Jetzt unverbindlich anrufen: 0228 - 387 560 200

EU Zahlungsdiensterichtlinie PSD2 – Online Banking soll sicherer werden


psd2

© VRD - Fotolia.com

Die EU hat mit PSD2 (EU 2015/2366) eine neue Richtlinie für Zahlungsmethoden eingeführt, die Onlinebanking für Verbraucher sicherer machen soll.

Es war eine Umsetzungsfrist von 18 Monaten angesetzt, die nun am 14. September ausläuft. Deutschland hatte bereits Anfang des Jahres, am 13. Januar 2018, die Richtlinie in nationales Recht umgesetzt. Die Richtline umfasst unter anderem neue Vorgaben bei der Kundenauthentifizierung und bei Onlinezahlvorgängen, sowie Bankkontenzugriff durch Drittanbieter. Dabei soll auch erreicht werden, dass ein fairerer Wettbewerb zwischen den klassischen Banken und den neuen Zahlungsdienstleistern stattfinden kann. 

Einfaches Passwort reicht nicht mehr 

Der Name PSD2 steht hierbei für Payment Service Directive 2 und beschreibt die zweite Zahlungsdiensterichtlinie die von der EU erlassen wurde. 

Teil dieser Richtline ist der Begriff SCA, welcher für Strong Customer Authentification steht. Durch die SCA soll es zur Eindämmung von Betrugsfällen im elektronischen Bereich kommen. 

Für den Benutzter bedeutet das konkret, dass in Zukunft die Eingabe einer normalen Nutzerkennung oder PIN nicht mehr zum Konto-Login ausreicht. Onlinezahlvorgänge könnten sich also unter Umständen als komplizierter erweisen. 

Zwei-Faktor-Authentifizierung für mehr Verbrauchersicherheit

Die erhöhte Sicherheit soll durch eine Zwei-Faktor-Authentifizierung (2FA) erreicht werden. 

Diese geht einem Onlinebezahlvorgang voraus und ermöglicht eine bessere Zuordnung von Zahlungsdaten zu einer Person und beugt somit dem Missbrauch vor. 

Bisher genügte in vergleichbaren Fällen in der Regel die Eingabe eines Passworts oder der Kreditkartenummer. Die neue Regelung sieht hingegen drei unterschiedliche Möglichkeiten vor, mit der sich der Kunde identifizieren kann:

Bei einem Zahlvorgang muss der Kunde hierbei zwei Sicherheitsmerkmale aus den drei Kategorien erfüllen.

Ganz neu ist das Prinzip der 2FA nicht, schließlich ist dies bereits bei Kartenzahlung mit PIN-Eingabe erfüllt. Von nun an wird es aber für nahezu alle elektronischen Zahlungsvorgänge verpflichtend sein. 

Ausnahmen bei der Zwei-Faktor-Authentifizierung 

Ausgenommen davon sind Lastschriftverfahren, genauso wie Zahlungen auf Rechnung oder Vorkasse. Hierbei erfolgt eine Zahlungseinleitung nicht durch den Verbraucher, sondern den Zahlungsempfänger.

Es gibt noch weitere Ausnahmen für die Zwei-Faktor-Authentifizierung:

Einfacher wird der Zugriff eines Drittanbieters direkt auf das Konto des Verbrauchers. Eine Bank muss nicht mehr dazwischentreten. Klassische Kreditinstitute müssen hierfür Schnittstellen für Drittanbieter zur Verfügung stellen. Banken sind dann unter bestimmten Umständen dazu verpflichtet, Kundendaten an den Drittanbieter weiterzugeben. Hiermit soll ein fairerer Wettbewerb zwischen den Banken und den neuen Zahlungsdienstleistern gewährleistet werden. 

Neue Zahlungsdienstleister unterliegen Bankenaufsicht

Im Gegenzug unterliegen die Drittanbieter der Bankenaufsicht, was bedeutet, dass ein Drittanbieter eine Zulassung von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) benötigt, um am Markt aktiv zu sein. Von der BaFin wird ein Verzeichnis angelegt, für anerkannte und zuverlässige Zahlungsdienstleister, um dem Verbraucher Orientierung zu geben.

Die neue Richtlinie unterscheidet hierbei bei den Drittanbietern: 

Bezüglich der Kundendaten unterliegen Drittanbieter der DSVGO und müssen in ihren Datenschutzbestimmungen detailliert angeben, welche Daten zu welchem Zweck genutzt werden.

Die Kontrolle bleibt aber weiterhin beim Verbraucher, indem er explizit zustimmen muss, wenn ein Drittanbieter auf seine Konten Zugriff haben möchte.

Anpassung und rechtliche Folgen

In Zukunft wird wichtig, dass Händler überprüfen sollten, ob die Dienstleister, mit denen sie zusammenarbeiten auch den Anforderungen der PSD2 gerecht werden. Besonders wenn Unternehmen mehr als die bisherigen Kundendaten an Zahlungsdienstleister weitergeben müssen, ist zu einer Anpassung der AGB und ggf. der Datenschutzbestimmungen geraten. Sollten erforderliche Änderungen hier versäumt werden, können diese Versäumnisse aller Voraussicht nach von Mitbewerbern wettbewerbsrechtlich abgemahnt sowie von den zuständigen Datenschutzbehörden mit einem Bußgeld belegt werden. 

Update: Keine Beanstandungen vor 31.12.2020

Die BaFin wird einem Bericht von heise online zufolge der Empfehlung der europäischen Bankenaufsicht EBA folgen und „nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland, Kartenzahlungen im Internet bis zum 31. Dezember 2020 auch ohne eine nach der PSD2 erforderliche starke Kundenauthentifizierung ausführen“. Onlinehändler sind jedoch allein angesichts des Umfangs der erforderlichen Anpassungen weiterhin gut beraten, wenn sie sich um eine zeitnahe Umsetzung der Anforderungen bemühen.


Bewertung: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 5,00 von 5 Sterne, basierend auf 3 abgegebenen Stimmen.
Loading...

Hinterlasse einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Absendung eines Kommentars erfolgt auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Ihr Ansprechpartner

Dennis Tölle
E-Mail: toelle@tww.law
Twitter: @dennistoelle

Telefon: 0228 - 387 560 200
Newsletter abonnieren

Die Datenverarbeitung im Zusammenhang mit der Eintragung in den Newsletter erfolgt primär auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.


Weitere Blogbeiträge zum Thema Wettbewerbs- und Markenrecht
Newsletter der Kanzlei: Gerne senden wir Ihnen regelmäßig kostenlose Informationen aus unseren Rechtsgebieten.
Holler Box