Newsletter Anmeldung:
Newsletter Anmeldung:

Marktplatzentwicklungen von real.de sowie aktuelle Trends und Services rund um die E-Commerce Branche - abonnieren Sie unseren Newsletter und bleiben Sie auf dem Laufenden.


PSD 2 – Die starke Kundenauthentifizierung

Was Händler über die PSD 2 wissen müssen

So neu ist dieses Gesetz eigentlich gar nicht mehr: Es geht um die überarbeitete Zahlungsdiensterichtlinie, auch bekannt unter der Bezeichnung PSD2. Bereits seit dem 13. Januar 2018 ist sie gültig und wurde auch entsprechend hierzulande umgesetzt. Einige Vorgaben treten jedoch erst 18 Monate später in Kraft, nämlich am 14. September 2019. Aus diesem Grund wird die Richtlinie nun auch nochmal für den Online-Handel relevant. Das Stichwort lautet: Starke Kundenauthentifizierung. Mit neuen Anforderungen an die Abwicklung von Zahlungen soll der europaweite Zahlungsverkehr vereinfacht und zugleich sicherer und vertrauenswürdiger werden.

Was ist die Starke Kundenauthentifizierung?

Viele Banken informieren bereits ihre Kunden und passen die Systeme an, zu Umstellungen wird es nämlich kommen. Bisher war eine Online-Zahlung in vielen Fällen für den Kunden recht einfach: Er gab seine Zahlungsinformationen ab und authentifizierte sich, beispielsweise mittels der Eingabe einer TAN oder eines Passworts. Bei einigen Kreditkarten war neben der Zahlungsdaten sogar nur die auf der Karte aufgedruckte Prüfziffer anzugeben. Zukünftig sind für eine ordnungsgemäße Authentifizierung aber mindestens zwei Elemente nötig (daher auch Zwei-Faktor-Authentifizierung), anhand derer der Zahlende seine Befugnis beweist. Diese Elemente wiederum müssen aus zwei von drei Kategorien stammen:

  • Wissen: Zum Beispiel Passwort, PIN oder Geheimfrage
  • Besitz: Zum Beispiel Smartphone, Token oder Smartwatch
  • Inhärenz (Persönliche Merkmale): Zum Beispiel Fingerabdruck, Gesichtserkennung, Iris- oder DNS-Scan

Anstatt also wie bisher die Zahlung mittels der Eingabe einer TAN freizugeben, wird ab dem Stichtag im September eine Kombination mehrerer Merkmale nötig sein, sodass etwa die Eingabe eines Passworts durch die Erkennung von Gesichtszügen begleitet werden muss. Gerade die Elemente der Inhärenz mögen teilweise noch nach Zukunftsmusik klingen, was jedoch ein Trugschluss ist – schließlich werden Smartphones schon jetzt zunehmend durch Fingerabdrücke und die Erkennung von Gesichtszügen vor dem Zugriff Fremder geschützt. Bei elektronischen Fernzahlungsvorgängen sollen die Elemente zudem auch noch dynamisch mit einem bestimmten Betrag und einem bestimmten Empfänger verknüpft werden. Eine TAN ist dann also etwa nur noch auf einen derart definierten Zahlungsvorgang anwendbar – weshalb die alten TAN-Listen, bei denen eine Nummer grundsätzlich erst einmal für jede Zahlung genutzt werden kann, den neuen Anforderungen nicht mehr genügen.

Hohe Sicherheitsanforderungen bei jeder Zahlung?

Die Starke Kundenauthentifizierung soll vor allem bei elektronischen Zahlungen zur Anwendung kommen, daneben aber auch beim Login in das Online-Banking-Konto eine Rolle spielen. So eine elektronische Bezahlung ist beispielsweise bereits beim Einsatz von Karte und PIN im stationären Handel gegeben. Im Hinblick auf Zahlungen wird es aber eine Reihe von Ausnahmen geben, in denen die Zahlungsdiensteanbieter nicht zwingend eine Starke Kundenauthentifizierung durchführen müssen. So kann beim kontaktlosen Bezahlen, welches als moderne Alternative zum Kleingeld-Fischen in der Hosentasche ja gerade schnell und einfach sein soll, darauf verzichtet werden – zumindest bei einem Einzelbetrag bis 50 Euro. Zudem dürfen zuvor nicht mehr als 150 Euro kontaktlos und ohne Starke Kundenauthentifizierung gezahlt worden sein. Außerdem ist nach fünf solcher Zahlungen Schluss: Dann muss wieder authentifiziert werden, etwa mit der zusätzlichen Eingabe der PIN.

Es gibt auch Ausnahmen, die besonders relevant für den Online-Handel sind. Geht der Betrag eines elektronischen Fernzahlungsvorgangs nicht über 30 Euro hinaus, dürfen Zahlungsdiensteanbieter auch hier auf die Starke Kundenauthentifizierung verzichten. Hier gibt es allerdings ebenfalls Rück-Ausnahmen: Seit der letzten Authentifizierung dürfen mit solchen Zahlungsvorgängen nicht mehr als insgesamt 100 Euro gezahlt oder mehr als fünf Vorgänge ohne Authentifizierung durchgeführt worden sein. Daneben gibt es auch noch eine Ausnahme, wenn der Zahlungsdiensteanbieter eine „Transaktionsrisikoanalyse“ durchführt und dort feststellt, dass die konkrete Zahlung im Einzelfall mit einem geringen Missbrauchs- bzw. Betrugsrisiko verbunden ist. Dazu wird unter anderem festgestellt, ob das Ausgabe- bzw. Verhaltensmuster des Zahlers ungewöhnlich ist oder sich dieser an einem für ihn ungewöhnlichen Ort befindet. Aus diesen und anderen Faktoren wird eine Betrugsrate gebildet, welche sich je nach Zahlungshöhe unter einem bestimmten Grenzwert befinden muss.

Was bedeutet das für Online-Händler?

Mit einigen der hier genannten Informationen kommen Händler im Alltag kaum in Berührung, sie beschäftigen vielmehr die Zahlungsdiensteanbieter selbst. Als Online-Händler sollte man sich aber jedenfalls einmal mit den persönlich genutzten Anbietern darüber kurzschließen, ob etwaige notwendige Voraussetzungen des eigenen Online-Shops für die neuen Anforderungen gegeben sind. Möglicherweise werden Updates, Plug-ins oder Anpassungen benötigt. Außerdem ist die Starke Kundenauthentifizierung nicht nur für Händler neu: Zu Auswirkungen kommt es schließlich insbesondere für die Käufer. Abweichungen vom gewohnten Ablauf der Zahlung können zu Verunsicherungen führen und Kaufabbrüche bedingen. Dem können Händler mit erklärenden Hinweisen im Shop oder Newsletter zuvorkommen. Auf diese Weise können für Käufer Überraschungen am Ende des Checkouts verringert werden, und für Händler die Gefahr des Verlusts von Conversions. Idealerweise informiert man sich als Händler schlussendlich auch selbst über die Umstände der Änderungen und kann der Starken Kundenauthentifizierung auf diese Weise souverän entgegensehen.

Anzeige

Der Händlerbund hilft!
Die rechtliche Absicherung ihrer Internetpräsenzen verursacht vielen Online-Händlern einen enormen Mehraufwand. Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Händler jetzt für die umfangreichen Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode RealMP79 einen Nachlass von 33 Prozent auf das Mitgliedschaftspaket Ihrer Wahl. Jetzt informieren!
Über den AutorMelvin Dreyer, juristischer Fachredakteur beim Händlerbund

Melvin Dreyer ist seit Mitte 2018 als juristischer Fachredakteur für den Händlerbund tätig. Während er sich im Studium besonders mit Steuerrecht auseinander gesetzt hat, berichtet und berät der Diplom-Jurist nun regelmäßig zu rechtlichen Neuigkeiten und Fragestellungen rund um E-Commerce, IT- und Europarecht.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.