Zahlungsdiensterichtlinie II: Diese wichtigen Änderungen müssen Sie kennen!

TdW_19KW20_920

Erinnern Sie sich noch, dass am 13. Januar 2018 das Zahlungsdiensteaufsichtsgesetz (ZAG) in Kraft trat? Damit setzte Deutschland bereits einen Großteil der Bestimmungen der auch als PSD 2 (Payment Service Directive 2) bekannten Richtlinie um. Die Pflicht zur starken Kundenauthentifizierung oder auch Zwei-Faktor-Authentifizierung besteht jedoch erst ab dem 14. September 2019 und damit gut 18 Monate nach Inkrafttreten der Verordnung.

In diesem Artikel erfahren Sie, was die Neuerung genau bedeutet und wie Sie sich darauf vorbereiten können, wenn Sie im Online-Handel tätig sind. 

 

Was bedeutet Zwei-Faktor-Authentifizierung?

Wenn ein Nutzer online einen Zahlungsvorgang vornimmt, soll sichergestellt sein, dass diese Person auch tatsächlich dazu berechtigt ist. Denn grundsätzlich kann ein Unbefugter, der irgendwie an fremde Anmeldedaten gelangt, über dieses Konto ungehindert einkaufen.

Dies ist zumindest dann möglich, wenn nur ein Faktor erforderlich ist, um sich als Kontoinhaber/in auszuweisen. Also beispielsweise dann, wenn Sie einfach nur durch Angabe Ihrer Anmeldedaten (Nutzername und Passwort) zahlen können.

Die Zwei-Faktor-Authentifizierung soll genau dies verhindern, indem noch ein zweiter Faktor vor der Bestellung zur Identifizierung abgefragt wird. Das kann in dem Beispiel eine PIN sein, die der Kunde auf sein Handy geschickt bekommt und eingeben muss.

So hätten es Unbefugte wesentlich schwerer, etwaige Kundendaten für Einkäufe zu missbrauchen, denn im vorliegenden Fall würde man auch noch das Handy mit der hinterlegten Rufnummer benötigen, um den Zahlungsvorgang auszulösen.

Zwei-Faktor-Authentifizierung bedeutet also, dass bei einer Online-Bestellung mindestens zwei von drei Faktoren vorliegen müssen, damit eine Durchführung möglich ist.

„Starke Kundenauthentifizierung“ ist praktisch der Oberbegriff für Maßnahmen zum Schutz elektronischer Zahlungen. Gemäß Art. 4 Nr. 30 der Richtlinie liegt diese vor, sobald eine Authentifizierung unter Heranziehung von mindestens zwei Elementen erfolgt.

Mögliche Kategorien sind:

  • Wissen (etwas, das nur der Nutzer weiß)
  • Besitz (etwas, das nur der Nutzer besitzt)
  • Inhärenz (etwas, das der Nutzer ist)

Die Elemente sollen voneinander unabhängig sein. Das bedeutet, dass, wenn eine Kategorie nicht erfüllt wird, man die anderen zwei nicht infrage stellt. 

 

Was ist neu an der Zwei-Faktor-Authentifizierung?

Das Verfahren ist an sich nicht neu und wird zum Beispiel im Bereich des Online-Bankings schon lange eingesetzt. Neu ist jedoch, dass gemäß der EU-Zahlungsdiensterichtlinie 2015/2366 PSD2 ab dem 14. September 2019 die Zwei-Faktor-Authentifizierung für Online-Shops Pflicht ist. Bislang konnten Händler selber den Grad der Sicherheitsprüfung für eine Bezahlung festlegen.

Ziel dieser verpflichtenden „Starken Kundenauthentifizierung“ ist es, die europäischen Verbraucher besser vor Betrug im E-Commerce zu schützen. Bereits heute verursacht der Online-Betrug, Schäden in Milliardenhöhe und wird mit zunehmenden Online-Handel höchstwahrscheinlich auch noch weiter steigen.

 

Welche Zahlungsarten sind konkret betroffen?

Eine „starke Kundenauthentifizierung“ ist im Online-Handel grundsätzlich erforderlich, sofern Ihr Kunde elektronisch einen Zahlungsvorgang auf seinem Zahlungskonto auslöst.

Dies betrifft zunächst eine Zahlung Ihres Kunden mit Kreditkarte. Bei einer Zahlung über PayPal, Amazon Pay, Apple Pay, Google Pay, Klarna, Paydirekt u.ä. hängt es entscheidend davon ab, wie die jeweilige Transaktion durch diese Dienste abgewickelt wird. Greifen die Dienste auf die Kreditkarte zu, ist eine „starke Kundenauthentifizierung“ erforderlich.

Erfolgt die Abwicklung über Lastschrift, Vorkasse oder Rechnung, ist eine „starke Kundenauthentifizierung“ hingen entbehrlich.

 

Was bedeutet die Zwei-Faktor-Authentifizierung für Sie als Händler?

Hier sind in erster Linie die betroffenden Zahlungsdienstanbieter gefragt. Sie müssen ihre Verfahren gemäß der Zwei-Faktor-Authentifizierung anpassen. Im für Sie günstigsten Fall wird dann über ein Update der Zahlungsdiensteanbieter innerhalb des Shops alles erledigt sein. Bei selbst programmierten Anbindungen an Zahlungssysteme steht jedoch möglicherweise mehr Aufwand für die betroffenen Online-Händler an.

Um die neuen Authentifizierungsschnittstellen nutzen zu können, sollten Sie sich frühzeitig mit ihren Payment Service Providern in Verbindung setzen und Ihren Online-Shop auf den neuesten technischen Stand bringen.

 

Was sollten Online- Händler jetzt beachten?

Sie sollten überprüfen, ob die von Ihnen verwendeten Zahlungsdienstleister ab dem 14. September 2019 SCA-konform agieren. Online-Händler selbst werden in aller Regel keine Änderung an ihrem Shop vornehmen können, da die Umsetzung Aufgabe der Zahlungsdienstleister ist. Allerdings müssen Sie wahrscheinlich ein Update durchführen, damit die Schnittstelle zwischen Ihrem Online-Shop und dem Zahlungsdienstleister ordnungsgemäß funktioniert. Es ist daher empfehlenswert, in den Dialog mit dem Zahlungsdienstleister zu treten.

 

Gibt es Ausnahmen von der neuen Regelung?

Ja, Nutzerinnen und Nutzer können zum Beispiel im Online-Banking selbst Whitelists mit vertrauenswürdigen Empfängern von Zahlungen anlegen. Für diese ist die starke Kundenauthentifizierung dann nicht erforderlich. Weiter muss eine Online-Zahlungstransaktion von unter 30 Euro nicht durch die starke Kundenauthentifizierung abgesichert werden, sofern Gesamtbetrag und Anzahl der Transaktionen seit der letzten Authentifierung in einem bestimmten Rahmen liegen.

 

Unser Tipp

Behalten Sie die Entwicklungen im Bereich der Zahlungsdiensterichtlinie, auch wenn Sie momentan kein akutes To Do haben, im Auge. Informieren Sie sich frühzeitig bei den für Sie zuständigen Payment Service Providern. Achten Sie verstärkt auf Kundenbindung, um auch neben den großen Händlern von einem White Listing profitieren zu können.

 

Update 09.09.2019: BaFin gewährt Aufschub für Shops mit Kreditkartenzahlungen. Mehr dazu finden sie in unserem aktuellen Beitrag!

 

Über den Autor


Zieba-Thomas.png

Thomas Josef Zieba ist Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Studium der Rechtswissenschaft an der Universität Münster. Referendariat im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Von Oktober 2017 bis August 2018 Tätigkeit als Rechtsanwalt im Bereich Handels- und Wirtschaftsrecht bei der Kanzlei GRP Rainer Rechtsanwälte, dort unter anderem zuständig für die Betreuung internationaler Mandate. Seit September 2018 Legal Consultant bei der Trusted Shops GmbH.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Kommentare

Ich bin kleinunternehmerin muss ich das auch im Online Shop bearbeiten
MFG

Von Maaser | 13.05.2019 12:56

Hallo Maaser, vielen Dank für Ihren Kommentar und das damit zum Ausdruck gebrachte Interesse an unserem Artikel. Die Regelungen des am 13. Januar 2018 in Kraft getretenen Zahlungsdiensteaufsichtsgesetzes gelten für alle Unternehmen unabhängig von ihrer Unternehmensform oder Größe. Beste Grüße Thomas Josef Zieba

Von Thomas Josef Zieba | 14.05.2019 16:30

Hallo Thomas!
Danke für den ausführlichen Blog Post. Hast du vielleicht Informationen, ab wann die Richtlinie für österreichische Shopbetreiber schlagend wird?
Grüße,
Andreas

Von Andreas | 13.05.2019 15:31

Hallo Andreas, vielen Dank für Ihren Kommentar und das damit zum Ausdruck gebrachte Interesse an unserem Artikel. Das für Österreich maßgebliche ZaDiG 2018 trat größtenteils am 1. Juni 2018 in Kraft. Einige Bestimmungen zur starken Kundenauthentifizierung und zur sicheren Kommunikation mit Drittdienstleistern treten jedoch erst am 14. September 2019 in Kraft. Beste Grüße Thomas Josef Zieba

Von Thomas Josef Zieba | 14.05.2019 16:13

Hallo Thomas,
danke für Ihren ausführlichen Bericht. Ich hätte speziell zu der PayPal-Sache eine Frage. Sie schreiben, dass sobald der Kd. per Kreditkarte bezahlt etwas zu machen ist. Wir können doch nicht wissen, ob der Kd. über PayPal von seinem EC-Bankkonto oder von der Kreditkarte abbuchen lässt. Das ist doch Sache des Kunden. PayPal "schiebt" ja nur das Geld hin und her. Hatte Rücksprache mit PayPal - diese meinten, dass unsererseits nichts zu tun wäre...
Bin mir jetzt nicht mehr ganz sicher.
danke
mfg
M. Full

Von Matthias Full | 10.09.2019 15:44

Hallo Matthias, vielen Dank für Ihren Kommentar und das damit zum Ausdruck gebrachte Interesse an unserem Artikel. In erster Linie sind die Zahlungsdienstanbieter betroffen. Diese müssen ihre Verfahren gemäß der Zwei-Faktor-Authentifizierung anpassen. Soweit der Kunde per Kreditkarte bezahlen möchte, ist grundsätzlich eine Zwei-Faktor-Authentifizierung notwendig. Beste Grüße

Von Thomas Josef Zieba | 10.09.2019 17:32

"Erfolgt die Abwicklung über Lastschrift, Vorkasse oder Rechnung, ist eine „starke Kundenauthentifizierung“ hingen entbehrlich."
Hallo,
leider kam heute eine anderslautende Rundmail.
Demnach müßte die Zahlart Lastschrift schnellstens ausgeblendet werden?
LG Barbara

Von Barbara | 12.09.2019 18:33

Hallo Barbara, vielen Dank für den Kommentar. Sie sind hinsichtlich Ihrer Frrage ja schon im Kontakt mit unserem Kundenservice. :) MfG, M. Winter

Von Madeleine Winter | 01.10.2019 10:49

Beitrag teilen

Blogsuche

Passende Artikel

  • Abmahnschutz ENTERPRISE
    Der Trusted Shops Abmahnschutz ENTERPRISE  bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu acht Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    149,90 €

    pro Monat