Geldtransaktionen im Netz sollen sicherer werden. Wer online einkaufen oder Überweisungen tätigen will, muss sich künftig umstellen.
Frankfurt - Der 14. September wäre der offizielle Stichtag gewesen. An diesem Tag läuft eigentlich die 18-monatige Umsetzungsfrist der europäischen zweiten Zahlungsdienstrichtlinie in nationales Recht ab. Mit dieser Änderung im Online-Handel und Online-Banking, in Kurzform PSD2 genannt, soll das Bezahlen im Netz sicherer werden. Doch knapp drei Wochen vor dem geplanten Start strengerer Vorgaben bei Onlinezahlungen hat die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) am Mittwoch die Notbremse gezogen. Sie gewährt Onlineshops auf unbestimmte Zeit Aufschub für die Umsetzung von Teilen der europäischen zweiten Zahlungsdienstrichtlinie. Allerdings betrifft das ausschließlich Kreditkartenzahlungen im Internet – nicht das Online-Banking.
Auf die wichtigste Veränderung im Onlinehandel und Onlinebanking weisen die Kreditinstitute sowie große Händler oder Zahlungsdienstleister wie Paypal schon seit Wochen hin. Aber Vorsicht: Einige Betrüger nutzen dies für Phishing-Mails, mit denen sie Zugriff auf Kontodaten bekommen wollen. Daher sollte man nur auf Mails reagieren, die eindeutig von der eigenen Bank kommen und an den Kontoinhaber gerichtet sind.
Was genau ändert sich?
Künftig wird für alle Geldtransaktionen im Internet eine sogenannte starke Kundenauthentifizierung erforderlich. Bei dieser werden zwei voneinander unabhängige Elemente verwendet, die aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen müssen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz). Die starke Authentifizierung soll Missbrauch verhindern.
Die Vorgaben zur starken Kundenauthentifizierung sollen – nach der jetzt von der Bafin gewährten Schonfrist – auch bei Kreditkartenzahlungen im Internet gelten. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Kunden müssen zusätzlich eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde und zudem ein Passwort nennen. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen zum Beispiel bestimmte Kleinbetragszahlungen.
Wie sieht das praktisch aus?
Über einen Code, der in einer App generiert wird oder als SMS aufs Smartphone (mTAN) kommt – bei Kreditkarte meist 3D-Secure genannt – wird eine weitergehende Authentifizierung nötig. Bei dem sogenannten 3D-Secure-Verfahren sollen Kunden den Bezahlvorgang noch einmal bestätigen, beispielsweise mit einem Passwort oder einem Fingerabdruck. Über das Verfahren entscheidet allein die Bank, die die Kreditkarte ausgibt. Die Sparkassen und Volksbanken bieten dafür zum Beispiel eine App („S-ID-Check“ und „VR-SecureCard“). Auch ein Service per SMS ist oft möglich. Derzeit verschicken viele Banken Briefe an ihre Kunden, in denen sie genau über die Möglichkeiten informieren.
Wie sieht das beim Online-Banking aus?
Beim Online-Banking wird künftig in den meisten Fällen eine App benötigt, die von den Kreditinstituten zum Herunterladen zur Verfügung gestellt wird. Die Postbank nennt ihr Verfahren zum Beispiel Best Sign und empfiehlt: „Laden Sie sich die Postbank BestSign App aus dem App Store (iOS) oder dem Play Store (Android) herunter. Dann folgen Sie den Hinweisen in der App. Fertig! Beim nächsten Login wird Ihnen BestSign direkt angezeigt und Sie können das Verfahren nutzen.“ Wenn man bisher kein gültiges Sicherheitsverfahren besitzt, erhält man den Aktivierungscode innerhalb von drei bis fünf Werktagen per Post.
Beim SMS-/Push-TAN-Verfahren ändert sich gegenüber dem alten Online-Banking mit den TAN-Listen wenig: Es wird eine transaktionsgebundene TAN an ein Mobiltelefon zu gesendet. Das passiert entweder per SMS oder Push-Benachrichtigung über die App eines Geldhauses. Nutzer, die kein Mobiltelefon besitzen, oder es nicht hierfür nutzen wollen, können sich ein Kartenlesegerät zulegen, das sie an ihren PC anschließen.
Gibt es Ausnahmen?
Bei einigen Zahlvorgängen kann auf die Zwei-Faktor-Authentifizierung verzichtet werden. Das ist zum Beispiel beim Kauf auf Rechnung oder bei Zahlung per Lastschriftverfahren der Fall. Auch bei kleineren Beträgen ist sie nicht notwendig. Die Grenze dafür liegt bei Onlinezahlungen bei 30 Euro und beim kontaktlosen Bezahlen bei 50 Euro.
Warum gewährt die deutsche Finanzaufsicht Bafin Onlinehändlern eine Schonfrist bei der Umsetzung von PSD2?
Nach Protesten aus dem Handel hatten schon einige europäische Aufsichtsbehörden die Übergangsfristen verlängert. Jetzt hat die Bafin nachgezogen. „Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne starke Kundenauthentifizierung ausführen“, teilte die Behörde mit. Die Bafin wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internetzahlungen verhindern und einen reibungslosen Übergang zu den neuen Anforderungen ermöglichen.
Nach Einschätzung der Aufseher sind zwar die kartenausgebenden Dienstleister bereits entsprechend vorbereitet, bei den Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, sehe dies aber noch anders aus. „Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf“, hat die Bafin beobachtet.
Wie lange gilt diese Übergangsregelung?
Sie ist zeitlich befristet. Wann sie ausläuft, will die Bafin festlegen, wenn sie die Markteilnehmer konsultiert und sich mit der Europäischen Aufsichtsbehörde EBA und den nationalen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwarte sie, „dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen“. Dazu sollen konkrete Pläne erarbeitet werden.