Legal Update #3: PSD2: Zwei-Faktor-Kundenauthentifizierung


Ab 1.1.2021 gelten die strengeren Regeln für die Kundenauthentifizierung im elektronischen Zahlungsverkehr: Online-Zahlungen dürfen ab diesem Zeitpunkt nur noch mit starker Kundenauthentifizierung (SCA) durchgeführt werden. Damit soll die Sicherheit im europäischen Zahlungsverkehr wesentlich verbessert werden soll. Aus gegebenem Anlass [Kick-Off der neuen Initiative GEMEINSAM SICHER IM ONLINE-HANDEL von Handelsverband und Bundeskriminalamt] behandelt das LEGAL UPDATE #3 die Verschärfungen auf Basis der PSD2-Richtlinie. Diese Regeln richten sich v.a. an Zahlungsdienstleister, haben aber faktisch weitreichende Folgen für Online-Händler. Bei Verstößen drohen wiederum hohe Bußgelder.

Direkt proportional mit einer immer größeren Anzahl an Nutzern im E-Commerce haben sich während der letzten Jahre nicht nur viele neue Zahlungsarten, sondern auch verschiedenste Zahlungsdienste etabliert. Seit 14. September 2019 sind die strengeren Regeln für die Kundenauthentifizierung im elektronischen Zahlungsverkehr grundsätzlich in Kraft. Diese richten sich an Zahlungsdienstleister, sind aber freilich auch für die Nutzer von Zahlungsdienstleistungen relevant. Die 2. EU-Zahlungsdienste-Richtlinie (PSD2) hatte eine weitere Modernisierung europäischer Zahlungsdienste sowohl für Unternehmen als auch für Verbraucher zum Ziel. Gleichzeitig sollte ein fairer Wettbewerb zwischen allen Zahlungsdienstleistern sichergestellt und aufrechterhalten werden.

So sollte bereits ab dem 14. September 2019 mit der Einführung der sog “starken Kundenauthentifizierung” (strong customer authentification, “SCA“) die Sicherheit im europäischen Zahlungsverkehr wesentlich verbessert werden. Da jedoch nicht allen betroffenen Mitgliedstaaten eine rasche Umsetzung der Richtlinie möglich erschien, erklärte die Europäische Bankenaufsichtsbehörde (EBA) in einer Stellungnahme vom 21. Juni 2019, dass den nationalen Aufsichtsbehörden bei der Durchsetzung der neuen Bestimmungen eine gewisse (zeitliche) Kulanz eingeräumt wird. Den Mitgliedstaaten wurde eine verlängerte Frist für die Umsetzung gewährt, die nun mit 31. Dezember 2020 endet. Die Nachsichtsfrist betraf ausschließlich Kartenzahlungen über das Internet (somit nicht das Online-Banking oder Kartenzahlungen, die unmittelbar in einem Geschäft an der Kassa vorgenommen werden). Ab 1.1.2021 ist die Payment Service Directive 2 (“PSD2“) somit europaweit anzuwenden. Online-Zahlungen dürfen ab diesem Zeitpunkt nur noch mit starker Kundenauthentifizierung (SCA) durchgeführt werden.

Was ändert sich durch die PSD2?

Der Fokus des europäischen Gesetzgebers liegt unmissverständlich auf einem höheren Verbraucherschutz – insbesondere kommt es dadurch zur Festlegung neuer technischer Standards sowie zur Etablierung innovativer Regelungen hinsichtlich der Sicherheit von Transaktionen sowie der Schaffung binnenmarktfreundlicher (einheitlicher) Regelungen, welche ua auch den Zahlungsdiensteanbietern selbst zu Gute kommen sollte.

Konkret vom Anwendungsbereich der PSD2 umfasst sind alle Zahlungsvorgänge in Euro, sämtliche innerstaatliche Zahlungsvorgänge in der Währung eines Mitgliedstaates, sowie all jene Zahlungsvorgänge, bei denen lediglich eine Währungsumrechnung zwischen dem Euro und der Währung eines nicht dem Euro-Währungsgebiet angehörenden Mitgliedstaats stattfindet, sofern die erforderliche Währungsumrechnung in dem nicht dem Euro-Währungsgebiet angehörenden Mitgliedstaat durchgeführt wird und — im Falle von grenzüberschreitenden Zahlungsvorgängen — der grenzüberschreitende Transfer in Euro stattfindet. Bis auf wenige Ausnahmen [siehe dazu unten], muss daher in Zukunft bei Transaktionen durch Kunden von Zahlungsdiensteanbietern, die mittels Telebanking durchgeführt werden, die Identität eben dieser Kunden mittels starker Kundenauthentifizierung nachgewiesen werden. 

Die Anforderung der starken Kundenauthentifizierung wird mittels eines mehrstufigen Verifizierungsvorgangs sichergestellt. Dabei muss eingangs zwischen den drei Elementen “Wissen” (eine Information, welche ausschließlich dem Nutzer vorbehalten bleibt; zB der PIN von Zahlungskarten, persönliche Daten oder die Abfrage einer bei der Kontoeröffnung erstellten Sicherheitsfrage), “Besitz” (Verifizierung durch ein Hilfsmittel im Besitz des jeweiligen Nutzers; zB Empfang eines TAN-Codes per Smartphone, Zahlungskarte oder ein Chip-TAN-Generator) und “Inhärenz” (Verifizierung durch den Abgleich physischer Attribute des jeweiligen Nutzers; zB biometrische Daten wie Fingerabdrücke, Iris-Scans sowie Gesichts- oder Stimmerkennung) unterschieden werden. Um den Anforderungen einer starken Kundenauthentifizierung gerecht zu werden, muss der Zahlungsdienstleister gemäß Art 4 Z 30 PSD2 mindestens zwei der beschriebenen Elemente (vom Kunden erheben und) zur Authentifizierung des spezifischen Kunden heranziehen.

Diese drei Faktoren (Wissen, Besitz, Inhärenz) sind voneinander unabhängig, sodass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt. Dieser Trend weg vom herkömmlichen “eindimensionalen Authentifizierungsvorgang” hin zum einheitlichen Mindeststandard der “zweidimensionalen Authentifizierung” soll die Gefahr eines potentiellen Missbrauchs erheblich reduzieren, indem sichergestellt wird, dass es sich bei der Person, welche den Zahlungsvorgang einleitet, auch wirklich um die für das entsprechende Nutzerkonto autorisierte Person handelt. Die Einführung dieser verpflichtenden starken Kundenauthentifizierung soll daher zu einer allgemein höheren Sicherheit im elektronischen Zahlungsverkehr führen.

Wen treffen die Änderungen?

Da sich die Vorgaben der PSD2 primär an Anbieter von Zahlungsdiensten richten, sind in erster Linie Kreditkartenunternehmen, Banken und Anbieter wie zB PayPal von den strengeren Voraussetzungen (und der Nachsichtsfrist bis 31.12.2020) umfasst. Da sich Onlinehändler in der Regel lediglich eines solchen Zahlungsdiensteanbieters im Zuge des Betriebs eines Onlineshops oder des Marktplatzauftritts bedienen, sind diese wohl nicht direkt an die Vorgaben der Richtlinie gebunden. Da es den Unternehmern obliegt, ihre Bezahlprozesse gesetzes- und richtlinienkonform zu regeln, wird allerdings dringend empfohlen, spätestens mit 1.1.2021 nur noch PSD2-kompatible Zahlungsdiensteanbieter einzusetzen, sofern die durchzuführenden Zahlungen in den Anwendungsbereich der PSD2 fallen. Anderenfalls kann es zur Unterbrechung von Zahlungsvorgängen, zur Ablehnung von Transaktionen oder zu Rückforderungen kommen.

Wie soll man sich an die kommenden Änderungen anpassen?

Die Verantwortung der PSD2-Implementierung (starke Kundenauthentifizierung) liegt bei den jeweiligen Zahlungsdienstleistern. Es empfiehlt sich daher, als Unternehmer die technischen Änderungen im Vorfeld mit dem jeweiligen Anbieter abzuklären. Unternehmern, welche noch keine Vorkehrungen mit ihrem Zahlungsdienstleister vorgenommen haben, wird die Verwendung von EMV 3D-Secure empfohlen, einem globalen Branchenstandard zur Unterstützung der Authentifizierung bei E-Commerce-Zahlungen. Bei EMV 3D-Secure handelt es sich um einen globalen Branchenstandard zur Unterstützung von Unternehmen bei der Authentifizierung von E-Commerce-Zahlungen. Besagter Standard ersetzt herkömmliche statische Passwörter durch eine stärkere Zwei-Faktor-Authentifizierung (Unternehmen wie American Express, Mastercard und Visa erfüllen diese Standards bereits).

Sollten etwaige Ausnahmeregelungen [siehe dazu unten] zur Anwendung kommen, empfiehlt es sich, diese mit dem eigenen Zahlungsdienstleister abzusprechen. Unternehmer, welche in stationären Betrieben Kassensysteme in Verwendung haben, sollten sich zudem mit dem Anbieter des jeweiligen Kassensystems in Verbindung setzen, um sicherzustellen, dass nicht etwaige Neuerungen wie zB potentiell anfällige Software-Updates übersehen werden.

Kann auf die starke Kundenauthentifizierung verzichtet werden?

Nicht auf jede über den Onlinehandel abgewickelte elektronische Transaktion trifft automatisch das SCA-Erfordernis der PSD2 zu. In gewissen Fällen sieht die Richtlinie Ausnahmen von der Pflicht zur Verwendung der starken Authentifizierung vor. Ausgenommen sind etwa:

  • Zahlungskontoinformationen, vorausgesetzt, es hat innerhalb der letzten 90 Tage bereits eine Authentifizierung stattgefunden.
  • Wiederkehrende Transaktionen (Daueraufträge): bei wiederkehrenden Transaktionen desselben Betrags, die an den gleichen Empfänger gerichtet sind, kann der Zahlungsdienstleister – nachdem bei der Ersttransaktion eine starke Kundenauthentifizierung durchgeführt wurde – bei den folgenden Überweisungen darauf verzichten. In einem solchen Fall ist nur bei Erstellung, Änderung und erstmaliger Auslösung eine starke Authentifizierung erforderlich.
  • Kleinbetragszahlungen dh Zahlungen bis zu einer Höhe von EUR 30 – im Einzelfall bzw einer Ausgabenobergrenze von EUR 150.
  • Der Transaktionsauftraggeber kann unterschiedliche Unternehmen auf eine Liste vertrauenswürdiger Empfänger (sog “white listing”) setzen, bei welchen nach einer initialen starken Kundenauthentifizierung auf zukünftige Authentifizierungen verzichtet werden kann.
  • Transaktionen mit geringem Betrugsrisiko: bei Kartenzahlungen bis zu einem Wert von EUR 500 darf die potentielle Betrugsquote somit maximal 0,01% ausmachen.
  • Transaktionen außerhalb der EU dh mit grenzüberschreitendem Charakter: da die PSD2 ausschließlich Transaktionen innerhalb der EU erfasst und reguliert, sind ausländische Käufer (zB ein US-amerikanischer Staatsbürger kauft bei einem europäischen Online-Shop) von deren Anwendung ausgenommen.
  • Überweisungen zwischen Konten derselben natürlichen oder juristischen Person
  • Transaktionen an Terminals für Parkgebühren und Fahrkartenkäufe (Verkehr)
  • Unternehmerisch genützte, sichere Zahlungsprozesse bzw Protokolle
  • Zahlungen mit virtuellen Währungen (zB Bitcoin) – diese sind rechtlich nicht als Zahlungsinstrumente zu klassifizieren. Anderes gilt aber beim Erwerb von Kryptowährungen selbst, dort wird die starke Kundenauthentifizierung sehr wohl relevant sein, wann immer die dazugehörige Transaktion online durchgeführt wird.

Zu beachten ist jedoch, dass sich Zahlungsdienstleister trotz Bestehens einer Ausnahme dazu entschließen können, ausschließlich starke Kundenauthentifizierungen durchzuführen. Auch SEPA-Lastschriften scheinen vom bisherigen Anwendungsbereich der Richtlinie nicht umfasst zu sein. Einzelne Lastschriftzahlungen (dh alle Zahlungen, die nach der Ermächtigung des Zahlungsempfängers mittels Lastschriftmandat erfolgen) bedürfen somit keiner separaten Zwei-Faktor-Authentifizierung mehr. Im Falle von Vor-Autorisierungen (wie bspw. bei Hotelbuchungen üblich), wird aufgrund des Blockierens eines Höchstbetrags und der Möglichkeit der Auslösung der Zahlung in weiterer Folge wohl eine Zwei-Faktor-Authentifizierung nötig sein.

Erwähnenswert ist auch, dass es für die schlichte Anmeldung des Kunden bzw Nutzers im Onlineshop des Händlers keiner Zwei-Faktor-Authentifizierung bedarf. Dies gilt auch dann, wenn der Kunde nach dem erfolgreichen Login keine weiteren Legitimationsprozesse zur Verwendung von “händlereigenen” Zahlungsarten wie zB Vorkasse-Überweisung, Kauf auf Rechnung oder Zahlung per Lastschrift durchlaufen muss (da die PSD2 für diese Zahlungsarten explizit keine Zwei-Faktor-Authentifizierung vorschreibt). Eine (erneute) Zahlungsauslösung eines von der PSD2 erfassten Zahlungsmittels darf auf diesem Wege aber nicht erfolgen.  

Die seit 14. September 2019 möglichen Zahlungsauslösedienste sowie Kontoinformationsdienste fallen ebenfalls unter die PSD2-Richtlinie und bedürfen somit einer starken Authentifizierung. Bei einem Zahlungsauslösedienst handelt es sich um einen Dienst, der auf Antrag des Zahlungsdienstnutzers einen Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Bei Kontoinformationsdiensten wird die Übersicht über sämtliche Zahlungskonten des Nutzers bei verschiedenen Zahlungsdienstleistern ermöglicht.

Conclusio für Händler

Von Händlern durchgeführte Zahlungen per Lastschrift, Zahlungen auf Rechnung bzw. Vorkasse-Überweisungen, aber auch Zahlungen per Nachnahme sind von der PSD2 in ihrer derzeitigen Form nicht erfasst. Im Falle der Nutzung von Zahlungsarten wie etwa PayPal oder Kreditkarten sollte die Zeit bis zum 1.1.2021 vor allem dazu genutzt werden, um sicherzustellen, dass der hierfür eingesetzte Zahlungsdiensteanbieter zumindest eine Zwei-Faktor-Authentifizierung unterstützt und auch sonst alle technisch nötigen und rechtlich erforderlichen Voraussetzungen erfüllt. Für etwaige Auskünfte und Hilfestellungen ist der Zahlungsanbieter selbst zuständig. So bietet etwa VISA, in Kooperation mit dem Handelsverband, bereits einen Kommunikationsleitfaden für Händler an. Sollten neue Zahlungsdiensteanbieter für einen Webshop hinzugenommen werden, so empfehlen wir auch, die Datenschutzerklärung überprüfen und aktualisieren zu lassen, um auch DSGVO-konform zu bleiben.


Bild: Handelsverband

STADLER VÖLKEL ist eine auf E-Commerce, Markenrecht, digitale Transformation und neue Technologien spezialisierte Anwaltskanzlei. Die Kanzlei ist Pionierin in diesen Bereichen. Ihre Anwälte vertreten nicht nur vor nationalen, sondern auch EU-Gerichten und EU-Behörden und unterstützen Mandanten in nationalstaatlichen und unionsrechtlichen Fragen. Weitere Schwerpunkte der Kanzlei sind: Kapitalmarktrecht, Finanzierungen, E-Commerce und Datenschutz, Kryptowährungen, Zivilverfahren, Wettbewerbsrecht, E-Sport sowie Wetten, Gewinnspiele und Glücksspiel. Mehr dazu auf http://www.svlaw.at

Kommentar verfassen