Authentifizierung bei Zahlung im Internet (PSD 2)

Zum 13. Januar 2018 wurde in Deutschland die neue Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2) in nationales Recht umgesetzt. Mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie, Zahlungsdiensteumsetzungsgesetz (ZDUG) wurden die aufsichtsrechtlichen Bestimmungen im Zahlungsdiensteaufsichtsgesetz (ZAG) und die zivilrechtlichen Vorgaben im Bürgerlichen Gesetzbuch (BGB) berücksichtigt. Zudem waren Folgeänderungen in weiteren Gesetzen (z. B. Kreditwesengesetz) erforderlich.
Die PSD2 ist eine EU (Europäische Union)-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern, deren Ziele es sind die Sicherheit im Zahlungsverkehr zu erhöhen, den Verbraucherschutz zu stärken, Innovationen zu fördern und den Wettbewerb im Markt zu steigern.
Die PSD2 gilt für Zahlungen in EU/EWR-Währungen zwischen im EU/EWR-Raum ansässigen Zahlungsdienstleistern. Darüber hinaus findet sie teilweise auch Anwendung auf Zahlungen in Nicht-EU/EWR-Währungen /z. B. US-Dollar (United States) oder britische Pfund sowie wenn ein Zahlungsdienstleister außerhalb des EU/EWR-Raums ansässig ist (z. B, Schweiz oder USA (United States of America).
Die Umsetzung der PSD 2 erfolgt in zwei Stufen. Die erste Stufe trat zum 13. Januar 2018 in Kraft und enthielt u. a. die Senkung der verschuldensunabhängigen Haftungsobergrenze bei missbräuchlichen Kartenverfügungen, das sogenannte Sucharching-Verbot und die Ausweitung des Anwendungsbereichs auf Nicht-EU/EWR-Währungen. Die Verpflichtung zur starken Kundenauthentifizierung und die Öffnung der Zahlungskonten für “Dritte” wurden zunächst noch in Technischen Regulierungsstandards der Europäischen Kommission RTS (Real Time Settlement), Regulatory Technical Standards näher spezifiziert. Sie traten mit der Stufe ab 14. September 2019 in Kraft.
Darüber hinaus führte die PDS2 am 14. September 2019 die Verpflichtung der sogenannten “starken Kundenauthentifizierung” ein. Dies bedeutet mehr Sicherheit im Zahlungsverkehr. Online- und Kartenzahlungen müssen nun grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätig werden.
  • Wissen, z. B. (PIN Persönliche Identifikationsnummer, Passwort ...)
  • Besitz, z. B. (Handy, Karte, TAN-Generator ...)
  • Inhärenz, z. B. (Fingerabdruck ...)
Das bedeutet, dass Sie beim Bezahlen im Internet oder auch beim Login in das Online-Banking z. B. neben der Eingabe von Benutzerkennung und PIN zukünftig auch eine TAN eingeben müssen. Dabei werden nur noch TAN-Verfahren erlaubt sein, bei denen für jede Transaktion jeweils eine neue TAN generiert wird (sog. dynamisches TAN-Verfahren).
Einzelheiten zu den Anforderungen an die starke Kundenauthentifizerierung enthält die delegierte Verordnung 2018/389 der Europäischen Kommission.
Informationen darüber, was sich durch die PSD2 für Verbraucher, Händler und Zahlungsdienstleister ändert, erfahren Sie über die Deutsche Bundesbank.
Mehr Infos zur Starken Kundenauthentifizierung und den Ausnahmen sowie die zweite Zahlungdiensterichtlinie finden Sie auch auf der Webseite der BaFin.
Quelle: Deutsche Bundesbank, Bundesamt für Finanzdienstleistungsaufsicht (BAFin)