Open Finance – Update zum Rahmen für den Zugang zu Finanzdaten (FIDA)
Am 28. Juni 2023 veröffentlichte die Europäische Kommission den Entwurf der Verordnung über den Zugang zu Finanzdaten (Financial Data Access Regulation - FIDA oder FIDAR) als Teil des EU-Pakets zum Zugang zu Finanzdaten und zum Zahlungsverkehr. Diese Initiative rief die Vision eines vereinheitlichten Open Finance-Raums in der Union ins Leben.
Das Wesen von Open Finance besteht in der Transformation finanzieller Daten von unternehmensinternen Assets hin zu regulierten, kundeneigenen Daten. Dies bringt verschiedenste Risiken und Chancen mit sich.
Ursprünglich wurde erwartet, dass die endgültige Version von FIDA bis Ende 2024 oder Anfang 2025 veröffentlicht wird. Dazu ist es bislang nicht gekommen. Im Gegenteil, im Februar 2025 kursierte die Nachricht, der FIDA-Vorschlag würde zurückgezogen werden . Dies stellte sich jedoch als "Fake News" heraus. Im April 2025 berichtete die europäische Finanzpresse, dass die interinstitutionellen Gespräche (Trilog-Verhandlungen) bereits begonnen hätten.
Es ist daher ein perfekter Zeitpunkt, um eine Zwischenbilanz zum aktuellen Stand des FIDA-Projekts zu ziehen. In diesem Beitrag geben wir einen Überblick über das geplante Regelwerk, die unterschiedlichen Positionen der Gesetzgebungsorgane sowie den voraussichtlichen weiteren Zeitplan.
Einführung
Die Zweite Zahlungsdiensterichtlinie (PSD2) legte den Grundstein für „Open Banking“. Sie ebnete den Weg für den Austausch von Zahlungskontodaten der Kunden, jedoch mit durchwachsenem Erfolg. Mit FIDA plant die EU, dieses Konzept auf sämtliche Finanzdaten auszuweiten (sogenanntes Open Finance). Diese Initiative ist Teil der digitalen Strategie der Europäischen Kommission und des Pakets zur Regelung des Zugangs zu Finanzdaten und des Zahlungsverkehrs. Letzteres stützt sich im Wesentlichen auf zwei zentrale Legislativvorhaben:
(i) die Verordnung über Zahlungsdienste (PSR) und die Dritte Zahlungsdiensterichtlinie (PSD3), sowie
(ii) die Verordnung über den Zugang zu Finanzdaten (FIDA) - Erleichterung des Austauschs einer breiteren Palette von Finanzdaten zwischen Finanzinstituten und Drittanbietern.
FIDA zielt darauf ab, eine Grundlage für ein innovatives und wettbewerbsfähiges Open-Finance-Ökosystem zu schaffen. Darüber hinaus soll diese Initiative vollständig mit den Anforderungen der EU an Datensicherheit, digitale Resilienz und ethische Standards vereinbar sein, um das Vertrauen in Open Finance zu fördern.
Bitte beachten Sie, dass dieser Beitrag keinen vollständigen Überblick über sämtliche Regelungsinhalte von FIDA bietet, sondern sich auf die wesentlichen Aspekte beschränkt.
Relevante Finanzdaten
Während der Austausch von Finanzdaten aus Zahlungskonten Teil der PSD2 und in Zukunft der PSR/PSD3 bleibt, wird der rechtliche Rahmen für den Austausch eines breiteren Spektrums an Finanzdaten der Kunden durch die FIDA festgelegt.
FIDA erfasst sowohl personenbezogene als auch nicht-personenbezogene Daten, d.h. es umfasst sowohl Informationen, die Personen direkt identifizieren, als auch weiter gefasste Finanzdaten. Der Anwendungsbereich erstreckt sich auf alle Daten, die von Finanzinstituten im Rahmen ihrer normalen Geschäftstätigkeit erhoben, gespeichert oder verarbeitet werden. Dazu gehören sowohl Daten, die von den Kunden direkt zur Verfügung gestellt werden, z.B. bei der Eröffnung eines Kontos, als auch Daten, die durch die Interaktion mit dem Kunden entstehen, unabhängig davon, ob die Informationen vom Kunden mitgeteilt oder aus seinen Aktivitäten abgeleitet werden.
Nach dem Vorschlag der Kommission sind bestimmte Daten vom Anwendungsbereich von FIDA ausdrücklich ausgenommen. Dies gilt für Daten im Zusammenhang mit Krankenversicherungen und Versicherungsanlageprodukten sowie Daten, die im Rahmen einer Kreditwürdigkeitsprüfung eines Verbrauchers erhoben werden. Der Rat möchte den Mitgliedstaaten das Wahlrecht einräumen, Kundendaten über Ansprüche aus betrieblichen Altersversorgungssystemen einzubeziehen. Um die Dateninhaber zu schützen, schlägt der Rat außerdem vor, den Anwendungsbereich der relevanten personenbezogenen und nicht personenbezogenen Finanzdaten von Kunden auf Rohdaten zu beschränken, die im Rahmen des normalen Geschäftsverkehrs zwischen Dateninhabern und Kunden entstehen. Nach Ansicht des Rates müssen weder vertrauliche Geschäftsdaten oder Geschäftsgeheimnisse noch vom Dateninhaber intern angereicherte Daten herausgegben werden.
Hauptrollen im Open Finance: Dateninhaber, Datennutzer und Kunde
FIDA setzt den Rahmen für ein Dreieckverhältnis, das dem Datenaustauschprozess im Open Finance immanent ist: Dateninhaber, Datennutzer und Kunde. Erteilt der Kunde seine Zustimmung zum Zugriff auf Finanzdaten, ist der Dateninhaber verpflichtet, dem Datennutzer diese Daten unter geregelten Bedingungen bereitzustellen. Die Datennutzer können die Finanzdaten der Kunden verarbeiten und Geschäftsmodelle erstellen, um auf die finanziellen Verhältnisse des Kunden zugeschnittene Produkte anzubieten.
Dateninhaber und Datennutzer können alle bestehenden Finanzinstitute sein, z.B. Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften von Organismen für gemeinsame Anlagen in Wertpapieren, (Rück-)Versicherungsunternehmen usw. Anbieter von Kontoinformationsdiensten (AISPs) können jedoch nur als Datennutzer auftreten.
Darüber hinaus führt FIDA einen neuen Akteur mit der Bezeichnung Finanzinformationsdienstleister (Financial Information Service Provider - FISP) ein, der nur als Datennutzer agieren darf. Hintergrund dieser Beschränkung ist, dass FISPs selbst keine Finanzdaten erzeugen. Sie können daher keine entsprechenden Daten an Dritte weitergeben, wohl aber empfangen und nutzen. FISPs sollen einer Zulassungspflicht durch die zuständige Aufsichtsbehörde unterliegen und entsprechend beaufsichtigt werden. Der Zulassungsantrag muss einen Geschäftsplan und Beschreibungen des Geschäftsmodells, der Governance-Regelungen und Kontrollmechanismen einschließlich der Cybersicherheit und des operativen Outsourcings, die dem Digital Operational Resilience Act (DORA) entsprechen, und weitere Unterlagen enthalten. Die Konkretisierung der Zulassungsanforderungen für FISPs soll später durch einen entsprechenden delegierten Rechtsakt erfolgen.
FISPs aus Drittstaaten und Gatekeeper
Nach dem Verordnungsentwurf der Kommission könnten sich Unternehmen mit Sitz außerhalb der Union als FISP lizenzieren lassen, was Unternehmen aus Drittstaaten die Möglichkeit eröffnen würde, Finanzinformationen von in der Union ansässigen Verbrauchern zu erhalten. Um eine Zulassung zu erhalten, müssten sie alle FISP-Anforderungen erfüllen und einen Rechtsvertreter in der EU benennen, der für die Einhaltung der FIDA-Anforderungen verantwortlich ist. Sowohl das Parlament als auch der Rat haben in ihren Positionen jedoch ausgeschlossen, dass Unternehmen aus Drittstaaten eine Zulassung als FISP erhalten können.
Darüber hinaus ist insbesondere der Austausch von Finanzdaten mit so genannten Big Techs ein zentraler Diskussionspunkt im Gesetzgebungsverfahren, da dies im Widerspruch mit anderen – kürzlich erlassenen Vorschriften – zu Gatekeepern, wie dem Digital Markets Act (DMA) stehen könnte. Solche Gatekeeper könnten bestehende Verbraucherdaten mit ihren Finanzdaten kombinieren und so einen enormen Wettbewerbsvorteil gegenüber den traditionellen europäischen Finanzinstituten erlangen. Letztlich könnte dies den Verbraucherschutz in der Union beeinträchtigen. Das Parlament möchte daher Gatekeepern untersagen, selbst als FISP tätig zu werden oder entsprechende Unternehmen innerhalb der EU zu gründen. Der Rat hingegen spricht sich dafür aus, Gatekeepern den Zugang grundsätzlich zu ermöglichen, allerdings auf Grundlage eines verschärften Zulassungsverfahrens. Handelt es sich bei einem berechtigten Datennutzer selbst um einen Gatekeeper – etwa ein Kreditinstitut – oder steht dieser unter der Kontrolle eines Gatekeepers, – z.B. wenn eine Bank im Eigentum eines Gatekeepers steht – sind die Positionen von Parlament und Rat weitgehend deckungsgleich. Beide fordern in solchen Fällen ein zusätzliches Prüfverfahren durch die zuständige Aufsichtsbehörde. Unterschiede bestehen lediglich im Hinblick auf den Umfang der Einbindung europäischer Institutionen wie der ESAs. Dieses Prüfverfahren soll insbesondere Netzwerkeffekte, datenbasierte Wettbewerbsvorteile sowie die organisatorische Einhaltung der FIDA-Vorgaben bewerten.
Schließlich stimmen Parlament und Rat überein, dass es Datennutzern, die Gatekeeper oder Unternehmen im Besitz von Gatekeepern sind, nicht gestattet sein soll, Daten an andere Unternehmen der Gruppe zu übermitteln und die erhaltenen Finanzdaten mit anderen Kundendaten zu kombinieren, über die der Gatekeeper bereits verfügt.
Rechte und Pflichten beim Datenaustausch
Die Regelungen für den Austausch von Finanzdaten, denen die Dateninhabern und Datennutzern unterliegen, folgen einem kundenorientierten Ansatz und konzentrieren sich auf Effizienz, Sicherheit und Vertraulichkeit.
Nach dem Dreieckskonzept von FIDA haben die Verpflichtungen der Dateninhaber zwei Richtungen, eine gegenüber dem Kunden und eine andere gegenüber den Datennutzern. Die Pflicht zur Weitergabe von Daten besteht nur im Rahmen und Umfang der durch den Kunden erteilten Zugriffsberechtigung. Auf Anforderung des Kunden muss der Dateninhaber diesem dessen eigene Finanzdaten unverzüglich, kontinuierlich, in Echtzeit und unentgeltlich bereitstellen. Auf Verlangen des Kunden sind Dateninhaber zudem verpflichtet, die Finanzdaten des Kunden unverzüglich, kontinuierlich und in Echtzeit an einen dritten Datennutzer zu übermitteln. In diesem Fall ist der Dateninhaber jedoch berechtigt, vom Datennutzer ein angemessenes Entgelt zu verlangen. Voraussetzung hierfür ist, dass die Daten im Rahmen eines sogenannten System für den Austausch von Finanzdaten (Financial Data Sharing Scheme - FDSS) übermittelt werden. Solche Systeme müssen eingerichtet werden, sobald die FIDA in Kraft ist. In Ermangelung eines solchen Systems sind die Daten nach den Vorgaben bereitzustellen, die in einem von der EBA auszuarbeitenden und von der Europäischen Kommission zu erlassenden delegierten Rechtsakt geregelt werden.
Außerdem ist der jeweilige Dateninhaber verpflichtet
- dem Datennutzer Kundendaten in einem Format zur Verfügung zu stellen, das auf allgemein anerkannten Standards basiert, ohne dabei die Datenqualität zu beeinträchtigen,
- ein angemessenes Sicherheitsniveau sowohl bei der Datenverarbeitung als auch bei der Datenübermittlung zu gewährleisten,
- Geschäftsgeheimnisse und Rechte an geistigem Eigentum beim Zugriff auf Kundendaten zu wahren und
- von Datennutzern den Nachweis der Zustimmung des Kunden zu verlangen.
Andererseits ist die Datennutzung von Datennutzern an die Zustimmung des Kunden gebunden und unterliegt strengen Regelungen zur Datensicherheit und zur Wahrung des kundenorientierten Ansatzes. Gegenüber den Dateninhabern müssen die Datennutzer nachweisen, dass der Kunde ihnen die Zugriffsberechtigung für die betreffenden Daten erteilt hat. Die Datenverarbeitung muss standardisiert erfolgen und sich an den Qualitätsstandards der Dateninhaber orientieren. Sensible Daten, wie Geschäftsgeheimnisse, geistiges Eigentum und andere vertrauliche Informationen sind jederzeit vertraulich zu behandeln. Darüber hinaus sind Datennutzer gegenüber Kunden verpflichtet, die Datenverwendung auf jene Dienstleistungen zu beschränken, für die der Kunde ausdrücklich seine Zustimmung erteilt hat (z. B. Finanzberatung). Der Verwendungszweck der Daten wirkt sich auch auf die erlaubte Speicherdauer aus. Die Daten sind zu löschen, sobald dieselben für den genehmigten Zweck nicht mehr erforderlich sind. Die Daten dürfen nicht für Direktmarketing verwendet werden, es sei denn, dies ist nach dem anwendbaren Recht für Direktmarketing ausdrücklich erlaubt.
Selbst wenn Dateninhaber und Datennutzer überwiegend denselben regulatorischen Anforderungen unterliegen, unterscheiden sich deren praktische Auswirkungen je nach Rolle erheblich.
Finanzinstitute, die dem Anwendungsbereich von FIDA unterliegen, übernehmen verpflichtend die Rolle des Dateninhabers. Da viele Compliance-Anforderungen für Dateninhaber zugleich für Datennutzer gelten, können Finanzinstitute ihre regulatorischen Investitionen strategisch nutzen, indem sie zusätzlich als Datennutzer agieren. Zwar erweitert diese Doppelrolle die Compliance-Verantwortung und erhöht das regulatorische Risiko, zugleich eröffnet sie aber Potenziale für innovative, datengestützte Geschäftsmodelle, neue Einnahmequellen und operative Compliance-Synergien. Dadurch erlangen Unternehmen eine zukunftsorientierte und vorteilhafte Position, da sie sich effizienter an die zunehmend verdichtete Regulierungslandschaft anpassen und das Risiko künftiger Verstöße gegen die Vorschriften reduzieren können.
Dashboard für Genehmigungen
Um den Kunden eine einfache Verwaltung ihrer Einwilligungen zur Datenweitergabe zu ermöglichen, verlangt FIDA, dass die Dateninhaber ein benutzerfreundliches Dashboard für die Verwaltung und Überwachung der Zugriffsberechtigungen bereitstellen müssen.
Dieses Dashboard, das bereits Teil des auf Zahlungskonten beschränkten PSD3/PSR-Vorschlags ist, dient als zentrales Instrument, damit Kunden alle aktiven Zugriffsberechtigungen von Datennutzer einsehen können, einschließlich Details wie den Namen des Datennutzers, den Zweck und die Dauer der Zugriffsberechtigung.
Die Kunden müssen jederzeit in der Lage sein, den Zugang zu widerrufen oder erneut zu autorisieren. Die obligatorische Echtzeitaktualisierung des Dashboards erfordert eine enge Zusammenarbeit zwischen Dateninhabern und Datennutzern. Dadurch wird sichergestellt, dass Änderungen bei Zugriffsberechtigungen sofort im Dashboard ersichtlich werden. Die Beteiligten sind verpflichtet sich gegenseitig zu informieren, um die Informationen stets aktuell zu halten.
Die besondere Herausforderung der Einwilligungstransparenz in Echtzeit besteht darin, dass potenzielle technische Probleme bei der Aktualisierung des Einwilligungsstatus zu Verstößen gegen verschiedene Rechtsvorschriften führen können (z. B. sowohl GDPR als auch FIDA). Darüber hinaus könnte eine fehlerhafte Aktualisierung der Zugriffsberechtigungen unter bestimmten Umständen auch zu einer Haftung des Finanzinstituts gegenüber den Kunden führen.
Systeme für den Austausch von Finanzdaten (FDSS)
Ein effizienter Datentransfer zwischen Dateninhabern und Datennutzern soll durch die sogenannten Systeme für den Austausch von Finanzdaten (Financial Data Sharing Schemes - FDSS) gewährleistet werden.
Ziel solcher Systeme ist es, einheitliche Verträge und Standards für den Austausch von Daten festzulegen, die auf standardisierten, industrieweit anerkannten Schnittstellen (APIs) basieren. Ein FDSS sollte auch eine angemessene Vergütung zugunsten der Dateninhaber für die Bereitstellung von Daten und dazugehörigen Leistungen (Formatierung, Übertragung und Speicherung der Daten) vorsehen. Sofern ein FDSS keine entsprechende Regelung enthält, besteht kein Anspruch auf Vergütung. Darüber hinaus muss jedes FDSS Bestimmungen über die vertragliche Haftung seiner Mitglieder enthalten. Dies insbesondere für Fälle, wenn Daten unrichtig sind oder missbraucht werden, wenn sie nicht dem Qualitätsstandard entsprechen oder wenn die Datensicherheit beeinträchtigt ist. Bei personenbezogenen Daten müssen die Haftungsbestimmungen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) stehen.
Die FDSS werden von ihren Mitgliedern entwickelt und definiert. Berechtigt zur Mitgliedschaft sind Dateninhaber und Datennutzer, die einen bedeutenden Teil des Marktes abdecken, sowie Verbraucherorganisationen und -verbände. Dateninhaber und Datennutzer müssen mindestens einem FDSS angehören, können aber auch Mitglied in mehreren FDSS gleichzeitig sein.
Nach dem Entwurf der Kommission sollen Dateninhaber und Datennutzer spätestens 18 Monate nach Inkrafttreten der FIDA Mitglied im FDSS werden. In Ermangelung eines geeigneten FDSS für eine bestimmte Datenkategorie greift der sogenannte Fallback-Mechanismus. Dies bedeutet, dass die Kommission durch einen delegierten Rechtsakt Vorschriften über gemeinsame Standards und technische Schnittstellen, die Festlegung der maximalen Vergütung für die Datenbereitstellung und die Regelung der Haftung der beteiligten Parteien erlässt.
Weiterer Zeitplan
Im Rahmen der sogenannten Trilog-Verhandlungen beraten das Parlament und der Rat derzeit über die endgültige Fassung von FIDA. Es wird allgemein erwartet, dass bis Ende 2025 eine politische Einigung erzielt werden kann. Danach müssen sowohl das Parlament als auch der Rat die endgültige FIDA-Fassung in ihren jeweiligen Plenarsitzungen formell verabschieden. Anschließend erfolgt die Übersetzung in alle Amtssprachen der EU sowie Veröffentlichung im Amtsblatt. Am 20. Tag nach der Veröffentlichung tritt die FIDA in Kraft.
Derzeit ist unklar, wann FIDA anwendbar sein wird. Während die Kommission vorgeschlagen hat, dass FIDA 24 Monate nach dem Inkrafttreten gelten soll, schlägt das Parlament eine Frist von 38 Monaten und der Rat eine Frist von 48 Monaten vor, verbunden mit einer gestaffelten Anwendung. Geht man davon aus, dass FIDA in der ersten Hälfte des Jahres 2026 veröffentlicht wird, ist mit einer Anwendbarkeit von FIDA in der ersten Hälfte des Jahres 2029 oder 2030 zu rechnen.
Angesichts des dynamischen politischen Umfelds in der Welt bleibt abzuwarten, wie sich die weiteren Entwicklungen auf den Zeitplan der Trilog-Verhandlungen und das Datum der Anwendbarkeit von FIDA auswirken werden. Die bestehenden Ungewissheiten erfordern von Finanzinstituten ein hohes Maß an strategischer Flexibilität. Es ist ratsam, regulatorische Risiken frühzeitig zu erfassen, Umsetzungsszenarien vorzubereiten und sich auf geschäftskritische Bereiche zu konzentrieren. So entsteht eine flexible Grundlage, um schnell und rechtskonform auf den finalen Rechtsrahmen reagieren zu können.
Wie können wir Ihnen helfen?
Mit unserem umfassenden Know-how im regulatorischen Risikomanagement unterstützen wir Sie gerne bei der frühzeitigen Vorbereitung auf die neuen Anforderungen der FIDA-Verordnung.
Kontaktpersonen: Dr. Bernd Fletzberger & Mag. Sanijel Ficulovic
