Im Interview mit Der Bank Blog zieht Joris Hensen, Projekt- und Innovationsmanager Deutsche Bank, ein Fazit zu den ersten 100 Tagen des Deutsche Bank Open Banking Programms dbAPI, welches zuvor eine einjährige Testphase durchläuft. Über dbAPI bietet die Deutsche Bank (geprüften und verifizierten) Drittanbietern eine Schnittstelle, die den Zugriff auf Kunden- und Kontodaten ermöglicht. Bereits bei Einführung war die Nachfrage hoch: Über 1000 Entwickler registrierten sich über das Entwicklerprogramm und konnten – sofern sie die Sicherheits- und Datenstandards erfüllten – bereits zwei Wochen nach Registrierung mit den Kundendaten arbeiten. Von den über 1000 Entwicklern sind bisher sechs Anwandlungen live. Zusätzlich ist dbAPI mit diversen Unternehmern in „fortgeschrittenen Gesprächen oder sogar bereits im Aufnahmeprozess“[1].
Innerhalb der ersten 100 Tage, so Hensen, habe die Deutsche Bank den Finanzguru, die Deutsche Vermögensberatung (DV AG), den Authentifizierungsservice Verimi und weitere Anwendungen an ihre dbAPI angebunden und ist mit vielen Finanz- und Wirtschaftsakteuren in Austausch getreten. Gleich vorab gibt Hensen bekannt: „Es war der richtige Schritt, auf API-Produkte zu setzen. Sie veredeln Daten und wenden Business-Logiken darauf an. Diese Produktbausteine werden nicht nur von Entwicklern, sondern auch von Produkt- und Marketingmanagern verstanden und nachgefragt. Wir sehen in unseren Daten ein Potenzial, das über das hinausgeht, was PSD2 als regulatorischen Mindeststandard vorschreibt. Das nutzen wir auch, um uns im Wettbewerb abzusetzen.“[2]
Besonders in sogenannten ‚Beyond Banking-Anwendungen‘, also Apps und Dienstleistungen, die zwar auf Bankdaten zugreifen, allerdings nicht unter die Kategorie Finanzen fallen, sondern etwa unter Gesundheit und Lifestyle, werden künftig besonders spannend für API-Banken. „Was viele unterschätzen: Bankdaten, vor allem die Transaktionen, sind ein Spiegelbild unseres Alltags. Sie ermöglichen personalisierte Apps der nächsten Generation“[3], erklärt Hensen.
„Plattform-Geschäftsmodelle zielen im Kern auf Netzwerk-Effekte ab.“ Im Fall der Deutsche Bank ist die Kalkulation wie folgt: „Über die Anbindung von Drittanbietern steigern wir die Bandbreite an personalisierte Apps, für die unsere Kunden ihre Daten sicher und intelligent nutzen können. Das wiederum macht die Deutsche Bank für Neukunden attraktiver. Und mit jedem weiteren Kunden werden wir attraktiver für Drittanbieter – der Kreislauf erstreckt sich also selbst und erschließt uns neue Ertragsquellen.“ Aus diesem Grund hat der Aufbau der Plattform kurzfristig Priorität und erst mittelfristig sollen API-Zugriffe monetarisiert werden.
Neben der technischen Umsetzung ist vor allem die Datensicherheit eine Kernherausforderung im Open Banking. Daher hat die Deutsche Bank einen 14-tägigen Aufnahmeprozess entwickelt, den Entwickler durchlaufen müssen, um Zugang zur dbAPI zu erhalten. Die Prüfung umfasst unter anderem ein Know Your Customer-Verfahren (KYC) (Ausführung folgt in Studie III: Die digitale (R)evolution der Beratung). Zudem muss der Besitz des Unternehmens in der EU sein und die Anwendungen mit den Interessen und ethischen Grundsätzen der Deutsche Bank und ihrer Kunden übereinstimmen. Um möglichst Smart Data zu generieren und gleichzeitig den Datenschutz zu gewähren, wird „im Sinne der Datensparsamkeit (geprüft), ob für die Anwendung denn tatsächlich alle Daten benötigt werden, die angefordert wurden“[4]. In den Aufnahmeprozess sind neben der technischen Fachabteilung auch Recht, Compliance und IT-Sicherheit eingebunden – die Überwachung erfolgt automatisiert. Erscheint eine Auffälligkeit, werden die Deutsche Bank-Entwickler informiert und können eingreifen. Auf diese Weise kommt die Überwachung des Livebetriebs der dbAPI mit lediglich fünf Entwicklern aus.
Mit der Datenschutzgrundverordnung (DSGVO) verpflichtet sich jedes EU-ansässige Unternehmen, welches am Livebetrieb teilnimmt, vertraglich, „die in der EU geltenden Standards zum Schutz und zur Nutzung der Kundendaten einzuhalten. (…) Wer dagegen verstößt, muss mit einer umgehenden Sperrung und rechtlichen Schritten rechnen. Ein weiterer großer Unterschied zu Facebook: Wenn ein Kunde einem Drittanbieter den Datenzugriff erlaubt, dann gilt das keineswegs für alle Ewigkeit. Nutzt eine Person die Anwendung eines Drittanbieters längere Zeit nicht, wird die Zugriffsberechtigung ausgesetzt. Das beugt einer unberechtigten Weitergabe zusätzlich vor“, erklärt Herr Hensen. Um die Sicherheit der Kundendaten zu wahren, verwendet dbAPI „standardisierte Autorisierungsverfahren wie OAuth2 und OpenID sowie branchenübliche API-Standards wie REST“.[5] Letztendlich entscheidet allerdings der Kunde, welche Daten freigegeben werden. Auch werden Kunden bereits vor der Nutzung von an die dbAPI geknüpften Anwendungen darüber informiert, auf welche Daten die jeweilige Anwendung zugreifen möchte. So kann er im Einzelfall sein Einverständnis geben oder ablehnen.
Wichtig ist, dass Open Banking oder in diesem Fall die dbAPI keine offene Schnittstelle darstellt, sondern die Systeme ausschließlich für vertrauenswürdige Drittanbieter unter kontrollierten Bedingungen öffnet. Für die Entwicklung stehen Drittanbietern realitätsnahe Testumgebungen zur Verfügung, für häufig auftretende Anwendungsfälle gibt es bereits maßgeschneiderte API-Produkte – darunter etwa die Altersverifizierung.
Insgesamt, so Joris Hensen, treffen die mit dbAPI verknüpften Apps auf viel Zustimmung, wie Bewertungen der einzelnen Apps im App Store, aber auch die Anwenderzahlen zeigen: „Alleine im Februar haben wir mehr als 90.000 API-Calls verarbeitet.“[6] Neben der positiven Stimmung gibt es allerdings auch skeptische Stimmen von Kund:innen, die derartige Neuangebote nicht einordnen könnten. dbAPI ist somit nicht nur eine technische, juristische oder politische Herausforderung für die Deutsche Bank, sondern die Kommunikation spielt eine wesentliche Rolle.
Nach etlichen Fehlversuchen hat es die Deutsche Bank geschafft, im digitalen Bereich – zumindest im oberen Banking – eine Vorreiterrolle einzunehmen. Es ist zu vermuten, dass die Ideen, Expertise und Strategien von Herrn Joris Hensen erheblich daran beteiligt waren. Aber an die Deutsche Bank muss an dieser Stelle ein Lob ausgesprochen werden, für den Mut und das Vertrauen in die eigenen Mitarbeiter und die digitale Zukunft, welches sie aufgebracht haben, um sich zur dbAPI zu bekennen. Es bleibt zu hoffen, dass die Deutsche Bank aus den Fehlern der Vergangenheit gelernt hat und das Thema Open Banking auch weiterhin konsequent und ausdauernd vorantreiben wird.
Beitragsbild: cmophoto.net on Unsplash
[1] Hensen, zitiert in: Leichsenring (2018)
[2] Hensen, zitiert in: Leichsenring (2018)
[3] Hensen, zitiert in: Leichsenring (2018)
[4] Hensen, zitiert in: Leichsenring (2018)
[5] Hensen, zitiert in: Leichsenring (2018)
[6] Hensen, zitiert in: Leichsenring (2018)
Leichsenring, H. (2018): Digital Banking Interview: 100 Tage Open Banking in der Praxis, in: Der Bank Blog (07.05.2018), https://www.der-bank-blog.de/interview-open-banking/digital-banking/33247/
