12. Mai 2025

Bank IT,

Bankregulierung,

Bankstrategie,

Digitalisierung,

Open Banking

Open Banking in den USA: Was wir in der Schweiz vom Fall Plaid und Rule 1033 lernen können

Von Prof. Dr. Andreas Dietrich

Was in Europa mit PSD2 bereits 2018 eingeführt wurde, nimmt nun auch in den USA konkretere Formen an. Mit Rule 1033 plant das Consumer Financial Protection Bureau (CFPB) einen gesetzlich verankerten Zugang zu Bankdaten über standardisierte APIs. Ziel ist es, Konsumentinnen und Konsumenten mehr Kontrolle über ihre Finanzdaten zu geben. Ob und wie Rule 1033 tatsächlich umgesetzt wird, hängt derzeit jedoch stark von politischen und juristischen Entwicklungen ab. Dennoch lohnt sich schon heute ein Blick in die Praxis: Am Beispiel von Plaid zeige ich, wie Open-Banking-Modelle in den USA bereits jetzt funktionieren.

Im Rahmen eines Research Sabbaticals halte ich mich derzeit in den USA auf und nutze die Gelegenheit, verschiedene Initiativen und (digitale) Produkte direkt vor Ort zu analysieren. In den letzten Tagen habe ich mich vertieft mit dem Thema Open Banking in den USA beschäftigt und dazu auch den Austausch mit Akteuren aus dem lokalen Ökosystem gesucht. Nachfolgend skizziere ich, wo das Thema aktuell steht – und welche Dynamik sich rund um Rule 1033 abzeichnet.

Was ist Rule 1033?

Rule 1033 basiert auf einer Bestimmung des Dodd-Frank Act und sieht vor, dass Verbraucher in den USA das Recht haben, ihre Finanzdaten strukturiert und sicher mit Drittanbietern zu teilen. Dabei geht es – im Gegensatz zu PSD 2 in Europa – nicht nur um Zahlungskonten, sondern auch um Kreditkarten, Sparkonten, Hypotheken und weitere Produkte. Im Zentrum steht die Forderung nach:

  • Datensouveränität: Der Kunde entscheidet, wer Zugriff auf seine Daten hat.
  • Standardisierten APIs: Keine Logins oder Screen Scraping mehr, sondern transparente, maschinenlesbare Schnittstellen.
  • Mehr Wettbewerb: Kunden sollen von besseren Angeboten, personalisierter Beratung und niedrigeren Kosten profitieren.

Die Rule 1033 des Consumer Financial Protection Bureau (CFPB) trat am 17. Januar 2025 in Kraft. Die Umsetzung dieser Regelung erfolgt jedoch gestaffelt, basierend auf der Grösse der Finanzinstitute:

  • 1. April 2026: Grösste Finanzinstitute mit Vermögenswerten von mindestens USD 250 Milliarden oder Nichtbanken mit Einnahmen von mindestens USD 10 Milliarden in den Jahren 2023 oder 2024.
  • 1. April 2027: Mittlere Finanzinstitute mit Vermögenswerten zwischen USD 10 Milliarden und 250 Milliarden sowie alle anderen Nichtbanken.
  • 1. April 2028: Finanzinstitute mit Vermögenswerten zwischen USD 3 Milliarden und 10 Milliarden.
  • 1. April 2029: Finanzinstitute mit Vermögenswerten zwischen USD 1.5 Milliarden und 3 Milliarden.
  • 1. April 2030: Kleinere Finanzinstitute mit Vermögenswerten zwischen USD 850 Millionen und 1.5 Milliarden.

Während Rule 1033 nun auch in den USA eine gesetzliche Grundlage für APIs schafft, bleibt Open Banking in der Schweiz ein freiwilliger Ansatz – getragen von Marktakteuren, nicht Regulatoren. Die USA bewegen sich damit von einem „Graubereich“ zu einem klaren Rechtsrahmen. In der Schweiz ist der Rechtsrahmen hingegen noch nicht entstanden.

Warum kommt Rule 1033 gerade jetzt? Der Fall von Plaid

Ein Grund ist das Versagen bestehender Datenzugriffsmodelle. Besonders prominent wurde dies im Fall der Firma Plaid. Und diesen Fall möchte ich noch kurz etwas ausführen, weil er (zumindest aus Schweizer Sicht) sehr interessant (und auch fast etwas unglaublich) ist.

Plaid, ein FinTech-Infrastruktur-Anbieter, hatte sich in den letzten Jahren zum Daten-Gatekeeper für Hunderte von Finanz-Apps entwickelt (z.B. Venmo oder Robinhood). Da es keine regulierten APIs gab, griff Plaid auf sogenanntes Screen Scraping zurück. Nutzer gaben ihre Bank-Zugangsdaten direkt bei Plaid ein. Plaid loggte sich in deren Namen ein, las Transaktionen, Salden, Kreditlimits – oft mehr, als die Nutzer realisierten. Insbesondere hatte Plaid offenbar Anmeldebildschirme gestaltete, die den echten Bank-Login-Seiten ähnelten, wodurch Nutzer unwissentlich ihre Bankzugangsdaten direkt an Plaid weitergaben (für mehr Infos, siehe zum Beispiel hier).

Der Protest folgte: Verbraucherschützer und Banken warfen Plaid intransparentes Verhalten vor. 2022 einigte sich das Unternehmen in einem Vergleich über USD 58 Millionen wegen unklarer Datennutzung und dem «Abgreifen von Zugriffsdaten» (Credential Harvesting). Obwohl diese Summe nicht unerheblich erscheint, könnte man auch argumentieren, dass sie im Vergleich zum potenziellen Ausmass des Datenschutzverstosses und der Anzahl betroffener Nutzer relativ gering ist. Es wird geschätzt, dass etwa 98 Millionen Nutzer betroffen waren, was bedeutet, dass der individuelle Ausgleich pro Nutzer vergleichsweise gering ausfiel.

Als Reaktion auf die Vorwürfe und den Vergleich hat Plaid Massnahmen ergriffen, um die Transparenz und Kontrolle für die Nutzer zu verbessern. Dazu gehört die Einführung des „Plaid Portals“, das es Nutzern ermöglicht, zu sehen, welche Apps Zugriff auf ihre Bankdaten haben, und diesen Zugriff bei Bedarf zu widerrufen.

Der Fall wurde zum Paradebeispiel dafür, warum es klare Regeln und APIs braucht.

Heute ist Plaid übrigens ein noch zentralerer Akteur im Bereich der Finanzdatenaggregation geworden und unterstützt zahlreiche Finanzanwendungen. Über 8’000 Finanzinstitute nutzen den Service von Plaid. Die Firma hat 900 Mitarbeitende. Robinhood, Coinbase, Vanmo, Chime oder Betterment und viele weitere bekannte FinTechs arbeiten alle eng mit Plaid zusammen. Interessant ist in diesem Zusammenhang auch die Beziehung zwischen Plaid und JPMorgan Chase. Aus anfänglicher Skepsis und Kritik wurde in der Zwischenzeit eine strategische Partnerschaft.

In den Anfangsjahren äusserte JPMorgan-CEO Jamie Dimon Bedenken hinsichtlich der Praktiken von Fintech-Unternehmen wie Plaid, insbesondere im Hinblick auf den Datenschutz und die Sicherheit der Kundendaten. Trotz dieser anfänglichen Spannungen unterzeichneten JPMorgan Chase und Plaid im Oktober 2018 eine Vereinbarung zur Nutzung sicherer APIs für den Datenaustausch. Diese Vereinbarung ermöglichte es Plaid, auf Kundendaten von JPMorgan über eine sichere Schnittstelle zuzugreifen. Im August 2021 schliesslich beteiligte sich JPMorgan Private Capital sogar an einer Finanzierungsrunde von Plaid.

Abbildung 1: Open Finance, Plaid und die USA (Bild generiert durch ChatGPT)

Neben Plaid gibt es mit Akoya auch eine Art b.link im US-Open-Banking-Ökosystem. Die Plattform wurde 2018 als Tochter von Fidelity gegründet und 2020 in ein unabhängiges Unternehmen überführt, das heute gemeinschaftlich von Fidelity, The Clearing House sowie elf grossen US-Banken wie JPMorgan Chase, Bank of America, Citi und Wells Fargo gehalten wird – mit dem Ziel, den sicheren und standardisierten Datenaustausch über APIs zu fördern.

Open Banking: Wo stehen die USA wirklich?

Bisher hinken die USA beim Open Banking gegenüber Europa hinterher. Während Europa mit PSD2 einen regulatorischen Rahmen geschaffen hat, war der US-Markt von proprietären Lösungen und inoffiziellen Zugriffswegen geprägt. Rule 1033 soll das nun ändern. Mit der Umsetzung dürfte sich das Ökosystem verändern:

  • FinTechs bekommen legitimen Datenzugang – ohne rechtliche Grauzone.
  • Banken müssen APIs bauen, was Infrastruktur-Investitionen erzwingt.
  • Kunden gewinnen mehr Transparenz und Kontrolle.

Doch trotz des eigentlich klaren regulatorischen Signals bleiben noch Zweifel an der tatsächlichen Umsetzung. Denn mit dem Wechsel der politischen Führung – einschliesslich eines neuen Direktors an der Spitze des Consumer Financial Protection Bureau (CFPB) – ist derzeit noch etwas unklar, ob und wie die Regel in ihrer jetzigen Form bestehen bleibt. Auch ein laufendes Gerichtsverfahren in Kentucky, angestossen von Bankenlobbygruppen, stellt zentrale Elemente der Regel infrage – unter anderem die Zuständigkeit des CFPB, das Ausmass der Pflichten für Banken und die Möglichkeit zur Kostenumlage (mehr dazu hier).

Fazit

Die USA holen mit Rule 1033 – abhängig von der tatsächlichen Umsetzung – regulatorisch möglicherweise auf. Gleichzeitig könnten sie neue Benchmarks im Open-Banking-Design setzen, etwa durch den geplanten Fokus auf alle Kontotypen, nicht nur auf Zahlungskonten wie unter PSD2. Ob dieser Wandel tatsächlich eintritt, hängt derzeit jedoch weniger von der Technik als vielmehr von Politik und Justiz ab.

Schon jetzt lohnt sich aber ein genauer Blick auf das Angebot von Plaid, das zeigt, wie weitreichende Dateninfrastrukturen in den USA bereits funktionieren.

In Europa geht die aktuell diskutierte FiDA-Initiative (Financial Data Access Regulation) in eine ähnliche Richtung. Sie zielt auf den Übergang von Open Banking zu Open Finance – also den Zugriff auf eine deutlich breitere Palette an Finanzdaten, etwa zu Versicherungen, Hypotheken oder Sparplänen. Auch FiDA hat das Potenzial, Innovationen zu fördern, steht jedoch vor ähnlichen Herausforderungen: Der Erfolg hängt massgeblich von der Klärung offener Fragen und der praktischen Umsetzbarkeit ab.

Gerade aus Schweizer Perspektive ist es spannend zu beobachten, welche Use Cases, Plattformmodelle und Datenstrategien sich konkret im US-Markt entwickeln – insbesondere, wenn sie auch über den Zahlungsverkehr hinausreichen. Das könnte neue Impulse für WealthTech, Lending, Embedded Finance oder datengetriebene Beratung in der Schweiz liefern.

Kommentare

0 Kommentare

weitere Kommentare laden

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.

Ähnliche Beiträge

9. Mai 2025

Analytics,

Bank IT,

Bankstrategie,

Digitalisierung,

Künstliche Intelligenz,

Ökosystem,

Open Banking,

Prozessmanagement,

Sourcing,

Studie

Die wichtigsten Erkenntnisse der Bank-IT und Sourcing-Studie 2025
Von Dr. Thomas Fischer, Dr. Urs Blattmann, Joël Ettlin

Bereits zum siebten Mal veröffentlicht das IFZ die Studie Bank-IT und Sourcing. Untersuchungsgestand ist die Entwicklung des Outsourcings bei Retailbanken…

Pin It on Pinterest