Onlinehändler & SCA-Ausnahmen | IT-Medienrecht

Jetzt informieren: Onlinehändler aufgepasst! BaFin lockert Regeln für die Starke Kundenauthentifizierung bei Kreditkartenzahlungen. Alle Details zur…

Das Wichtigste in Kürze

  • Die BaFin erlaubt vorübergehend, dass Kreditkartenzahlungen online auch ohne Starke Kundenauthentifizierung (SCA) ausgeführt werden dürfen.
  • Diese Ausnahmeregelung soll Störungen verhindern und einen reibungslosen Übergang zur PSD2 ermöglichen, da viele Händler noch nicht vorbereitet sind.
  • Die SCA wird ab dem 14. September 2019 grundsätzlich für Online-Zahlungen verpflichtend und erfordert zwei unabhängige Authentifizierungselemente (Wissen, Besitz, Inhärenz).
  • Die Erleichterungen sind zeitlich befristet und betreffen ausschließlich Kreditkartenzahlungen im Internet.

BaFin erlaubt vorübergehenden Verzicht auf Starke Kundenauthentifizierung bei Kreditkartenzahlungen

Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht wird dies zunächst nicht beanstanden.

Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie, PSD 2 abgekürzt, ermöglichen.

Die Notwendigkeit der Starken Kundenauthentifizierung (SCA)

Ab dem 14. September 2019 ist bei Online-Zahlungen eine Starke Kundenauthentifizierung notwendig. Diese soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben.

Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer, die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.

Die BaFin-Ausnahmeregelung für Kreditkartenzahlungen

Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf.

Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde den nationalen Aufsehern eingeräumt.

Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt. Für Verbraucher und andere Zahler im Internet entsteht somit kein Nachteil.

Zeitliche Befristung der Erleichterungen

Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen. Dies geschieht nach Konsultation der Marktteilnehmer und Abstimmung mit der EBA sowie den nationalen europäischen Aufsichtsbehörden.

In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich anpassen. Diese Anpassungen sollen eine Starke Kundenauthentifizierung in den gesetzlich vorgesehenen Fällen ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.

Hintergrund: PSD2 und die Starke Kundenauthentifizierung

Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14. September 2019 eine Starke Kundenauthentifizierung durchzuführen. Dies gilt, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union.

Dabei sind zwei voneinander unabhängige Elemente aus den folgenden Kategorien zu verwenden:

  • Wissen (z.B. Passwort)
  • Besitz (z.B. Mobiltelefon)
  • Inhärenz (z.B. persönlicher Fingerabdruck)

Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden.

Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.

Häufig gestellte Fragen zur Starken Kundenauthentifizierung (SCA)

Was ist die Starke Kundenauthentifizierung (SCA)?
Die Starke Kundenauthentifizierung ist ein Sicherheitsverfahren, das ab dem 14. September 2019 bei elektronischen Zahlungsvorgängen in der gesamten Europäischen Union verpflichtend ist. Sie soll das Einkaufen im Internet sicherer machen, indem zwei voneinander unabhängige Authentifizierungselemente aus den Kategorien Wissen, Besitz oder Inhärenz verwendet werden.
Warum verzichtet die BaFin vorübergehend auf die Starke Kundenauthentifizierung bei Kreditkartenzahlungen?
Die BaFin verzichtet vorübergehend auf die Starke Kundenauthentifizierung, um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der PSD2 zu ermöglichen. Viele Unternehmen, die Kreditkartenzahlungen als Zahlungsempfänger nutzen, sind noch nicht ausreichend auf die neuen Vorgaben vorbereitet.
Für welche Zahlungsarten gilt die Ausnahmeregelung der BaFin?
Die von der BaFin eingeräumten Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet. Andere elektronische Zahlungsvorgänge sind davon nicht betroffen.
Welche Elemente werden bei der Starken Kundenauthentifizierung verwendet?
Bei der Starken Kundenauthentifizierung müssen zwei voneinander unabhängige Elemente aus den drei Kategorien Wissen (z.B. Passwort), Besitz (z.B. Mobiltelefon) und Inhärenz (z.B. persönlicher Fingerabdruck) stammen.

Fazit

Die vorübergehende Ausnahmeregelung der BaFin für die Starke Kundenauthentifizierung bei Kreditkartenzahlungen im Internet bietet den Marktteilnehmern eine wichtige Übergangsphase. Sie soll die Stabilität des Online-Zahlungsverkehrs gewährleisten und gleichzeitig die Anpassung an die strengeren Sicherheitsanforderungen der PSD2 ermöglichen.

Alle Beteiligten sind jedoch angehalten, ihre Systeme zügig anzupassen, um langfristig die vollständige Implementierung der SCA sicherzustellen.