Das Wichtigste in Kürze
- Die BaFin erlaubt vorübergehend, dass Kreditkartenzahlungen online auch ohne Starke Kundenauthentifizierung (SCA) ausgeführt werden dürfen.
- Diese Ausnahmeregelung soll Störungen verhindern und einen reibungslosen Übergang zur PSD2 ermöglichen, da viele Händler noch nicht vorbereitet sind.
- Die SCA wird ab dem 14. September 2019 grundsätzlich für Online-Zahlungen verpflichtend und erfordert zwei unabhängige Authentifizierungselemente (Wissen, Besitz, Inhärenz).
- Die Erleichterungen sind zeitlich befristet und betreffen ausschließlich Kreditkartenzahlungen im Internet.
BaFin erlaubt vorübergehenden Verzicht auf Starke Kundenauthentifizierung bei Kreditkartenzahlungen
Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht wird dies zunächst nicht beanstanden.
Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie, PSD 2 abgekürzt, ermöglichen.
Die Notwendigkeit der Starken Kundenauthentifizierung (SCA)
Ab dem 14. September 2019 ist bei Online-Zahlungen eine Starke Kundenauthentifizierung notwendig. Diese soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben.
Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer, die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.
Die BaFin-Ausnahmeregelung für Kreditkartenzahlungen
Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf.
Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde den nationalen Aufsehern eingeräumt.
Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt. Für Verbraucher und andere Zahler im Internet entsteht somit kein Nachteil.
Zeitliche Befristung der Erleichterungen
Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen. Dies geschieht nach Konsultation der Marktteilnehmer und Abstimmung mit der EBA sowie den nationalen europäischen Aufsichtsbehörden.
In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich anpassen. Diese Anpassungen sollen eine Starke Kundenauthentifizierung in den gesetzlich vorgesehenen Fällen ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.
Hintergrund: PSD2 und die Starke Kundenauthentifizierung
Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14. September 2019 eine Starke Kundenauthentifizierung durchzuführen. Dies gilt, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union.
Dabei sind zwei voneinander unabhängige Elemente aus den folgenden Kategorien zu verwenden:
- Wissen (z.B. Passwort)
- Besitz (z.B. Mobiltelefon)
- Inhärenz (z.B. persönlicher Fingerabdruck)
Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden.
Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.
Häufig gestellte Fragen zur Starken Kundenauthentifizierung (SCA)
Was ist die Starke Kundenauthentifizierung (SCA)?
Warum verzichtet die BaFin vorübergehend auf die Starke Kundenauthentifizierung bei Kreditkartenzahlungen?
Für welche Zahlungsarten gilt die Ausnahmeregelung der BaFin?
Welche Elemente werden bei der Starken Kundenauthentifizierung verwendet?
Fazit
Die vorübergehende Ausnahmeregelung der BaFin für die Starke Kundenauthentifizierung bei Kreditkartenzahlungen im Internet bietet den Marktteilnehmern eine wichtige Übergangsphase. Sie soll die Stabilität des Online-Zahlungsverkehrs gewährleisten und gleichzeitig die Anpassung an die strengeren Sicherheitsanforderungen der PSD2 ermöglichen.
Alle Beteiligten sind jedoch angehalten, ihre Systeme zügig anzupassen, um langfristig die vollständige Implementierung der SCA sicherzustellen.