Wie nett! BaFin gewährt Schonfrist für starke Kundenauthentifizierung bei online-Kreditkartenzahlungen


Eigentlich wäre ab dem 14. September 2019 bei Kreditkartenzahlungen im Internet die Umsetzung erhöhter Sicherheitsmaßnahmen – sogenannte starke Kundenauthentifizierung – erforderlich. Eigentlich… Denn offenbar werden im Falle einer "pünktlichen" Umsetzung erhebliche Störungen bei online-Zahlungsvorgängen erwartet. Vor diesem Hintergrund hat die BaFin am 21. August 2019 bekanntgegeben, dass von der Durchsetzung der neuen Anforderungen im Rahmen von Kreditkartenzahlungen im Internet – auf zunächst unbestimmte Zeit – abgesehen werden wird.

Das heißt im Klartext: Bei online Kreditkartenzahlungen bleibt vorerst alles beim Alten!

Die “starke Kundenauthentifizierung” (siehe unseren Blog-Beitrag vom 13. Juni 2019) soll höhere Sicherheit im online-Zahlungsverkehr gewährleisten. Festgelegt durch die Zweite Zahlungsdienstrichtlinie (Payment Services Directive 2 – “PSD 2“) und in Deutschland umgesetzt in § 55 Abs. 1 S. 1  Zahlungsdiensteaufsichtsgesetzes („ZAG“) erfordert die starke Kundenauthentifizierung, dass Zahlungsdienstleister in bestimmten Fällen mindestens zwei von drei voneinander unabhängigen Authentifizierungselementen vorsehen.

Erforderlich soll die starke Kundenauthentifizierung immer dann sein, wenn

  • ein Kunde online auf sein Zahlungskonto zugreift
  • einen elektronischen Zahlungsvorgang auslöst oder
  • über einen Fernzugang eine andere Handlung vornimmt, die das Risiko des Betrugs im Zahlungsverkehr birgt.

Die dann vorgesehenen Authentifizierungselemente lassen sich in drei unterschiedliche Gruppen einteilen:

  • Wissen,
  • Besitz und
  • Inhärenz.

Wie erwähnt, müssen zwei dieser drei Elemente bei einer starken Kundenauthentifizierung vorliegen. Dies kann etwa durch die Nennung einer Transaktionsnummer (“TAN”), welche zuvor an das Mobiltelefon des Kunden gesendet worden ist (Besitz) sowie die Eingabe eines zuvor festgelegten Passwortes (Wissen) oder alternativ einen Fingerabdruck (Inhärenz) umgesetzt werden.

Für online-Kreditkartenzahlungen bedeutet dies, dass allein die Eingabe der Kreditkartennummer und der Prüfziffer nicht mehr ausreichen wird, um die Zahlung zu authentifizieren.

Allerdings scheint die Gesetzesänderung zahlreiche Unternehmen unvorbereitet zu treffen; insbesondere Online-Shops, welche online-Kreditzahlungen als Zahlungsmittel nutze – und das nicht nur in Deutschland. Auch in anderen EU-Mitgliedsstaaten bereitet die Einhaltung der neuen rechtlichen Rahmenbedingungen offenbar Schwierigkeiten. Deshalb hat die Europäische Bankenaufsichtsbehörde (“EBA“) den nationalen europäischen Aufsichtsbehörden die Möglichkeit eingeräumt, vorübergehend nicht auf die Einhaltung der Starken Kundenauthentifizierung zu bestehen – wovon die BaFin Gebrauch macht.

Wie lange die Erleichterungen gelten werden, steht noch nicht fest und richtet sich wohl maßgeblich danach, zu welchem Zeitpunkt die Behörden die online-Kreditkartenzahlungsinfrastruktur für hinreichend angepasst erachten. Zum Zwecke der schnellen Erreichung des neuen Sicherheitsstandards sollen konkrete “Migrationspläne” erarbeitet werden. Die BaFin wird das Fristende der Erleichterungen bekanntgeben, sobald sich hierüber mit der EBA und den übrigen nationalen Aufsichtsbehörden abgestimmt worden ist.