Authentifizierung bei Zahlung im Internet (PSD2)

Die PSD2 (Payment Service Directive 2) erweitert die Regulierung für Finanzdienstleister um Kontoinformationsdienste (KID) und Zahlungsauslösedienste (ZAD). Diese Unternehmen müssen strenge Vorgaben der EBA-Standards erfüllen. Besonders Online-Händler stehen vor neuen Herausforderungen, für die sie Lösungen finden sollten.

Geltungsbereich und Ziele der PSD2-Richtlinie

Die PSD2 ist eine EU (Europäische Union)-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern, deren Ziele es sind die Sicherheit im Zahlungsverkehr zu erhöhen, den Verbraucherschutz zu stärken, Innovationen zu fördern und den Wettbewerb im Markt zu steigern. Die PSD2 gilt für Zahlungen in EU/EWR-Währungen zwischen im EU/EWR-Raum ansässigen Zahlungsdienstleistern. Darüber hinaus findet sie teilweise auch Anwendung auf Zahlungen in Nicht-EU/EWR-Währungen/z. B. US-Dollar (United States) oder britische Pfund sowie wenn ein Zahlungsdienstleister außerhalb des EU/EWR-Raums ansässig ist (z. B, Schweiz oder USA (United States of America).

Pflicht zur starken Kundenauthentifizierung nach § 55 ZAG

Gemäß § 55 ZAG des Zahlungsdiensteaufsichtsgesetzes (ZAG), dass die Anforderungen des Artikel 97 der Zweiten Zahlungsdiensterichtlinie PSD2 umsetzt, sind Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung durchzuführen, wenn der Zahler
  • online auf sein Zahlungskonto zugreift,
  • einen elektronischen Zahlungsvorgang auslöst oder
  • über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet

Starke Kundenauthentifizierung (PSD2)

Die starke Kundenauthentifizierung (SKA) oder Zwei-Faktor-Authentifizierung bedeutet, dass Zahlungen mit allen elektronischen Zahlungsmitteln außer Lastschrift mit zwei der drei Faktoren bestätigt werden müssen:
  1. etwas, was der Nutzer weiß, z. B. Pin/Passwort
  2. etwas, was der Nutzer besitzt, z. B. Smartphone/App oder Karte/Chip
  3. etwas, das dem Nutzer inne ist, z. B. Fingerabdruck oder Stimme

Was müssen Händler tun?

Die neue Regelung zur SKA betrifft alle elektronischen Zahlungsvorgänge innerhalb der EU. Besonders davon betroffen sind Online-Händler, die auf PSD2-kompatible Zahlungsanbieter setzen müssen, wollen sie weiter elektronische Zahlungsverfahren anbieten. Auch im stationären Handel gilt die SKA, die hier jedoch bereits bekannt ist.
Für die Umsetzung der starken Kundenauthentifizierung sind ggf. technische Anpassungen in den Bezahlprozessen notwendig. Dies hängt vor allem von den angebotenen Zahlungsverfahren ab. Im Falle einer Anpassung sollten Sie diese ausgiebig testen und im Nachgang für die Kunden verständlich darstellen. Zudem kann eine Aktualisierung Ihrer AGB und Datenschutzerklärung notwendig und eine Schulung Ihres Kundensupports sinnvoll sein.
Wenn Sie als Online-Händler Kreditkartenzahlungen akzeptieren, müssen diese – spätestens bei Einführung der starken Kundenauthentifizierung – mit dem Sicherheitsprotokoll 3-D Secure abgesichert werden. Bei Fragen sollten Sie sich an Ihren Payment Service Provider und/oder Kreditkartenacquirer wenden.

Wann kann bei elektronischen Zahlungen auf die SKA verzichtet werden?

Bei Vorliegen folgender Voraussetzungen kann auf die starke Authentifizierung verzichtet werden:
  • Wiederkehrende Zahlungsvorgänge an dieselben Zahlungsempfänger, wenn diese einmal per SKA autorisiert wurden
  • Vom Zahler oder seiner Bank als vertrauenswürdig eingestufte Empfänger (Whitelist)
  • Nach erfolgreicher Prüfung eines Betrugsrisikos (Transaktionsrisikoanalyse)
  • Kleinbetragszahlungen online bis 30 Euro und stationär bis 50 Euro, maximal fünf Transaktionen ohne SKA, kumulierter Betrag darf 150 Euro nicht überschreiten
Ob eine Ausnahme angewendet oder genutzt werden kann, entscheidet nicht der Händler, sondern der kontoführende Zahlungsdienstleister, also in den meisten Fällen die Bank des Kunden.

Kauf auf Rechnung und Vorkasse von SKA ausgenommen

Die Lastschrift ist von den Anforderungen der SKA ausgenommen. Rechnung, Vorkasse und Nachnahme werden losgelöst von der eigentlichen Bestellung abgewickelt und sind nicht Teil des Bezahlprozesses im Online-Shop. Sollten Sie daher nur diese Zahlverfahren anbieten, müssen Sie keine Anpassungen vornehmen.

Rechtsgrundlage

Die starke Kundenauthentifizierung basiert rechtlich auf der Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt (PSD2) und den ergänzenden regulatorisch-technischen Standards (RTS).
Die aufsichtsrechtlichen Bestimmungen finden sich im Zahlungsdiensteaufsichtsgesetz (ZAG) und die zivilrechtlichen Vorgaben im Bürgerlichen Gesetzbuch (BGB) § 675c bis § 676c.

Links und Downloads