1. Warum wollen Unternehmen auf meine Bankdaten zugreifen?
Banken sind vertrauenswürdige Inhaber persönlicher Kundendaten. Da immer mehr Dienstleister auf den Markt drängen, benötigen sie Zugang zu Bankdaten, um die günstigsten, effizientesten und individuellsten Finanzprodukte und -dienstleistungen anbieten zu können.
Verbraucher und Unternehmen nutzen diese Dienste täglich, oft über Smartphone-Apps, um im Gegenzug Zugang zu Bankdaten zu erhalten und ihr Leben zu erleichtern. Einige Beispiele hierfür sind:
- Zahlungen – Ein-Klick-Shopping-Erlebnisse, Aufteilen von Rechnungen mit Freunden;
- Geldverwaltung – Ausgabenverfolgung, Aufrundungen, automatisierte Rechnungsstellung;
- Kreditberatung – Erschwinglichkeit in Echtzeit berechnen, Hypothekenentscheidungen
2. Wie greifen Drittanbieter auf meine Bankdaten zu?
Sie erteilen Dritten die Erlaubnis, auf Ihre Daten zuzugreifen – häufig über eine App oder eine Website. Sie lassen Sie Ihre Bank auswählen und nach wenigen Schritten greift der Anbieter mit einem von zwei Ansätzen auf Ihre Daten zu - Screen Scraping oder [Open Banking APIs] (https://yapily.com).
3. Was ist der Unterschied zwischen Screen Scraping und APIs?
Screen Scraping ist eine Datenzugriffsmethode, die sich mit Ihrem persönlichen Bank-Benutzernamen und -Passwort bei Ihrem Bankkonto anmeldet, als ob Sie es wären.
Eine Application Programming Interface (API) ist die dedizierte Schnittstelle Ihrer Bank, die es Ihnen ermöglicht, Daten auszutauschen, ohne Ihre Bankanmeldeinformationen zu teilen, und vor allem zu kontrollieren, welche Daten wie lange freigegeben werden.
4. Woher weiß ich, ob ich einem Screen Scraper oder einem API-fähigen Anbieter die Erlaubnis erteile?
Dies lässt sich daran nachvollziehen, wie Sie um die Erlaubnis der Bankdaten gebeten werden.
Um den Datenzugriff über Screen Scraping zu ermöglichen, werden Sie von Dienstleistern auf einen Bildschirm geleitet, der wie Ihre Bank aussieht (aber der Domainname ist anders) und Sie auffordern, Ihre Bank-Login-Daten zu teilen.
Um den Datenzugriff über die dedizierte API der Bank zu ermöglichen, benötigen Dienste Ihre „informierte Einwilligung“. Sie werden über den Umfang der angeforderten Daten informiert, bevor Sie auf die Website Ihrer Bank weitergeleitet werden und Ihre Zustimmung erteilen. Eine API führt Sie über die Website Ihrer Bank durch eine sichere Reise, und Sie werden NICHT aufgefordert, Ihre Bankdaten an Dritte weiterzugeben.
5. Wie viel Kontrolle habe ich über diese Zugriffsmethoden?
Screen Scraping hat uneingeschränkten Zugriff auf Ihr Bankkonto. Mit Ihren Zugangsdaten können Anbieter beliebig oft auf Ihre Daten zugreifen. Screen Scraping kann Informationen lesen und teilen, ohne dass der Benutzer es merkt, was bedeutet, dass der Benutzer keinen Einblick hat, welche Unternehmen Zugriff auf ihre Datenberechtigungen haben.
Die Verwendung von APIs bietet eine viel sicherere und transparentere Möglichkeit, auf Daten zuzugreifen. Ihre Bank stellt sicher, dass Dienstleister nur auf die von Ihnen festgelegten Informationen und nur für einen von Ihnen festgelegten Zeitraum zugreifen können. Sie können die Erlaubnis über die Bank-App oder -Website beenden oder widerrufen. Sie und Ihre Bank können die Identität von Diensten kontrollieren, die auf Ihre Daten zugreifen.
Die Europäische Kommission beauftragt die Banken, APIs zu erstellen und verbietet die Verwendung von Screen Scraping
6. Wie steht es um die Datensicherheit?
Leider ist Screen Scraping keine sichere Methode für den Zugriff auf Daten. Im Falle einer Datenschutzverletzung besteht die einzige Maßnahme darin, Ihr Passwort zu ändern. Verwenden Sie in diesem Fall ein sicheres Passwort, das von Google Password Generator vorgeschlagen wird.
Bei Verwendung einer API ermöglicht Ihre Zustimmung jedoch den Dienstanbietern, ein Zugriffstoken zu erhalten. Im Falle eines Verstoßes können Sie, Ihre Bank oder Ihr Provider den Zugriff widerrufen und der Token wird sofort ungültig.
7. Sind diese Datenzugriffsmethoden reguliert?
Screen Scraping ist keine regulierte Lösung, was bedeutet, dass jeder diese Art von Anwendung starten kann, um sensible Informationen zu erfassen. Der Zugriff auf Bankkontoinformationen oder das Initiieren von Zahlungen über eine API sind regulierte Aktivitäten, sodass der Drittanbieter überprüft und als legitimes Unternehmen bestätigt wird.
8. Was hat die Debatte um den Datenzugriff ausgelöst?
Es gab Bedenken hinsichtlich des Datenschutzes, insbesondere hinsichtlich sensibler Informationen. Die Europäische Kommission beauftragt die Banken, dedizierte Schnittstellen (APIs) zu schaffen und verbietet die Verwendung der Screen Scraping-Technik. Dies wird unterstützt von die FCA – die britische Regulierungsbehörde – die der Ansicht sind, dass der Datenaustausch über dedizierte Bank-APIs erfolgen muss und daher kein Screen Scraping erforderlich sein sollte durch Dienstleister.
Darüber hinaus schreibt die Datenschutz-Grundverordnung (DSGVO) vor, dass sensible Daten auf eine bestimmte Weise verwaltet werden sollten, aber sobald ein Verbraucher Bankdaten preisgibt, hat der Bildschirmkratzer uneingeschränkten Zugriff auf alle Bankdaten.
Das Ziel von PSD2 besteht darin, Innovationen auf sichere Weise zu fördern, um Finanzdienstleistungen für alle besser und billiger zu machen. Wir freuen uns auf positive Schritte in Richtung einer sichereren digitalen Welt!