FiDA-IT-Guide: APIs, Open Banking und FDSS im Überblick
FiDA ist mehr als Regulierung, es ist ein IT-Projekt: Mit sicheren APIs, ISO 20022 und modernen IT-Standards wird ein kontrollierter Zugang zu Finanzdaten ermöglicht. Wie sich IT-Abteilungen von Versicherern auf FiDA vorbereiten können, welche Rolle das Financial Data Sharing Scheme (FDSS) hat und warum jetzt der richtige Zeitpunkt ist, Legacy-Systeme zu modernisieren.
Das „Framework for Financial Data Access“ (FiDA) soll in der EU einen offenen Finanzdatenraum schaffen. Ziel ist es, über einheitliche Standards den sicheren und transparenten Austausch von Finanzdaten zu ermöglichen. Damit FiDA in der Praxis funktioniert, braucht es eine robuste technische Architektur. Sie definiert, wie Daten zwischen Banken, Versicherern und Drittanbietern ausgetauscht werden, welche Sicherheitsstandards einzuhalten sind und wie Kund:innen die volle Kontrolle über ihre Daten behalten.
Im Zentrum stehen Schnittstellen, Datenmodelle und Sicherheitsmechanismen, die einen standardisierten und sicheren Austausch von Finanzdaten ermöglichen. Diese technische Architektur bildet das Rückgrat eines interoperablen und sicheren Open-Finance-Ökosystems in Europa.
- APIs als Fundament für Open Finance: FiDA baut auf sicheren, standardisierten Schnittstellen (TLS, OAuth2, OpenID Connect) für FISPs. Diese müssen dokumentiert, 24/7 verfügbar und ISO-20022-konform sein. Ziel ist ein offenes, modulares API-Ökosystem.
- Financial Data Sharing Scheme (FDSS): FDSS definiert den technischen, organisatorischen und rechtlichen Rahmen für den sicheren, standardisierten Datenaustausch inklusive API-Standards, Governance und Sicherheitsvorgaben.
- Consent Dashboard & Berechtigungen: Nutzer:innen verwalten Freigaben zentral und granular. IT-Aufgaben sind hierbei Portale, RBAC/ABAC-Zugriffskontrollen, Logging, DSGVO-konforme Löschung, API-Anbindung, Widerrufs-Option und Einsicht in Berechtigungshistorien.
- Kundenauthentifizierung: Identity & Access Management (IAM) ist zentral. APIs, Consent-Management und Token-Verwaltung müssen integriert, DSGVO-konform und nutzerfreundlich sein. Das schafft Sicherheit, Vertrauen und Akzeptanz.
Die aktuelle IT- und Software-Landschaft im Kontext von FiDA
Im Versicherungssektor wird die technische Umsetzung von FiDA in Europa maßgeblich von CEN/TC 445 geprägt. Das Normungsgremium entwickelt einheitliche Standards für den digitalen Datenaustausch zwischen Versicherern, Kunden, Maklern und Dienstleistern. Mit der vorgeschlagenen EU-FIDA-Verordnung (2023) entsteht für Datenhalter die Pflicht, Kundendaten auf Anfrage in anerkannten Standardformaten bereitzustellen. CEN/TC 445 erarbeitet dazu:
- EN-Standards zur semantischen Datenmodellierung
- Technische Spezifikationen zur OpenAPI-Implementierung
Die Arbeiten starteten im Februar 2025; erste Entwürfe sollen im Februar 2026 zur öffentlichen Anhörung bereitstehen. Grundlage ist der „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über einen Rahmen für den Zugang zu Finanzdaten“ (COM(2023) 360 final, 2023/0205 (COD)), der u. a. zentrale FiDA-Artikel (Art. 2 Abs. 1, Art. 4, Art. 5) sowie die DSGVO-Datenportabilität (Art. 20 DSGVO) abbildet (EUR-Lex, CELEX: 52023PC0360).
In Deutschland gibt es mehrere relevante Akteure, die in diesem Kontext Standards und Schnittstellen entwickeln:
- BiPro (Brancheninitiative Prozessoptimierung): Entwickelt standardisierte Webservices (APIs) für Versicherungsprozesse, z. B. Vertragsdaten oder Schadenmeldungen (Releases 430.x / 440.x).
- FRIDA (Finanz- und Versicherungsdaten-Austausch): Fokus auf offene Schnittstellen für Finanz- und Versicherungsdaten im Rahmen der Digitalisierungsinitiativen.
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft): Treibt eigene Branchenstandards und Datenformate voran.
Diese Akteure könnten ihre Spezifikationen als Grundlage oder Baustein für das Financial Data Sharing Scheme (FDSS) einbringen. Ob und in welchem Umfang sie eine Rolle in der konkreten FiDA-Umsetzung spielen werden, hängt von den europäischen Abstimmungen und der finalen Ausgestaltung der Standards ab.
Auswirkungen von FiDA auf bestehende IT-Landschaften
FiDA wird tief in die IT-Strukturen von Banken und Versicherern eingreifen, besonders dort, wo Legacy-Systeme und fehlende API-Fähigkeiten bislang Innovation bremsen.
Schnittstellen-Modernisierung
Viele Kernsysteme sind monolithisch aufgebaut und nicht API-ready. FiDA erzwingt die Öffnung:
- Wrapper-APIs & Middleware verbinden alte Systeme mit neuen Schnittstellen, ohne die Kernarchitektur komplett zu ersetzen.
- Microservices-Architekturen ersetzen Monolithen schrittweise durch flexible, skalierbare Module – ein zukunftsfähiger, aber ressourcenintensiver Weg.
Datensicherheit & Compliance
FiDA-Implementierungen müssen DSGVO- und DORA-konform sein:
- DSGVO: Consent-Management, transparente Verarbeitung, Widerrufs- und Löschrechte.
- DORA: Cyberabwehr, Incident-Response, Resilienztests (Penetrationstests, Stresstests) zur nachweisbaren IT-Sicherheit.
Agile Entwicklung & DevOps
Die dynamische Regulierung erfordert schnelle, stabile Anpassungen:
- CI/CD-Pipelines für reibungslose, automatisierte Updates.
- DevOps-Modelle für enge Zusammenarbeit zwischen Entwicklung und Betrieb, insbesondere bei API-Releasezyklen.
- Sandbox-Umgebungen für Drittanbieter (FISPs), um Anwendungen sicher mit Testdaten zu entwickeln.
Das Ergebnis: FiDA zwingt nicht nur zu technischen Anpassungen, sondern auch zu kulturellen Veränderungen in der IT hin zu offeneren, sichereren und agiler strukturierten Softwaresystemen.
FiDA in der Praxis:: IT- und Markt-Herausforderungen
FiDA bringt nicht nur Chancen, sondern auch Hürden: veraltete IT-Systeme, unterschiedliche nationale Auslegungen und wachsender Druck durch Fintechs stellen Banken und Versicherer vor große Herausforderungen. Mit FiDA müssen Institute nicht nur neue Schnittstellen bauen, sondern auch alte Systeme modernisieren, regulatorische Unterschiede meistern und im Wettbewerb mit Fintechs Schritt halten. Wer diese Hürden überwindet, kann die Chancen von Open Finance voll ausschöpfen.
- Altsysteme & Interoperabilität: Veraltete Systeme bremsen die Integration neuer FiDA-Standards. Modernisierung ist kosten- und zeitintensiv. Cloud-Lösungen und End-to-End-API-Integration schaffen Abhilfe.
- Regulatorische Unterschiede: Abweichende nationale Auslegungen erschweren grenzüberschreitende Prozesse. FiDA-konforme Datenstandards wie ISO 20022 sichern Konsistenz und Interoperabilität.
- Wachsende Konkurrenz durch Fintechs: Agile Player nutzen offene Finanzdaten schneller. Institutionen müssen in Innovation investieren, neue Produkte entwickeln und strategische Fintech-Partnerschaften eingehen.
Fit für FiDA: 5 Schritte, mit denen sich IT-Teams schon heute vorbereiten
- Gap-Analyse durchführen: Welche Systeme sind betroffen? Welche API-Komponenten fehlen? Schulungen für Entwickler:innen & IT-Security.
- API-Strategie aufbauen: Einheitliche Governance, internes Developer-Portal, Schnittstellenstrategie, Open-API-Gateways und Sandbox-Umgebungen einrichten, Dokumentation & Schnittstellenkataloge vorbereiten.
- FDSS-Kompatibilität prüfen: Auswahl eines passenden Datenfreigabesystems (z. B. inländisch oder EU-weites).
- Consent Dashboard entwerfen: UX/UI und Backend-Mechanismen für Consent-Handling aufbauen.
- Security & Compliance sicherstellen: DORA-Vorgaben, Audit-Protokolle, Token-Management.
Fazit: FiDA als Katalysator für digitale Innovation
FiDA ist weit mehr als eine regulatorische Pflicht. Die Verordnung schafft die Grundlage für Innovation, offene Schnittstellen und neue Geschäftsmodelle. Mit standardisierten APIs und einem API-first-Mindset können Finanzinstitute nicht nur regulatorische Anforderungen erfüllen, sondern auch Innovationen vorantreiben. Finanzinstitute, die frühzeitig in Architektur, Standardisierung und Integration investieren, profitieren langfristig durch Effizienzgewinne und Wettbewerbsvorteile.
Investitionen in moderne Software-Architekturen zahlen sich also doppelt aus: Sie gewährleisten Compliance und eröffnen zugleich neue Chancen für digitale Transformation.
Haben Sie Fragen zur technischen Umsetzung von FiDA? Unsere Experten helfen Ihnen bei Gap-Analyse, API-Design und Sicherheitskonzepten. Sprechen Sie uns an!
Lassen Sie sich individual beraten
Tony Eggert ist Senior Manager bei Convista und verantwortet den Themenbereich FiDA. Seit mehr als zehn Jahren ist er als Projektleiter im Finance- und IT-Umfeld tätig und konzipiert die Einführung und Weiterentwicklung von IT-Kernsystemen. Als Teil der Arbeitsgruppe Open Insurance unterstützt er den Ausbau der innovativen Bestrebungen der Branche. Ein Treffen auf ausgewiesenen Messen bzw. Buchungen für Fachvorträge sind möglich. Lassen Sie uns gerne ins Gespräch kommen.
Ihr Ansprechpartner
Tony Eggert-Maier
An dem Artikel hat mitgewirkt: Shelly Mehandiratta, Consultant