Starke Kundenauthentifizierung

Symbolbild: Euro-Münzen (Quelle: pixabay)

Rechtlicher Rahmen

Eingeführt wurde die starke Kundenauthentifizierung oder SCA (strong customer authentication) durch die zweite EU-Zahlungsdiensterichtlinie (PSD2). Diese Richtlinie verfolgt das Ziel, den rasanten Entwicklungen auf dem Markt der digitalen und kurzlebigen Zahlungsmöglichkeiten zu begegnen, indem umfangreiche Maßnahmen zur Betrugsprävention bei Zahlungsaktivitäten gesetzlich vorgeschrieben werden. Betrügerischem Missbrauch von Zahlungsdaten soll damit soweit wie möglich ein Riegel vorgeschoben werden. Zwar verbleiben zur Handhabung einfacher Zahlungsabläufe auch etliche Ausnahmen (siehe unten), jedoch ist die Richtlinie allgemein genug formuliert, um auch neue technische Entwicklungen am Zahlungsmarkt zukünftig zu erfassen. Präzisiert werden die Vorgaben, Ausnahmen und der konkrete Anwendungsbereich in einer delegierten Verordnung zur PSD2 (Delegierte VO (EU) 2018/389 zur Ergänzung der RL (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere und offene Standards für die Kommunikation). 
Die EU-Bestimmungen zur starken Kundenauthentifizierung finden sich in Österreich insbesondere in den §§ 4 Z 28, 68 Abs 5 und 87 Zahlungsdienstegesetz 2018 (ZaDiG 2018).

2-Faktoren für doppelten Betrugsschutz

Die starke Kundenauthentifizierung sieht vor, dass der oder die ZahlerIn sich nicht nur auf einem Weg ausweist, um eine Zahlung zu tätigen, sondern mindestens zwei unabhängige Kriterien erfüllt, um eine Zahlung freigeben zu können. Diese Kriterien bzw. Faktoren können aus drei verschiedenen Bereichen stammen:

Wissen: etwas, das der oder die NutzerIn weiß – also ein Passwort, ein PIN, die Antwort auf eine bestimmte Sicherheitsfrage, eine Wischbewegung auf dem Display oder ähnliches.

Besitz: etwas, das der oder die NutzerIn bei sich hat – zB das Handy oder eine App. Achtung: Der Besitz der Kreditkarte fällt nicht in diese Kategorie. Die Kreditkartendaten könnten bspw. auch Betrüger besitzen. Bei Zahlung mit Kreditkarte müssen daher zwei Faktoren erfüllt sein, die nichts mit den Daten, die auf der Kreditkarte abgedruckt sind, zu tun haben.

Inhärenz: etwas, das der oder den NutzerIn individuell auszeichnet – abzufragen durch zB Fingerabdruck, Gesichtsscan, Spracherkennung.

Wie und aus welchen beiden Kategorien Banken und Zahlungsdienstleister zukünftig diese starke Kundenauthentifizierung abfragen, bleibt ihnen selbst überlassen. Banken verwenden beispielsweise zum Teil eigene Sicherheits-Apps, die zusätzlich zur eigenen Banking-App verwendet werden müssen oder erlauben einen Kontozugang mittels Fingerabdruck. Ohne Smartphone kann bei verpflichtender TAN-Code Abfrage stattdessen ein TAN-Generator verwendet werden. Erkundigen Sie sich am besten direkt bei Ihrer Bank und Ihrem bevorzugten Zahlungsdienstleister, um über deren konkrete Umsetzung Bescheid zu wissen.

So werden KundInnen bei Online-Banking und Zahlungen im E-Commerce von nun zwar einer etwas aufwendigeren Freigabe Ihrer gewünschten Zahlungen gegenüberstehen, erhalten im Gegenzug aber eine erhöhte Sicherheit gegen betrügerische Verwendung ihrer Zahlungsdaten.

Erfordernis und Ausnahmen

Grundsätzlich gilt, dass in folgenden Situationen durch den Zahlungsdienstleister eine solche Authentifizierung immer vorgenommen werden muss, wenn ZahlerInnen

  • auf ein Zahlungskonto zugreifen,

  • einen elektronischen Zahlungsvorgang auslösen,

  • über einen Fernzugang eine Handlung vornehmen, die missbrauchs- oder risikoanfällig ist. Hier geht es vor allem um Online-Käufe.

Nicht jeder dieser Vorgänge verlangt in Zukunft jedoch ausnahmslos eine starke Kundenauthentifizierung.

Um Zahlungsdienstleister, HändlerInnen und VerbraucherInnen nicht übergebührlich zu strapazieren, sieht die Richtlinie auch einige Ausnahmen vor. Die wichtigsten Fälle, in denen keine starke Kundenauthentifizierung erfolgen muss, sind

  • der bloße Zugriff auf Zahlungskontoinformationen,

  • vom Zahler als vertrauenswürdig eingestufte EmpfängerInnen („white list“),

  • Kleinbetragszahlungen (bis zu 30€),

  • wiederkehrende Zahlungsvorgänge,

  • eine durchgeführte Transaktionsrisikoanalyse hat ein niedriges Risiko der Zahlung ergeben (möglich bei Transaktionen bis zu 500€).

Diese Ausnahmen sind jedoch nicht verpflichtend zu gewähren – ein Zahlungsdienstleister kann sich daher auch dafür entscheiden für alle Zahlungsvorgänge eine starke Kundenauthentifizierung zu verlangen.

Wichtig für HändlerInnen

Zwar sind HändlerInnen nicht die primären Verpflichteten nach diesen neuen Vorgaben, sondern die einzelnen Banken und Zahlungsdienstleister - sie sollten sich aber dennoch mit ihren Zahlungsdienstleistern absprechen und sicherstellen, dass der eigene Webshop technisch bereit ist für die neuen Authentifizierungsverfahren bei Zahlungen durch KundInnen.

Darüber hinaus sollten HändlerInnen auch mit Ihren Zahlungsabwicklern genau Rücksprache halten in Bezug auf die Datenübermittlung. Insbesondere beim neuen Sicherheitsverfahren bei Kreditkartenzahlung (3DS2), wird häufig eine weitreichendere Weitergabe von Daten notwendig sein. Datenschutzerklärungen sollten dahingehend aktualisiert werden.

HändlerInnen sollten auch aus Haftungsgesichtspunkten auf einen reibungslosen Einsatz von starker Kundenauthentifizierung achten. Werden diese Sicherheitsstandards beim Zahlungsvorgang nämlich nicht eingehalten, haften KonsumentInnen bei missbräuchlicher Verwendung nur mehr, wenn sie in betrügerischer Absicht handeln. Selbst ein Missachten von Sorgfaltspflichten löst keine Haftung der KonsumentInnen aus. Regressansprüche bei Missbrauch können sodann vom Zahlungsdienstleister des Zahlers unter Umständen beim Zahlungsempfänger (= HändlerIn) oder dessen Zahlungsdienstleister geltend gemacht werden, vorausgesetzt diese haben schuldhaft die starke Kundenauthentifizierung nicht eingefordert (§ 68 Abs 5 ZaDiG 2018).

Zeitpunkt

Für Banken gelten die Vorschriften der starken Kundenauthentifizierung bereits ab 14. September verpflichtend. Sie müssen ab diesem Zeitpunkt für die Vornahme von Online-Überweisungen eine starke Kundenauthentifizierung verlangen. Für den E-Commerce Bereich, also Bezahlvorgänge im Internet, hat die Europäische Bankenaufsicht noch einen Aufschub für die zwingende faktische Umsetzung gewährt. Wie lange sich Online-Shops und deren Zahlungsdienstleister noch mit der Implementierung Zeit lassen können, entscheidet sich Ende September.

Über den Autor/die Autorin

nach oben