Dienstleister haben zwar schon früher auf Informationen aus dem Bankkonto zugegriffen, hatten davor aber keinen einheitlichen Zugang. Während man in Deutschland zwar mit Homebanking Computer Interface (HBCI) eine standardisierte Schnittstelle geschaffen hat, waren Unternehmen international auf eine Technik namens Screen Scraping angewiesen. Bei diesem Verfahren zieht der Dienstleister alle Informationen aus der Website des Onlinebanking-Anbieters. Das ist nicht sonderlich effizient und zudem anfällig für Fehler. Seit PSD2 sind Banken verpflichtet, einen Access to Account (XS2A) einzurichten, über den Dienstleister Zugriff erhalten.
PSD2 bietet auch Lösungen, damit die Übertragung der sensiblen Daten über die Schnittstellen künftig ohne Risiken für den Verbraucher abläuft. Mit zwei verschiedenen Mitteln soll die Sicherheit der Daten garantiert werden:
- QWAC: Über dieses Zertifikat sollen sich Anbieter und Bank gegenseitig identifizieren. Außerdem verschlüsselt QWAC die Übertragung der Daten.
- QSiegel: Das Siegel wird Daten beigefügt und ordnet sie einem Unternehmen zu. So lässt sich später nachvollziehen, welche Unternehmen über die Schnittstelle auf das Bankkonto zugegriffen und Daten übermittelt haben. Außerdem garantiert das Siegel, dass Daten nicht unbemerkt verändert werden.
Um diese Lizenzen bzw. Siegel beantragen zu können, brauchen Anbieter die Genehmigung einer nationalen Aufsichtsbehörde. Die BaFin regelt dies für Deutschland. PSD2 sieht vor, dass man zwei verschiedene Genehmigungen erhalten kann:
- Kontoinformationsdienst: Dienstleister dieser Kategorie sind an Informationen aus dem Bankkonto des Kunden interessiert, um sie zu verwerten. In diesem Fall ist nur eine Registrierung und keine Lizensierung notwendig.
- Zahlungsauslösungsdienst: Das Unternehmen mit dieser Lizenz kann im Auftrag des Kunden Zahlungen bzw. Überweisungen vornehmen.
Anders als früher überprüfen die nationalen Aufsichtsbehörden Drittanbieter nun also überaus genau, bevor selbige Nutzerinformationen erhalten dürfen. Die Aufsichtsbehörde untersucht dabei den kompletten Unternehmensaufbau, achtet darauf, was für interne Kontrollen es gibt, wie in Krisen verfahren wird, und wie das Unternehmen abgesichert ist. Dies stellt vor allem eine Hürde für kleine Start-ups dar, geschieht aber zugunsten des Verbraucherschutzes.