Der bisherige Rechtsrahmen
Mit den beiden Zahlungsdiensterichtlinien (2007/64/EG und (EU) 2015/2366) hat der europäische Gesetzgeber den Zahlungsverkehr im Europäischen Wirtschaftsraum neu gestaltet und vereinheitlicht. Oberste Prämissen waren dabei die Schaffung gleicher Wettbewerbsbedingungen für Zahlungsdienstleister, der Verbraucherschutz und die Erhöhung der Teilnahme von Nichtbanken an der Zahlungsbranche.
Die neue Verordnung
Mit der neuen Verordnung zur starken Kundenauthentifizierung ((EU) 2018/389) konkretisiert der europäische Gesetzgeber nunmehr, wie elektronische Zahlungsvorgänge und das Onlinebanking zukünftig abzuwickeln sind. Die „starke Kundenauthentifizierung“ soll den Zahlungsverkehr und das Onlinebanking sicherer machen. Die bisherige Gestaltung, wie etwa die Anmeldung zum Onlinebanking mit Benutzernamen und Passwort oder die Online-Zahlung mit Kreditkartennummer, Ablaufdatum und Prüfziffer werden zur Authentifizierung zukünftig nicht mehr ausreichen. Ab dem Inkrafttreten der Verordnung am 14. September 2019 müssen sich Zahlende mittels zwei Elementen aus den Kategorien „Wissen“, „Besitz“ oder „Kohärenz“ authentifizieren:
- „Wissen“ (etwas, das nur der Zahlende weiß): z.B. Passwort oder PIN
- „Besitz“ (etwas, das nur der Zahlende besitzt): z.B. Token oder Smartphone
- „Kohärenz“ (etwas, das den Zahlenden persönlich ausmacht): z.B. Fingerabdruck, Gesichtsmerkmal oder Stimme
Mit der Kombination dieser Elemente soll das Betrugsrisiko verringern werden. Den vollständigen Text der Verordnung finden Sie hier.
Wie sich Unternehmen vorbereiten können
Zunächst ist es wichtig, genau zu differenzieren, wann die starke Kundenauthentifizierung notwendig ist und wann nicht. Eine starke Kundenauthentifizierung ist immer dann erforderlich, wenn der Zahlende einen elektronischen Zahlungsvorgang auslöst (sog. „Push Payment“) oder wenn er online auf sein Zahlungskonto zugreift. Eine elektronische Zahlung wird z.B. bei Online-Bezahlung mit Kreditkarte ausgelöst. Keine Auslösung findet statt, wenn der Zahlende per Lastschrift bezahlt, da diese Zahlung vom Geldempfänger veranlasst wird (sog. „Pull Payment“). Die Verordnung nimmt zudem folgende Fälle von der Authentifizierungspflicht aufgrund des geringen Missbrauchsrisikos aus:
- Kontaktlose Zahlungen an der Verkaufsstelle bis zu 50 EUR
- Unbeaufsichtigte Terminals für Verkehrsnutzungsentgelte und Parkgebühren, wie z.B. Maut
- Vom Zahlenden als vertrauenswürdig eingestufte Empfänger
- Wiederkehrende Zahlungsvorgänge
- Überweisungen zwischen Konten derselben Person
- Kleinbetragszahlungen bis zu 30 EUR
- Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind
- Transaktionsrisikoanalyse des Zahlungsdienstleisters ergibt niedriges Risiko
- Abrufen von Kontostand und Umsätzen beim Onlinebanking
In einem zweiten Schritt müssen Unternehmen die starke Kundenauthentifizierung bis zum Inkrafttreten der Verordnung implementieren. Hierzu stehen den Unternehmen verschiedene Möglichkeiten offen, wie z.B. der Einsatz von biometrischer Sicherheit in mobilen Wallets oder das 3D-Secure Verfahren.
(10. April 2019)