16. September 2019

Bezahlen im Internet - neue Regelungen

Starke Kundenauthentifizierung

Mit 14. September wird der Einsatz der starken bzw. 2-Faktor-Authentifizierung großteils verpflichtend. Online-Banking und Bezahlen im Internet werden zur Betrugsprävention nun einerseits komplizierter aber eben auch sicherer. KundInnen müssen nun bei elektronischer Bezahlung und Online-Überweisung ihre Identität doppelt belegen. Während Banken ihr Online-Angebot ab 14. September verpflichtend mit erhöhtem Identitätsnachweis versehen müssen, hat die Europäische Bankenaufsicht für das Bezahlen im E-Commerce Bereich noch einen Aufschub für die zwingende Umsetzung gewährt.

Rechtlicher Rahmen

Eingeführt wurde die starke Kundenauthentifizierung oder SCA (strong customer authentication) durch die zweite EU-Zahlungsdiensterichtlinie (PSD2). Diese Richtlinie verfolgt das Ziel, den rasanten Entwicklungen auf dem Markt der digitalen und kurzlebigen Zahlungsmöglichkeiten zu begegnen, indem umfangreiche Maßnahmen zur Betrugsprävention bei Zahlungsaktivitäten gesetzlich vorgeschrieben werden. Betrügerischem Missbrauch von Zahlungsdaten soll damit soweit wie möglich ein Riegel vorgeschoben werden. Zwar verbleiben zur Handhabung einfacher Zahlungsabläufe auch etliche Ausnahmen (siehe unten), jedoch ist die Richtlinie allgemein genug formuliert, um auch neue technische Entwicklungen am Zahlungsmarkt zukünftig zu erfassen.

Zwei Faktoren für doppelten Betrugsschutz

Die starke Kundenauthentifizierung sieht vor, dass Zahlende sich nicht nur auf einem Weg einloggen, um eine Zahlung zu tätigen, sondern mindestens zwei unabhängige Kriterien erfüllen müssen, um eine Zahlung freizugeben. Diese Kriterien bzw. Faktoren können aus drei verschiedenen Bereichen stammen:

Wissen: etwas, das der Nutzer bzw. die Nutzerin weiß – also ein Passwort, ein PIN, die Antwort auf eine bestimmte Sicherheitsfrage, eine Wischbewegung auf dem Display oder ähnliches.

Besitz: etwas, das der Nutzer bzw. die Nutzerin bei sich hat – zB das Handy oder eine App. Achtung: Der Besitz der Kreditkarte fällt nicht in diese Kategorie. Die Kreditkartendaten könnten bspw. auch Betrüger besitzen. Bei Zahlung mit Kreditkarte müssen daher zwei Faktoren erfüllt sein, die nichts mit den Daten, die auf der Kreditkarte abgedruckt sind, zu tun haben.

Inhärenz: etwas, das den Nutzer bzw. die Nutzerin individuell auszeichnet – abzufragen durch zB Fingerabdruck, Gesichtsscan, Spracherkennung.

Wie und aus welchen beiden Kategorien Banken und Zahlungsdienstleister zukünftig diese starke Kundenauthentifizierung abfragen, bleibt diesen selbst überlassen. Banken verwenden beispielsweise zum Teil eigene Sicherheits-Apps, die zusätzlich zur eigenen Banking-App verwendet werden müssen oder erlauben einen Kontozugang mittels Fingerabdruck. Ohne Smartphone kann bei verpflichtender TAN-Code Abfrage ein TAN-Generator verwendet werden. Erkundigen Sie sich am besten direkt bei Ihrer Bank und Ihrem bevorzugten Zahlungsdienstleister, um über deren konkrete Umsetzung Bescheid zu wissen.

So werden KundInnen bei Online-Banking und Zahlungen im E-Commerce von nun zwar einer etwas aufwendigeren Freigabe ihrer gewünschten Zahlungen gegenüberstehen, erhalten im Gegenzug aber eine erhöhte Sicherheit gegen betrügerische Verwendung ihrer Zahlungsdaten.

Erfordernis und Ausnahmen

Grundsätzlich gilt, dass in folgenden Situationen durch den Zahlungsdienstleister eine solche Authentifizierung immer vorgenommen werden muss:

Wenn ZahlerInnen

  • auf ein Zahlungskonto zugreifen,
  • einen elektronischen Zahlungsvorgang auslösen,
  • über einen Fernzugang eine Handlung vornehmen, die missbrauchs- oder risikoanfällig ist. Hier geht es vor allem um Online-Käufe.

Nicht jeder dieser Vorgänge verlangt in Zukunft jedoch ausnahmslos eine starke Kundenauthentifizierung.

Um Zahlungsdienstleister, HändlerInnen und VerbraucherInnen nicht übergebührlich zu strapazieren, sieht die Richtlinie auch einige Ausnahmen vor. Die wichtigsten Fälle, in denen keine starke Kundenauthentifizierung erfolgen muss, sind

  • der bloße Zugriff auf Zahlungskontoinformationen,
  • von Zahlenden als vertrauenswürdig eingestufte EmpfängerInnen ("white list"),
  • Kleinbetragszahlungen (bis zu 30€),
  • wiederkehrende Zahlungsvorgänge,
  • eine durchgeführte Transaktionsrisikoanalyse hat ein niedriges Risiko der Zahlung ergeben (möglich bei Transaktinoen bis zu 500€).

Diese Ausnahmen sind jedoch nicht verpflichtend zu gewähren – ein Zahlungsdienstleister kann sich daher auch dafür entscheiden für alle Zahlungsvorgänge eine starke Kundenauthentifizierung zu verlangen.

Zeitpunkt

Für Banken gelten die Vorschriften der starken Kundenauthentifizierung bereits ab 14. September verpflichtend. Sie müssen ab diesem Zeitpunkt für die Vornahme von Online-Überweisungen eine starke Kundenauthentifizierung verlangen. Für den E-Commerce Bereich, also Bezahlvorgänge im Internet, hat die Europäische Bankenaufsicht noch einen Aufschub für die zwingende faktische Umsetzung gewährt. Wie lange sich Online-Shops und deren Zahlungsdienstleister noch mit der Implementierung Zeit lassen können, entscheidet sich Ende September.

Ombudsmann hilft

Haben KonsumentInnen Probleme mit der Handhabung oder konkreten Umsetzung der starken Kundenauthentifizierung, können sie beim Internet Ombudsmann ebenfalls eine kostenlose Beschwerde aufgeben oder eine Anfrage stellen. Er leitet daraufhin ein Schlichtungsverfahren ein oder berät sie und hilft Ihnen dabei, eine Problemlösung herbeizuführen.

Watchlist Internet - Online-Betrug, - Fallen & -Fakes im Blick