Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in einer Pressemitteilung am 21. August einen Aufschub Handel und Acuirern in Sachen starke Kundenauthentifizierung nach der PSD II für online Zahlungen per Kreditkarte gewährt.
UPDATE: Die BaFin hat in ihrer Mitteilung vom 17.10.19 nun das Ende der Übergangsfrist auf den 31. Dezember 2020 festgesetzt.
Die PSD II (aus dem englischen „Payment Service Directive“, zu Deutsch Zahlungsdiensterichtlinie) ist eine europäische Richtlinie, deren Vorgaben in einer zugehörigen Delegierten Verordnung der Kommission über technische Regulierungsstandards (RTS) konkretsisiert werden. Sie ist bereits in weiten Teilen seit Anfang 2018 in deutsches Recht umgesetzt, vollständig tritt sie erst jetzt, am 14. September in Kraft. Ziel der Richtlinie ist es, den Zahlungsverkehr für den Verbraucher einfacher und vor allem sicherer zu machen und zugleich den Wettbewerb um neue Technologien und Marktteilnahme (Stichwort Fintechs) zu fördern. Richtlinie und RTS sehen zum einen eine Pflicht für Banken und Zahlungsdienstleister vor, sogenannten dritten Zahlungsdienstleistern (Zahlungsauslöse- und Kontoinformationsdiensten) mithilfe geeigneter Schnittstellen Zugriff auf bei ihnen online geführte Konten zu ermöglichen. Für den Online-Handel relevant ist neben dem Surcharging-Verbot, aber vor allem die ab dem 14. September für online Transaktionen grundsätzlich verpflichtende starke Kundenauthentifizierung.
Die starke Kundenauthentifizierung SCA (Strong Customer Authentication) – oder auch 2-Faktor-Authentifizierung
Bei der starken Kundenauthentifizierung sind grundsätzlich zwei von drei Sicherheitselementen für die Autorisierung einer Transaktion erforderlich:
- Wissen: Abgefragt wird etwas, das nur der Kunde weiß; das sind z.B. eine Pin oder ein Passwort.
- Besitz: Angefordert wird etwas, das nur der Kunde besitzt. Das kann z.B. eine EC Karte sein, aber auch ein bestimmtes Smartphone, welches der Kunde mit einer eindeutigen Geräteidentifikationsnummer einmalig registriert und welches dann eine in der Banking App generierte TAN anzeigt, die für die Transaktion benötigt wird.
- Inhärenz: Angefordert werden kann auch etwas, das der Kunde ist, also ein dem Kunden eindeutig zuzuordnenbares biometrisches Merkmal, z.B. ein Finderabdruck, Gesichts- oder Irisscan. In Vielen Smartphones sind entsprechende Sensoren bereits eingebaut, sodass eine Identifizierung damit oft im Zusammenhang mit dem Smartphone genutzt wird.
Ab dem 14. September ist die Abfrage von zwei zwei Sicherheitselemente für die Autorisierung von Zahlungen mit Kreditkarten, Debitkarten sowie Giro/EC-Karten verpflichtend, sogenannte 2-Faktor Authentifizierung (2 FA). So muss also beispielsweise immer neben der Kredit- oder EC Karte auch eine Pin abgefragt werden oder bei der Zahlung mit dem Smartphone mittels elektronischer NFC Kreditkarten (etwa Apple Pay oder Google Pay) immer neben dem Besitz des Smartphones auch eine Pin oder aber der Fingerabdruck oder ein Gesichtsscan durchgeführt werden.
Diese Beispiele zeigen bereits, dass die 2 FA zwar bei Banken und anderen Zahlungsdienstleistern bereits umgesetzt und weitestgehend Standard ist. Google oder Apple Pay fordern bereits eine 2 FA und auch das Zahlen mit Karte und Pin ist alltäglich.
Umsetzung im Online Handel verzögert
Die 2FA ist nun aber bald grundsätzlich bei allen Online-Transaktionen erforderlich. Nicht mehr ausreichend ist es, nur Kreditkartennummer, das Ablaufdatum und die Prüfziffern der Kreditkarte abzufragen. Darüber hinaus ist die Eingabe eines weiteren Authentifizierungsmermals (z.B. eine TAN, ein einmaliges Passwort oder der Fingerabdruck auf dem Smartphone sein. Davon ausgenommen sind risikoarme Transaktionen, wie etwa Zahlungen unter 30 €. Viele Online Shops als Akteure, die keine Zahlungsdienstleister (PSPs) sind und daher nicht unmittelbar der PSDII und den RTS unterliegen, tun sich bisher schwer, sich rechtzeitig auf die Umstellungen vorzubereiten.
Aus diesem Grund hat die Europäische Bankenaufsicht (EBA) bereits am 21. Juni eine Opinion veröffentlicht, die es den nationalen Aufsichtsbehörden der europäischen Mitgliedstaaten ermöglicht, bei der Einführung der Überwachung zur 2 FA etwas flexibler zu agieren und den Stichtag des 14. September entsprechend zu einem weicheren Übergang zu führen.
Nachdem bereits die Aufsichtsbehörden aus Großbritannien, Italien, Österreich und Frankreich von dieser Möglichkeit Gebrauch gemacht haben, hat mit der Pressemitteilung am 21. August nun auch die BaFin eine Erleichterung die 2 FA im Online Handel beschlossen und verlangt vorerst keine 2 FA für Onlinezahlungen.
Was Folgt aus der Erleichterung durch die BaFin?
Die Erleichterung durch die BaFin verschafft Online Shops Zeit, die starke Kundenauthentifizierung umzusetzen. Der „Aufschub“ gilt aber nicht für alle Fälle, die nach der PSD II einer 2 FA bedürfen. In der Mitteilung der BaFin heißt es lediglich:
„Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen.“
Das bedeutet, dass die Erleichterung nur für Online Kreditkartenzahlungen für Zahlungsdienstleister mit Sitz in Deutschland gilt. Alle weiteren elektronischen Zahlungsweisen, die nicht unter eine besondere Ausnahme nach der PDS II (z.B. 30 € Grenze) fallen, müssen weiterhin spätestens am 14. September 2 Faktor autorisiert sein.
Aber auch Kreditkartenzahlungen im Internet werden nicht unbefristet ohne eine 2 FA auskommen. Zwar gibt es noch keine feste Frist, bis zu der die Umsetzung erfolgt sein muss, sicher ist aber, dass die BaFin nach der Abstimmung mit der EBA eine solche noch setzen wird. Bis dahin ist somit allen Onlineshops zu raten, ihre Infrastruktur so schnell wie möglich an die gesetzlichen Vorgaben anzupassen.
To Do’s
Sofern noch nicht geschehen, sollten sich Online-Händler auf die neuen Anforderungen vorbereiten.
- Geprüft werden muss, ob und in welchen Fällen bei den jeweils im Shop angebotenen Zahlungsmöglichkeiten ein 2FA erforderlich ist und wo Ausnahmen greifen. 2FA-freie Zahlungsarten sind z.B. der Kauf auf Rechnung oder Zahlungen per Lastschrift. Weitere Ausnahmeszenarien sind Abo-Modelle und Whitelisting.
- Zwar richten sich die neuen Vorgaben vor allem an Zahlungsdienstleister, aber auch Installations- und Administrationsaufwand sind nicht zu unterschätzen. Zunächst müssen Informationen dazu eingeholt werden, wie die im Check-Out-Prozess beteiligten Akteure die neuen Vorgaben umsetzen und welche technischen Anpassungen dadurch erforderlich sind. 2FA für Kreditkartenzahlungen über 30 EURO können auf verschiedene Weisen sichergestellt werden, VISA und Mastercard z.B. bieten mit 3D Secure 2.0. eine PSD-konforme Technologie an, bei der sich der Karteninhaber und der Online-Händler identifizieren.
- Die neuen Vorgaben sind für die Kunden nicht zuletzt zum Schutz vor Kaufabbrüchen transparent zu machen, was auch in AGB und Datenschutzinformationen Anpassungsbedarf hervorrufen wird.