Die FiDA-Verordnung schafft einen einheitlichen Rechtsrahmen für Open Finance. Sie bietet große Chancen, bedeutet aber auch erheblichen Umsetzungsaufwand für Unternehmen.
Die Europäische Kommission legte am 28. Juni 2023 Vorschläge für die Financial Data Access (FiDA) Verordnung als Teil der Retail Payment Strategy vor. Für Aufruhr in der Finanzbranche sorgten Mitte Februar 2025 Meldungen darüber, dass die EU die FiDA-Verordnung nicht weiterverfolgen wird. Inzwischen steht aber fest, dass die FiDA-Verordnung nicht zurückgezogen und weiterhin Teil des Arbeitsprogramms 2025 der EU-Kommission ist.
Sowohl das Europäische Parlament als auch der Rat der Europäischen Union haben sich auf eine Position zur FiDA-Verordnung festgelegt. Seit dem 1. April 2025 laufen die Trilogverhandlungen von Rat, Europäischem Parlament und der EU-Kommission. Europa kann voraussichtlich im Laufe des Jahres 2025 mit dem Inkrafttreten der FiDA-Verordnung rechnen.
Ziele der FiDA-Verordnung
Ziel der FiDA-Verordnung ist es, einen einheitlichen Rahmen für den Datenaustausch zu schaffen und vermehrt datengetriebene Finanzdienstleistungen zu fördern. Kunden* sollen von Finanzinstituten künftig mehr Kontrolle über ihre Finanzdaten erhalten und diese über ein Dashboard freiwillig zur Weitergabe an Dritte freigeben können. Die Zurverfügungstellung der Finanzdaten durch den Dateninhaber erfolgt dabei (ausschließlich) auf elektronischen, ausdrücklichen Antrag des Kunden. Der Kunde erhält seine Finanzdaten unverzüglich, unentgeltlich, kontinuierlich und in Echtzeit. Die Herausgabe an den Datennutzer erfolgt gegen Zahlung einer Vergütung. Die vom Kunden freigegebenen Daten werden Dritten über spezielle Schnittstellen verfügbar gemacht. Hierdurch können Datennutzer innovative kundenspezifische Produkte entwickeln und potenzielle Angebote unterbreiten – der Wettbewerb soll hierdurch aktiv gefördert werden.
Die konkrete Reichweite des Begriffs der „Finanzdaten“ ist derzeit noch nicht abschließend bestimmt. Finanzdaten können beispielsweise solche über Kredite, Ersparnisse oder Schadenversicherungen sowie zur Bonitätsprüfung sein. Diskutiert wird aktuell insbesondere eine Begrenzung auf Transaktionsdaten der letzten zehn Jahre und der Ausschluss von Kundendaten über beendete, nicht mehr aktive Verträge.
Akteure des Finanz- und Versicherungssektors als Adressaten
Der Adressatenkreis der FiDA-Verordnung ist vielseitig und betrifft im Wesentlichen folgende Akteure des Finanz- und Versicherungssektors:
- Kunde: natürliche oder juristische Person (ggf. unter Ausschluss von Großunternehmen), welche Finanzprodukte und -dienstleistungen in Anspruch nimmt
- Dateninhaber: Finanzinstitut, das kein Kontoinformationsdienst ist und Finanzdaten des Kunden erhebt, speichert und anderweitig verarbeitet
- Datennutzer: andere Finanzinstitute, Versicherungen oder Dienstleister, die von einer Behörde zugelassen wurden und nach Einwilligung des Kunden Zugriff auf dessen Finanzdaten erhalten
- Finanzinformationsdienstleister: Datennutzer, der zum Zwecke der Erbringung von Finanzinformationsdienstleistungen berechtigt ist, auf die Finanzdaten des Kunden zuzugreifen
Unter den Begriff der „Finanzinstitute“ im Sinne der FiDA-Verordnung fallen neben Kredit-, Zahlungs- und E-Geld-Instituten unter anderem Wertpapierfirmen, Krypto-Dienstleister und Fondgesellschaften. Erfasst sind ebenfalls Versicherungen und Versicherungsvermittler sowie Finanzinformationsdienstleister. Die Verordnungsentwürfe von Kommission, Parlament und Rat unterscheiden sich jedoch im konkreten Geltungsbereich. So nimmt beispielsweise der Entwurf des Rates Private Rentenversicherungen in den Geltungsbereich der Verordnung auf, Parlament und Kommission hingegen nicht. Uneinigkeit besteht derzeit zudem hinsichtlich Ratingagenturen, Rückversicherern, kleinen Versicherungsvermittlern, kleinen Einrichtungen der Betrieblichen Rentenversicherung sowie Personenschäden in Haftpflicht- und Unfallversicherung. Die FiDA-Verordnung gilt für die vorgenannten Finanzinstitute in ihrer Eigenschaft als Dateninhaber oder Datennutzer.
Finanzinformationsdienstleister benötigen für die Berechtigung zur Datennutzung eine Zulassung der zuständigen Behörde. Seitens der EU-Kommission wird der Ausschluss von Gatekeepern gemäß Digital Markets Act (DMA) für eine derartige Zulassung als Finanzinformationsdienstleister vorgeschlagen. Aktuell diskutiert wird die Einführung eines vereinfachten Zulassungsverfahrens für Kontoinformationsdienstleister, die bereits im Sinne der Zahlungsdienstrichtlinie zugelassen sind. Ob auch Finanzinstitute eine behördliche Zulassung brauchen werden, ist ebenfalls noch offen.
Verwaltung der Zugangsberechtigungen über Dashboards
Um den Kunden die Kontrolle über ihre Finanzdaten zu gewähren, werden Dateninhaber ihnen transparente, einfach zu bedienende und nicht manipulative Dashboards zur Überwachung und Verwaltung der Zugriffsberechtigungen bereitstellen müssen. Ein solches Dashboard soll einen Überblick über alle vom Kunden aktiven und im Laufe der beiden vergangenen Jahren widerrufenen oder abgelaufenen Zugriffsberechtigungen geben, die Datennutzern erteilt wurden. Darüber hinaus soll es dem Kunden ermöglicht werden, über das Dashboard eine erteilte Zugriffsberechtigung jederzeit zu widerrufen und diese erneut zu erteilen.
Datenaustausch über Financial Data Sharing Schemes (FDSS)
Der Datenaustausch selbst soll über gemeinsame Austauschplattformen, den sog. Financial Data Sharing Schemes (FDSS) erfolgen. Dateninhaber und Datennutzer werden verpflichtet, Mitglied in mindestens einem FDSS zu werden. Die FDSS werden aus Dateninhabern und Datennutzern, die einen erheblichen Anteil des Marktes für ein Produkt oder eine Dienstleistung darstellen, sowie aus Verbraucherorganisationen und -verbänden bestehen.
Der ursprüngliche Entwurf der FiDA-Verordnung sah keine konkreten Vorgaben zur Gestaltung der FDSS vor. So hätte ein großer Gestaltungsspielraum der Marktteilnehmenden zur Bestimmung gemeinsamer Standards für Kundendaten und Schnittstellen zum Datenaustausch zwischen Dateninhabern und Datennutzern, einer angemessenen Vergütung der Dateninhaber für die Datenbereitstellung sowie der Haftungsverteilung zwischen Datennutzern und Dateninhabern bestanden. Im Rahmen der Trilogverhandlungen schlug die EU-Kommission allerdings jüngst die Entwicklung harmonisierter Standards für APIs durch die europäischen Normungsorganisationen (ESOs) vor. Es bleibt daher abzuwarten, inwiefern die Gestaltung der FDSS den Marktteilnehmern überlassen und in welchem Umfang die FiDA-Verordnung konkrete Vorgaben enthalten wird.
Bei Verstößen gegen die FiDA-Verordnung sind Sanktionen vorgesehen
Bei bestimmten Verstößen gegen die FiDA-Verordnung werden die Aufsichtsbehörden zu verwaltungsrechtlichen Sanktionen und Maßnahmen ermächtigt. Dies umfasst u.a. (i) die Veröffentlichung des Verstoßes, was mit Reputationsschäden einhergehen kann, (ii) die Anordnung, das betreffende Verhalten einzustellen und eine Wiederholung zu vermeiden sowie (iii) die Einziehung von Gewinnen oder Vorteilen aus vermiedenen Verlusten, welche durch den Verstoß erzielt wurden. Die vorübergehende Aussetzung der Zulassung eines Finanzinformationsdienstleisters kommt ebenfalls in Betracht.
Zudem können die Behörden empfindliche Bußgelder verhängen. Für juristische Personen betragen diese bis zu EUR 50.000,00 je Verstoß bis zu einer Gesamthöhe von EUR 500.000,00 pro Jahr oder zwei Prozent des jährlichen Gesamtumsatzes. Verstöße, die von natürlichen Personen begangen werden, können mit einer Höchstgeldstrafe von bis zu EUR 25.000,00 je Verstoß und bis zu einer Gesamthöhe von EUR 250.000,00 sanktioniert werden. Diese Höchstgrenzen gelten dann nicht, wenn die erzielten Gewinne oder vermiedenen Verluste sich bestimmen lassen. In diesem Fall kann eine Höchstgeldstrafe in mindestens zweifacher Höhe der infolge des Verstoßes erzielten Gewinne oder vermiedenen Verluste verhängt werden. Natürlichen Personen droht zudem ein vorübergehendes Verbot, Leitungsaufgaben bei Finanzinformationsdienstleistern wahrzunehmen. Darüber hinaus können die Mitgliedstaaten die zuständigen Behörden ermächtigen, weitere Sanktionen und Verwaltungsmaßnahmen sowie höhere Geldstrafen vorzusehen. Insofern ist nicht ausgeschlossen, dass die Sanktionen in Deutschland perspektivisch über die von der FiDA-Verordnung selbst genannten Sanktionen hinausgehen.
Die FiDA-Verordnung bietet Finanzinstituten und Finanzinformationsdienstleistern große Chancen – mit erheblichem Umsetzungsaufwand
Die mögliche Monetarisierung von Daten schafft Innovations- und Geschäftspotenziale, es können attraktivere Finanzprodukte und -dienstleistungen angeboten werden. Zugleich bedeutet sie für adressierte Akteure des Finanz- und Versicherungssektors einen nicht unerheblichen Umsetzungsaufwand.
Unternehmen sollten das Thema daher möglichst frühzeitig angehen, um einerseits eine Compliance mit der FiDA-Verordnung sicherzustellen und andererseits die sich bietenden Geschäftschancen optimal zu nutzen.
Für betroffene Unternehmen könnten insbesondere folgende Fragen relevant werden:
- Wie wirkt sich die FiDA-Verordnung auf das derzeitige Geschäftsmodell aus (Dateninhaber) bzw. welche neuen Geschäftsmodelle und Produkte werden durch FiDA ermöglicht (Datennutzer)?
- Welche Daten der derzeitigen Geschäftsprozesse des Unternehmens werden von der FiDA-Verordnung erfasst? Wie sieht die aktuelle Dateninfrastruktur aus und inwiefern ist diese mit den Anforderungen der FiDA-Verordnung kompatibel?
- Welcher Handlungsbedarf besteht, um eine sichere und effiziente Echtzeitdatenbereitstellung (Dateninhaber) bzw. Verarbeitung der Daten (Datennutzer) zu gewährleisten?
- Welche (neuen) Partnerschaften kommen in Betracht, um die Chancen von FiDA optimal zu nutzen?
Entwürfe sehen ambitionierte Umsetzungszeiträume vor
Die Verordnungsentwürfe von Kommission, Parlament und Rat sehen unterschiedliche Umsetzungszeiträume vor, bis zu denen die Schemes und der Datenzugriff nach Inkrafttreten der FiDA-Verordnung eingerichtet werden müssen. Die genauen Zeiträume sind derzeit noch offen, die Ergebnisse der Trilogverhandlungen bleiben abzuwarten.
Die Entwürfe sehen derzeit folgende Umsetzungszeiträume vor:
- Entwurf der Kommission: für Schemes 18 Monate, für Datenzugriff 24 Monate nach Inkrafttreten der FiDA-Verordnung
- Entwurf des Parlaments: für Schemes 36 Monate, für Datenzugriff 38 Monate ab Inkrafttreten der FiDA-Verordnung
- Entwurf des Rats: gestaffelte Umsetzungsfristen je nach Kundendatentyp für Schemes zwischen 18 bis 42 Monate, für Datenzugriff zwischen 24 bis 48 Monate nach Inkrafttreten der FiDA-Verordnung.
Frühzeitige Auseinandersetzung mit der FiDA-Verordnung ist empfehlenswert
Unternehmen können die FiDA-Verordnung als Chance betrachten, um Vorreiter in Open Finance zu werden, innovative Geschäftsmodelle zu entwickeln und sich Wettbewerbsvorteile zu sichern. Wer hingegen nicht rechtzeitig agiert, muss mit Compliance-Risiken, Sanktionen und Wettbewerbsnachteilen rechnen. Eine frühzeitige Auseinandersetzung mit den Anforderungen und Chancen durch die FiDA-Verordnung ist daher anzuraten.
Der Beitrag wurde in Zusammenarbeit mit Kim Pfleger erstellt.
Auch in anderen Beiträgen beschäftigen wir uns mit der „europäischen Datenstrategie“, vorwiegend in unserer Serie #CMSdatalaw: Vorschlag für EU Data Act angenommen – Kommission will Europas Datenwirtschaft mit neuen rechtlichen Regeln für Datenzugang und -austausch ankurbeln. Alles zum Datenrecht im Koalitionsvertrag 2025 erfahren Sie hier: Koalitionsvertrag und Digitalrecht: Datenwirtschaft als neues Regelungsfeld. Bleiben Sie zum Datenwirtschaftsrecht auf dem Laufenden mit unserer Blog-Serie „#CMSdatalaw″ und unserer Videoreihe zu den wichtigsten Regelungen des Data Acts „Data Act unlocked″.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
