Hinweise für die "Starke Kundenauthentizifierung"
Regeländerungen für elektronisches Bezahlen
Seit dem 14. September 2019 ist bei Online-Zahlungen eine sogenannte "starke Kundenauthentifizierung" notwendig. Diese soll das Einkaufen im Internet sicherer machen. Da laut Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei Verbrauchern und Unternehmen jedoch noch erheblicher Anpassungsbedarf besteht, wird sie für Kreditkartenzahlungen im Internet vorübergehend nicht auf eine starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt, sodass für Verbraucher und andere Zahler im Internet kein Nachteil entsteht.
Erleichterungen sind zeitlich befristet und gelten nur für Kreditkartenzahlungen
Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Wichtig: Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet. Nicht von der Verlängerung betroffen sind andere Formen elektronischer Zahlungsauslösungen.
Hintergrund: EU-Richtlinie PDS2
Die "starke Kundenauthentifizierung" ist ein Teil der EU-Richtlinie PSD2. Sie legt fest, wie Online-Zahlungen innerhalb des europäischen Wirtschaftsraums abgewickelt werden. Der Großteil der Bestimmungen wurde bereits in nationales Recht umgesetzt. So müssen beispielsweise Banken und Zahlungsdienstleister seit Januar 2018 Drittdienstleistern den Zugriff auf online geführte Kundenkonten ermöglichen.
Zwei-Elemente-Authentifizierung
Die SKA verlangt eine Authentifizierung, die aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien Wissen (Beispiel Passwort), Besitz (Beispiel Mobiltelefon) und Inhärenz (Beispiel Fingerabdruck) stammen.
Zahlungsdienstleister sind verpflichtet, eine SKA durchzuführen, wenn Zahlende online auf ein Zahlungskonto zugreifen, einen elektronischen Zahlungsvorgang auslösen oder über einen Fernzugang eine Handlung vornehmen, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
Die Bundesanstalt für Finanzdienstleistungsaufsicht weist darauf hin, dass bei Lastschriftzahlungen im Internet nur dann eine SKA erforderlich ist, wenn bei der Erteilung der Zustimmung zur Zahlung durch den Zahler (Lastschriftenmandat), diese Erteilung unter direkter Einbindung des Zahlungsdienstleisters des Zahlers erfolgt. Dies ist beim SEPA-Lastschriftenmandat der Fall, wenn es sich um ein E-Mandat im Sinne des SEPA-Regelwerks handelt.
DIHK-Infoblatt "Starke Kundenauthentifizierung" als Download
Zur Übersicht