IHK Ratgeber

Zwei-Faktor-Authentifizierung bei Zahlungen im Internet (PSD 2)

Two factor authentication. Security code to access financial data. Senior woman using cellphone and laptop for online banking, closeup
© Prostock-studio - stock.adobe.com

Inhaltsnavigation

Aufschub der Zwei-Faktor-Authentifizierung bei Kreditkartenzahlungen im Internet

Schonfrist für Kreditkartenzahlungen im Internet: Zahlungsdienstleister mit Sitz in Deutschland dürfen Online-Kreditkartenzahlungen bis 31.12.2020 ohne Starke Kundenauthentifizierung (SCA) ausführen.

Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf.

Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditkartenzahlungen im Internet vorübergehend nicht auf eine Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt, so dass für Verbraucher und andere Zahler im Internet kein Nachteil entsteht.

Die Erleichterungen sind zeitlich bis 31.12.2020 befristet. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.

Weitere Informationen zur Starken Kundenauthentifizierung und den Ausnahmen davon finden sich auf der Webseite der BaFin.

Zurück zur Übersicht

PSD 2: Hintergründe zur Zahlungsdiensterichtlinie

Im Zuge der überarbeiteten Zahlungsdiensterichtlinie PSD 2 sind seit dem 14. September 2019 Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung durchzuführen, wenn der Zahler:

  • online auf sein Zahlungskonto zugreift,
  • einen elektronischen Zahlungsvorgang auslöst oder
  • über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.

Zurück zur Übersicht

Zwei-Faktor-Authentifizierung

Liegt ein solcher Vorgang vor, muss eine Zwei-Faktor-Authentifizierung (2FA) durchgeführt werden. Dabei müssen zwei von drei Faktoren richtig vorliegen um den Kunden zu authentifizieren. Dies kann etwas sein,

  • das der Kunde besitzt – z.B. Girocard oder Smartphone,
  • das der Kunde weiß – z.B. Passwort bzw. PIN,
  • das dem Nutzer eigen ist (sog. Inhärenz) – also ein biometrischer Nachweis wie z.B. der Scan des Fingerabdrucks oder der Iris.

Zurück zur Übersicht

Ausnahmen

Die BaFin hat im Hinblick auf Lastschriften eine Mitteilung veröffentlicht: Bei SEPA-Lastschriften ist die SCA nur notwendig, wenn es sich um ein sogenanntes e-Mandat im Sinne des SEPA-Regelwerks handelt. Eine weitere Ausnahme bilden Transaktionen unter 50 Euro oder Zahlungen für Parkgebühren bzw. Personenbeförderungen.

Zurück zur Übersicht

Was müssen Sie tun?

Auch wenn es nicht mehr lange dauert, besteht kein Grund zur Panik. Viele Zahlungen, wie z.B. mit der Girokarte und PIN an der Kasse oder der Kreditkarte kombiniert mit der 3-D Secure-Abfrage, erfüllen diesen Standard bereits. Dennoch sollte jeder Unternehmer seine elektronischen Zahlungsmöglichkeiten darauf prüfen bzw. beim Zahlungsdienstleister nachfragen.

Zurück zur Übersicht