← Zurück zum Blog
von Nils Radde
RegulatorikIT-GovernanceBanken

FiDA: Warum Banken jetzt ihre IT-Governance transformieren müssen

Die europäische Finanzbranche steht vor einem Paradigmenwechsel. Mit dem Financial Data Access (FiDA) Regulierungsrahmen schafft die EU ein verbindliches Ökosystem für den Austausch von Finanzdaten. Was auf den ersten Blick wie ein weiteres Compliance-Projekt wirkt, ist in Wahrheit eine fundamentale Transformation der Art und Weise, wie Banken ihre IT steuern.

Was FiDA für Banken bedeutet

FiDA verpflichtet Finanzinstitute, Kundendaten auf Anfrage und mit Einwilligung der Kunden über standardisierte APIs an lizenzierte Drittanbieter weiterzugeben. Der Regulierungsrahmen geht dabei deutlich über die bisherige PSD2-Regelung hinaus: Nicht nur Zahlungskontodaten, sondern auch Spar- und Anlageprodukte, Versicherungen und Kreditdaten fallen in den Anwendungsbereich.

Für Banken bedeutet das: Sie müssen offene, sichere und performante Schnittstellen bereitstellen — und zwar nicht als optionales Innovationsprojekt, sondern als regulatorische Pflicht. Die Zeiten, in denen Kundendaten ausschließlich innerhalb der eigenen Systemgrenzen verarbeitet wurden, sind vorbei.

Warum bestehende IT-Governance-Frameworks nicht ausreichen

Die meisten IT-Governance-Frameworks in Banken wurden für eine Welt konzipiert, in der Daten intern fließen. Architekturrichtlinien, Sicherheitskonzepte und Betriebsprozesse orientieren sich an geschlossenen Systemen. FiDA verlangt jedoch eine grundlegend andere Perspektive: eine Governance für offene Datenökosysteme.

Konkret zeigen sich die Lücken in mehreren Bereichen:

  • Schnittstellenmanagement: Bestehende API-Richtlinien decken interne Integrationen ab, nicht aber das Management externer, regulatorisch vorgeschriebener Schnittstellen mit SLA-Anforderungen gegenüber Dritten.
  • Datenhoheit und Einwilligung: Klassische Datenschutzkonzepte basieren auf bilateralen Beziehungen zwischen Bank und Kunde. FiDA führt eine trilaterale Konstellation ein — Bank, Kunde, Drittanbieter — die neue Governance-Mechanismen erfordert.
  • Risikomanagement: Third Party Risk Management (TPRM) fokussiert traditionell auf Dienstleister, die die Bank beauftragt. Bei FiDA werden jedoch Drittanbieter zu Datenempfängern, ohne dass eine vertragliche Auftragsbeziehung besteht.

Die zentralen Governance-Herausforderungen

API Lifecycle Management

FiDA-APIs sind keine gewöhnlichen Schnittstellen. Sie unterliegen regulatorischen Vorgaben zu Verfügbarkeit, Antwortzeiten und Datenformaten. Das erfordert ein dediziertes API Lifecycle Management, das Versionierung, Deprecation-Policies und Performance-Monitoring umfasst. Jede API-Änderung hat potenziell Auswirkungen auf ein ganzes Ökosystem externer Konsumenten.

Die Einwilligungssteuerung wird unter FiDA zum geschäftskritischen Prozess. Kunden müssen granular steuern können, welche Daten sie mit welchem Drittanbieter für welchen Zeitraum teilen. Das erfordert nicht nur eine technische Lösung, sondern eine durchgängige Governance von der Einwilligung über die Datenbereitstellung bis zum Widerruf.

Datenqualitätssicherung

Wenn Kundendaten das eigene Haus verlassen und von Dritten weiterverarbeitet werden, steigen die Anforderungen an die Datenqualität erheblich. Inkonsistente oder fehlerhafte Daten sind nicht mehr nur ein internes Problem — sie werden zum Reputationsrisiko und potenziellen Regulierungsverstoß.

Third-Party Risk Management

Das bestehende TPRM-Framework muss erweitert werden. Banken müssen Drittanbieter, die über FiDA-APIs auf Kundendaten zugreifen, überwachen und bewerten — auch wenn diese nicht im klassischen Sinne Auftragnehmer sind. Die Frage der Haftung bei Datenmissbrauch durch Dritte ist dabei ein besonders sensibles Thema.

Die Verbindung zu DORA

FiDA existiert nicht im regulatorischen Vakuum. Der Digital Operational Resilience Act (DORA) stellt Anforderungen an die operationelle Widerstandsfähigkeit digitaler Dienste — und FiDA-APIs fallen zweifelsfrei in diesen Bereich. Banken müssen sicherstellen, dass ihre Open-Finance-Infrastruktur denselben Resilience-Standards genügt wie ihre Kernbankensysteme.

Das bedeutet konkret: Stresstests für API-Infrastruktur, Incident-Management-Prozesse für FiDA-bezogene Störungen und eine klare Zuordnung von Verantwortlichkeiten an der Schnittstelle zwischen internem Betrieb und externem Ökosystem. Wer DORA und FiDA isoliert betrachtet, riskiert Governance-Lücken mit erheblichem Schadenspotenzial.

Praktische Empfehlungen

Ein API Governance Board etablieren

Banken sollten ein dediziertes API Governance Board einrichten, das Vertreter aus IT, Fachbereichen, Compliance und Datenschutz vereint. Dieses Gremium steuert das API-Portfolio, definiert Standards und priorisiert Investitionen. Entscheidend ist, dass das Board nicht nur reaktiv genehmigt, sondern proaktiv die API-Strategie gestaltet.

Einwilligungsmanagement muss maschinenlesbar und automatisiert sein. Der Ansatz „Consent-as-Code” überführt Einwilligungsregeln in technische Policies, die automatisch durchgesetzt werden. Das reduziert manuelle Fehler und schafft eine auditierbare Nachvollziehbarkeit jeder Datenfreigabe.

TPRM-Frameworks erweitern

Das bestehende Third-Party-Risk-Management muss um eine FiDA-spezifische Dimension ergänzt werden. Dazu gehören: ein Register aller zugreifenden Drittanbieter, automatisierte Lizenzprüfungen, Monitoring des Zugriffsverhaltens und ein Eskalationsprozess bei Auffälligkeiten.

Architektur-Governance anpassen

Die Enterprise-Architektur muss FiDA als strategische Anforderung aufnehmen. API-Gateways, Consent-Management-Plattformen und Datenqualitäts-Layer sollten als Architekturbausteine standardisiert und in die Referenzarchitektur integriert werden.

Fazit: FiDA ist kein Compliance-Projekt — es ist eine Governance-Transformation

Banken, die FiDA als reines IT-Projekt oder Compliance-Vorhaben behandeln, unterschätzen die Tragweite der Regulierung. FiDA verändert die grundlegende Architektur der Datennutzung in Finanzinstituten und erfordert eine ebenso grundlegende Anpassung der IT-Governance.

Die gute Nachricht: Wer diese Transformation jetzt aktiv gestaltet, schafft nicht nur Regulierungskonformität, sondern legt das Fundament für wettbewerbsfähige Geschäftsmodelle in einem offenen Finanzökosystem. Die Frage ist nicht, ob Banken ihre Governance transformieren müssen — sondern ob sie es rechtzeitig tun.