Der 14. September ist ein wichtiger Stichtag im Zahlungsverkehr: Vor allem für das Onlinebanking und die Kartenzahlung werden mit Inkrafttreten der zweiten Stufe der Zweiten EU-Zahlungsdiensterichtlinie (PSD2) die Sicherheitsvorkehrungen verschärft. Das betrifft besonders die Authentifizierung der Kunden.
Mit PSD2 wird die Zwei-Faktor- oder auch starke Kundenauthentifizierung zur Pflicht. Anders als beim bisher gängigen Log-in auf einem passwortgeschützten Webportal, erfordert das erweiterte Verfahren mindestens zwei von drei möglichen Faktoren: Inhärenz, Wissen oder Besitz.
Dabei ist Inhärenz – auch Seinselement genannt – ein biometrisches Merkmal, das dem Kunden als Individuum eigen ist. Beispielsweise ein Fingerabdruck. Beim Faktor „Wissen“ gibt der Kunde etwas an, das in der Regel nur er weiß, wie etwa ein Passwort. Und mit „Besitz“ ist etwas gemeint, das dem Kunden physisch gehört – etwa eine Girocard mit TAN-Generator oder ein Mobiltelefon mit PIN-Übermittlung.
© Photo by Gilles Lambert on Unsplash
Sprich: Der Kunde gibt zuerst eine Passphrase ein. Diese entspricht dem Faktor „Wissen“. Im zweiten Schritt muss nun ein Merkmal aus den Kategorien „Besitz“ oder „Inhärenz“ folgen – er kann beispielsweise dazu aufgefordert werden, eine TAN einzugeben, die er über sein Smartphone erhalten hat. Vielleicht muss er den Log-in per Fingerabdruck vervollständigen. Oder er nutzt die Gesichtserkennung und muss anschließend den PIN-Code eingeben. Welche der Kombinationsmöglichkeiten eingesetzt werden, hängt vom jeweiligen Finanzinstitut ab.
Das muss aber nicht bei jeder Anmeldung im Onlinebanking-Portal oder bei jedem Zugriff auf persönliche Daten auf‘s Neue der Fall sein. Grund dafür ist eine Sonderregelung: So können Banken ihren Kunden anbieten, dass sie die Zwei-Faktor-Authentifizierung nur alle 90 Tage vornehmen müssen. Innerhalb dieser 90 Tage genügt dann ein einfacher Nachweis.
Ausnahmen: Kleinbeträge und Überweisungen an eigene Konten
Es gibt aber auch grundsätzliche Ausnahmen, bei denen die Pflicht zur starken Kundenauthentifizierung entfallen kann – das kann von Bank zu Bank unterschiedlich sein. So müssen Kunden etwa bei Online-Zahlungen von Kleinbeträgen bis zu 30 Euro oder Umbuchungen zwischen verschiedenen Konten einer Person bei derselben Bank keine zusätzlichen Angaben machen.
Neue Regeln auch fürs Online-Shopping
Beim elektronischen Bezahlen wird ebenfalls die Zwei-Faktor-Methode Pflicht. Neben den Daten auf der Kreditkarte sollen Käufer sich mit einem weiteren Sicherheitsmerkmal wie etwa einem Zusatzpasswort oder einem Fingerabdruck per Smartphone identifizieren.
Diese Art der Anmeldung ist aber nicht für alle Zahlarten im Internet obligatorisch. Lastschriften und Rechnungskäufe haben keine Pflicht zur starken Kundenauthentifizierung.
Zugriffe von Drittdienstleistern
Die dritte große Veränderung betrifft den Zugriff auf Konten durch Drittanbieter. Zahlungsauslösedienste und Kontoinformationsdienste dürfen künftig Salden oder Umsätze von Konten abrufen, Zahlungsaufträge mithilfe der persönlichen PIN und TAN auslösen und vor einer Kartenzahlung die Verfügbarkeit des Betrages bei der betreffenden Bank anfragen.
© Photo by Kelly Sikkema on Unsplash
Viele E-Commerce-Unternehmen nutzen Auslösedienste, die für die Kunden Zahlungen abwickeln. Kontoinformationsdienste wiederum geben dem Kunden via Online-Plattform Überblick über seine verschiedenen Bankkonten. Sowohl Zahlungsauslösedienste als auch Kontoinformationsdienste benötigen dafür natürlich die Erlaubnis des Kunden.
Diese gilt erst dann als erteilt, wenn der Verbraucher die angeforderte Informationsweitergabe an einen Dritten bei seiner Bank per starker Kunden-Authentifizierung bestätigt hat. Über eine eigene Zugriffsverwaltung im Onlinebanking können Kunden alle protokollierten Zugriffe von dritter Seite nachverfolgen. Außerdem wichtig: Die Erlaubnis kann jederzeit widerrufen werden. Für Kontoabfragen benötigt der betreffende Drittdienstleister zudem spätestens nach 90 Tagen eine erneute Erlaubnis des Kontoinhabers.
Vorteile für Verbraucher
Was hat der Kunde von der neuen Regelung, zum Beispiel von den Zugriffsrechten der Drittanbieter? Einiges. So werden nicht autorisierte Zahlungen schneller erstattet. Zudem sinkt die Haftungsgrenze des Verbrauchers bei Missbrauchsfällen auf bis zu 50 Euro. Auch werden jetzt die Ansprüche bei verspäteter Ausführung einer Zahlung besser geregelt. Und: Mit PSD2 entfallen die Gebühren, die Händler für Kartenzahlungen nehmen. Der Kreditkarteneinsatz kostet nicht mehr als die Barzahlung. Durch die starke Kundenauthentifizierung ist der Kunde außerdem besser vor Betrug geschützt.
Sinn der Öffnungsklausel ist ein diskriminierungsfreier Wettbewerb und damit ein erleichterter Marktzugang für Drittanbieter, betroffen ist vor allem auch die rasant wachsende Fintech-Szene. Allerdings bedeutet das auch, dass solche Anbieter in die Regulierung einbezogen werden: Sie müssen sich unter anderem bei ihrer nationalen Aufsichtsbehörde – wie der BaFin in Deutschland – registrieren lassen und sich bei dem kontoführenden Kreditinstitut mit der erhaltenen Registrierungsnummer identifizieren.
