Banken und Finanzdienstleister haben einen stetig steigenden Sicherheitsbedarf. Das bedeutet, dass sie in der Pflicht stehen die digitale Sicherheit ihrer Kunden zu gewährleisten und sichere Datentransfers anzubieten. Im Januar 2018 ist dafür die EU-Richtlinie PSD2 in Kraft getreten. Diese ist ab September 2019 für alle Anbieter von Online-Zahlungsdiensten verpflichtend, wie auch der Webseite der Bundesdruckerei zu entnehmen ist.
Höhere Sicherheitsmaßnahmen
Ab September diesen Jahres sind alle Banken der EU dazu verpflichtet, Drittanbietern Zugriff auf Konten in Echtzeit anzubieten. Um dies zu gewährleisten, müssen die Banken dafür eine Schnittstelle (API) bereitstellen, die über qualifizierte Webseitenzertifikate (QWACs) abzusichern sind. Darüber hinaus benötigen Drittanbieter für den Zugriff auf Bankkonten sog. QSiegel (qualifizierte Siegel). Diese Sicherheitszertifikate stellen nur sehr wenige europäischen Behörden aus.
Bedeutung für den Onlinehandel
Im Onlinehandel gilt es beim Bezahlvorgang mindestens zwei Sicherheitsmerkmale zu überprüfen. Genauer ausgedrückt werden zwei voneinander unabhängige Elemente aus den Kategorien Wissen (PIN, Anmeldename), Besitz (Smartphone, Computer) und Inhärenz (Fingerabdruck, Stimme, Gesicht) bestätigt, um eine Online-Zahlung abzuschließen. Diese technischen Voraussetzungen sind zunächst von den Anbietern der Finanzdiensten umzusetzen. Onlineshop-Betreiber müssen jedoch darauf achten, dass diese Änderungen auf ihren Shops funktionieren. Die meisten Verbraucher dürften von den zusätzlichen Schutzmaßnahmen überzeugt sein. Onlinehändler hingegen werden von den komplizierteren Zahlungsvorgängen etwas weniger Begeistert sein. Diese befürchten nämlich dadurch einen Rückgang der Verkäufe im Netz.
Durch die neue EU-Richtlinie treffen jede Bezahlmethode unterschiedliche Anforderungen an die rechtswirksame Umsetzung. Die meisten aktuellen Online-Bezahlmethoden entsprechen bereits den Anforderungen an die 2-Schritte-Authentifizierung.
Von der Richtlinie nicht erfasst sind zunächst die gängigen Bezahlmethoden Vorkasse, Kauf auf Rechnung, Lastschrift, Kauf auf Raten und ähnliche Methoden, durch welche keine Veranlassung der Zahlung durch den Kunden direkt beim Händler stattfindet (zum Beispiel EasyCredit, Billpay oder Klarna Ratenkauf und –rechnungskauf). Diese Bezahlmethoden können weiterhin wie bisher rechtswirksam im E-Commerce umgesetzt werden.
Von der Richtlinie umfasst, aber den Anforderungen bereits gerecht werdend sind die Bezahlmethoden OnlineBanking durch TAN und Log-In (soweit keine iTan, also eine schriftliche TAN-Liste, verwendet wird), Sofortüberweisung bzw GiroPay (da hier eine 2-Schritt-Authentifizierung bereits durch Passwort und TAN umgesetzt wird), EC-Karten-Bezahlung und Paydirekt.
Auswirkung auf die Bezahlung mittels Kreditkarte
Ein Fragezeichen bezüglich der Umsetzung der PSD2 Richtlinie steht noch hinter all denjenigen Dienstleistern, welche eine Bezahlung mittels Kreditkarte erlauben (zum Beispiel Amazon Payment, PayPal, Novalnet, Paymill und Payone), sofern auch tatsächlich eine Bezahlung mittels Kreditkarte gewählt wird.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat frühzeitig klargestellt, dass die bisherige Vorgehensweise bei Zahlen mit Kreditkarte für die Umsetzung der Richtlinie nicht ausreicht. Die bisherige Vorgehensweise mit der Autorisierung durch Eingabe der Kartennummer und Prüfziffer ist zu leicht ausspähbar und erfüllt nicht die notwendigen 2 der 3 Sicherheitsmerkmale.
Wie für die Kreditkarte eine Lösung aussieht ist allerdings zum jetzigen Zeitpunkt noch nicht absehbar. Favorisiert ist allerdings eine Autorisierung durch Passwort und TAN.
Bis zur Umsetzung der Richtlinie in diesem Bereich könnte allerdings noch etwas Zeit ins Land ziehen, da die BaFin jüngst eine Aussetzung der Verfolgung von Verstößen gegen die Richtlinie für die Bezahlmethode Kreditkarte erklärt hat und keine zeitliche Befristung hierfür genannt hat. Bis dahin bleiben die genannten Anbieter eine Lösung noch schuldig.
Mehr Kontrolle bei vorreservierten Zahlungen
In manchen Fällen kommt es zu sog. vorreservierten Zahlungen, bei denen Anbieter (In den meisten Fällen Dienstleister) einen gewissen Betrag auf dem Konto des Kunden blocken. Erst danach kommt es zum tatsächlichen Konsum oder dem aushändigen der Ware. Der geblockte Betrag ist somit noch auf dem Konto des Kunden vorhanden, aber nicht mehr für andere Zahlungen verfügbar. Auch in solchen Fällen ist eine ausdrückliche Einwilligung zum Vorreservieren erforderlich.
Drittdienstleister brauchen Zustimmung zum Einsehen von Kontodaten
Drittanbieter benötigen zum Einsehen von Kontodaten eine ausdrückliche Einwilligung vom Kontoinhaber. Dies ist dann der Fall, wenn online ein Kaufvertrag geschlossen wird und die Bezahlung über einen Dienstleister wie zum Beispiel Trustly oder SOFORT erfolgt. Ein weiteres Beispiel für eine erforderliche Einwilligung stellt das Multibanking dar. Hier kann der Kunde über den Onlinezugang einer Bank Transaktionen einsehen, die er bei einer anderen Bank getätigt hat.
Fazit zur PSD2-Richtlinine
Kunden müssen den Datentransfers zwischen Banken und Drittdienstleistern weiterhin zustimmen. Jedoch kommt es durch die PSD2 auch zu einer höheren Anzahl an Datentransfers was wiederrum bedeutet, dass Daten leichter abgegriffen werden könnten. Außerdem müssen Verbraucher den Banken ein höheres Vertrauen entgegenbringen, was deren Pflichtbewusstsein zur Geheimhaltung der Daten angeht.
Falls Sie einen Onlineshop betreiben und diesen nachhaltig, effektiv gegen teure Abmahnungen und Bußgelder absichern möchten, melden Sie sich gerne unverbindlich bei uns. Wir erstellen Ihnen die auf Ihren Shop angepassten Rechtstexte (Widerrufsbelehrung, Muster-Widerrufsformular, AGB, Datenschutzerklärung, Impressum). Diese müssen Sie dann nur noch auf ihrer Seite einbauen. Selbstverständlich sichern wir Sie auch im Hinblick auf anzugebende Allergene und Zusatzstoffe bei Speisen und Getränken ab.