PSD II - Grünes Licht für Übergangsfrist

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erlaubt Zahlungsdienstleistern mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14.09.2019 vorerst auch weiterhin ohne "starke Kundenauthentifizierung" (SCA) auszuführen, so dass insbesondere bei Online-Zahlungen per Kreditkarte wie bisher nur die Kreditkartennummer, das Ablaufdatum und die Prüfziffer angegeben werden muss.
Ab dem 14.09.2019 gilt die starke Kundenauthentifizierung (SCA), die als Teil der EU-Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) für mehr Sicherheit im Zahlungsverkehr und beim Zugriff auf das Bankkonto sorgen soll. In der Praxis bedeutet das: Wenn Kunden online etwas bezahlen oder auf ihr Konto zugreifen wollen, müssen sie neben ihrem Passwort häufig auch einen sog. zweiten Faktor angeben – zum Beispiel in Form eines zusätzlichen Sicherheitscodes, einer Transaktionsnummer (TAN), die zuvor an das Mobiltelefon gesendet wurde, oder indem sie ihre Identität per Fingerabdruck auf dem Smartphone bestätigen.
Die BaFin wird dies zunächst nicht beanstanden und damit Störungen bei Internetzahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie ermöglichen.
Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sehe dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen bestehe nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, werde die BaFin für Kreditkartenzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt.
Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibe erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, blieben von der Maßnahme unberührt, so dass für Verbraucher und andere Zahler im Internet kein Nachteil entstehe.
Die Erleichterungen seien zeitlich befristet. Wann sie auslaufen, werde die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt habe. In der Zwischenzeit erwarte die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu seien konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.
 
Hintergrund zur PSD2
Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14.09.2019 eine Starke Kundenauthentifizierung durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union. Bei der Starken Kundenauthentifizierung werden zwei voneinander unabhängige Elemente verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).

Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.
 juris-Redaktion,
Quelle: Pressemitteilung der BaFin v. 21.08.2019