PSD2: Zwei-Faktor-Authentifizierung verpflichtend oder nicht?

Ursprünglich sollte ab dem 14. September die in der PSD2 geregelte Verpflichtung zur Zwei-Faktor-Authentifizierung (Strong Customer Authentication, SCA „starke Kundenauthentifizierung“) für mehr Sicherheit beim Bezahlen im Online-Handel sorgen. Nähere Informationen dazu finden sie in diesem Rechtstipp der Woche.

Jedoch stellt das Forschungsinstituts ibi research an der Universität Regensburg in Ihrer aktuellen Studie fest, dass ein Großteil der befragten Online-Händler noch nicht oder nur unzureichend auf die in Kürze inkrafttretende Regelung vorbereitet ist. Aus diesem Grund reagierte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nun mit einem Aufschub. Was genau es damit auf sich hat und worauf Sie trotzdem unbedingt achten müssen, erklären wir Ihnen diese Woche.

 

Die Studie

Für die Studie, unterstützt von Mastercard, sind im Juli und August 2019 rund 250 Online-Händler befragt worden.

Dabei gab ein Drittel von ihnen an, sich noch nicht genauer mit der starken Authentifizierung befasst zu haben. 28 Prozent kannten die bald geltenden gesetzlichen Anforderungen bisher noch gar nicht. Erst 19 Prozent der befragten Händler haben die Bezahlprozesse in ihrem Online-Shop angepasst.

Umso erschreckender ist, dass fast ein Drittel der Studienteilnehmer keinen Bedarf zur Anpassung sieht, obwohl viele von ihnen Kartenzahlung und/oder PayPal als Zahlungsverfahren anbieten und damit von der Neuregelung betroffen sind.

 

Aufschub für Shops mit Kreditkartenzahlungen

Diesen Umstand hat nun auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkannt und entsprechend reagiert. Auch sie sieht laut ihrer Pressemitteilung vom 21. August 2019 noch erheblichen Anpassungsbedarf bei Zahlungsempfängern von Kartenzahlungen im Online-Handel.

Deshalb gewährt sie für Kartenzahlungen einen zeitlich begrenzten Aufschub.

Im Gegensatz dazu sind die gängigen Zahlungsdienstleister und Zahlungsdiensteanbieter in Deutschland auf die neuen Anforderungen ausreichend vorbereitet.

Die Erleichterungen sind zwar zeitlich befristet, jedoch ist bisher noch unklar, wann sie auslaufen. Einen Zeitplan will die BaFin erst festlegen, nachdem sie die Markteilnehmer befragt und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat.

Die BaFin erwartet jedoch in der Zwischenzeit, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine starke Kundenauthentifizierung ermöglichen.

 

Nationale Regelungen bleiben vom Aufschub unberührt

An dieser Stelle ist zu beachten, dass der durch die BaFin gewährte Aufschub das Inkrafttreten der nationalen Regelungen des ZDG nicht beeinflusst. Diese gelten ab dem 14. September wie geplant.

Vor diesem Hintergrund dürfte auch der § 55 ZAG, der die Zwei-Faktor-Authentifizierung regelt, als Marktverhaltensregel anzusehen sein und somit aller Voraussicht nach lauterkeitsrechtlich relevant werden. Dies würde bedeuten, dass lauterkeitsrechtliche Konsequenzen bei Verstößen nicht auszuschließen sein dürften.

 

Ausnahmen

Grundsätzlich ist die starke Zwei-Faktor-Authentifizierung für jede elektronische Zahlung verpflichtend. Jedoch sind unter bestimmten Voraussetzungen Ausnahmen möglich. Ob diese Ausnahmen im Einzelfall einschlägig sind, darüber entscheiden zum einen der kontoführende Zahlungsdienstleister und zum anderen der Kunde selbst.

Vor diesem Hintergrund ist es wichtig, dass Sie als Händler die Ausnahmen kennen, etwa um den Kunden darüber zu informieren. Im Folgenden haben wir für Sie, die wichtigsten Ausnahmen aufgelistet:

  • Whitelist-Händler (vertrauenswürdige Empfänger)

Die wohl wichtigste Ausnahmeregelung für kleinere Online-Händler dürfte die Whitelist-Ausnahme sein. Dabei können Kunden Online-Shops, die sie häufig besuchen, bei ihrem Zahlungsdienstleister auf eine sogenannte Whitelist setzen. Für Zahlungsvorgänge bei derartig gelisteten Online-Händlern besteht anschließend keine Pflicht zur starken Kundenauthentifizierung.

 

  • Transaktionen mit geringem Risiko

Eine weitere Ausnahme besteht bei der Durchführung einer sogenannten Transaktionsrisikoanalyse der Zahlungsdienstleister bei Onlinebestellungen. Dabei werden eingehende Zahlungsaufträge automatisch auf ihr Betrugsrisiko überprüft. Ist das Risiko gering, können Sie auf eine Zwei-Faktor-Authentifizierung verzichten.

 

Unser Tipp

Überprüfen Sie, ob die verwendeten Zahlungsdienstleister bereits SCA-konform agieren. Im Zweifel sollten Sie Ihren Zahlungsanbieter kontaktieren und erfragen, ob die erforderlichen Voraussetzungen erfüllt werden. Denken Sie daran rechtzeitig etwaig notwendige Updates durchzuführen, damit die Schnittstelle zwischen Ihrem Online-Shop und dem Zahlungsdienstleister ordnungsgemäß funktioniert.

 

Über den Autor


Zieba-Thomas.png

Thomas Josef Zieba ist Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Studium der Rechtswissenschaft an der Universität Münster. Referendariat im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Von Oktober 2017 bis August 2018 Tätigkeit als Rechtsanwalt im Bereich Handels- und Wirtschaftsrecht bei der Kanzlei GRP Rainer Rechtsanwälte, dort unter anderem zuständig für die Betreuung internationaler Mandate. Seit September 2018 Legal Consultant bei der Trusted Shops GmbH.

05.09.19
Thomas Josef Zieba

Thomas Josef Zieba

Thomas Zieba ist Rechtsanwalt der Kanzlei FÖHLISCH und als Teamlead Legal Key Account Consulting bei Trusted Shops tätig. Er studierte Rechtswissenschaften an der Universität Münster.

Select Country: