Mit FiDA (Financial Data Access) steht die EU vor einem entscheidenden Schritt: vom Open Banking hin zu Open Finance. Das neue Rahmenwerk soll Verbrauchern und Unternehmen mehr Kontrolle über ihre Finanzdaten verschaffen und zugleich Innovation im Finanzsektor vorantreiben. Doch es gibt auch Herausforderungen: Datenschutz, faire Wettbewerbsbedingungen und der Umgang mit Big Tech sorgen für kontroverse Debatten. Der Artikel beleuchtet die Chancen und Risiken von FiDA und zeigt, wie Privacy Enhancing Technologies (PETs) zu einem zentralen Instrument werden könnten, um Innovation und Datenschutz in Einklang zu bringen.
Rahmenwerk für den Zugriff auf Finanzdaten
FiDA steht für Financial Data Access und markiert den nächsten Schritt der EU in Europas Entwicklung vom Open Banking hin zu einem breit anwendbaren Rahmen für Open Finance. Während sich die Regeln aus Payment Service Directive 2 und 3 (PSD2 bzw. PSD3) primär auf den Zugang zu Zahlungskontodaten konzentrieren, erstreckt sich FiDA praktisch über das gesamte Finanzspektrum: Kredite, Sparanlagen, Investments, Versicherungen, Hypotheken, Renten sowie Krypto-Assets.
Das Kernprinzip von FiDA lautet: Verbraucher und Unternehmen sind Eigentümer ihrer Finanzdaten, die bei verschiedenen Finanzinstituten als Dateninhaber gespeichert sein können. Sie können diese Daten mit ausdrücklicher Zustimmung über ein sogenanntes Financial Data Sharing Scheme mit Dritten, den sogenannten Datennutzern, teilen. Damit Datennutzer auf Verbraucher- und Unternehmensdaten zugreifen können, benötigen sie eine Zulassung als Financial Information Service Provider (FISP). Erst mit dieser FISP-Lizenz ist es ihnen erlaubt, auf die Finanzdaten von Kunden zuzugreifen und das ausschließlich, wenn diese ihre Zustimmung gegeben haben. Das Scheme ermöglicht dabei den standardisierten Datenaustausch in Echtzeit.
Die Zustimmung zum Datenaustausch wird über das Dashboard des jeweiligen Finanzinstituts durch den Kunden erteilt. Der einfache und sichere Datentransfer soll Innovation und Wettbewerb fördern und gleichzeitig die Entwicklung neuer, personalisierter Finanzprodukte sowie maßgeschneiderter Lösungen ermöglichen. Verbraucher erhalten dadurch mehr Kontrolle und größere Wahlmöglichkeiten.
Neu geregelt bei FiDA ist zudem, dass Dateninhaber berechtigt sind, für die Nutzung ihrer Daten eine Gebühr zu erheben. Damit eröffnet sich für sie erstmals die Möglichkeit, durch das Teilen von Daten Erlöse zu erzielen.
Schematische Darstellgung von FiDA
Ethik und Datenschutz als klarer Kompass
Finanzdaten sind hochsensibel, da ihr Teilen die Privatsphäre direkt berührt, finanzielle Verwundbarkeit verstärken und im Extremfall sogar die physische Sicherheit gefährden kann. Daraus ergeben sich erhebliche Risiken, die bei der Gesetzgebung sorgfältig berücksichtigt werden müssen. Zusätzlich erschwert politischer Widerstand aus einzelnen EU-Mitgliedsländern die Umsetzung, und auch die Finanzindustrie hat bereits Bedenken gegenüber FiDA geäußert.
Die Ausgestaltung von FiDA verlangt daher Fingerspitzengefühl. Es braucht klare Regeln, wo sie notwendig sind, und zugleich die nötige Zurückhaltung, um Innovation nicht zu ersticken. Deshalb stehen Ethik und Datenschutz beim Aufbau von FiDA im Mittelpunkt.
In einem gemeinsamen Positionspapier betonen die niederländische Zentralbank (DNB) und die niederländische Finanzmarktaufsicht (AFM), dass klare und robuste Regeln notwendig sind, um faire Wettbewerbsbedingungen zu schaffen. Der Datenaustausch sollte nur unter folgenden Bedingungen stattfinden:
- mit der ausdrücklichen, informierten Zustimmung der Kunden
- mit klaren Vereinbarungen zu Zweckbindung und Datenminimierung
- mit Schutzmechanismen gegen Missbrauch und unerwünschtes Profiling
Beide Organisationen weisen darauf hin, dass FiDA ohne starkes Vertrauen bei Verbrauchern keine Chance hat. Dieses Vertrauen entsteht nicht nur durch Gesetze, sondern auch durch technologische Schutzmaßnahmen, welche die Privatsphäre strukturell sichern.
Regulierungsdruck und nationale Zurückhaltung
Eine der größten Herausforderungen rund um FiDA ergibt sich aus der Sorge vor übermäßigem Regulierungsdruck. Mehrere Mitgliedstaaten, insbesondere Frankreich, Deutschland und die Niederlande, haben signalisiert, dass sie den Geltungsbereich der Regulierung zurückhaltend bewerten. Befürchtet wird, dass ein zu weit gefasster Rahmen insbesondere für kleinere Marktteilnehmer hohe Compliance-Kosten verursachen könnte. Gleichzeitig sind bislang nur wenige konkrete Marktchancen sichtbar, was die Unsicherheit weiter verstärkt.
Diese reservierte Haltung gegenüber FiDA führt zu Einschränkungen im aktuellen Gesetzentwurf. So heißt es in einem informellen diplomatischen Dokument des Gesetzgebungsverfahren vom 16. Mai 2025:
- Daten, die älter als zehn Jahre sind, sowie Daten aus beendeten Verträgen sollen vom verpflichtenden Zugriff ausgenommen werden.
- Der Geltungsbereich soll auf natürliche Personen sowie kleine und mittlere Unternehmen beschränkt werden. Große Unternehmen sind ausdrücklich ausgeschlossen.
Solche Einschränkungen erleichtern zwar die Umsetzung, schmälern aber das Innovationspotenzial von FiDA. Wichtige Datensätze fallen aus dem Blick. Unter anderem für Fintechs, Versicherer und datengetriebene KMU kann das erhebliche Nachteile haben, wie folgende Beispiele zeigen:
- Kreditinformationsdienste können keine langfristigen Risikomodelle für Hypotheken über 20 bis 30 Jahre entwickeln.
- Insurtechs fehlen historische Schadendaten, um seltene, aber gravierende Risiken zu modellieren.
- KMU mit KI-Modellen für Prognosen oder Betrugserkennung verlieren den Zugang zu tiefen Datensätzen, die langfristige Trends sichtbar machen.
- Anbieter im Bereich Green Finance können keine jahrzehntelangen Energie- oder Investmentmuster analysieren, um Nachhaltigkeit zu bewerten.
Auch Frankreich hat seine diplomatischen Aktivitäten zur Anpassung der Regulierung verstärkt. Hier wird die Sorge geäußert, dass FiDA sich als Trojanisches Pferd für globale Technologiekonzerne erweist. Ein Rahmen, der vorgibt Verbraucher, KMU und Fintechs zu stärken, könnte in der Praxis internationalen Tech-Giganten den Eintritt in Europas Finanzmärkte erleichtern. Deutschland und die Niederlande teilen diese Befürchtung teilweise, wobei in den Niederlanden zusätzlich die Belastung von Banken und Aufsichtsbehörden betont wird.
Radikaler Schnitt: Ausschluss von Big Tech
Diese Sorge befeuert eine weitere Diskussion: Nach aktuellem Vorschlag sollen sogenannte Gatekeeper, wie sie im Digital Markets Act definiert sind, vom Erhalt einer FISP-Lizenz ausgeschlossen werden. Kritisiert wird dabei, dass das Instrument zwar wirksam gegen Big Tech sein könne, gleichzeitig würde es jedoch Innovationen bremsen und die Interessen von Verbrauchern beeinträchtigen.
Die Computer & Communications Industry Association (CCIA) Europe schrieb in einem Brief an die EU-Kommission, dieser Ausschluss:
- sei nicht verhältnismäßig gerechtfertigt
- bremse unnötig Innovation
- nehme Verbrauchern das Recht, selbst zu entscheiden, welchem Anbieter sie ihre Daten anvertrauen
Der Schutz vor Marktdominanz ist legitim. Es bleibt jedoch die Frage, ob ein pauschaler Ausschluss das richtige Mittel ist, insbesondere in einem Markt, der von Vielfalt lebt.
Datenschutzfördernde Technologien als Grundlage – Privacy Enhancing Technologies (PETs)
Ein entscheidendes Werkzeug zur Balance zwischen Innovation und Datenschutz sind Privacy Enhancing Technologies, kurz PETs. Diese Technologien ermöglichen es, Daten zu verarbeiten oder zu analysieren, ohne die zugrundeliegenden Informationen offenzulegen. Beispiele sind:
- Homomorphe Verschlüsselung: Ermöglicht Berechnungen direkt auf verschlüsselten Daten, ohne diese vorher entschlüsseln zu müssen.
- Secure Multi-Party Computation (SMPC): Mehrere Parteien führen gemeinsam Berechnungen durch, ohne vollständigen Zugriff auf die jeweils anderen Daten zu erhalten.
- Differential Privacy: Schützt Einzelpersonen, indem Datensätze gezielt mit statistischem Rauschen angereichert werden, um Rückschlüsse zu verhindern.
- Federated Learning: KI-Modelle werden lokal an der Datenquelle trainiert, sodass die Daten nicht zentral weitergegeben werden müssen.
PETs machen das Kernversprechen von FiDA einlösbar: datengestützte Innovation bei gleichzeitiger Wahrung der Privatsphäre. Sie ermöglichen strikte Datenminimierung, Erkenntnisse ohne Offenlegung von Rohdaten und eine technische Umsetzung der DSGVO-Grundsätze.
Nach Auffassung der niederländischen Zentralbank (DNB) und der Finanzmarktaufsicht (AFM) sollten PETs verpflichtend in Betracht gezogen werden, insbesondere bei hochsensiblen Daten wie Renten- oder Kreditinformationen.
Wo Gesetze klare Grenzen ziehen, schaffen PETs Bausteine, die Risiken mindern, Vertrauen stärken und Entwicklern Freiräume für Kreativität und Wettbewerbsfähigkeit eröffnen.
Balance zwischen Ambition und Vorsicht
Die sorgfältige Ausarbeitung der finalen Gesetzgebung zeigt sowohl die Komplexität von FiDA als auch die tiefgreifenden Folgen einer Verabschiedung für die Finanzindustrie. Die Gesetzgebung muss daher einen Balanceakt meistern zwischen:
- Ambition beim Ausbau von Datenzugang, Innovation und Wettbewerb
- Vorsicht im Umgang mit sensiblen Daten und Marktmacht
- Flexibilität bei der Integration künftiger Innovationen, ohne dauerhafte Risiken für Privatsphäre oder Sicherheit zu schaffen
In der Praxis erfordert dies einen kontinuierlichen Dialog zwischen Politik, Aufsicht, Marktteilnehmenden, Verbraucherorganisationen und Technologieanbietern.
2025: Schicksalsjahr oder doch eine erneute Hängepartie?
FiDA steht an einem entscheidenden Wendepunkt. Die Trilog-Verhandlungen zwischen Kommission, Rat und Parlament sollen in diesem Jahr zu einem finalen Gesetzentwurf führen. Erste Konturen von FiDA zeichnen sich bereits ab, doch viele zentrale Fragen bleiben ungeklärt. Offen ist auch, ob 2025 tatsächlich eine Einigung gelingt und wann FiDA schließlich in der Praxis greift.
Klar ist nur: Das Ergebnis der Verhandlungen wird entscheiden, ob FiDA ein starkes Instrument für Open Finance wird oder ein vorsichtiger Kompromiss bleibt, der bestehende Strukturen absichert.
Was sind die nächsten Schritte für eine proaktive Umsetzung von FiDA?
In Anbetracht der neuen FiDA-Regulierung ist es für Banken, Versicherungen und weitere Dienstleister entscheidend, frühzeitig die Auswirkungen auf Organisation und Geschäftsmodell zu verstehen, um Compliance sicherzustellen und Chancen für neue Geschäftsmöglichkeiten zu nutzen.
Folgende Maßnahmen unterstützen eine strukturierte Auseinandersetzung mit FiDA:
Awareness & Positioning Workshop
Verstehen, welche Auswirkungen FiDA auf Organisation und Geschäftsmodell hat und die strategische Zielsetzung ableiten.
Ideation Session
Neue Geschäftsmöglichkeiten identifizieren, bewerten und erste Umsetzungsideen entwickeln.
Gap Analysis
Analyse der erforderlichen Anpassungen in Compliance, Datenmanagement, IT und Betriebsmodell, um FiDA-konform zu handeln.
Mit diesem Vorgehen gewinnen Banken, Versicherungen und weitere Dienstleister Klarheit über Chancen und Herausforderungen, um FiDA aktiv und vorausschauend nutzen zu können.
Es lohnt sich, sich frühzeitig mit FiDA auseinanderzusetzen, um Chancen für das eigene Unternehmen zu erkennen und rechtzeitig die notwendigen Schritte einzuleiten. Die Experten von Thede Consulting, Teil von Projective Group, begleiten Sie dabei mit Workshops, Analysen und praxisnaher Beratung – individuell abgestimmt auf Ihre Organisation.
Wussten Sie schon? – Unser Workshop #NextGen Payments
FiDA ist Bestandteil unseres neuen Workshops „NextGen Payments: Revolution oder Evolution bis 2030?“. Hier zeigen wir Ihnen in einem maßgeschneiderten Workshop wie sich die Zukunftstreiber Digitalisierung, Regulation und Cyber Security auf Ihre Geschäftsmodelle auswirken und erarbeiten gemeinsam individuelle Lösungsansätze. Mehr Informationen finden Sie hier.
Eike Maybaum
Philipp Widua
