Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Starke Kundenauthentifizierung Bankenaufsicht gibt grünes Licht für Übergangsfrist im Zahlungsverkehr

Ab September gelten beim Bezahlen im Online-Shop neue Regeln. Nun können Zahlungsdienstleister doch noch mehr Zeit bekommen.
Kommentieren
Beim Online-Bezahlen könnte es ab September komplizierter werden. Quelle: dpa
Einkaufen im Internet

Beim Online-Bezahlen könnte es ab September komplizierter werden.

(Foto: dpa)

FrankfurtDiese Nachricht dürfte bei einigen Online-Händlern und Akteuren im europäischen Zahlungsverkehr für Erleichterung sorgen: Die Europäische Bankenaufsicht (EBA) hat grünes Licht für Übergangsfristen bei der starken Kundenauthentifizierung (SCA) gegeben.

Wie die EBA in einem am Freitag veröffentlichten Schreiben mitteilte, dürfen nationale Aufsichtsbehörden zumindest in Ausnahmefällen mehr Zeit für die Umsetzung der neuen Regeln gewähren. Hinter den Forderungen einiger Unternehmen und Verbände bleibt die EBA damit allerdings zurück, denn sie hatten sich einen allgemeingültigen Aufschub gewünscht.

Die starke Kundenauthentifizierung (SCA) ist Teil der EU-Zahlungdiensterichtlinie PSD2 und soll ab 14. September für mehr Sicherheit im Zahlungsverkehr und beim Zugriff auf das Bankkonto sorgen. In der Praxis bedeutet das: Wenn Kunden online etwas bezahlen oder auf ihr Konto zugreifen wollen, müssen sie neben ihrem Passwort häufig auch einen sogenannten zweiten Faktor angeben – zum Beispiel in Form eines zusätzlichen Sicherheitscodes oder indem sie ihre Identität per Fingerabdruck auf dem Smartphone bestätigen.

Besonders relevant wird das bei Online-Zahlungen per Kreditkarte. Künftig reicht es nicht mehr aus, die Kreditkartennummer, das Ablaufdatum und die Prüfziffern anzugeben.

Wie die EBA in ihrem Schreiben betont, sind die neuen Regeln eigentlich schon lange bekannt. Der Zahlungsmarkt in der EU sei allerdings sehr komplex und die starke Kundenauthentifizierung betreffe nicht nur regulierte Unternehmen wie Banken und Zahlungsdienstleister, sondern auch den Online-Handel. Vor diesem Hintergrund gelte es „unbeabsichtigte negative Konsequenzen“ für die Kunden zu vermeiden. Daher könnten die nationalen Aufseher einzelnen Unternehmen in begrenztem Maße zusätzliche Zeit einräumen.

„Für kartenbasierte Transaktionen im Online-Handel haben Zahlungsdienstleister durch das Schreiben der EBA eine Atempause bekommen“, sagt Hakan Eroglu, Zahlungsexperte bei der Unternehmensberatung Accenture „Ich interpretiere das Schreiben allerdings so, dass alle Unternehmen einzeln bei den nationalen Aufsichtsbehörden um eine Verlängerung unter Vorlage eines detaillierten Fahrplans bitten müssen.“

Wie die nationalen Behörden auf das Schreiben reagieren werden, ist noch offen. Die Finanzaufsicht Bafin äußerte sich am Freitag auf Anfrage des Handelsblatts noch nicht. Grundsätzlich sind solche „Opinions“ der EBA für die nationalen Aufsichtsbehörden rechtlich nicht bindend. In der Vergangenheit ist die Bafin diesen allerdings häufig gefolgt.

Interessenvereinigungen wie der Digitalverband Bitkom hatten sich für eine allgemeingültige Übergangsfrist ausgesprochen. „Wir hatten vorgeschlagen, den Vollzug der starken Kundenauthentifizierung für sechs Monate auszusetzen“, sagt Matthias Terlau, Rechtsanwalt und stellvertretender Vorsitzender des Arbeitskreises Digitaler Zahlungsverkehr im Bitkom. „Dass die SCA kommen würde, war zwar schon lange bekannt, aber viele Auslegungsfragen hat die EBA erst in diesem Frühjahr beantwortet.“

Auch der europäische Handelsverband Euro Commerce hatte noch in der vergangenen Woche Alarm geschlagen und sich für eine „schrittweise Durchsetzung“ der neuen Regeln eingesetzt. Es gebe „starke Bedenken“, dass alle Akteure im Zahlungsverkehr rechtzeitig fertig seien, betonte der Verband in einem Schreiben an die europäischen und nationalen Behörden. In der Folge könne es unter Umständen zu „erhebliche Störungen“ im E-Commerce kommen.

Die deutschen Banken dagegen lehnten einen späteren Start der SCA ab. Der Termin sollte nicht mehr verschoben werden, teilte die Deutsche Kreditwirtschaft, die gemeinsame Interessenvertretung der Verbände privater und genossenschaftlicher Banken sowie von Sparkassen und öffentlichen Geldhäuser, im Vorfeld auf Handelsblatt-Anfrage mit. „Dies würde nur neue Unsicherheiten bei allen betroffenen Marktteilnehmern schaffen, vor allem auch bei den Verbrauchern, und neue Kosten verursachen.“ Die Banken hätten bereits erhebliche Mittel in die Umsetzung der Anforderungen investiert, um zum Stichtag 14. September bereit zu sein.

Die EBA legt in ihrem Schreiben einen besonderen Fokus auf die Verbraucher und gibt den Zahlungsdienstleistern noch einige Hausaufgaben mit. „Die Anbieter müssen die Verbraucher über die Änderungen im Zahlungsverkehr informieren und für eine möglichst gute Nutzerfreundlichkeit ihrer Verfahren sorgen“, sagt Eroglu. So hält die EBA die Dienstleister dazu an, mögliche Ausnahmen von der starken Kundenauthentifizierung zu nutzen und zum Beispiel auf eine Transaktionsrisikoanalyse zu setzen – dadurch würde sich für die Kunden beim Online-Einkauf in vielen Bereichen nichts ändern. „Solche Analysen werden heute schon gemacht, die Anbieter sind nun aber angehalten, sie zu verbessern, damit sie PSD2-konform sind“, so Eroglu.

Zwei Faktoren werden Pflicht

Die „starke Kundenauthentifizierung“ wird auch als Zwei-Faktor-Authentifizierung bezeichnet, weil Kunden dabei zwei von drei Faktoren aus den Kategorien Inhärenz, Besitz und Wissen vorweisen müssen. In ihrem Schreiben geht die EBA detailliert darauf ein, welche Elemente in diese Kategorien fallen. Zur Inhärenz zählen etwa das Erkennen eines Fingerabdrucks und der Stimme. Zum Besitz kann eine Kreditkarte gehören, sofern sie von einem Kartenleser geprüft wird, oder auch eine App, die mit dem Smartphone über das sogenannte „Device Binding“ verknüpft ist. Als Wissen zählen etwa eine PIN oder ein Passwort.

Darüber hinaus hat sich die EBA auch zum sogenannten „Dynamic Linking“ geäußert, das besagt, dass die einzelnen Faktoren mit der konkreten Zahlung verknüpft sein müssen. „Dabei gehen die Aufseher recht pragmatisch vor und lassen die existierenden Methoden wie den TAN-Generator und biometrische Verfahren weiterhin noch zu“, sagt Eroglu. „Streng genommen wären sie nicht regelkonform, weil die generierten Sicherheitscodes (TAN) und der Fingerabdruck meist nicht mit der konkreten Zahlung verknüpft wird.“ Diese Verfahren hätten sich jedoch bereits beim Nutzer etabliert.

Das sogenannte 3D-Secure-1.0-Verfahren ist laut EBA künftig nicht mehr zulässig. „Das halte ich für eine wichtige Klarstellung, denn dazu gab es zwischen den Marktteilnehmern zuletzt noch sehr unterschiedliche Meinungen“, sagt Anwalt Terlau. Das Verfahren kam bislang gelegentlich bei Kartenzahlungen im Internet zum Einsatz. Schon dabei mussten Kunden zusätzlich zu ihren Kreditkartendaten ein Passwort angeben. Anders als bei einer Weiterentwicklung des Verfahrens, können dabei aber nicht die möglichen Ausnahmeregelungen berücksichtigt werden.

Während sich Zahlungsdienstleister und der Online-Handel über das Schreiben freuen können, dürften einige Finanz-Start-ups enttäuscht sein. „Nach meiner Interpretation geht es der EBA allein darum, Schwierigkeiten im Online-Handel zu vermeiden“, sagt Eroglu. „Für die starke Kundenauthentifizierung beim Login ins Konto und bei Online-Überweisungen ist keine Übergangsfrist vorgesehen.“ Genau für diesen Anwendungsfall hatten Anfang der Woche aber auch einige Fintechs eine Übergangsfrist gefordert.

Mehr: Was durch die PSD2 auf Verbraucher zukommt – neue Regeln, neue Angebote.

Startseite

Mehr zu: Starke Kundenauthentifizierung - Bankenaufsicht gibt grünes Licht für Übergangsfrist im Zahlungsverkehr

0 Kommentare zu "Starke Kundenauthentifizierung: Bankenaufsicht gibt grünes Licht für Übergangsfrist im Zahlungsverkehr"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote