Open Banking 2026: Der umfassende Leitfaden
Open Banking in Deutschland und der EU 2026: von PSD2 zu PSD3 und PSR, FiDA, BaFin-Praxis, finAPI und Klarna Kosma, A2A-Zahlungen, VRP und der Weg zu Open Finance.
Was ist Open Banking?
Open Banking ist der regulatorische Rahmen, in dem Banken Kontendaten und Zahlungsausloesung ueber standardisierte APIs an regulierte Drittanbieter freigeben. Die Zustimmung kommt vom Kunden, das Konto bleibt bei der Bank, und ein lizenzierter Drittanbieter (TPP) baut darauf etwas Neues: eine Budget-App, einen Pay-by-Bank-Button, ein Kredit-Scoring oder ein Treasury-Tool.
Was 2018 mit PSD2 als Compliance-Pflicht begann, ist bis 2026 zur Standard-Infrastruktur des Finanzmarkts geworden. Im DACH-Raum treiben finAPI (Teil der Schufa), Klarna Kosma, Tink Deutschland und Fintecsystems das Oekosystem. In 2026 laeuft die EU auf den Uebergang zu PSD3, PSR und FiDA zu - das Regelwerk wird strenger, aber auch weiter gefasst.
Einwilligung zentral
Der Kunde entscheidet, was, mit wem und wie lange geteilt wird. Die Einwilligung ist jederzeit widerrufbar und zeitlich begrenzt.
Zahlungsausloesung
Lizenzierte PISP loesen Zahlungen direkt vom Girokonto aus, ohne Karte und ohne Interchange.
SCA
Starke Kundenauthentifizierung mit zwei Faktoren: Wissen, Besitz, Inhaerenz. Pflicht bei Einwilligung und Ausloesung.
Lassen Sie uns Ihr Projekt besprechen und herausfinden, wie wir Ihr Projekt auf den Weg bringen können. digitales Bankprodukt zusammen
Demo anfordernRegulatorik in 2026: PSD3, PSR und FiDA
Der EU-Rahmen besteht 2026 aus drei parallel laufenden Baustellen. Wer heute plant, sollte alle drei im Blick behalten.
- PSD3 und PSR. Die Europaeische Kommission legte 2023 die Vorschlaege fuer PSD3 (Richtlinie) und die Payment Services Regulation (Verordnung) vor. Politische Einigung wurde Ende 2024 und Anfang 2025 erzielt. PSD3 regelt Lizenzierung und Aufsicht, PSR harmonisiert das Verhaltensrecht direkt in allen Mitgliedstaaten. Erwartete Anwendung ab 2026 und 2027, abhaengig von der nationalen Umsetzung.
- FiDA (Financial Data Access Regulation). Erweitert Open Banking zu Open Finance. Neben Zahlungskonten werden Spar-, Anlage-, Renten-, Hypotheken- und Nicht-Lebensversicherungsdaten einbezogen. Das ist der eigentliche Sprung: aus Open Banking wird Open Finance.
- BaFin-Praxis und Meldepflichten. BaFin und Bundesbank setzen die EU-Vorgaben national durch. ZAG-Lizenz fuer AISP und PISP, laufende Meldepflichten zu Betrug, API-Downtime und Incident-Reports nach der EBA-Guideline. Fuer Banken gilt weiterhin die Pflicht, eine dedizierte Open-Banking-Schnittstelle (meist nach NextGenPSD2 der Berlin Group) vorzuhalten.
- DSGVO und Schufa-Schnittmenge. Open Banking beruehrt DSGVO-Artikel 6 und 9 direkt. In Deutschland kommt die Schufa ueber finAPI in den Daten-Stack, was neue Moeglichkeiten fuer Kredit-Scoring auf Transaktionsdatenbasis schafft - und entsprechende Sorgfaltspflichten.
Die Rollen: TPP, AISP, PISP, CBPII, ASPSP
Das Vokabular klingt sperrig, die Rollen sind klar.
| Rolle | Was sie tut | Typische Akteure in DE |
|---|---|---|
| AISP | Kontoinformationsdienstleister. Liest mit Zustimmung Kontodaten bei Banken. | finAPI, Klarna Kosma, Tink, Fintecsystems. |
| PISP | Zahlungsausloesedienstleister. Loest A2A-Zahlungen vom Konto aus. | Klarna (Sofort), giropay-Nachfolger, Tink Pay, TrueLayer. |
| CBPII | Karten-Emittent mit Deckungsanfrage an die kontofuehrende Bank. | Wallet-gestuetzte Karten, entkoppelte Debit-Produkte. |
| ASPSP | Kontofuehrender Zahlungsdienstleister. Die Bank mit der Schnittstelle. | Sparkassen, Volksbanken, Deutsche Bank, Commerzbank, ING, N26, solarisBank. |
| TPP | Sammelbegriff fuer AISP, PISP und CBPII. | Alle ZAG-lizenzierten Fintechs unter BaFin-Aufsicht. |
Die ZAG-Lizenz der BaFin wird im EU-Passporting anerkannt. Ein in Deutschland registrierter AISP darf in allen EU-Mitgliedstaaten agieren, umgekehrt gilt dasselbe fuer Drittanbieter aus Frankreich, Luxemburg oder den Niederlanden.
Kernbausteine: Consent, SCA, VRP
Drei Bausteine tragen jeden Use Case. Wer sie sauber umsetzt, hat die halbe Miete.
Consent
Explizit, granular, widerrufbar. Unter PSD2 gilt die 180-Tage-Grenze fuer Dateneinwilligungen. PSD3 behaelt die Uhr und verschaerft die UX-Pflichten gegen Dark Patterns.
SCA
Zwei Faktoren aus Wissen, Besitz, Inhaerenz. PSD3 klaert Haftungsfragen und schafft neue Ausnahmen fuer risikoarme Flows.
Variable Recurring Payments
Eine Einwilligung, viele Folgezahlungen innerhalb definierter Limits. In UK bereits produktiv, in der EU als Commercial-VRP unter PSD3/PSR auf dem Weg.
VRP ist die Karten-Alternative fuer Abos, Versorger und Steuern. In Grossbritannien ist Commercial VRP seit 2025 im Rollout, in Deutschland und der EU wird an aehnlichen Rahmenbedingungen gearbeitet. Wer SaaS, Versicherung oder Energie verkauft, sollte die Kartenkosten 2026 neu durchrechnen.
Praxis-Use-Cases in Deutschland
Sechs Kategorien dominieren 2026 das reale Volumen im deutschen Markt.
Multibanking und Kontoaggregation
finAPI, Klarna Kosma und Tink liefern die Daten fuer Multibanking-Apps, Steuer-Tools wie sevDesk und lexoffice sowie fuer Finanzhaeuser, die im eigenen Onboarding fremde Konten anbinden.
A2A-Zahlungen und Pay-by-Bank
Klarna, Trustly und Brite loesen Zahlungen via SEPA-Instant aus. Nach dem Ende von giropay in 2024 gewinnen PISP-basierte Alternativen im E-Commerce an Boden.
Kredit-Scoring auf Transaktionsbasis
finAPI (Schufa-Gruppe) und Fintecsystems liefern Transaktionsanalysen fuer Kreditentscheidungen - ergaenzend zum Schufa-Score.
Personal Finance Management
N26, C24 Bank, Revolut und die Sparkassen-App nutzen Open Banking fuer Kategorisierung, Abo-Erkennung und Sparziele ueber mehrere Banken hinweg.
BNPL und Checkout-Finanzierung
Klarna, Riverty und Paypal Later setzen Open-Banking-Affordability-Checks ein, um Ratenzahlungen in Sekunden zu entscheiden.
KMU-Treasury
Agicap, Pliant und finway liefern Cashflow-Planung, automatische Kontierung und Multi-Bank-Sweeps auf Basis von AISP-Daten.
Open Banking vs Open Finance vs BaaS vs Embedded Finance
Die vier Begriffe werden oft verwechselt - auch in Pitchdecks. Hier die saubere Abgrenzung.
| Begriff | Was es ist | Regulatorischer Anker |
|---|---|---|
| Open Banking | Banken oeffnen Zahlungskonten-Daten und Zahlungsausloesung fuer regulierte Drittanbieter mit Kundenzustimmung. | PSD2, PSD3, PSR in der EU; CMA Open Banking in UK; Section 1033 in den USA. |
| Open Finance | Erweitert das Prinzip auf Sparkonten, Investments, Renten, Hypotheken und Nicht-Lebensversicherung. | FiDA in der EU. |
| Banking-as-a-Service | Eine lizenzierte Bank vermietet ihre regulierten Faehigkeiten via API an Nicht-Banken, die darauf Produkte bauen. | Banklizenz oder E-Geld-Lizenz des Anbieters. |
| Embedded Finance | Die Kundenerfahrung, Finanzprodukte in Nicht-Finanz-Produkten zu nutzen. | Abhaengig vom Produkt (BaaS, Versicherung, Wertpapierdienstleistung). |
Merksatz: Open Banking liest und zahlt auf bestehenden Konten, BaaS eroeffnet neue, Open Finance dehnt das Prinzip auf das ganze Finanzleben aus, Embedded Finance ist das, was der Endkunde sieht.
Zahlen zum Markt 2026
Zwei strukturelle Verschiebungen stehen hinter den Zahlen. Erstens: SEPA Instant ist 2025 in der EU fuer alle Banken Pflicht geworden - damit wird A2A-Payment im E-Commerce wettbewerbsfaehig. Zweitens: mit FiDA wird maschineller Zugriff auf Spar-, Renten- und Investmentdaten zur Normalitaet.
Das Oekosystem 2026
Open Banking ist 2026 ein geschichteter Stack. Wer die Layer kennt, spart Monate in der Beschaffung.
Wie Crassula hilft
Open Banking ist fuer jede lizenzierte Bank und jedes E-Geld-Institut regulatorische Pflicht, fuer jede Fintech ein Wettbewerbshebel. Beide Seiten brauchen dasselbe: eine Plattform, die standardkonforme APIs bereitstellt, Einwilligung und SCA orchestriert, die richtigen Aggregatoren anbindet und darauf das Kundenprodukt ausliefert.
Crassula ist die Orchestrierungs- und Produktschicht. Wir bringen Ledger, KYC, IBAN-Provisionierung, Kartenprogramm, Zahlungsrouting und Admin-Backoffice mit, dazu PSD2- und PSD3-fertige APIs in der NextGenPSD2-Variante der Berlin Group. Anbindung an finAPI, Klarna Kosma, Tink, TrueLayer oder Yapily fuer Aggregation, oder Crassula macht Sie selbst zum ASPSP. Sie liefern ein Markenprodukt in Wochen statt Jahren.
- Fuer Banken und E-Geld-Institute: PSD3-fertige APIs, Consent-Dashboard, SCA-Orchestrierung, FiDA-vorbereitete Datenflaechen.
- Fuer Fintechs und Marken: Aggregator-gestuetztes Onboarding, A2A- und VRP-Flows, Affordability-Scoring-Hooks.
- Fuer Cross-Border-Teams: eine Integration fuer EU-Passporting, UK Open Banking und US Section 1033.
FAQ
Open Banking erlaubt Ihnen, mit expliziter Zustimmung Ihrer Bank Kontendaten zu teilen oder Zahlungen ueber einen lizenzierten Drittanbieter auszuloesen. Die Bank fuehrt weiter das Konto, der Drittanbieter baut darauf ein neues Produkt - Budget-App, Pay-by-Bank, Kredit-Scoring, Treasury.
PSD3 und die Payment Services Regulation wurden Ende 2024 und Anfang 2025 politisch geeinigt und ersetzen PSD2. PSD3 regelt Lizenzierung und Aufsicht als Richtlinie, die PSR harmonisiert das Verhaltensrecht direkt. Strenger werden Betrugs-Haftung und SCA-UX, besser werden die API-Qualitaetspflichten fuer Banken. Anwendung ab 2026 und 2027.
Die Financial Data Access Regulation erweitert Open Banking auf Spar-, Anlage-, Renten-, Hypotheken- und Nicht-Lebensversicherungsdaten. Damit wird aus Open Banking Open Finance. Das macht ganz neue Produkte moeglich: Renten-Aggregation, Wechsel-Assistenten fuer Versicherungen, Hypotheken-Portabilitaet.
TPP ist der Sammelbegriff fuer regulierte Drittanbieter im Open Banking. AISP lesen Kontodaten, PISP loesen Zahlungen aus, CBPII fragen Deckung fuer karten-aehnliche Instrumente ab. Alle brauchen eine ZAG-Lizenz der BaFin oder eine per EU-Passporting anerkannte Lizenz.
finAPI (Schufa-Gruppe) und Klarna Kosma sind die zwei wichtigsten deutschen Aggregatoren. Sie betreiben AISP- und PISP-Lizenzen und verbinden Fintechs mit tausenden europaeischen Banken. Wer in Deutschland Open Banking nutzt, nutzt meist eine von beiden - oder Tink bzw. Fintecsystems.
Nein. Open Banking liest Daten und loest Zahlungen auf bestehenden Konten aus. Banking-as-a-Service mietet eine Banklizenz, damit ein Nicht-Bank-Unternehmen eigene Konten, Karten oder Kredite anbieten kann. Moderne Fintech-Stacks nutzen oft beides.
Variable Recurring Payments sind ein Consent, der viele Folgezahlungen innerhalb definierter Limits erlaubt. In UK seit 2025 im Commercial-Rollout. In der EU wird unter PSD3 und PSR ein vergleichbarer Rahmen vorbereitet. Sie ersetzen Lastschrift und Kartenzahlung in Abo-Modellen.
Crassula stellt eine Plattform mit PSD2- und PSD3-fertigen APIs, Consent- und SCA-Orchestrierung und Integrationen zu finAPI, Klarna Kosma, Tink, TrueLayer und Yapily bereit. Banken, E-Geld-Institute und Fintechs bauen in Wochen ein markenfaehiges Produkt statt in Jahren die Regulatorik zu replizieren.
Other Guides
Erstellen Sie eine digitale Bank in nur wenigen Tagen
Demo anfordern