Eine neue Richtlinie der EU macht Onlinebanking und -einkäufe sicherer – aber auch komplizierter. Am 14. September 2019 endet die Umsetzungsfrist für die neuen Vorgaben zur Kundenauthentifizierung bei Online-Zahlvorgängen und zum Zugriff auf Bankkonten durch Drittanbieter. Es geht um mehr Sicherheit und gerechteren Wettbewerb zwischen neuen Zahlungsdienstleistern und den klassischen Banken. Wir erklären, was Verbraucher und Händler jetzt wissen müssen.
Sei es durch Post der eigenen Hausbank oder durch die Medien: Inzwischen dürfte den meisten bekannt sein, dass zum 14. September 2019 neue Regeln beim Onlinebanking Anwendung finden werden. Die Regelungen verbergen sich hiter kryptischen Bezeichnungen wie PSD2 und SCA. PSD2 ist dabei die Abkürzung für Second Payments Directive, also die zweite Zahlungsdienstrichtlinie der EU. Als Bestandteil dieser Richtlinie werden die Regelungen über die starke Kundenauthentifizierung bzw. Strong Customer Authentication (SCA) verpflichtend. Deutschland hat diese Richtlinie zwar schon zum 13. Januar 2018 in nationales Recht umgesetzt – u.a. wurde das Bürgerliche Gesetzbuch (BGB) geändert. Die Umsetzungsfrist von 18 Monaten endet aber erst am 14. September.
Die Änderungen bedeuten für Verbraucher zweierlei: Zum einen reicht die Eingabe von normaler Nutzerkennung und Pin beim Login auf das Konto künftig nicht mehr aus. Zum anderen wird auch das Bezahlen von Onlinekäufen etwas komplizierter. Eine weitere wesentliche Änderung, welche die PSD2 mit sich bringen wird, ist die Zugriffsmöglichkeit von sog. „dritten Zahlungsdienstleistern“ auf die Bankkonten von zahlenden Verbrauchern. Mit Drittanbietern sind insbesondere neue Zahlungsmodelle wie PayPal oder auch Klarna gemeint. Das bedeutet, dass nunmehr nicht nur die kontoführende Bank alleinigen Zugriff auf das Konto ihres Kunden hat, sondern diesen Zugriff auch Drittanbietern erlauben muss. Bevor Panik aufkommt: Den Drittanbietern wird der Zugriff auf die Kontodaten nur gewährt, wenn der Kontoinhaber explizit zustimmt. Ohne diese Zustimmung bleibt alles beim Alten und kein Drittanbieter darf auf Ihre Kontodaten zugreifen!
Was ist starke Kundenauthentifizierung?
Die Einführung der SCA soll vor allem der Bekämpfung bzw. Eindämmung von Betrugsfällen im elektronischen Zahlungsverkehr dienen. Elektronische Zahlungen sollen also auf sicherem Wege durchgeführt werden müssen. Diese erhöht die Sicherheit für Kunden soll durch die Einführung einer Zwei-Faktoren-Authentifizierung bei elektronischen Zahlungen erreicht werden. Damit ist ein mehrstufiger Verifizierungsvorgang gemeint, der einer Online-Zahlung vorgelagert ist.
Starke Kundenauthentifizierung bzw. Strong Customer Authentification (SCA) soll die Zuordnung einer Person zu einer elektronischen Zahlungstransaktion besser ermöglichen und so Missbrauch vorbeugen. Mit anderen Worten soll sichergestellt werden, dass Sie als derjenige, der eine Zahlung anweist, auch wirklich die Person sind, für die Sie sich beim Online-Bezahlvorgang ausgeben. Bisher genügte die Eingabe der Kreditkartennummer oder eines Passworts. Die Gefahr des Missbrauchs liegt auf der Hand. In Zukunft muss ein Kunde zusätzliche Authentifizierungsstufen durchlaufen, wenn er eine Zahlung tätigen will.
Neu ist die verpflichtende zweite Stufe bei der Kundenauthentifizierung. Der neu vorgesehene Sicherheitsstandard sieht drei Möglichkeiten vor, wie sich ein Kunde bei einem elektronischen Zahlungsvorgang authentifizieren kann. Von diesen drei Möglichkeiten muss der Authentifizierungsvorgang zukünftig mindestens zwei enthalten, um „stark“ zu sein:
- Wissen: Zunächst gibt es den Bereich „Wissen“. Darunter fallen Passwörter, Sicherheitsfragen, PINs, etc. Also etwas, das nur Sie kennen.
- Besitz: Das kann z.B. eine Karte sein oder auch ihr Smartphone bzw. Wearables wie eine Smartwatch. Hier geht es um etwas, das nur Sie haben.
- Inhärenz (Eigenschaften, die ihnen „anhaften“): Fingerabdruck-Scan, Gesichtserkennung, Iris-Scan oder eine Stimmerkennung sind nur einige Beispiele für Möglichkeiten einer biometrischen Authentifizierung.
Keinerlei Vorgaben enthält die Richtlinie, wie diese Bereiche miteinander kombiniert werden müssen. Damit ist Platz für Innovationen im Hinblick auf möglichst komfortable Wege für eine starke Zwei-Faktoren-Authentifizierung (2FA). Es können also für unterschiedliche Geschäftsmodelle verschiedene Zahlungsmethoden und Wege der Authentifizierung entwickelt werden, die alle dem verbindlichen Standard genügen.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Ist die 2FA überhaupt neu?
Wirklich neu ist eine Zwei-Faktoren-Authentifizierung nicht: Auch die klassische Zahlung per EC-Karte in einem Ladenlokal erfüllen bereits die Anforderungen der neuen Richtlinie: Eine nur dem Verwender bekannte PIN wird mit einer im Besitz des Verwenders stehenden Karte verknüpft. Auch die sog. 3D Secure Abfrage, bekannt von Online-Zahlungen per Kreditkarte, z.B. die „Mastercard Identity Check“, ist bereits eine etablierte Form der Kundenauthentifikation.
Grundsätzlich ist das System der Zwei-Faktoren-Authentifizierung also nicht unbekannt. Jetzt wird es aber für nahezu alle elektronischen Zahlungen verpflichtend. Gerade im Bereich des E-Commerce hat sich eine Tendenz der Händler dahingehend abgezeichnet, für ihre Kunden immer einfachere und komfortable Wege der Zahlung anzubieten. Das Stichwort lautet One-Click-Shopping. Mit dieser Entwicklung einhergehen immer größere Sicherheitsrisiken im elektronischen Zahlungsverkehr. Um zuverlässige und sichere Zahlungsdienste gewährleisten zu können, werden Banken und Zahlungsdienstleister nun also zur SCA verpflichtet.
Welche Zahlungsarten sind betroffen?
Die Pflicht zur starken Kundenauthentifizierung greift dann, wenn ein Kunde online auf sein Zahlungskonto zugreift (Log-in) oder eine Zahlung auslöst.
Von der Pflicht zur Zwei-Faktoren-Authentifizierung sind also hauptsächlich online getätigte Kartenzahlungen betroffen. Das betrifft den Einkauf auf einem Marketplace genauso wie das Reisebuchen über Online-Portale.
Nicht betroffen sind Lastschriftverfahren. Denn diese werden nicht durch den Kunden, sondern durch den Zahlungsempfänger eingeleitet. Auch Zahlungen auf Rechnung oder Vorkasse fallen nicht in den Anwendungsbereich.
Gibt es Ausnahmen?
Die Pflicht zur Zwei-Faktoren-Authentifizierung mutet auf den ersten Blick sehr sperrig und unkomfortabel an. Deswegen gibt es auch Ausnahmen u.a. für Zahlungsvorgänge mit geringen Beträgen oder solche, die als risikoarm eingestuft werden.
- Für Zahlungen von Geldbeträgen unter 30 Euro ist ausdrücklich keine Zwei-Faktoren-Authentifizierung erforderlich.
- Außerdem können Ausnahmen gemacht werden, wenn der Zahlbetrag unter 500 Euro liegt und die Transaktion als risikoarm eingestuft wird. Für die Einstufung einer Transaktion als risikoarm kommt es auf die durchschnittlichen Betrugsraten des entsprechenden Zahlungsdienstleisters an. Für das jeweilige Zahlungsmittel gibt es von der EU definierte Betrugsquoten.
- Weiterhin gibt es für Kunden die Möglichkeit einer Whitelist, d.h. sie können bei ihrer Bank ein Unternehmen als vertrauenswürdigen Zahlungsempfänger angeben. Dies hat dann zur Folge, dass man bei einem Unternehmen, bei dem man häufiger einkauft, keinen SCA-Prozess durchlaufen muss.
- Weitere Ausnahmen sind für Zahlungen im B2B-Bereich vorgesehen und bei wiederkehrenden Transaktionen, also auch abonnementmäßige Zahlungen.
Apps erhalten Zugriff auf Bankkonten
Ein weiteres Ziel, das die EU mit der PSD2 verfolgt, ist es, Innovationen hinsichtlich neuer Online-Zahlungsmöglichkeiten wie PayPal zu fördern und zu reglementieren. Dazu werden einheitliche rechtliche und technische Vorgaben für den Online-Zugriff von Drittanbietern auf Bankkonten etabliert.
Klassische Kreditinstitute müssen Schnittstellen für Drittanbieter bereitstellen, damit diese im Auftrag des Kunden auf die Konten zugreifen können. Banken verlieren also das alleinige Recht, auf die Zahlungskontodaten ihrer Kunden zugreifen zu können. Unter bestimmten Umständen sind Banken verpflichtet, Kundendaten auch an die Drittanbieter herauszugeben. Dies soll zu einem gerechten Wettbewerb zwischen klassischen Banken und modernen Zahlungsdiensten führen. Im Gegenzug unterliegen die Innovatoren nun der Bankaufsicht. Um tätig werden zu können, benötigen die Drittanbieter die Zulassung der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht). Für Kunden wird die BaFin in Zukunft Verzeichnisse mit anerkannten und zulässigen Anbietern anlegen.
Die Zahlungsrichtlinie umfasst drei Arten von Drittanbietern: Zahlungsauslösedienste, Anbieter von Zahlungskarten und Kontoinformationsdienste. Ein Zahlungsauslösedienst wird vom Kunden beauftragt, zulasten seines Bankkontos eine Überweisung durchzuführen. Solche Dienste (wie PayPal) werden in der Regel als Bezahlmethode in Online-Shops angeboten. Mit Kontoinformationsdiensten sind z.B. Apps gemeint, die es Verbrauchern erlauben, einen Überblick über verschiedene Bankkonten zu behalten. Kontoinformationen wie Umsätze und Salden werden z.B. für die Finanzplanung abgerufen und für den Kunden aufbereitet. Für Kartenausgabedienste gibt es in Deutschland bisher noch keine Anwendungsbeispiele.
Die Kontrolle bleibt beim Verbraucher
Um den Drittanbietern den Zugriff auf die Kontodaten zu ermöglichen, benötigen diese die Erlaubnis des Kontoinhabers. Das bedeutet, nur der Kunde entscheidet, ob und welche Kontodaten der Drittanbieter für seinen Service einsehen darf. Will der Dienstleister zum ersten Mal das Konto des Kunden abfragen, muss dieser den Zugang mit seinen Zugangsdaten genehmigen. Diese Genehmigung erlaubt es dem Dienstleister für 90 Tage, auf die Kontoumsätze zuzugreifen. Danach muss der Kunde einem weiteren Zugriff erneut zustimmen.
Für zusätzliche Sicherheit sorgt die Tatsache, dass diese Services – wie erwähnt – nun der Bankaufsicht unterliegen, die ein Verzeichnis von gesetzlich anerkannten Drittdienstleistern führen wird.
Sie haben eine Pressefrage an uns?
Kontaktieren Sie unsere Presseabteilung. Wir sind für Journalistinnen und Journalisten aller Medien jederzeit schnell erreichbar und äußern uns zeitnah, fundiert und verständlich.
Ausblick und Fazit
Vor einer Umsetzung ist es für ein Fazit natürlich noch etwas früh. Aber positiv zu bewerten ist die geregelte Zugriffsmöglichkeit von innovativen Finanzdienstleistern auf Kontodaten. Denn die meisten betroffenen Finanz-Services wie PayPal gibt es bereits seit langem. Bisher waren sie aber weitgehend unreguliert. Die PSD2 sorgt nun für eine rechtlich abgesicherte Grundlage und EU-einheitliche Vorgaben. Dass Drittanbieter der Bankenaufsicht unterliegen, ist aus Perspektive des Verbraucherschutzes ein zusätzlicher Gewinn.
Nach der DSGVO befürchten viele Händler wieder großen Stress zum Stichtag und außerdem Umsatzeinbußen, weil Kunden durch einen sperrigen Authentifizierungsvorgang den Bezahlvorgang abbrechen könnten. Doch auch der umgekehrte Fall ist sehr gut denkbar: Eine transparente und nutzerfreundliche Authentifikation ist heute technisch umsetzbar und sorgt für Vertrauen beim Kunden. Und gerade das Thema Vertrauen ist im Bereich des stetig wachsenden Online-Handels wesentlich. Denn seine Zahlungsinformationen gibt man eben demjenigen, dem man vertraut.
Ob die EU-Zahlungsdienste-Richtlinie, wie vom europäischen Gesetzgeber beabsichtigt, die Sicherheit im Zahlungsverkehr erhöhen wird und so für mehr Wettbewerb und Innovation sorgt oder ob das nächste bürokratische Monster aus Brüssel kommt, lässt sich zur Zeit noch nicht abschätzen. Wir denken allerdings, dass man optimistisch bleiben sollte: Eine höhere Sicherheit im Zahlungsverkehr sorgt für mehr Wachstum, außerdem ist eine effektive Betrugsbekämpfung ist dringend erforderlich.
Falls Sie Fragen zu SCA, PSD2 oder 2FA haben beraten wir Sie hierzu gerne.
Zusammenfassung der wichtigsten Änderungen
- Der Zahlungsverkehr mit Diensten wie PayPal wird vereinfacht und reglementiert.
- Online-Zahlungen werden sicherer.
- Verbraucher benötigen zukünftig eine 2 Faktoren- Authentifizierung zur Online-Bezahlung.
- Auch beim Log-in in das Onlinebanking wird grundsätzlich eine Zwei-Faktor-Authentifizierung nötig sein.
- Verbraucher müssen dem Zugriff von Drittanbietern auf ihre Kontodaten explizit zustimmen.
jpa