Die Financial Data Access Verordnung (FiDA) steht kurz vor der Verabschiedung und wird den Finanzsektor in der EU grundlegend verändern. Während viele Unternehmen FiDA primär als Compliance-Projekt begreifen, ist sie tatsächlich eine tiefgreifende Governance- und Transformationsagenda. Wer nicht rechtzeitig handelt, riskiert nicht nur regulatorische Sanktionen, sondern auch einen erheblichen Wettbewerbsnachteil im entstehenden Open-Finance-Ökosystem. Der folgende Abschnitt beleuchtet, welche Unternehmen betroffen sind, welche Governance-Anforderungen bestehen und wie die strategische Transformation erfolgreich umgesetzt werden kann.
Wer ist von FiDA betroffen?
FiDA erfasst nahezu alle größeren Finanz- und Versicherungsunternehmen in der EU. Die Verordnung unterscheidet zwischen zwei Rollen, die jedes Institut einnehmen kann: Dateninhaber (Financial Data Holders) und Datennutzer (Financial Data Users).
Dateninhaber (Financial Data Holders)
Dateninhaber sind Unternehmen, die Finanzdaten ihrer Kunden verwalten und diese auf Anfrage und mit Einwilligung der Kunden bereitstellen müssen. Dazu zählen:
- Kreditinstitute und Banken: Geschäftsbanken, Sparkassen, Direktbanken, Neobanken
- Zahlungsdienstleister: Zahlungsinstitute, E-Geld-Institute, FinTechs im Zahlungsverkehr
- Wertpapierfirmen: Broker, Vermögensverwalter, Fondsverwaltungsgesellschaften, alternative Investmentfondsverwalter
- Versicherungsunternehmen: Lebens-, Schaden- und Krankenversicherer, betriebliche Altersvorsorgeeinrichtungen, Versicherungsvermittler und Makler
- Finanzinformationsdienstleister: Ratingagenturen und spezialisierte Finanzinformationsdienstleister
Diese Unternehmen halten Daten zu Konten, Krediten, Wertpapierdepots, Zahlungsverkehr, Versicherungsverträgen und Altersvorsorge und müssen diese künftig einer breiteren Gruppe von Datennutzern unter klar definierten Bedingungen zugänglich machen.
Datennutzer (Financial Data Users)
Datennutzer sind autorisierte Drittanbieter, die mit Zustimmung der Kunden auf Daten von Dateninhabern zugreifen. Dazu gehören:
- FinTechs und Plattformen: Kreditmarktplätze, Robo-Advisor, Vergleichsportale, Open-Finance-Plattformen
- Neue Finanzdienstleister: Embedded-Finance-Anbieter, die Finanzprodukte in ihre Plattformen integrieren
- Datengetriebene Services: Finanz- und Vermögensplanungs-Apps, Risikoanalytiker, Beratungen
- Auch etablierte Banken und Versicherer können als Datennutzer auftreten, um ihren Kunden umfassende Services zu bieten
Eine Doppelrolle — also gleichzeitig Dateninhaber und Datennutzer zu sein — ist zulässig und kann von strategischem Vorteil sein.
Warum Unternehmen jetzt handeln müssen
Enge Zeitleisten
FiDA wird voraussichtlich im Dezember 2025 verabschiedet und tritt 2026 in Kraft. Die vollständige Umsetzung der Anforderungen muss innerhalb von 24 bis 30 Monaten erfolgen. Aufgrund der Komplexität – etwa der Integration in Altsysteme, Sicherstellung der Datenqualität, API-Architektur und Governance – ist der Zeitraum herausfordernd knapp bemessen.
Kombinierter regulatorischer Druck
FiDA wirkt nicht isoliert, sondern in Kombination mit weiteren EU-Regelwerken wie Data Act, DSGVO, DORA, PSD3 und Payment Services Regulation. Die verschiedenen Regelungen verstärken sich gegenseitig und machen integrierte Lösungsansätze erforderlich.
Sanktionen und Reputationsrisiken
Verstöße gegen FiDA können zu erheblichen Geldbußen (bis zu 1,5 % des Jahresumsatzes), eingeschränkten Lizenzen und schwerwiegenden Reputationsschäden führen. Datenschutzverletzungen und Sicherheitsvorfälle werden im FiDA-Kontext besonders aufmerksam wahrgenommen.
Marktchancen für Early Mover
Unternehmen, die FiDA frühzeitig strategisch umsetzen, können sich in neuen Open-Finance-Ökosystemen eine aktive Rolle sichern und datengetriebene Geschäftsmodelle etablieren, bevor der Markt sich konsolidiert.
Zentrale Governance-Anforderungen
FiDA stellt Anforderungen an vier zentrale Governance-Dimensionen: Daten- und Zugriffskontrolle, organisatorische Verantwortlichkeiten, technische und Sicherheitsstandards sowie Compliance und Monitoring.
1. Daten- und Zugriffs-Governance
- Consent-Management: Die explizite, informierte und jederzeit widerrufbare Zustimmung der Kunden steht im Mittelpunkt. Die Zustimmung muss transparent, zweckgebunden und zeitlich begrenzt sein.
- Kundendashboard und Echtzeit-Transparenz: Kunden erhalten ein Dashboard zur Verwaltung ihrer Zustimmungen, Echtzeit-Einsicht in Zugriffe und die Möglichkeit zum Download von Audit-Logs.
- Kontrolle und Begrenzung: Das Minimum-Prinzip und Frequenz- sowie Datenlimitierungen stellen sicher, dass nur notwendige Daten im erforderlichen Umfang bereitgestellt werden.
2. Organisatorische und Rollen-Governance
- Zentrales Data-Governance-Board: Ein interdisziplinäres Board übernimmt Strategie, Priorisierung und Risiko-Eskalation.
- Klare Rollen und Verantwortlichkeiten: Data Owners, Data Stewards, API-Owner und Consent-Manager sind für Qualität, Sicherheit und Prozesse verantwortlich.
- FiDA-spezifische Policies: Es müssen dokumentierte Richtlinien für Zulassung, Einholung und Dokumentation von Zustimmungen, Datenschutz und Meldung von Verstößen eingeführt werden.
3. Technische und Sicherheits-Governance
- Financial Data Sharing Schemes (FDSS): Unternehmen müssen Mitglied in einem oder mehreren FDSS sein und deren Standards erfüllen (z. B. BiPRO, STET).
- API-Architektur und Standardisierung: Einheitliche und sichere API-Standards (z. B. ISO 20022), Echtzeitfähigkeit und hohe Verfügbarkeit sind vorgeschrieben.
- Authentifizierung und Identitäten: Die Integration der EU Digital Identity Wallet und Strong Customer Authentication ist Pflicht, ebenso die kryptographische Sicherung aller Datenübertragungen.
- Informationssicherheit: DORA-Compliance, Protokollierung, Verschlüsselung und regelmäßige Security Audits sind erforderlich.
4. Compliance, Monitoring und Auditfähigkeit
- Laufende Compliance-Überwachung: Regelmäßige Audits, Selbstbewertungen und vollständige Dokumentation aller Prozesse und Incidents sind vorgeschrieben.
- Meldepflichten: Datenschutzverletzungen müssen innerhalb von 72 Stunden gemeldet werden; spezifische FiDA-Vorfälle erfordern gezielte Erfassung und ggf. Meldung an die Aufsicht.
- Integration in Risikomanagement und Kontrollsysteme: FiDA-Risiken müssen im unternehmensweiten Risikoregister und im Internal Control System (ICS) abgebildet werden.
- Schnittstellen zu anderen Regulierungen: Die Anforderungen aus DSGVO, DORA, Data Act, MaRisk und NIS2 müssen parallel und kohärent adressiert werden.
Fazit: Governance als strategischer Wettbewerbsvorteil
FiDA ist mehr als eine reine Compliance-Anforderung — sie ist eine Chance zur Governance-Transformation. Unternehmen, die FiDA strategisch umsetzen, profitieren von besserer Datenkontrolle, neuen Geschäftsmodellen, erhöhter Wettbewerbsfähigkeit und einer signifikanten Reduktion von Risiko und Reputationsschäden. Wer seine Governance bis Ende 2026 FiDA-konform aufgestellt hat, wird in der Open-Finance-Ära gestärkt auftreten. Andernfalls drohen langfristige Herausforderungen und Nachholbedarf.
#FiDA #OpenFinance #FinancialDataAccess #DataGovernance #Banking #Insurance #FinTech #Regulierung #Compliance #Digitalisierung #DataAct #DORA #PSD3 #APIs #DataDriven #FinancialServices #Transformation #DataManagement #CyberSecurity #InfoSec #RiskManagement