Die PSD II untersagt ja WebScraping (auch ScreenScraping genannt) mehr oder weniger. Die Banken werden zumindest aufgefordert, technische Maßnahmen zu ergreifen, um das “Scrappen” ihrer Webseiten zu unterbinden.
Auch wenn es die von der PSD II geforderten Access-To-Accounts-Schnittstellen (XS2A) geben wird, so ist wohl eher nicht davon auszugehen, dass über diese Schnittstellen genau die Daten abgerufen werden können, die FinTechs, StartUps oder allgemein Dritte auch benötigen. So sind schon einmal grundsätzliche Daten von Depots oder Kreditkarten über die PSD II überhaupt nicht abgedeckt, denn die PSD II behandelt nur den Zahlungsverkehr. Es wird also auch zukünftig WebScraping erforderlich sein - wenn den Endkunden nach Einführung der PSD II nicht weniger Daten zur Verfügung stehen sollen als derzeit.
Jetzt können die Banken natürlich hergehen und nur die Bereiche ihres Onlinebankings abkapseln, wenn die entsprechenden Daten auch über eine XS2A-Schnittstelle erreichbar sind. Für diese Bereiche lässt sich dass WebScraping dann aktiv unterbinden, während die anderen Bereiche (Kreditkarten, Depots, Versicherungen, Bausparen, etc.) für WebScraping nach wie vor erreichbar sind. Technisch lässt sich das aber nur sehr schwierig umsetzen, insbesondere wenn die unterschiedlichen Kontoarten schon in der Finanzübersicht gemischt angezeigt werden.
Und eines der höheren Ziele der PSD II, die Sicherheit zu verbessern, schlägt ebenfalls fehl, da ja insbesondere die schützenswerten Zugangsdaten auch künftig an die Webseiten der Bank übermittelt werden.
Natürlich kann die XS2A-Schnittstelle um die relevanten Daten angereichert werden. Bisher dürften die Banken jedoch nicht hinreichend wissen, welche Informationen die WebScraper bisher abfragen und verwerten.
Man kann also schon sehr leicht erkennen, dass auch künftig WebScraping zwingend erforderlich sein wird. Die Banken sind auf jeden Fall auf der sicheren Seite, wenn ihnen die bisher aus ihrer Sicht eher anonym agierenden WebScraper künftig bekannt sind - nicht nur um herauszufinden, welche Daten der Kunden abgerufen werden.