+++ Update: Ende der Schonfrist für starke Kundenauthentifizierung bei online-Kreditkartenzahlungen bekannt gegeben +++

18. Oktober 2019

Am 31. Dezember 2020 müssen alle Marktteilnehmer die Anforderungen an eine starke Kundenauthentifizierung (“SCA“) vollständig umgesetzt haben, wollen sie nicht Gefahr laufen Ziel aufsichtsrechtlicher Sanktionen zu werden. Dies gab die BaFin nun auf Grundlage einer Opinion der EBA vom 16. Oktober 2019 bekannt, in der diese eine europaweit einheitliche Frist bis Ende 2020 vorschlägt.

Aufgrund einer Umfrage bei betroffenen Marktteilnehmern hatte die EBA festgestellt, dass eine Mehrheit der Marktteilnehmer eine Frist von 18 Monaten bevorzugen würde. Hauptgrund sei die Forderung nach Zeit für die Entwicklung einer SCA-konformen Version des Kommunikationsprotokolls 3DS, das von den meisten Card Schemes genutzt wird. Diese neue Version soll aber wohl auch Ausnahmen von der SCA umsetzen, bei denen die EBA darauf hinweist, dass diese Ausnahmen bereits seit Februar 2017 bekannt sein dürften. Sie hält daher eine Frist bis zum 31. Dezember 2020 für ausreichend.

Die EBA betont zudem nochmals, dass die Schonfrist keinen Freifahrtschein für Marktteilnehmer bedeutet. Die Gewährung der Frist hänge davon ab, dass fortwährend bestimmte Meilensteine in der Umsetzung erreicht werden. Die nationalen Aufsichtsbehörden sind dazu angewiesen sich diese Fortschritte fortlaufend bestätigen zu lassen, einen konkreten Zeitplan hat die EBA in der Opinion ausgearbeitet. So müssen Issuing- und Acquiring-Zahlungsdienstleister nun in einem ersten Schritt bis 31. Dezember 2019 analysieren, welche Authentifizierungsprozesse sie derzeit anbieten, unterteilt in SCA-konforme und Nicht-SCA-konforme Prozesse. Zudem müssen sie der Aufsichtsbehörde mitteilen, welche SCA-konformen Authentifizierungsprozesse sie künftig anbieten werden. Gefordert wird ein konkreter Umsetzungsplan, der klare Zielvorgaben bzgl. der Fortschritte (z.B. Umsetzung, Testphase und Rollout) enthält.

“Fördern und Fordern” auf Aufsichtsebene, möchte man sagen…

___________________________________________________

Das heißt im Klartext: Bei online Kreditkartenzahlungen bleibt vorerst alles beim Alten!

Die “starke Kundenauthentifizierung” (siehe unseren Blog-Beitrag vom 13. Juni 2019) soll höhere Sicherheit im online-Zahlungsverkehr gewährleisten. Festgelegt durch die Zweite Zahlungsdienstrichtlinie (Payment Services Directive 2 – “PSD 2“) und in Deutschland umgesetzt in § 55 Abs. 1 S. 1  Zahlungsdiensteaufsichtsgesetzes („ZAG“) erfordert die starke Kundenauthentifizierung, dass Zahlungsdienstleister in bestimmten Fällen mindestens zwei von drei voneinander unabhängigen Authentifizierungselementen vorsehen.

Erforderlich soll die starke Kundenauthentifizierung immer dann sein, wenn

• ein Kunde online auf sein Zahlungskonto zugreift
• einen elektronischen Zahlungsvorgang auslöst oder
• über einen Fernzugang eine andere Handlung vornimmt, die das Risiko des Betrugs im Zahlungsverkehr birgt.

Die dann vorgesehenen Authentifizierungselemente lassen sich in drei unterschiedliche Gruppen einteilen:

• Wissen,
• Besitz und
• Inhärenz.

Wie erwähnt, müssen zwei dieser drei Elemente bei einer starken Kundenauthentifizierung vorliegen. Dies kann etwa durch die Nennung einer Transaktionsnummer (“TAN”), welche zuvor an das Mobiltelefon des Kunden gesendet worden ist (Besitz) sowie die Eingabe eines zuvor festgelegten Passwortes (Wissen) oder alternativ einen Fingerabdruck (Inhärenz) umgesetzt werden.

Für online-Kreditkartenzahlungen bedeutet dies, dass allein die Eingabe der Kreditkartennummer und der Prüfziffer nicht mehr ausreichen wird, um die Zahlung zu authentifizieren.

Allerdings scheint die Gesetzesänderung zahlreiche Unternehmen unvorbereitet zu treffen; insbesondere Online-Shops, welche online-Kreditzahlungen als Zahlungsmittel nutze – und das nicht nur in Deutschland. Auch in anderen EU-Mitgliedsstaaten bereitet die Einhaltung der neuen rechtlichen Rahmenbedingungen offenbar Schwierigkeiten. Deshalb hat die Europäische Bankenaufsichtsbehörde (“EBA“) den nationalen europäischen Aufsichtsbehörden die Möglichkeit eingeräumt, vorübergehend nicht auf die Einhaltung der Starken Kundenauthentifizierung zu bestehen – wovon die BaFin Gebrauch macht.

Wie lange die Erleichterungen gelten werden, steht noch nicht fest und richtet sich wohl maßgeblich danach, zu welchem Zeitpunkt die Behörden die online-Kreditkartenzahlungsinfrastruktur für hinreichend angepasst erachten. Zum Zwecke der schnellen Erreichung des neuen Sicherheitsstandards sollen konkrete “Migrationspläne” erarbeitet werden. Die BaFin wird das Fristende der Erleichterungen bekanntgeben, sobald sich hierüber mit der EBA und den übrigen nationalen Aufsichtsbehörden abgestimmt worden ist.