-
* Die Rechtsdienstleistungen werden durch die KPMG Law Rechtsanwaltsgesellschaft mbH erbracht.
– Update EU-Rat vom 2. Dezember 2024 enthalten –
Von neuen Finanzprodukten über innovative Geschäftsmodelle bis hin zu personalisierten Services: Seit Jahren wird in der Finanzindustrie über das große Potenzial diskutiert, das für Unternehmen und Kunden im Teilen von Daten über Unternehmens- und Plattformgrenzen hinweg schlummert. Jetzt wird es in Europa ernst mit Open Finance. Das Stichwort lautet FiDA und bezeichnet die Financial-Data-Access-Verordnung der Europäischen Union. Der Erstentwurf wurde nun am 2.Dezember2024 vom EU-Rat konkretisiert und wird so in das Gesetzgebungsverfahren eingebracht.
Die Financial-Data-Access-Verordnung (FiDA) der Europäischen Union stellt einen konsequenten nächsten Schritt von Open Banking in Richtung Open Finance, d. h. einer offenen und transparenten Datenlandschaft im Finanzsektor, dar. Ziel von FiDA ist es, den Zugang zu Finanzdaten zu erleichtern und die Interoperabilität zwischen verschiedenen Finanzinstituten zu verbessern, um so die Entwicklung datengetriebener Finanzdienstleistungen und insgesamt Innovation und Wettbewerb im Finanzwesen zu fördern. Mit dem aktuellen Verordnungsentwurf (FiDA-VO-E) bringt die EU nach dem EU Data Act, der ebenfalls ab 2025 in der EU gelten wird, einen weiteren Rechtsakt zur Umsetzung der EU-Digitalstrategie auf den Weg.
Geltungsbereich und Anforderungen von FiDA
Mit FiDA werden sogenannte Dateninhaber (Data Holder) – also Finanzinstitute, Versicherungen, Makler und sonstige Dienstleister, die unter die Definition des Verordnungsentwurfs fallen – verpflichtet, ihren Kundinnen und Kunden auf Antrag deren Daten unverzüglich, unentgeltlich, kontinuierlich und in Echtzeit zur Verfügung zu stellen.
Kundinnen und Kunden können zudem verlangen, dass diese Daten auf Antrag durch die Dateninhaber auch so genannten Datennutzern (Data User) zur Verfügung gestellt werden – also z. B. anderen Finanzinstituten, Versicherungen oder Dienstleistern, die von einer Behörde als Finanzinstitut oder Finanzinformationsdienstleister („FISP“) zugelassen wurden – damit diese den Kundinnen und Kunden datenbasiert innovative Finanzprodukte und -dienstleistungen anbieten können. Die Dateninhaber müssen zu diesem Zweck ein Dashboard bereitstellen, in dem Kunden ihre Einwilligung zur Datenweitergabe einsehen und verwalten können. Die Einwilligungen müssen spezifisch, zweckgebunden und zeitlich eingrenzbar sein können. Ein Widerruf ist grundsätzlich kostenfrei. Klarheit und Transparenz für die Endkundinnen und -kunden stehen im Vordergrund. Dateninhaber können von Datennutzern für das Datenteilen eine angemessene Vergütung, die auch eine angemessene Marge enthalten darf, verlangen.
FiDA bezieht sich auf ein sehr umfassendes Spektrum an Kundendaten, darunter Hypothekarkreditverträge, Darlehen und Konten, Ersparnisse, Investitionen in Finanzinstrumente, Versicherungsanlageprodukte (z. B. Rentenversicherungen), Kryptowerte, Sach- und Unfallversicherungen oder auch Daten, die zur Beurteilung der Kreditwürdigkeit im Rahmen eines Kreditantrags oder der Bonitätsprüfung erhoben werden. Ausgenommen sind nach dem aktuellen Entwurf Daten im Zusammenhang mit Kranken- und Lebensversicherungen.
Sollten Akteure ihren Pflichten nicht nachkommen, sind weitreichende Sanktionen vorgesehen, u. a. finanzielle Sanktionen bis zu 2 % des Gesamtumsatzes, eine öffentliche Bekanntmachung sowie eine Aussetzung der Zulassung als Finanzdienstleister.
Dateninhaber und Datennutzer nach Art. 2 Abs. 2 FiDA-VO-E können bspw. sein:
Kreditinstitute
Zahlungsinstitute
E-Geld-Institute
Wertpapierfirmen
Anbieter von Krypto-Dienstleistungen
Verwalter alternativer Investmentfonds
Versicherungsunterneh-men
Versicherungsvermittler
Ratingagenturen
Finanzinformationsdienstleister
Finanz- & Versicherungsmakler
Financial Data Sharing Scheme als Grundlage für den Datenaustausch
Der Datenaustausch zwischen den verschiedenen Akteuren soll auf Basis eines sogenannten Financial Data Sharing Scheme (FDSS) erfolgen, welches notwendige Standards definiert und darüber hinaus auch dessen Operationalisierung regelt. Dies umfasst etwa technische Standards rund um Daten, Schnittstellen, Protokolle, Authentifizierung sowie Regelungen zu Haftung, Streitbeilegung, Kompensation und weiteren Prozessen. Der Heterogenität der betroffenen Daten sowie der verschiedenen Akteure im Europäischen Raum Rechnung tragend, ist zu erwarten, dass mehrere FDSS parallel entstehen werden, die jedoch Interoperabilität und einen sicheren Datenaustausch gewährleisten müssen. Die Aufgabe der FDSS-Definition hat die Europäische Union den Marktteilnehmern übertragen. Erste mögliche Kandidaten für eine FDSS-Entwicklung zeichnen sich im Banken- und Versicherungsumfeld bereits ab. Mit der Konkretisierung aus Dezember 2024 hat der EU-Rat die Anzahl der Sharing Schemes eingeschränkt. Demnach soll ein Scheme darauf abzielen, mindestens 25 % der relevanten Kundschaft eines Produktes in einem geographischen Markt zu repräsentieren – die drei wichtigsten Dateninhaber sind der Aufsicht mitzuteilen.
Das Update des Verordnungsentwurfes enthält eine gestaffelte zeitliche Planung. War zunächst noch von einer einheitlichen Frist die Rede, erfolgt nun eine dreiphasige Aufschlüsselung. Diese betrifft sowohl die Gesamtumsetzungsfrist als auch die Frist zum Beitritt zu einem FDSS:
- 24 Monate Gesamtfrist: Kundendaten zu Verbraucherkreditverträgen, Konten, Sparguthaben und Kfz-Versicherungen, Frist für FDSS-Vorgaben: 18 Monate
- 36 Monate Gesamtfrist: Kundendaten über Verbraucherkreditverträge in Bezug auf Wohnimmobilien, Investitionen in Finanzinstrumente, Krypto-Anlagen und Altersvorsorgeprodukte, einschließlich PEPP, Frist für FDSS-Vorgaben: 30 Monate
- 48 Monate Gesamtfrist: Übrige Kundendaten: Frist für FDSS-Vorgaben: 42 Monate
Bei der Umsetzung der Anforderungen – insbesondere auch im FDSS-Zusammenhang – gilt es, die weiteren geltenden gesetzlichen Anforderungen, wie beispielsweise die EU-Datenschutz-Grundverordnung („DSGVO“), den Digital Operational Resilience Act („DORA“), die Payment Services Directive 3 (PSD 3) oder die Payment Services Regulation (PSR) zu berücksichtigen und vertraglich sowie in der internen Dokumentation abzusichern und die entsprechenden Haftungsregelungen sorgfältig abzubilden.
FiDA bietet zahlreiche Geschäftschancen und Herausforderungen
Die Einführung von FiDA bringt sowohl Herausforderungen als auch Geschäftschancen in unterschiedlicher Ausprägung mit sich, abhängig davon, welche Rolle Banken, Versicherungen, Asset Manager und weitere Finanzdienstleister im FiDA-Scheme einnehmen werden, d. h. im Wesentlichen, ob ein Akteur als Dateninhaber oder Datennutzer (oder beides) agieren wird.
Für Dateninhaber besteht die wesentliche Herausforderung darin, Prozesse, Datenarchitektur, IT-Systeme und Datenmanagement in einem sehr kurzen Umsetzungszeitraum so anzupassen, dass die FiDA-Anforderungen fristgerecht erfüllt und Compliance-Risiken vermieden werden, insbesondere mit Blick auf die geforderte Echtzeit-Bereitstellung der Daten. Vor allem in den Bereichen Master Data Management, Datenqualität, Data Governance und Data Platforms werden viele Dateninhaber Anpassungsbedarf haben, um die geforderten Daten sicher, effizient und fristgerecht in der richtigen Qualität und Granularität bereitstellen zu können. Gleichzeitig bietet sich für Dateninhaber die Chance, die Potenziale einer verbesserten Datenarchitektur auch anderweitig zu nutzen und nicht zuletzt parallel auch selbst in der Rolle des Datennutzers innovative, datenbasierte Produkte anzubieten.
Für Datennutzer bietet die FiDA-Verordnung umfangreiche Chancen, auf Basis der nun zur Verfügung stehenden Daten neue Geschäftsfelder sowie innovative Produkte und Dienstleistungen zu entwickeln und zu vermarkten. Um die Chancen tatsächlich zu nutzen und weitere Marktpotenziale und -anteile zu realisieren, müssen Datennutzer in der Lage sein, mittels entsprechender IT-Systeme, Prozesse und Governance, die Daten entsprechend aufzunehmen, zu verarbeiten und attraktive, datenbasierte Produkte mit echtem Mehrwert für die Kundinnen und Kunden zu entwickeln und passgenau auszuspielen. Für bisherige Dateninhaber stellt sich die Frage, ob und inwieweit sie künftig möglicherweise auch Datennutzer im Sinne der FiDA werden wollen, um an den daraus resultierenden Chancen zu partizipieren.
Darüber hinaus ist zu erwarten, dass sich neben Dateninhabern und Datennutzern auch weitere Akteure wie z. B. Branchenverbände und Technologie-Provider engagieren werden, beispielsweise als Anbieter einer Datenaustauschplattform. Für alle Akteure stellt sich die Frage, ob und in welchem Umfang man sich initial an der Definition eines FDSS beteiligen sollte oder sich einem oder mehreren anschließt.
Frontrunner oder Nachzügler – Eine rechtzeitige Vorbereitung auf FiDA ist erfolgskritisch
Die rechtzeitige Beschäftigung mit dem Thema FiDA bereits vor Inkrafttreten der Verordnung wird entscheidend dafür sein, ob man als Frontrunner die FiDA-Umsetzung und damit die Zukunft des Finanzsektors im Rahmen des eigenen wirtschaftlichen Umfeldes mitgestaltet und Geschäftschancen erfolgreich realisiert oder als Nachzügler mit der rechtzeitigen Anpassung von IT-Systemen, dem Launch neuer Produkte und drohenden Compliance-Risiken kämpft.
Es ist darüber hinaus zu erwarten, dass Wettbewerber bereits frühzeitig mit innovativen, datenbasierten Produkten und Dienstleistungen auf den Markt drängen.
Abhängig davon welche Rolle(n) man als Akteur im FiDA Scheme einnehmen wird, ist es angeraten sich bereits zum aktuellen Zeitpunkt in einer Explorationsphase mit folgenden Fragen zu beschäftigen:
Relevante Fragestellungen in der aktuellen Explorationsphase für …
… Dateninhaber (Data Owner)
Welche Relevanz hat FiDA für meine Organisation?
Welche Herausforderungen und Chancen bietet FiDA?
Welche Daten sind relevant für den Austausch?
Sind alle Daten digitalisiert und können in der richtigen Qualität, Granularität, Format etc. bereitgestellt werden?
Wie wird eine FDSS-Definition erfolgen und in welchem Umfang kann ich Einfluss nehmen?
Für welche Produkte werden FDSS gebildet und wie kann eine sinnvolle Bündelung erfolgen?
Besteht Handlungsbedarf im Bereich IT-Systeme und Datenmanagement zur sicheren, effizienten und fristgerechten Datenbereitstellung?
Wie sieht eine „Cost-based Compensation“ für die Datenbereitstellung gegenüber Datennutzern aus?
… Datennutzer (Data User)
Welche Relevanz hat FiDA für meine Organisation?
Welche neuen Geschäftsmodelle & Produkte wird FiDA in meinem Geschäftsfeld ermöglichen?
Wie wird eine FDSS-Definition erfolgen und in welchem Umfang kann ich Einfluss nehmen?
Ist meine Produktentwicklung entsprechend aufgestellt?
Benötigt mein Unternehmen eine Erlaubnis, um als Datennutzer aktiv zu werden?
Besteht Handlungsbedarf im Bereich IT-Systeme und Datenmanagement, um die Daten sicher aufnehmen und verarbeiten zu können?
Wie werde ich Consent-Anfragen sowie neue Produkte bewerben und an meine Kunden ausspielen?
Interdisziplinarität entscheidend – KPMG bietet End-to-end-Beratung passgenau für jede Phase
KPMG bietet für jede Phase der FiDA-Umsetzung ein passgenaues Beratungsangebot, das jeweils alle relevanten Dimensionen und Blickwinkel angemessen berücksichtigt. Dafür setzen wir auf ein interdisziplinäres Team, das tiefgreifende Fachexpertise im Bereich Financial Services mit Kompetenz in den Bereichen Strategie und Operations, Regulatorik, Legal sowie IT-Lösungen und Data Management kombiniert.
In der aktuellen frühen FiDA-Explorationsphase unterstützt KPMG Sie und Ihr Unternehmen bei den folgenden kurzfristig wichtigen Schritten:
KPMG-Beratungsangebot in der FiDA-Explorationsphase für …
… Dateninhaber (Data Owner)
Aufbau FiDA-Know-how (C-Level & weitere)
Positionsbestimmung – Relevanz, Chancen und Herausforderungen von FiDA
Klärung FiDA-Rolle(n) und Ambitionsniveau
ggf. Beratung bzw. Begleitung einer FDSS-Definition
Quick Check / FiDA-Readiness Assessment (technisch, strategisch, regulatorisch, rechtlich, …)
Produktabgrenzung & -clusterung
Erarbeitung von Handlungsempfehlungen, Ressourcenplanung & Roadmap
Unterstützung der Umsetzung der FiDA-Anforderungen (strategisch, technisch, regulatorisch, rechtlich)
… Datennutzer (Data User)
Aufbau FiDA-Know-how (C-Level & weitere)
Positionsbestimmung – Relevanz, Chancen und Herausforderungen von FiDA
Markt- und Wettbewerbsanalyse / Benchmarking
Ideation und Design neuer Produkte & Services
Quick Check / FiDA-Readiness Assessment (technisch, strategisch, regulatorisch, rechtlich, …)
Erarbeitung von Handlungsempfehlungen & Roadmap
Unterstützung der Umsetzung der FiDA-Anforderungen (strategisch, technisch, regulatorisch, rechtlich)
Ihre Ansprechpersonen
Jens Siebert
Partner, Financial Services
KPMG AG Wirtschaftsprüfungsgesellschaft
Barbara Scheben
Partner, Audit, Regulatory Advisory, Head of Forensic, Head of Data Protection
KPMG AG Wirtschaftsprüfungsgesellschaft