Zahlungsdiensterichtlinie II: Diese wichtigen Änderungen müssen Sie kennen!

Erinnern Sie sich noch, dass am 13. Januar 2018 das Zahlungsdiensteaufsichtsgesetz (ZAG) in Kraft trat? Damit setzte Deutschland bereits einen Großteil der Bestimmungen der auch als PSD 2 (Payment Service Directive 2) bekannten Richtlinie um. Die Pflicht zur starken Kundenauthentifizierung oder auch Zwei-Faktor-Authentifizierung besteht jedoch erst ab dem 14. September 2019 und damit gut 18 Monate nach Inkrafttreten der Verordnung.

In diesem Artikel erfahren Sie, was die Neuerung genau bedeutet und wie Sie sich darauf vorbereiten können, wenn Sie im Online-Handel tätig sind. 

 

Was bedeutet Zwei-Faktor-Authentifizierung?

Wenn ein Nutzer online einen Zahlungsvorgang vornimmt, soll sichergestellt sein, dass diese Person auch tatsächlich dazu berechtigt ist. Denn grundsätzlich kann ein Unbefugter, der irgendwie an fremde Anmeldedaten gelangt, über dieses Konto ungehindert einkaufen.

Dies ist zumindest dann möglich, wenn nur ein Faktor erforderlich ist, um sich als Kontoinhaber/in auszuweisen. Also beispielsweise dann, wenn Sie einfach nur durch Angabe Ihrer Anmeldedaten (Nutzername und Passwort) zahlen können.

Die Zwei-Faktor-Authentifizierung soll genau dies verhindern, indem noch ein zweiter Faktor vor der Bestellung zur Identifizierung abgefragt wird. Das kann in dem Beispiel eine PIN sein, die der Kunde auf sein Handy geschickt bekommt und eingeben muss.

So hätten es Unbefugte wesentlich schwerer, etwaige Kundendaten für Einkäufe zu missbrauchen, denn im vorliegenden Fall würde man auch noch das Handy mit der hinterlegten Rufnummer benötigen, um den Zahlungsvorgang auszulösen.

Zwei-Faktor-Authentifizierung bedeutet also, dass bei einer Online-Bestellung mindestens zwei von drei Faktoren vorliegen müssen, damit eine Durchführung möglich ist.

„Starke Kundenauthentifizierung“ ist praktisch der Oberbegriff für Maßnahmen zum Schutz elektronischer Zahlungen. Gemäß Art. 4 Nr. 30 der Richtlinie liegt diese vor, sobald eine Authentifizierung unter Heranziehung von mindestens zwei Elementen erfolgt.

Mögliche Kategorien sind:

  • Wissen (etwas, das nur der Nutzer weiß)
  • Besitz (etwas, das nur der Nutzer besitzt)
  • Inhärenz (etwas, das der Nutzer ist)

Die Elemente sollen voneinander unabhängig sein. Das bedeutet, dass, wenn eine Kategorie nicht erfüllt wird, man die anderen zwei nicht infrage stellt. 

 

Was ist neu an der Zwei-Faktor-Authentifizierung?

Das Verfahren ist an sich nicht neu und wird zum Beispiel im Bereich des Online-Bankings schon lange eingesetzt. Neu ist jedoch, dass gemäß der EU-Zahlungsdiensterichtlinie 2015/2366 PSD2 ab dem 14. September 2019 die Zwei-Faktor-Authentifizierung für Online-Shops Pflicht ist. Bislang konnten Händler selber den Grad der Sicherheitsprüfung für eine Bezahlung festlegen.

Ziel dieser verpflichtenden „Starken Kundenauthentifizierung“ ist es, die europäischen Verbraucher besser vor Betrug im E-Commerce zu schützen. Bereits heute verursacht der Online-Betrug, Schäden in Milliardenhöhe und wird mit zunehmenden Online-Handel höchstwahrscheinlich auch noch weiter steigen.

 

Welche Zahlungsarten sind konkret betroffen?

Eine „starke Kundenauthentifizierung“ ist im Online-Handel grundsätzlich erforderlich, sofern Ihr Kunde elektronisch einen Zahlungsvorgang auf seinem Zahlungskonto auslöst.

Dies betrifft zunächst eine Zahlung Ihres Kunden mit Kreditkarte. Bei einer Zahlung über PayPal, Amazon Pay, Apple Pay, Google Pay, Klarna, Paydirekt u.ä. hängt es entscheidend davon ab, wie die jeweilige Transaktion durch diese Dienste abgewickelt wird. Greifen die Dienste auf die Kreditkarte zu, ist eine „starke Kundenauthentifizierung“ erforderlich.

Erfolgt die Abwicklung über Lastschrift, Vorkasse oder Rechnung, ist eine „starke Kundenauthentifizierung“ hingen entbehrlich.

 

Was bedeutet die Zwei-Faktor-Authentifizierung für Sie als Händler?

Hier sind in erster Linie die betroffenden Zahlungsdienstanbieter gefragt. Sie müssen ihre Verfahren gemäß der Zwei-Faktor-Authentifizierung anpassen. Im für Sie günstigsten Fall wird dann über ein Update der Zahlungsdiensteanbieter innerhalb des Shops alles erledigt sein. Bei selbst programmierten Anbindungen an Zahlungssysteme steht jedoch möglicherweise mehr Aufwand für die betroffenen Online-Händler an.

Um die neuen Authentifizierungsschnittstellen nutzen zu können, sollten Sie sich frühzeitig mit ihren Payment Service Providern in Verbindung setzen und Ihren Online-Shop auf den neuesten technischen Stand bringen.

 

Was sollten Online- Händler jetzt beachten?

Sie sollten überprüfen, ob die von Ihnen verwendeten Zahlungsdienstleister ab dem 14. September 2019 SCA-konform agieren. Online-Händler selbst werden in aller Regel keine Änderung an ihrem Shop vornehmen können, da die Umsetzung Aufgabe der Zahlungsdienstleister ist. Allerdings müssen Sie wahrscheinlich ein Update durchführen, damit die Schnittstelle zwischen Ihrem Online-Shop und dem Zahlungsdienstleister ordnungsgemäß funktioniert. Es ist daher empfehlenswert, in den Dialog mit dem Zahlungsdienstleister zu treten.

 

Gibt es Ausnahmen von der neuen Regelung?

Ja, Nutzerinnen und Nutzer können zum Beispiel im Online-Banking selbst Whitelists mit vertrauenswürdigen Empfängern von Zahlungen anlegen. Für diese ist die starke Kundenauthentifizierung dann nicht erforderlich. Weiter muss eine Online-Zahlungstransaktion von unter 30 Euro nicht durch die starke Kundenauthentifizierung abgesichert werden, sofern Gesamtbetrag und Anzahl der Transaktionen seit der letzten Authentifierung in einem bestimmten Rahmen liegen.

 

Unser Tipp

Behalten Sie die Entwicklungen im Bereich der Zahlungsdiensterichtlinie, auch wenn Sie momentan kein akutes To Do haben, im Auge. Informieren Sie sich frühzeitig bei den für Sie zuständigen Payment Service Providern. Achten Sie verstärkt auf Kundenbindung, um auch neben den großen Händlern von einem White Listing profitieren zu können.

 

Update 09.09.2019: BaFin gewährt Aufschub für Shops mit Kreditkartenzahlungen. Mehr dazu finden sie in unserem aktuellen Beitrag!

 

Über den Autor


Zieba-Thomas.png

Thomas Josef Zieba ist Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Studium der Rechtswissenschaft an der Universität Münster. Referendariat im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Von Oktober 2017 bis August 2018 Tätigkeit als Rechtsanwalt im Bereich Handels- und Wirtschaftsrecht bei der Kanzlei GRP Rainer Rechtsanwälte, dort unter anderem zuständig für die Betreuung internationaler Mandate. Seit September 2018 Legal Consultant bei der Trusted Shops GmbH.

09.05.19

Thomas Josef Zieba

Thomas Zieba ist Rechtsanwalt der Kanzlei FÖHLISCH und als Teamlead Legal Key Account Consulting bei Trusted Shops tätig. Er studierte Rechtswissenschaften an der Universität Münster.

Weitere relevante Artikel

Mehrwertsteuererhöhung 2021: So kommen Sie sicher ins neue Jahr!

PSD2: Schluss mit lustig - warum es zum Jahreswechsel ernst wird!

Mehrwertsteuersenkung ab 1. Juli: Darauf müssen Sie unbedingt achten

Weitere interessante Blog-Artikel

Datenschutz

Der Wechsel von Verantwortlichen im Datenschutz

Nicht immer bleibt der oder die Verantwortliche während einer Datenverarbeitung gleich. Wer ist bei einem Wechsel verantwortlich? Wir verraten es Ihnen.

02.05.24
Abmahnung Produktrecht

Plastikmüll adé? Einwegkunststoffabgabe und neue Pflichten!

Seit dem 01.01.2024 gelten das Einwegkunststofffondsgesetz (EWKFondsG) und die Einwegkunststofffondsverordnung (EWKFondsV). Welche Folgen hat das für Sie?

26.04.24
Online-Handel Datenschutz

Ist der Google Consent Mode datenschutzkonform?

In diesem Rechtstipp geht es um den Google Consent Mode V2. Ist das Tracking ohne Cookies mit dem Google Consent Mode wirklich datenschutzkonform?

19.04.24

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies

DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM