im Forum immer so als gegeben hin. Weil das halt alle so sagen. Mich würde aber mal die konkrete Formulierung im Gesetzestext interessieren. Und daraus ableitend die Frage, ob ein Fall wie der in Beispiel 2 genannte, dort tatsächlich ableitbar ist.

Der Gesetzestext ist IMHO der hier: http://dip21.bundestag.de/dip21/btd/18/114/1811495.pdf
Das ist die Gesetzesvorlage für die Umsetzung der PSD2 in Deutschland.

Das in Beispiel 2 unterstellt ja, dass es sich um einen Kontoinformationsdienst handelt.

Die relevante Stelle ist aus meiner Sicht auf Seite 108 ganz oben zu finden:

"Kontoinformationsdienste bieten dem Zahlungsdienstnutzer konsolidierte Online-Informationen zu einem oder
mehreren Zahlungskonten bei einem oder mehreren anderen Zahlungsdienstleistern, die über Online-Schnittstel-
len des kontoführenden Zahlungs-dienstleisters zugänglich sind. Der Zahlungsdienstnutzer oder sein Beauftragter
erhält dadurch zu einem bestimmten Zeitpunkt einen Gesamtüberblick über seine Zahlungskonten.
An einer Mitteilung von Informationen fehlt es in der Regel dann, wenn der Kontoinformationsdienstleister zwar
den Zugang zum Zahlungskonto herstellt, aufgrund der technischen Ausgestaltung aber keinen Zugriff auf die
Kundendaten hat."

Zum einen: "Kontoinformationsdienst" ist weiter oben lediglich als "Online-Dienst" definiert. Die Begriffsdefinition finde ich zu dünn.

Zum anderen: "...aufgrund der technischen Ausgestaltung aber keinen Zugriff auf die
Kundendaten hat...". Wie kann ich mir das vorstellen? Ab wann liegt eine "technische Ausgestaltung" in der Form vor, dass man davon ausgehen kann, dass er die Daten nicht sehen kann. Oder auf der anderen Seite: Warum wird bei einer lokal installierten Banking-Software einfach unterstellt, dass die technische Ausgestaltung in der Form vorliegt, dass kein Zugriff möglich ist.

Du mischt ganz viele Zuständigkeiten. Die PSD2 gibt nur die Anforderungen vor. Wie das umgesetzt wird ist jedem selber überlassen. Der Faktor Besitz darf man also jederzeit durch eine Kopplung mit der Hardware abdecken (es gibt sicherlich auch dafür Kriterien, aber alles machbar).
Da wir in Deutschland aber das Glück haben über Multibanken Standards zu verfügen, haben wir auch das Problem, dass wir über Standards verfügen. Eine Hardwarebindung muss daher von allen Banken und von allen Softwareprodukten prinzipiell darstellbar sein und das muss dann auch noch in FinTS integriert werden......

Zu den Kirterien FinTS erlaubt/oder nicht
Es gibt keine harten Kriterien. Und die Nichtnutzung von FinTS durch Dritte ist an einigen Stellen durchaus nicht abschliessend geklärt.
Vom Grundsatz her geht es immer darum, in wessen Spähre wird der Zugang betrieben und kann der Dritte mit den Credentiels unabhängig vom Kunden agieren.

Jede Software, die auf Hardware des Kunden installiert wird, ist damit raus.
Ein Portal, in dem ich meine Credentials eingeben muss, darf FinTS nicht nutzen (Dritter könnte die PIN speichern und ggf. 90 Tage unkontrolliert auf die Konten zugreifen).
Ein Portal, welches eine loakle JavaApp für die FinTS Kommunikation nutzt, wäre nach meinem verständnis raus.
Der HBCI4JAVA Server als Paymentserver, bei der ein Kunde seine Credentials über ein Webfrontend zum Bezahlen eingibt, wäre verboten.

Viele

und ich habe lange naiverweise gedacht, die DATEV plane genau so etwas als Lösung für den Großteil der "HBCI"-Cloud-Kund*innen, weil die permanent weiter von einer kommenden HBCI-Lösung über die finAPI GmbH sprachen. Ein Browser-Plugin als Datenbrücke hätte ja meiner Meinung nach auch gereicht, ähnlich dem Secoder-Plugin was früher die Genossenschaftsbanken hatten.
Gruß
Raimund

Mängel bei Kontoinformationsdiensten beheben
vzbv-Untersuchung sieht Mängel bei Zugangswegen und Datenschutz verschiedener Kontoinformationsdienste
https://www.vzbv.de/pressemitt…en-beheben

Wundert hoffentlich Niemanden.... Auch wenn der Test an diversen Stellen von ziemlicher Ahnungslosigkeit bzgl der PSD2 Schnittstelle zeugt.

Nunja die Banken mussten bisher auch immer nachbessern (Widerrufsrecht).
So wird es auch hier passieren, die 12 anbieten besseren in Sachen Datenschutz-Erklärung nach und schon ist ein Punkt erledigt. (Hier geht es ja nur um die Form)