28.08.2019
PSD 2 & 2-Faktor-Authentifizierung: Umsetzungsbedarf für Online-Händler
Ab dem 14.09.2019 gilt die zweite Stufe der PSD2 Richtlinie. Dadurch gilt für fast alle Online-Zahlungen, die vom Kunden selbst getätigt werden, die Pflicht für Zahlungsdiensteanbieter eine starke Kundenauthentifizierung (Strong Customer Authentification – SCA) durchzuführen. Was sind die Auswirkungen der PSD2-Richtlinie auf Online-Händler? Was muss hinsichtlich der Zwei-Faktor-Authentifizierung beachtet werden?
Dr. Philipp Siedenburg
Director Datenschutz
Ab dem 14.09.2019 gilt die zweite Stufe der PSD2 Richtlinie. Dadurch gilt für fast alle Online-Zahlungen, die vom Kunden selbst getätigt werden, die Pflicht für Zahlungsdiensteanbieter eine starke Kundenauthentifizierung (Strong Customer Authentification – SCA) durchzuführen. Bei Internet-Zahlungen reicht es dann nicht mehr aus, lediglich die Informationen zum Zahlungsmittel einzugeben. Die Identität des Kunden muss bei den meisten Transaktionen zusätzlich beispielsweise durch eine Transaktionsnummer (TAN) und ein Passwort geprüft werden. Dieser Vorgang wird Zwei-Faktor-Authentifizierung (2FA) genannt. Die Einschätzungen darüber, welche Folgen dies für E-Commerce-Unternehmen haben kann, reichen von starken Umsatzeinbußen bis zu kaum spürbaren Anpassungen. Dieser Artikel beleuchtet die Folgen, die das zweite Paket der PSD2-Richtlinie und die Pflicht zur SCA auf den Onlinehandel haben wird und zeigt auf, was Händler zu beachten haben. Die BaFin hat zwar in einer Pressemitteilung vom 21.08.2019 erklärt, dass Kreditkartenzahlungen auch nach dem 14.09.2019 vorübergehend noch ohne SCA erfolgen dürfen, jedoch sollten Händler sich nicht auf diese nicht genau terminierte Übergangsregelung verlassen und bereits jetzt die Vorgaben der PSD2-Richtlinie vollständig umsetzen. Dieser Artikel konzentriert sich auf die Auswirkungen der PSD2-Richtlinie auf Online Händler. Er beleuchtet die veränderte Situation für Zahlungsdiensteanbieter, Zahlungsdienstleister und Banken nur soweit, wie das für die Darstellung notwendig ist.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Darstellung der Entstehungsgeschichte der zweiten Stufe der PSD2-Richtlinie
Um einen sicheren und EU-weit einheitlich regulierten Markt für Zahlungsdienste zu schaffen, Innovationen zu fördern und den Wettbewerb zu stärken, hat die Europäische Union die erste Zahlungsdiensterichtlinie aus dem Jahr 2007 (PSD) erlassen und diese später durch die zweite Zahlungsdiensterichtlinie (PDS 2) ersetzt. Die erste Stufe der durch die PSD2-Richtlinie vorgesehenen Änderungen wurde vom deutschen Gesetzgeber mit Wirkung zum 13.01.2018 umgesetzt. Die für die zweite Stufe wichtigen von der Europäischen Bankenaufsichtsbehörde EBA vorgegebenen „Regulatory Technical Standards“ (RTS) treten nach einer 18-monatigen Umsetzungsfrist am 14.09 2019 in Kraft.
Änderungen der gesetzlichen Anforderungen inkl. Ausnahmen, insbesondere SCA und 2FA
Neben bereits erfolgten Änderungen, wie der Absenkung der Haftung des Zahlers für leicht fahrlässig verursachte, nicht autorisierte Zahlungsvorgänge von maximal 150 Euro auf höchstens 50 Euro (§ 675v BGB) und der Abschaffung von Gebühren für SEPA-Basislastschriften, SEPA-Firmenlastschriften, SEPA-Überweisungen oder die Benutzung einer Zahlungskarte (§ 270a BGB) bringt die PSD2-Richtlinie durch ihre Umsetzung im Zahlungsdiensteaufsichtsgesetz (§ 55 Abs. 1 S. 1 Nr. 2, Abs 2 ZAG) auch die Pflicht mit sich, bei Bezahlvorgängen starke Kundenauthentifizierungen anzuwenden.
Diese Pflicht gilt grundsätzlich nur für Bezahlvorgänge, die vom Benutzer initiiert wurden, sogenannte „Push“-Zahlungen. Im Gegensatz dazu sind sogenannte „Pull“-Zahlungen, die vom Händler angefordert werden, nicht der Pflicht zur sogenannten Strong Customer Authentification (SCA) unterworfen.
Ausnahmen von der Pflicht zur starken Kundenauthentifizierung:
- Kauf auf Rechnung
- Lastschrift
- Beträge unter 30 Euro (Wenn seit der letzten 2FA nicht mehr als 100 EURO bezahlt oder 5 Zahlungen getätigt wurden)
- Widerkehrende Abonnement Zahlungen (Wenn der Betrag gleich bleibt und Auftragserteilung mit 2FA authentifiziert wurde)
- Kontaktlose Zahlungen an Verkaufsstellen bis zu Einzelbeträgen von 50 Euro (Wenn seit der letzten 2FA nicht mehr als 150 EURO bezahlt oder 5 Zahlungen getätigt wurden)
- Kontaktlose Zahlungen für Verkehrsentgelte und Parkgebühren
- Zahlungen bei Online-Shops, die Kunden auf ihre Whitelists gesetzt haben
- Transaktionen mit geringem Risiko
Dabei kann für Zahlungen zwischen 30 und 500 Euro anhand der vom Kartenherausgeber und den Aquirer (Unternehmen, das die Zahlung zwischen Kartenherausgeber und Händler vermittelt) ermittelten durchschnittlichen Betrugswerte von beiden gemeinsam beschlossen werden, welche Zahlungen als risikoarm anzusehen sind (Artikel 18 der PSD2 -Richtlinie). Die Betrugsrate darf dazu die im Anhang zu den Regulatory Technical Standards (RTS) definierten Werte nicht überschreiten und soll bei der Echtzeitüberwachung gewisser Risikofaktoren unauffällig bleiben.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Was sollte der Online-Handel ändern?
Nach Art 4 Abs. 1 RTS muss zur Autorisierung eines Zahlungsvorganges mit Hilfe der Zwei-Faktor-Authentifizierung durch den Kunden immer eine Kombination von zwei Merkmalen aus den drei folgenden Gruppen angegeben werden:
Wissen (Pin, Zugangsdaten et cetera), Besitz (Tan Generator, Handy mit Banking App et cetera) oder Inhärenz (Fingerabdruck, Iris, Gesichtszüge et cetera).
Diese Pflicht trifft die meisten Händler jedoch nicht direkt, da durch die Norm die Zahlungsdienstleister verpflichtet werden. Solche Anbieter wie zum Beispiel Klarna, Mastercard, Paypal oder Ähnliche haben dafür Sorge zu tragen, dass alle vom Kunden veranlassten Zahlungen, die nicht unter die oben genannten Ausnahmetatbestände fallen, nur durchgeführt werden, wenn der Kunde sie durch die Zwei-Faktor Authentifizierung (2FA) veranlasst hat. Kreditkartenzahlungen zum Beispiel werden daher nur noch zulässig sein, wenn sie eine Zwei-Faktor-Authentifizierung verlangen. Diese wird von allen großen Kreditkartenanbietern bereits optional angeboten und ist ab dem 14.09.19 für die nicht von den oben genannten Ausnahmen erfassten Zahlungen verpflichtend.
Die aus der Kartenzahlung im Alltag bekannte Kombination aus EC-Karte und PIN-Eingabe ist ein gutes Beispiel für eine funktionierende und vielfach erprobte 2FA. Die Regelung ist jedoch so formuliert, dass auch modernere Authentifizierungen, zum Beispiel über den Fingerabdruck oder den Iris-Scan möglich sind. Sie ist daher weitestgehend technologieneutral.
Der Online-Handel muss für die zweite Stufe der Einführung der PSD2-Richtlinie im September 2019 also nicht allzu viel ändern.
Er sollte nur noch Zahlungsmittel anbieten, die entweder von der Pflicht zur SCA ausgenommen sind (Kauf auf Rechnung, Lastschrift) oder sollte sicherstellen, dass die „Push“ Zahlungsmethoden, die er seinen Kunden anbietet, mit starken Kundenauthentifizierungen (SCA) abgesichert sind.
Weiterhin müssen Plattformen, die Verträge zwischen zwei Parteien vermitteln, wie zum Beispiel Amazon Marketplace, Etsy oder Kickstarter, entweder ihre Zahlungsströme so organisieren, dass sie selbst kein Geld transferieren oder eine Lizenz als Zahlungsdienstleister beantragen.
Fazit
Zumindest der Online-Handel hat bis zur Einführung der zweiten Stufe der PSD2 keine großen Anpassungsleistungen zu vollbringen. Die Zahlungen, die vom Kunden ausgehen, müssen bis auf wenige Ausnahmen durch die Zwei-Faktor-Authentifizierung (2FA) autorisiert werden, was jedoch Sache der Zahlungsdienstleister ist. Für Bestellungen auf Rechnung oder Lastschrift ändert sich nichts. Schwieriger ist das Thema für Zahlungsdienstleister und Zahlungsdiensteanbieter. Diese müssen genau prüfen, dass ihre Zahlungswege sicher sind und die Vorgaben der technischen Regulierungsstandards für starke Kundenauthentifizierungen eingehalten werden oder die aufwändige Betrugsprävention für Zahlungen in gewisser Höhe schultern.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern