Neue Kennzeichnungspflichten für Handys, Kopfhörer und Co.
Elektronik-Shops aufgepasst! Ab 28.12.2024 gelten für bestimmte Produkte neue Kennzeichnungspflichten hinsichtlich eines eventuell enthaltenen Ladegeräts.
Erinnern Sie sich noch, dass am 13. Januar 2018 das Zahlungsdiensteaufsichtsgesetz (ZAG) in Kraft trat? Damit setzte Deutschland bereits einen Großteil der Bestimmungen der auch als PSD 2 (Payment Service Directive 2) bekannten Richtlinie um. Die Pflicht zur starken Kundenauthentifizierung oder auch Zwei-Faktor-Authentifizierung besteht jedoch erst ab dem 14. September 2019 und damit gut 18 Monate nach Inkrafttreten der Verordnung.
In diesem Artikel erfahren Sie, was die Neuerung genau bedeutet und wie Sie sich darauf vorbereiten können, wenn Sie im Online-Handel tätig sind.
Wenn ein Nutzer online einen Zahlungsvorgang vornimmt, soll sichergestellt sein, dass diese Person auch tatsächlich dazu berechtigt ist. Denn grundsätzlich kann ein Unbefugter, der irgendwie an fremde Anmeldedaten gelangt, über dieses Konto ungehindert einkaufen.
Dies ist zumindest dann möglich, wenn nur ein Faktor erforderlich ist, um sich als Kontoinhaber/in auszuweisen. Also beispielsweise dann, wenn Sie einfach nur durch Angabe Ihrer Anmeldedaten (Nutzername und Passwort) zahlen können.
Die Zwei-Faktor-Authentifizierung soll genau dies verhindern, indem noch ein zweiter Faktor vor der Bestellung zur Identifizierung abgefragt wird. Das kann in dem Beispiel eine PIN sein, die der Kunde auf sein Handy geschickt bekommt und eingeben muss.
So hätten es Unbefugte wesentlich schwerer, etwaige Kundendaten für Einkäufe zu missbrauchen, denn im vorliegenden Fall würde man auch noch das Handy mit der hinterlegten Rufnummer benötigen, um den Zahlungsvorgang auszulösen.
Zwei-Faktor-Authentifizierung bedeutet also, dass bei einer Online-Bestellung mindestens zwei von drei Faktoren vorliegen müssen, damit eine Durchführung möglich ist.
„Starke Kundenauthentifizierung“ ist praktisch der Oberbegriff für Maßnahmen zum Schutz elektronischer Zahlungen. Gemäß Art. 4 Nr. 30 der Richtlinie liegt diese vor, sobald eine Authentifizierung unter Heranziehung von mindestens zwei Elementen erfolgt.
Mögliche Kategorien sind:
Die Elemente sollen voneinander unabhängig sein. Das bedeutet, dass, wenn eine Kategorie nicht erfüllt wird, man die anderen zwei nicht infrage stellt.
Das Verfahren ist an sich nicht neu und wird zum Beispiel im Bereich des Online-Bankings schon lange eingesetzt. Neu ist jedoch, dass gemäß der EU-Zahlungsdiensterichtlinie 2015/2366 PSD2 ab dem 14. September 2019 die Zwei-Faktor-Authentifizierung für Online-Shops Pflicht ist. Bislang konnten Händler selber den Grad der Sicherheitsprüfung für eine Bezahlung festlegen.
Ziel dieser verpflichtenden „Starken Kundenauthentifizierung“ ist es, die europäischen Verbraucher besser vor Betrug im E-Commerce zu schützen. Bereits heute verursacht der Online-Betrug, Schäden in Milliardenhöhe und wird mit zunehmenden Online-Handel höchstwahrscheinlich auch noch weiter steigen.
Eine „starke Kundenauthentifizierung“ ist im Online-Handel grundsätzlich erforderlich, sofern Ihr Kunde elektronisch einen Zahlungsvorgang auf seinem Zahlungskonto auslöst.
Dies betrifft zunächst eine Zahlung Ihres Kunden mit Kreditkarte. Bei einer Zahlung über PayPal, Amazon Pay, Apple Pay, Google Pay, Klarna, Paydirekt u.ä. hängt es entscheidend davon ab, wie die jeweilige Transaktion durch diese Dienste abgewickelt wird. Greifen die Dienste auf die Kreditkarte zu, ist eine „starke Kundenauthentifizierung“ erforderlich.
Erfolgt die Abwicklung über Lastschrift, Vorkasse oder Rechnung, ist eine „starke Kundenauthentifizierung“ hingen entbehrlich.
Hier sind in erster Linie die betroffenden Zahlungsdienstanbieter gefragt. Sie müssen ihre Verfahren gemäß der Zwei-Faktor-Authentifizierung anpassen. Im für Sie günstigsten Fall wird dann über ein Update der Zahlungsdiensteanbieter innerhalb des Shops alles erledigt sein. Bei selbst programmierten Anbindungen an Zahlungssysteme steht jedoch möglicherweise mehr Aufwand für die betroffenen Online-Händler an.
Um die neuen Authentifizierungsschnittstellen nutzen zu können, sollten Sie sich frühzeitig mit ihren Payment Service Providern in Verbindung setzen und Ihren Online-Shop auf den neuesten technischen Stand bringen.
Sie sollten überprüfen, ob die von Ihnen verwendeten Zahlungsdienstleister ab dem 14. September 2019 SCA-konform agieren. Online-Händler selbst werden in aller Regel keine Änderung an ihrem Shop vornehmen können, da die Umsetzung Aufgabe der Zahlungsdienstleister ist. Allerdings müssen Sie wahrscheinlich ein Update durchführen, damit die Schnittstelle zwischen Ihrem Online-Shop und dem Zahlungsdienstleister ordnungsgemäß funktioniert. Es ist daher empfehlenswert, in den Dialog mit dem Zahlungsdienstleister zu treten.
Ja, Nutzerinnen und Nutzer können zum Beispiel im Online-Banking selbst Whitelists mit vertrauenswürdigen Empfängern von Zahlungen anlegen. Für diese ist die starke Kundenauthentifizierung dann nicht erforderlich. Weiter muss eine Online-Zahlungstransaktion von unter 30 Euro nicht durch die starke Kundenauthentifizierung abgesichert werden, sofern Gesamtbetrag und Anzahl der Transaktionen seit der letzten Authentifierung in einem bestimmten Rahmen liegen.
Behalten Sie die Entwicklungen im Bereich der Zahlungsdiensterichtlinie, auch wenn Sie momentan kein akutes To Do haben, im Auge. Informieren Sie sich frühzeitig bei den für Sie zuständigen Payment Service Providern. Achten Sie verstärkt auf Kundenbindung, um auch neben den großen Händlern von einem White Listing profitieren zu können.
Update 09.09.2019: BaFin gewährt Aufschub für Shops mit Kreditkartenzahlungen. Mehr dazu finden sie in unserem aktuellen Beitrag!
Thomas Josef Zieba ist Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Studium der Rechtswissenschaft an der Universität Münster. Referendariat im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Von Oktober 2017 bis August 2018 Tätigkeit als Rechtsanwalt im Bereich Handels- und Wirtschaftsrecht bei der Kanzlei GRP Rainer Rechtsanwälte, dort unter anderem zuständig für die Betreuung internationaler Mandate. Seit September 2018 Legal Consultant bei der Trusted Shops GmbH.
09.05.19Elektronik-Shops aufgepasst! Ab 28.12.2024 gelten für bestimmte Produkte neue Kennzeichnungspflichten hinsichtlich eines eventuell enthaltenen Ladegeräts.
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.