Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Frist für die Umsetzung der neuen Vorgaben zur sog. „Starken Kundenauthentifizierung“ bei Kreditkartenzahlungen im Onlinehandel verlängert. Damit erhalten Onlinehändler etwas mehr Zeit, die neuen gesetzlichen Vorgaben umzusetzen, welche eigentlich ab 14. September 2019 gelten. Die Verlängerung gilt jedoch nur für Zahlungen mittels Kreditkarten im Onlinehandel. Weitere Bereiche sind von der Erleichterung nicht betroffen.
Neue Vorgaben für Onlinezahlungen
Die neuen gesetzlichen Vorgaben gehen auf die neue EU-Zahlungsdiensterichtlinie („PSP 2“ = Payment Services Directive 2) zurück. Diese sieht in Art. 97 (bzw. § 55 ZAG) unter anderem vor, dass Zahlungsdienstleister eine sog. „starke Kundenauthentifizierung“ verlangen, wenn elektronische Zahlungsvorgänge ausgelöst werden. Dies ist unter anderem immer dann anzunehmen, wenn Zahlungsvorgänge in Onlineshops vorgenommen werden. Unter einer „starken Kundenauthentifizierung“ ist eine Authentifizierung – also eine Identitätsprüfung – unter Heranziehung von mindestens zwei Elementen zu verstehen. Dies ist neu, denn bisher reichte es bei Zahlungen mittels Kreditkarte aus, dass die Kreditkartennummer, das Ablaufdatum sowie die auf der Rückseite der Kreditkarte befindliche Prüfziffer angegeben wurden. Nach den neuen gesetzlichen Vorgaben müssen nun jedoch zur wirksamen Authentifizierung von Zahlungsvorgängen zwei von drei Elementen aus den Kategorien „Wissen“ (= etwas, das nur der Nutzer wissen kann), „Besitz“ (= etwas, das nur der Nutzer besitzt) oder „Inhärenz“ (= etwas, das der Nutzer selbst ist, z.B. ein Fingerabdruck) genutzt werden. Zukünftig müssen Zahlungen daher zum Beispiel zusätzlich mit einem Fingerabdruck oder einem zusätzlichen Passwort bestätigt werden.
Viele Zahlungsdienstleister, also Banken oder Kreditkartenanbieter, haben die Umsetzungen bereits vorgenommen. Dies gilt jedoch bisher nicht für viele Betreiber von Onlineshops und anderen E-Commerce-Plattformen, die die Anpassungen ebenfalls implementieren müssen. „Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen“, so die BaFin in einer Pressemitteilung. Damit bleibt das bisher übliche Sicherheitsniveau für Zahlungen im Internet bestehen. Die verschärften Regelungen der EU-Zahlungsdiensterichtlinie sollen das Sicherheitsniveau zukünftig jedoch verbessern.
Ende der Verlängerung bisher unbekannt
Bisher ist nicht bekannt, für welchen Zeitraum die verlängerte Umsetzungsfrist gelten soll. Onlinehändler und Betreiber anderer E-Commerce-Plattformen tun jedoch gut daran, die neuen gesetzlichen Vorgaben kurzfristig umzusetzen und auf ihren Plattformen zu implementieren, um zukünftig den erhöhten Sicherheitsanforderungen gerecht zu werden und somit ihren Kunden sicherere Zahlungen zu ermöglichen.
Weitere Informationen zu den neuen gesetzlichen Vorgaben der EU-Zahlungsdiensterichtlinie finden sich auf den Seiten der BaFin.
"E-Commerce: Verlängerte Übergangsphase für veränderte Zahlungsbedingungen"
von Felix Meurer, wissenschaftlicher Mitarbeiter