Payment Services Directive 2 (PSD2) und Starke Kundenauthentifizierung – FAQ

Die PSD2 ist seit 13.01.2018 gültig. Sie ist das Ergebnis einer erweiterten Regulierung des Zahlungsverkehrs in Europa durch die EU Kommission und wurde in den einzelnen EU Staaten in lokales Recht übernommen.

Die mit der PSD2 einhergehenden, geltenden Regelungen, treten allerdings erst am 14.09.2019 in Kraft.

Eines ihrer vornehmlichen Ziele ist es, Online-Zahlungen für den Kunden sicherer zu machen. Eine zentrale Maßnahme, in diesem Zusammenhang, ist der zwingende Einsatz der Starken Kundenauthentifizierung. Diese muss vor der Ausführung einer bankbasierten Online-Zahlung (Beispielsweise: Kreditkarte oder Online-Überweisung) durchgeführt werden.

Die meisten Banken sind deshalb in den letzten Monaten auf ihre Kunden zugegangen, um diese über die anstehenden Änderungen und die entsprechenden Anpassungen ihrer Allgemeinen Geschäftsbedingungen zu informieren.

Banken müssen zukünftig vor Ausführung einer Online-Zahlung sicherstellen, dass zwei von drei Merkmalen des Kunden abgefragt werden:

• Besitz (z. B. Kreditkarte, Smartphone)
• Wissen (z. B. PIN)
• Persönliche oder körperliche unverwechselbare Eigenschaften des Kunden (z. B. Fingerabdruck, Gesichtsmerkmale).

So muss ein Kunde bei der Starken Kundenauthentifizierung zum Beispiel mit Hilfe seines Fingerabdrucks, in Kombination mit seinem Smartphone, die Zahlung erst freigeben, bevor diese abgewickelt werden kann.

Diese sogenannten biometrischen Verfahren sollen es dem Kunden einfach machen sich zu authentifizieren, da er nur das benötigt, was er ohnehin bei sich hat. In dem genannten Beispiel das Smartphone des Kunden und seinen Fingerabdruck.

Statische Passwörter werden nicht mehr ausreichen.

Bei Kreditkartenzahlungen müssen die Banken eine Starke Kundenauthentifizierung seitens des Händlers einfordern. Händler müssen daher dafür sorgen, dass sich ein Kunde auf ihren Seiten über eine dort angezeigte Seite der Bank authentifiziert, also seine Identität zweifelsfrei nachweist. So wird gewährleistet, dass keine unbefugte Person Zugriff auf sein Bankkonto hat, bzw. in seinem Namen eine Zahlung ausgelöst wird.

Auch Zahlungen per Überweisung, die über Drittanbieter, wie etwa SOFORT in Deutschland oder iDeal in den Niederlanden, ausgelöst werden, müssen mit einer Starken Kundenauthentifizierung erfolgen.

Nein. Die PSD2 sieht bei der Anwendung der Starken Kundenauthentifizierung bestimmte Ausnahmeregelungen vor.
Eine Starke Kundenauthentifizierung ist ggf. nicht nötig, wenn

• die Bank des Kunden das Risiko gering einschätzt, dass die Zahlung nicht vom Kunden, sondern von einem unberechtigten Dritten durchgeführt wird.
• der zu bezahlende Preis maximal 30 EUR beträgt. Hinweis: Banken müssen dennoch erneut eine Starke Kundenauthentifizierung verlangen, wenn seit der letzten Authentifizierung fünf Mal bezahlt wurde, oder die Summe der Bezahlbeträge seit der letzten Authentifizierung 100 EUR überschreitet.
• der Kunde bei einem Händler bezahlt, den der Kunde bei seiner Bank als vertrauenswürdig gemeldet hat. Dies kann der Kunde üblicherweise während des Authentifizierungsvorgangs tun.

Wichtig:
Die Bank des Kunden kann trotz aller Ausnahmen dennoch jederzeit eine Starke Kundenauthentifizierung verlangen. Es gibt also keine Garantie dafür, dass die Starke Kundenauthentifizierung nicht verlangt wird.

Eine Starke Kundenauthentifizierung ist nie nötig, wenn

• der Kunde dem Händler ein Mandat zur Auslösung von Zahlungen erteilt. Dies geschieht während der Registrierung des Kunden für einen entsprechenden Dienst des Händlers. Hierbei hinterlegt der Kunde auch gleich die für die Zahlungen benötigten Bezahldaten und durchläuft die Starke Kundenauthentifizierung.
• eine Bezahlung im Rahmen eines Abos erfolgt. Hier muss der Kunde nur einmalig bei Abschluss des Abos die Starke Kundenauthentifizierung durchführen, danach nicht mehr.

Welche Verfahren zur Starken Kundenauthentifizierung dem Kunden letztlich angeboten werden entscheidet die Bank des Kunden. Der Händler hat darauf keinen Einfluss.

Auch welches der Verfahren der Kunde zur Starken Kundenauthentifizierung auswählt und durchläuft, ist für den Händler nicht ersichtlich.

Dies begründet sich darin, dass iFrames zur Anzeige von Seiten zur Starken Kundenauthentifizierung der Bank, oder Drittanbietern von Bezahldiensten (z.B. iDeal) zum Einsatz kommen.

Auf den Inhalt der im iFrame angezeigten Seiten hat der Händler keinen Einfluss und keinen Zugriff.

Auch bei betroffenen Bezahlmethoden, bei welchen der Händler den Kunden zum Bezahldienstleister weiterleitet (z.B. bei SOFORT), weiß er nicht, welche Verfahren angezeigt und vom Kunden ausgewählt werden.

3D Secure ist allgemein ein Verfahren, welches die Sicherheit bei Online Kreditkartenzahlungen gewährleisten soll. Es hat zum Ziel das Betrugsrisiko zu reduzieren, indem der Kunde seine Identität zusätzlich mit einem Code oder Passwort bestätigt.

3D Secure 2.0 ist die Weiterentwicklung dieses Verfahrens, um den Anforderungen der PSD2, konkret der Starken Kundenauthentifizierung, gerecht zu werden.

Bei Zahlungen mit Kreditkarte wird zukünftig also die Starke Kundenauthentifizierung durch die Anwendung von 3D Secure 2.0 sichergestellt.

Die Starke Kundenauthentifizierung via 3D Secure 2.0 wird bspw. unter Nutzung einer App der Bank des Kunden erfolgen. Hierzu wird dieser über die Seite seiner Bank, die beim Händler angezeigt wird, aufgefordert, diese App auf seinem Smartphone zu öffnen. Je nach Verfahren wird die App dann zum Beispiel eine Prüfung des Fingerabdrucks am Smartphone verlangen.

Banken werden voraussichtlich mehrere Verfahren anbieten und der Kunde entscheidet, welches er nutzen möchte.

Weitere Verfahren können sein: Einmal-Passwörter die dem Kunden in einer speziellen App angezeigt werden, oder die Gesichtserkennung über die Banking-App des Kunden.

Auch Online-Überweisungen über Zahlungsauslösedienste wie bspw. SOFORT, iDeal, Multibanco oder Przelewy24 müssen zukünftig die Starke Kundenauthentifizierung durchführen.

Viele Händler und auch Banken sind bis zum 14.09.2019 noch nicht soweit die Starke Kundenauthentifizierung - wie gefordert - zu unterstützen.

Daher hat die European Banking Authority (EBA) am 21.06.2019 den Ländern der EU bzw. deren für die Umsetzung der PSD2 verantwortlichen Finanzaufsichtsbehörden empfohlen, den betroffenen Unternehmen Aufschub zu gewähren.

Im Ergebnis werden daher manche Länder an dem Termin festhalten, andere werden den Banken einen Aufschub gewähren.
Aber auch in den Ländern in denen ein Aufschub gewährt wird, wird es Banken geben, die fristgerecht starten und die Starke Kundenauthentifizierung ab dem 14.09.2019 verlangen werden.

Um zu erfahren, ab wann deine Bank die Starke Kundenauthentifizierung verlangt und wie dies bei deiner Bank aussehen wird, möchten wir dich bitten, dich mit deiner Bank in Verbindung zu setzen.