Zahlungsdiensterichtlinie II: Diese wichtigen Änderungen müssen Sie kennen!

TdW_19KW20_920

Erinnern Sie sich noch, dass am 13. Januar 2018 das Zahlungsdiensteaufsichtsgesetz (ZAG) in Kraft trat? Damit setzte Deutschland bereits einen Großteil der Bestimmungen der auch als PSD 2 (Payment Service Directive 2) bekannten Richtlinie um. Die Pflicht zur starken Kundenauthentifizierung oder auch Zwei-Faktor-Authentifizierung besteht jedoch erst ab dem 14. September 2019 und damit gut 18 Monate nach Inkrafttreten der Verordnung.

In diesem Artikel erfahren Sie, was die Neuerung genau bedeutet und wie Sie sich darauf vorbereiten können, wenn Sie im Online-Handel tätig sind. 

 

1. Was bedeutet Zwei-Faktor-Authentifizierung?

Wenn ein Nutzer online einen Zahlungsvorgang vornimmt, soll sichergestellt sein, dass diese Person auch tatsächlich dazu berechtigt ist. Denn grundsätzlich kann ein Unbefugter, der irgendwie an fremde Anmeldedaten gelangt, über dieses Konto ungehindert einkaufen.

Dies ist zumindest dann möglich, wenn nur ein Faktor erforderlich ist, um sich als Kontoinhaber/in auszuweisen. Also beispielsweise dann, wenn Sie einfach nur durch Angabe Ihrer Anmeldedaten (Nutzername und Passwort) zahlen können.

Die Zwei-Faktor-Authentifizierung soll genau dies verhindern, indem noch ein zweiter Faktor vor der Bestellung zur Identifizierung abgefragt wird. Das kann in dem Beispiel eine PIN sein, die der Kunde auf sein Handy geschickt bekommt und eingeben muss.

So hätten es Unbefugte wesentlich schwerer, etwaige Kundendaten für Einkäufe zu missbrauchen, denn im vorliegenden Fall würde man auch noch das Handy mit der hinterlegten Rufnummer benötigen, um den Zahlungsvorgang auszulösen.

 

Zwei-Faktor-Authentifizierung bedeutet also, dass bei einer Online-Bestellung mindestens zwei von drei Faktoren vorliegen müssen, damit eine Durchführung möglich ist.

 

„Starke Kundenauthentifizierung“ ist praktisch der Oberbegriff für Maßnahmen zum Schutz elektronischer Zahlungen. Gemäß Art. 4 Nr. 30 der Richtlinie liegt diese vor, sobald eine Authentifizierung unter Heranziehung von mindestens zwei Elementen erfolgt.

 

Mögliche Kategorien sind:

  • Wissen (etwas, das nur der Nutzer weiß)
  • Besitz (etwas, das nur der Nutzer besitzt)
  • Inhärenz (etwas, das der Nutzer ist)

 

Die Elemente sollen voneinander unabhängig sein. Das bedeutet, dass, wenn eine Kategorie nicht erfüllt wird, man die anderen zwei nicht infrage stellt. 

 

2. Was ist neu an der Zwei-Faktor-Authentifizierung?

Das Verfahren ist an sich nicht neu und wird zum Beispiel im Bereich des Online-Bankings schon lange eingesetzt. Neu ist jedoch, dass gemäß der EU-Zahlungsdiensterichtlinie 2015/2366 PSD2 ab dem 14. September 2019 die Zwei-Faktor-Authentifizierung für Online-Shops Pflicht ist. Bislang konnten Händler selber den Grad der Sicherheitsprüfung für eine Bezahlung festlegen.

Ziel dieser verpflichtenden „Starken Kundenauthentifizierung“ ist es, die europäischen Verbraucher besser vor Betrug im E-Commerce zu schützen. Bereits heute verursacht der Online-Betrug, Schäden in Milliardenhöhe und wird mit zunehmenden Online-Handel höchstwahrscheinlich auch noch weiter steigen.

 

Was bedeutet die Zwei-Faktor-Authentifizierung für Sie?

Für die beliebten Zahlungsarten Kreditkarte und PayPal wird in Online-Shops eine „Zwei-Faktor-Authentifizierung“ notwendig. Der Rechnungskauf sowie das Lastschriftverfahren sind als sogenannte Pull-Verfahren nicht unmittelbar von der Richtlinie betroffen.

Dementsprechend sind in erster Linie zunächst die betroffenen Zahlungsdienste gefragt. Sie müssen ihre Verfahren gemäß der Zwei-Faktor-Authentifizierung anpassen. Im für Sie günstigsten Fall wird dann über ein Update der Zahlungsdiensteanbieter innerhalb des Shops alles erledigt sein.

Bei selbst programmierten Anbindungen an Zahlungssysteme steht jedoch möglicherweise mehr Aufwand für die betroffenen Online-Händler an.

Aktuell lässt sich noch nicht abschließend sagen, wann die Zahlungsdienstleister entsprechende Lösungen anbieten werden und welche Änderungen Sie danach in Ihrem Shop vornehmen müssen.

 

3. Gibt es Ausnahmen von der neuen Regelung?

Ja, Nutzerinnen und Nutzer können zum Beispiel Kleinstbeträge im Online-Banking selbst Whitelists mit vertrauenswürdigen Empfängern von Zahlungen anlegen. Für diese ist die starke Kundenauthentifizierung dann nicht erforderlich.

 

4. Was sollten Sie bereits jetzt im Blick behalten?

Um die neuen Authentifizierungsschnittstellen nutzen zu können, sollten Sie sich frühzeitig mit ihren Payment Service Providern in Verbindung setzen und Ihren Online-Shop auf den neuesten technischen Stand bringen.

 

Unser Tipp

Behalten Sie die Entwicklungen im Bereich der Zahlungsdiensterichtlinie, auch wenn Sie momentan kein akutes ToDo haben, im Auge. Informieren Sie sich frühzeitig bei den für Sie zuständigen Payment Service Providern. Achten Sie verstärkt auf Kundenbindung, um auch neben den großen Händlern von einem White Listing profitieren zu können.

 

Über den Autor


Zieba-Thomas.png

Thomas Josef Zieba ist Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Studium der Rechtswissenschaft an der Universität Münster. Referendariat im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Von Oktober 2017 bis August 2018 Tätigkeit als Rechtsanwalt im Bereich Handels- und Wirtschaftsrecht bei der Kanzlei GRP Rainer Rechtsanwälte, dort unter anderem zuständig für die Betreuung internationaler Mandate. Seit September 2018 Legal Consultant bei der Trusted Shops GmbH.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Kommentare

Ich bin kleinunternehmerin muss ich das auch im Online Shop bearbeiten
MFG

Von Maaser | 13.05.2019 12:56

Hallo Maaser, vielen Dank für Ihren Kommentar und das damit zum Ausdruck gebrachte Interesse an unserem Artikel. Die Regelungen des am 13. Januar 2018 in Kraft getretenen Zahlungsdiensteaufsichtsgesetzes gelten für alle Unternehmen unabhängig von ihrer Unternehmensform oder Größe. Beste Grüße Thomas Josef Zieba

Von Thomas Josef Zieba | 14.05.2019 16:30

Hallo Thomas!
Danke für den ausführlichen Blog Post. Hast du vielleicht Informationen, ab wann die Richtlinie für österreichische Shopbetreiber schlagend wird?
Grüße,
Andreas

Von Andreas | 13.05.2019 15:31

Hallo Andreas, vielen Dank für Ihren Kommentar und das damit zum Ausdruck gebrachte Interesse an unserem Artikel. Das für Österreich maßgebliche ZaDiG 2018 trat größtenteils am 1. Juni 2018 in Kraft. Einige Bestimmungen zur starken Kundenauthentifizierung und zur sicheren Kommunikation mit Drittdienstleistern treten jedoch erst am 14. September 2019 in Kraft. Beste Grüße Thomas Josef Zieba

Von Thomas Josef Zieba | 14.05.2019 16:13

Beitrag teilen

Blogsuche

Passende Artikel

  • Abmahnschutz ENTERPRISE
    Der Trusted Shops Abmahnschutz ENTERPRISE  bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu acht Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    149,90 €

    pro Monat