Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Verbraucherschutz Wegen neuer EU-Richtlinie – strengerer Identitätstest bei der Online-Bezahlung

Eine EU-Zahlungsrichtlinie soll das Einkaufen im Internet sicherer machen. Doch dadurch wird es für Verbraucher vor allem noch komplizierter.
Kommentieren
Der Kunde muss Einkäufe in einer extra App mit seinem Fingerabdruck bezahlen. Quelle: fStop/Getty Images
Strenger Identitätstest

Der Kunde muss Einkäufe in einer extra App mit seinem Fingerabdruck bezahlen.

(Foto: fStop/Getty Images)

FrankfurtEin Kunde will bei einem Onlinehändler einen Fernseher kaufen. Die Kreditkartennummer, das Ablaufdatum und den Sicherheitscode der Kreditkarte hat er bereits in die entsprechenden Felder eingegeben. Kurze Zeit später summt sein Smartphone, und eine Nachricht wird angezeigt. Der Kunde muss den Kauf in einer extra App mit seinem Fingerabdruck bestätigen.

Ein derartiger Nachweis, im Fachjargon starke Authentifizierung genannt, mit zwei Sicherheitsmerkmalen – den Kreditkartenangaben und dem Fingerabdruck – kommt bislang selten bei Online-Einkäufen zum Einsatz. Doch das dürfte sich nun nach und nach ändern.

Die neue EU-Zahlungsdiensterichtlinie, kurz PSD2, verlangt eine starke Authentifizierung ab Mitte September kommenden Jahres. Sie wird zum Regelfall bei vielen Onlinezahlungen und Kontozugriffen.

Es ist das Ende der Einfachheit. Ein, zwei Klicks, und das Produkt ist bezahlt? Bald nicht mehr. „Onlineshopping wird basierend auf der jeweiligen Bezahlmethode viel komplizierter als bisher“, sagt Niklas Grisar, Experte für Zahlungsverkehr bei der Beratungsfirma Capco. „Die Verbraucher werden sich mit den Bezahlvarianten deshalb auch viel stärker beschäftigen.“

Christian Urban, Leiter der Gruppe Finanzen und Versicherungen der Verbraucherzentrale Nordrhein-Westfalen, rät, „dass sich Bankkunden mit den neuen Sicherheitsverfahren vertraut machen sollten, um die Vorteile nutzen beziehungsweise Missbrauch erkennen zu können“. Er ist der Meinung, dass „die starke Kundenauthentifizierung mehr Sicherheit im Zahlungsverkehr bringt“.

Mit der PSD2 will die Europäische Union einerseits den Wettbewerb rund um Bezahldienste fördern und andererseits den Verbraucherschutz verbessern. Das Bezahlen im Internet soll sicherer werden. Ein Thema dabei ist die verschärfte Identitätsprüfung. Bei der starken Kundenauthentifizierung müssen Kunden künftig in der Regel zwei von drei Faktoren aus den Kategorien Wissen, Besitz und Inhärenz vorweisen.

Zu der Kategorie Wissen gehören Dinge, die der Kunde weiß – wie eine Geheimnummer (PIN) oder ein Passwort. Besitz ist etwas, das der Kunde hat, wie ein Smartphone oder eine Kreditkarte. Unter Inhärenz werden biometrische Eigenschaften wie ein Fingerabdruck oder die Stimme verstanden.

Unklare Umsetzung

Bisher zahlen die deutschen Verbraucher fast 50 Prozent der Onlinekäufe per Rechnung und Lastschrift. Diese beiden Varianten sind nicht von den Änderungen betroffen. Wohl aber Zahlungen per Kreditkarte sowie per Onlinebezahlsystem Paypal. Grisar geht davon aus, „dass dort die Zahl der Transaktionen zumindest am Anfang signifikant zurückgeht“.

Bisher ist in mehreren Fällen unklar, wie Banken und andere Dienstleister die Anforderungen umsetzen. „Wir befassen uns derzeit mit diesem Thema und der Umsetzung für unsere Services“, teilt beispielsweise Paypal mit. Details nennt das US-Unternehmen indes nicht. Grisar rechnet damit, dass Paypal eine separate Handy-App zur Authentifizierung bereitstellen muss.

Die Kreditkartenanbieter haben reagiert. Mastercard hat ein neues Sicherheitsverfahren entwickelt. Eine Möglichkeit für die Banken, die Mastercards herausgeben: Kunden können den Einkauf in der Bezahl-App per Fingerabdruck oder Gesichtserkennung freigeben.

„Da die meisten Finanzinstitute bereits eine Identifizierung über den Fingerabdruck in ihren mobilen Bezahl-Apps integriert haben, gehen wir davon aus, dass die Umsetzung in Deutschland zügig vonstattengeht“, so Mastercard.

Der Wettbewerber Visa geht ähnlich vor. Auch er bietet Banken an, biometrische Authentifizierung per Fingerabdruck, Stimme oder Gesichtserkennung in die Bezahl-App zu integrieren.

Ernst Stahl, E-Commerce-Experte bei Ibi Research, das zur Universität Regensburg gehört, erwartet, dass der Handel reagieren wird. Er rechnet damit, dass „Onlinehändler verstärkt das elektronische Lastschriftverfahren als Option anbieten“. Und das, obwohl das Verfahren für den Handel riskanter ist. Kunden können die Lastschrift innerhalb einer gewissen Frist widerrufen.

Die neue Regelung lässt zwar Ausnahmen zu. Allerdings ist noch nicht abzusehen, inwieweit Verbraucher sie nutzen dürfen und wollen. So können Kunden eigene Positivlisten erstellen mit Händlern und anderen Zahlungsempfängern, die sie selbst für vertrauenswürdig halten. Erlaubt ein Kreditinstitut diese Variante, würden die Regeln der starken Authentifizierung dann ausnahmsweise nicht gelten.

„Letztlich muss das Risikomanagement der Bank sagen können, dass eine derartige starke Authentifizierung aber nötig ist, auch wenn der Händler durch den Zahler als vertrauenswürdig eingestuft wurde“, sagt Michael Rabe, Bereichsleiter Zahlungsverkehr und Informationstechnologie des Bundesverbandes Öffentlicher Banken Deutschlands.

Händler in Sorge

Auch Markus Escher, Partner der Anwaltskanzlei GSK Stockmann, meint: „Es ist eine offene Frage, wie die Kunden damit umgehen und wie viele Händler sie freigeben wollen. Schließlich muss auch das per starker Authentifizierung passieren.“

Der Handel fürchtet Nachteile. Die bisher diskutierten Authentifizierungsprozesse seien zu komplex und nicht komfortabel, findet Ulrich Binnebößel, Geschäftsführer des Handelsverbandes. Es bestehe die Gefahr, dass Kunden den Kauf abbrächen oder doch in den Laden gingen, wenn es zu lange dauere. Seiner Ansicht nach würden von einer Positivliste die Händler profitieren, bei denen Kunden häufiger einkaufen. Kleinere Shops hätten das Nachsehen.

Womöglich trifft die neue Regelung auch das Onlineshopping per Smartphone. Als eine Bedingung gilt, dass eine Transaktion nicht durch den gleichen Kanal ausgelöst werden darf, auf dem das Sicherheitsmerkmal eingeht. Das könnte heißen: Beim Einkauf per Handy dürfte die Authentifizierung – konkret die SMS mit der Geheimnummer zur Bestätigung des Kaufs, also der zweite Faktor – eigentlich nicht auch über dasselbe Gerät laufen.

Laut Oliver Hommel, Zahlungsverkehrsexperte des Beraters Accenture, gehen einige Experten davon aus, dass es sich trotzdem um zwei verschiedene Übermittlungskanäle handelt, da für die Onlinebanking-App das Internet und für die SMS das Mobilfunknetz genutzt wird. Andere Sicherheitsexperten sähen das kritischer, da die SMS nicht über einen gesonderten gesicherten Kanal übermittelt werde.

Die Europäische Bankenaufsicht Eba ist derzeit dabei, die Probleme in einem Frage-Antwort-Prozess zu klären. Dies braucht allerdings Zeit, da sich die Eba mit den nationalen Aufsichtsbehörden im Einzelfall abstimmen muss.

„Ich gehe davon aus, dass dieser Klärungsprozess auch bis September 2019 nicht abgeschlossen sein wird, sondern ein dauerhafter Prozess bleibt“, sagt Accenture-Experte Hommel. „Denn insbesondere bei biometrischen Authentifizierungsverfahren stehen Banken und Aufsicht noch am Anfang des Erkenntnisprozesses.“

Eine Ausnahme steht derweil fest: Banken können auf die strenge Identitätsprüfung verzichten, wenn Kunden für maximal 30 Euro einkaufen oder bei mehreren Käufen 100 Euro nicht überschreiten.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Startseite

Mehr zu: Verbraucherschutz - Wegen neuer EU-Richtlinie – strengerer Identitätstest bei der Online-Bezahlung

0 Kommentare zu "Verbraucherschutz: Wegen neuer EU-Richtlinie – strengerer Identitätstest bei der Online-Bezahlung"

Das Kommentieren dieses Artikels wurde deaktiviert.