Was ist Open Banking (Kontozugang / XS2A) nach PSD2?

PSD2 (Richtlinie (EU) 2015/2366) zwang Banken erstmals, lizenzierten Dritten **mit Einwilligung des Kunden** Zugang zu Zahlungskonten zu geben — der „access to the account“-Grundsatz, kurz **XS2A**. Drei Rollen tragen das Modell: die **ASPSP** (account-servicing payment service provider — die kontoführende Bank), der **PISP** (payment initiation service provider — löst Zahlungen direkt vom Konto aus, Art. 66) und der **AISP** (account information service provider — bündelt Kontodaten, Art. 67). Beide Drittdienste sind regulierte, beaufsichtigte Rollen ^[1].

Die Mechanik steht in der **SCA-RTS (Delegierte Verordnung (EU) 2018/389)**: Banken stellen eine **dedizierte Schnittstelle (API)** oder eine angepasste Kundenschnittstelle bereit, über die PISPs und AISPs zugreifen — geschützt durch **starke Kundenauthentifizierung (SCA)**. Wo eine dedizierte API genutzt wird, kann „screen scraping“ unterbunden werden, doch ohne Ausnahme muss ein **Fallback-/Notfall-Mechanismus** existieren, damit die Drittdienste bei API-Ausfall nicht abgeschnitten werden. Diese Balance — verlässlicher Zugang ohne Sicherheits-Kompromiss — ist der Dauer-Streitpunkt zwischen Banken und Drittdiensten ^[2].

Zwei vorgeschlagene Rechtsakte würden Open Banking weiterentwickeln — beide noch **nicht Gesetz**. Die **PSD3/PSR** (Kommissionspaket Juni 2023; vorläufige politische Einigung 27.11.2025, noch nicht im Amtsblatt) würde den API-Zugang verbessern und eine Liste **unzulässiger Zugangshindernisse** schaffen. Die **FIDA-Verordnung** (Financial Data Access, COM(2023) 360) würde das Datenteilungs-Prinzip über Zahlungskonten hinaus auf weitere Finanzdaten ausweiten — der Sprung von „Open Banking“ zu „Open Finance“. Wir tracken beide als status-getaggte Pipeline, ohne sie als geltendes Recht darzustellen, bis sie veröffentlicht sind.