Der Beitrag dokumentiert eine Übergangssituation aus dem Herbst 2019 rund um Art. 97 PSD2 und § 55 ZAG. Für die heutige Einordnung von Zahlungsarten, Checkout-Prozessen und Händlerpflichten im Onlinehandel ist das E-Commerce-Recht die passende Vertiefung.
Das Wichtigste in Kürze
Der Altbeitrag beschreibt zutreffend die damalige BaFin-Flexibilisierung für kartengestützte E-Commerce-Zahlungen vor dem 14. September 2019.
Die im Text noch offene Frage nach dem Ende der Übergangsphase ist heute historisch beantwortet: Die europäische Migrationslogik zielte auf eine Umsetzung bis zum 31. Dezember 2020.
Für die heutige Praxis steht nicht mehr die frühere Schonfrist, sondern die belastbare Ausgestaltung des Checkouts im Vordergrund, einschließlich zulässiger Ausnahmen, Acquirer-Vorgaben und reibungsarmer Authentifizierungsstrecken.
Der rechtliche Kern des Beitrags bleibt relevant, weil starke Kundenauthentifizierung und Zahlungsprozesse im Onlinehandel weiterhin eng mit Technik, Vertragsbeziehungen und Nutzerführung verzahnt sind.
Heutige Einordnung der damaligen Übergangsphase
Der Beitrag bildet eine Übergangssituation aus dem Jahr 2019 ab. Die damals noch offene Frage nach dem Ende der Verlängerung ist überholt: Die europäische Aufsicht setzte für die Migration auf SCA-konforme Verfahren bei E-Commerce-Kartenzahlungen eine Umsetzung bis zum 31. Dezember 2020 an.
Für Onlinehändler ist heute daher nicht mehr die frühere Schonfrist entscheidend, sondern die saubere technische, vertragliche und operative Ausgestaltung der Zahlungsstrecke. Relevant bleiben insbesondere die Abstimmung mit Zahlungsdienstleistern, die korrekte Nutzung zulässiger Ausnahmen und die Frage, wie Sicherheit, Conversion und Fehlerraten im Checkout zusammengeführt werden.
Der nachfolgende Haupttext bleibt als zeitgeschichtliche Einordnung des damaligen Rollouts lesbar; er ersetzt keine aktuelle Prüfung der konkreten Checkout- und PSP-Struktur.
BaFin verlängert Frist für Umsetzung
E-Commerce. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Frist für die Umsetzung der neuen Vorgaben zur sog. „Starken Kundenauthentifizierung“ bei Kreditkartenzahlungen im Onlinehandel verlängert. Damit erhalten Onlinehändler etwas mehr Zeit, die neuen gesetzlichen Vorgaben umzusetzen, welche eigentlich ab 14. September 2019 gelten. Die Verlängerung gilt jedoch nur für Zahlungen mittels Kreditkarten im Onlinehandel. Weitere Bereiche sind von der Erleichterung nicht betroffen.
Neue Vorgaben für Onlinezahlungen
Die neuen gesetzlichen Vorgaben gehen auf die neue EU-Zahlungsdiensterichtlinie („PSP 2“ = Payment Services Directive 2) zurück. Diese sieht in Art. 97 (bzw. § 55 ZAG) unter anderem vor, dass Zahlungsdienstleister eine sog. „starke Kundenauthentifizierung“ verlangen, wenn elektronische Zahlungsvorgänge ausgelöst werden. Dies ist unter anderem immer dann anzunehmen, wenn Zahlungsvorgänge in Onlineshops vorgenommen werden. Unter einer „starken Kundenauthentifizierung“ ist eine Authentifizierung – also eine Identitätsprüfung – unter Heranziehung von mindestens zwei Elementen zu verstehen. Dies ist neu, denn bisher reichte es bei Zahlungen mittels Kreditkarte aus, dass die Kreditkartennummer, das Ablaufdatum sowie die auf der Rückseite der Kreditkarte befindliche Prüfziffer angegeben wurden. Nach den neuen gesetzlichen Vorgaben müssen nun jedoch zur wirksamen Authentifizierung von Zahlungsvorgängen zwei von drei Elementen aus den Kategorien „Wissen“ (= etwas, das nur der Nutzer wissen kann), „Besitz“ (= etwas, das nur der Nutzer besitzt) oder „Inhärenz“ (= etwas, das der Nutzer selbst ist, z.B. ein Fingerabdruck) genutzt werden. Zukünftig müssen Zahlungen daher zum Beispiel zusätzlich mit einem Fingerabdruck oder einem zusätzlichen Passwort bestätigt werden.
Viele Zahlungsdienstleister, also Banken oder Kreditkartenanbieter, haben die Umsetzungen bereits vorgenommen. Dies gilt jedoch bisher nicht für viele Betreiber von Onlineshops und anderen E-Commerce-Plattformen, die die Anpassungen ebenfalls implementieren müssen. „Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen“, so die BaFin in einer Pressemitteilung. Damit bleibt das bisher übliche Sicherheitsniveau für Zahlungen im Internet bestehen. Die verschärften Regelungen der EU-Zahlungsdiensterichtlinie sollen das Sicherheitsniveau zukünftig jedoch verbessern.
Ende der Verlängerung bisher unbekannt
Bisher ist nicht bekannt, für welchen Zeitraum die verlängerte Umsetzungsfrist gelten soll. Onlinehändler und Betreiber anderer E-Commerce-Plattformen tun jedoch gut daran, die neuen gesetzlichen Vorgaben kurzfristig umzusetzen und auf ihren Plattformen zu implementieren, um zukünftig den erhöhten Sicherheitsanforderungen gerecht zu werden und somit ihren Kunden sicherere Zahlungen zu ermöglichen.
Weitere Informationen zu den neuen gesetzlichen Vorgaben der EU-Zahlungsdiensterichtlinie finden sich auf den Seiten der BaFin.
Praxisbezug
Die Verlängerung der Übergangsphase für die starke Kundenauthentifizierung bietet E-Commerce-Unternehmen eine wichtige Atempause, birgt aber auch die Notwendigkeit, die neuen Anforderungen zeitnah umzusetzen. Unsere Kanzlei unterstützt Onlinehändler und Plattformbetreiber dabei, die Vorgaben der EU-Zahlungsdiensterichtlinie (PSD2) rechtssicher in ihre Zahlungsprozesse zu integrieren, um sowohl die Sicherheit ihrer Kunden als auch die Einhaltung gesetzlicher Vorgaben zu gewährleisten.
Ein zentraler Aspekt unserer Beratung ist die Analyse und Anpassung Ihrer Zahlungssysteme. Wir prüfen Ihre aktuellen Prozesse für Kreditkartenzahlungen und beraten Sie zur Implementierung der starken Kundenauthentifizierung. Dies umfasst die Integration von Zwei-Faktor-Authentifizierungslösungen, wie etwa die Nutzung von Passwörtern in Kombination mit biometrischen Daten oder mobilen Geräten, um den Anforderungen der PSD2 zu entsprechen. Unsere Expertise im E-Commerce-Recht hilft Ihnen, technische und rechtliche Anforderungen in Einklang zu bringen.
Ein weiterer Schwerpunkt ist die Unterstützung bei der Kommunikation mit Zahlungsdienstleistern. Wir prüfen Ihre Verträge mit Banken oder Kreditkartenanbietern, um sicherzustellen, dass diese die Anforderungen der PSD2 erfüllen und Ihre Interessen als Händler geschützt sind. Dabei achten wir darauf, dass Ihre Zahlungsprozesse nicht nur rechtlich konform, sondern auch kundenfreundlich und effizient bleiben, um die Conversion-Rate Ihres Onlineshops nicht zu beeinträchtigen.
Die Verlängerung der Übergangsphase durch die BaFin gibt Ihnen die Möglichkeit, Ihre Systeme ohne unmittelbaren Druck anzupassen. Wir unterstützen Sie bei der Planung und Umsetzung dieser Anpassungen, etwa durch die Implementierung neuer Authentifizierungsmechanismen oder die Überarbeitung Ihrer Zahlungsprozesse. Zudem beraten wir Sie zu den Ausnahmen von der starken Kundenauthentifizierung, wie etwa bei Kleinstbeträgen oder wiederkehrenden Zahlungen, um Ihre Prozesse zu optimieren.
Im Falle von Prüfungen durch Aufsichtsbehörden wie die BaFin stehen wir Ihnen als erfahrener Partner zur Seite. Wir helfen Ihnen, Anfragen zu beantworten, Nachweise über die Einhaltung der PSD2-Vorgaben vorzulegen und mögliche Sanktionen zu vermeiden. Unsere Anwälte sind mit den spezifischen Anforderungen der EU-Zahlungsdiensterichtlinie bestens vertraut und unterstützen Sie dabei, Ihre Geschäftstätigkeit rechtssicher zu gestalten.
Darüber hinaus bieten wir Schulungen für Ihre Mitarbeiter an, um das Bewusstsein für die neuen Anforderungen zu schärfen und die Umsetzung in Ihrem Unternehmen zu erleichtern. Mit unserer Unterstützung können Sie die Vorteile sicherer Zahlungsprozesse nutzen, ohne Ihre Kunden durch übermäßige Komplexität zu verlieren. Kontaktieren Sie uns, um Ihre Zahlungssysteme DSGVO- und PSD2-konform zu gestalten und Ihre E-Commerce-Plattform zukunftssicher zu machen.
Was davon heute fortgilt
| Einordnungsfrage | Damalige Lage | Heutige Einordnung |
|---|---|---|
| Zeitliche Perspektive | Im Mittelpunkt stand die offene Übergangsphase vor und nach dem 14. September 2019. | Die Migrationsphase ist abgeschlossen; relevant ist die belastbare Anwendung im laufenden Betrieb. |
| Rechtlicher Kern | Die starke Kundenauthentifizierung war als neue Pflicht im Rollout und in der Marktumsetzung. | Der Grundsatz bleibt prägend: Für viele elektronische Fernzahlungen sind sichere Authentifizierungsstrecken der Normalfall; Ausnahmen bleiben regelgebunden. |
| Praktischer Fokus für Händler | Vorbereitung, Implementierung und kurzfristige Anpassung der Prozesse. | Saubere Checkout-Architektur, Abstimmung mit PSPs und Acquirern, exception handling, Fehlerminimierung und Nutzerführung. |
Kurzes Fazit
Der Beitrag ist heute vor allem als historischer Marker der PSD2-Einführung im Onlinehandel wertvoll. Für die breitere rechtliche Einordnung von Zahlungsarten, Vertragsbeziehungen und Checkout-Pflichten führt der nächste fachliche Schritt typischerweise zurück ins E-Commerce-Recht; technische und systembezogene Anschlussfragen können zusätzlich das IT-Recht berühren.
Offizielle Quellen und Vertiefung
- Richtlinie (EU) 2015/2366 (PSD2), insbesondere Art. 97
- Delegierte Verordnung (EU) 2018/389 zu starker Kundenauthentifizierung und sicherer Kommunikation
- EBA: Opinion zum Ende der Migrationsphase bei E-Commerce-Kartenzahlungen
- EBA-Bericht 2021 zur Readiness von PSPs und Marktteilnehmern
- BaFin: Starke Kundenauthentifizierung im Zahlungsverkehr
Zuständige Rechtsanwälte bei ITMR
Für die rechtliche Einordnung von Checkout-Strukturen, Händlerpflichten, Zahlungsprozessen und der Schnittstelle zu Zahlungsdienstleistern sind bei ITMR insbesondere diese Ansprechpartner anschlussfähig.
Fachanwalt für IT-Recht, Partner und E-Commerce-Manager [IHK]. Besonders anschlussfähig für E-Commerce-Strukturen, Vertrags- und Prozessfragen im digitalen Handel.
Rechtsanwalt mit Tätigkeitsschwerpunkten unter anderem im IT-Recht und E-Commerce. Passend für operative Fragestellungen an der Schnittstelle zwischen Plattform, Zahlungsprozess und technischer Umsetzung.
FAQ
Ist dieser Beitrag heute noch als aktuelle Einstiegsseite geeignet?
Nur eingeschränkt. Der Text erklärt eine Übergangsphase aus 2019 und ist heute vor allem als historische Einordnung nützlich.
Galt die damalige Erleichterung für alle Online-Zahlungen?
Nein. Der Beitrag selbst grenzt die Entlastung auf Kreditkartenzahlungen im Onlinehandel ein; weitere Bereiche sollten davon nicht erfasst sein.
Sind Ausnahmen von der starken Kundenauthentifizierung heute möglich?
Ja, aber nur innerhalb der unionsrechtlich vorgesehenen Ausnahmen. Für Händler ersetzt das keine saubere Standard-Implementierung des Checkout-Prozesses.
E-Commerce: Verlängerte Übergangsphase für veränderte Zahlungsbedingungen