AC
Anasayfa Makaleler Finanzrecht

Open Banking Compliance: PSD2-Reflexion in der Türkei

TL;DR

Açık Bankacılık: Hesap Bilgisi Hizmeti (AIS) + Ödeme Başlatma Hizmeti (PIS). Türkiye'de BDDK çerçevesinde TPP rolü.

15 Şubat 2026 Finanzrecht 2 dk okuma 9 görüntülenme Son güncelleme: 9 Mayıs 2026

Open Banking ist die Möglichkeit eines Drittanbieter-Fintechs, auf Kontoinformationen zuzugreifen und Zahlungen mit Zustimmung des Bankkunden zu veranlassen. Es arbeitet mit der Infrastruktur von BKM und TRSPI in der Türkei; Eine TPP-Lizenz (Third Party Provider) ist erforderlich.

3 Hauptrollen

  • AISP (Account Information Service Provider): Kontoinformationen lesen; Persönliche Finanz-Apps.
  • PISP (Payment Initiation Service Provider): Zahlungsauslösung; E-Commerce.
  • CBPII (Card-Based Payment Instrument Issuer): Ausgabe von Kartenprodukten.

TPP-Lizenz + Zertifizierung

  • BRSA-Zahlungsinstitutslizenz (PI oder EMI).
  • BKM/TRSPI-Zertifizierung (eToken/eIDAS-kompatibel).
  • API-Zugriff mit der Bank (Sandbox + Produktion).
  • Infrastruktur zur Verwaltung der Benutzereinwilligung.

    • Technische Anforderungen

    • OAuth 2.0 + OpenID Connect.
    • FAPI-Profil (Financial-Grade API).
    • mTLS + JWS-Signatur.
    • PSD2 SCA (Strong Customer Authentication): MFA + dynamische Verknüpfung.

    Ist die Freigabe der Bank-API obligatorisch?

    In der Türkei gibt es noch keine verpflichtende Weitergabe auf EU-PSD2-Ebene. BKM-Dienste wie „Paribu Open Banking“ sind optional; Beteiligungsentscheidung der Bank.

    Datenaufbewahrungsdauer?

    „Zweckgebunden“ im Rahmen der KVKK. Maximal 90 Tage fortlaufend für AIS (es sei denn, die Zustimmung des Benutzers wird erneuert).

    Ist die Einhaltung der PSD2 für die Türkei notwendig?

    Wenn Sie auf dem EU-Markt verkaufen, ja. BRSA + TRSPI ist für den türkischen Inlandsmarkt ausreichend.

    Wie erfolgt die Verwaltung der Benutzereinwilligung?

    Offene, widerrufbare, granulare (kontobasierte) Einwilligung. Kompatibel mit KVKK m.5 + m.11. Zeigen Sie im Bestätigungsfeld der Benutzeroberfläche an, auf welche Daten zugegriffen wurde und wie lange es dauerte.

    Wer ist verantwortlich, wenn die Bank-API nicht funktioniert?

    Dies wird in der SLA-Vereinbarung festgelegt. Bei einer jährlichen Ausfallzeit von > 1 % kann es zu einer Schadensersatzpflicht des Kunden auf Seiten des Fintechs kommen; Als Backup wird die Multibank-Integration empfohlen.

    Einschlägige Gesetzgebung

    • Gesetz Nr. 6493 – Zahlung und elektronisches Geld; Lizenzierung, Betriebserlaubnis.
    • BRSA-Vorschriften – Zahlungsinstitut/EML-Genehmigung, Kapital, Berichterstattung.
    • 5549 SKMASAK; KYC, STR, regelmäßige Aktivität.
    • KVKK + DSGVO – Datensicherheit, grenzüberschreitende Übermittlung.
    • PCI-DSS – Kartenspeicher; Konformität mit PCI Level 1–4.
    Rechtlicher Hinweis: Dieser Artikel dient allgemeinen Informationszwecken; Für einen konkreten Fall ist ein Gespräch mit einem Anwalt erforderlich. Dauer, Tarif und Praxis werden durch die Rechtsprechung geprägt; Informieren Sie sich vor der Antragstellung über die aktuelle Gesetzgebung.

    Kaynaklar ve referanslar

    Kaynaklar

    Açık Bankacılık (Open Banking) Uyumu: Türkiye'de PSD2 Yansıması içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.

    Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

    Hukuki destek arıyorsanız

    Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

    Görüşme Planla