BaFin zu SCA bei Kartenzahlung

von Carl Christian Müller

Aufschub für starke Kundenauthentifizierung

Für Online-Händler, Payment-Service-Provider, Banken und Kunden gelten ab dem 14. September 2019 neue Regeln im Bezahlverkehr. Die bereits im Januar 2018 in Kraft getretene PSD2-Richtlinie sieht vor, dass Online-Händler ab diesem Zeitpunkt für bestimmte Zahlungsarten eine Zwei-Faktor-Authentifizierungen (strong customer authentication, SCA) ermöglichen müssen. Mit Pressemitteilung vom 21.08.2019 hat die BaFin mitgeteilt, dass die zum 14.09.2019 geplante Einführung der SCA zwar weiterhin gültig ist, aber keine Beanstandung erfolgt, „wenn deutsche Zahlungsanbieter kartenbasierte Fernzahlungsvorgänge auch ohne Starke Kundenauthentifizierung ausführen“.

Bezahlung per Smartphone
Foto: tanaonte/AdobeStock

SCA - Zwei-Faktor-Authentifizierungsverfahren

Über die bereits im Januar 2016 in Kraft getretene Payment Services Direktive 2 (PSD2) sind Onlinehändler ab dem 14.09.2019 verpflichtet, Kreditkartenzahlungen über das sogenannte Zwei-Faktor-Authentifizierungsverfahren (SCA) abzuwickeln. Das bedeutet, dass Kunden eine Onlinezahlung mit einem zweiten Faktor bestätigen müssen. Kunde müssen beim Bezahlvorgang künftig also zwei Elemente aus den Kategorien Wissen (Passwort, Pin), Besitz (Karte, Smartphone) oder Inhärenz (Fingerabdruck, Stimme) kombinieren. Es reicht also nicht mehr aus, einfach seine Kreditkartendaten einzugeben. Vielmehr muss ein physischer Gegenstand wie das Smartphone mit einem Passwort oder dem Fingerabdruck kombiniert werden, bevor die Zahlung erfolgen kann.

BaFin: Technische Mängel bei der Umsetzung – Stichtag kann nicht eingehalten werden

Nach einer Meldung des Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh) hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bereits Ende August darüber informiert, dass „die erheblichen Mängel an den derzeitigen technischen Umsetzungen zur PSD2 dazu führen, dass der Stichtag 14. September 2019 nicht eingehalten werden kann. Der bevh zieht hieraus folgende Schlüsse:

  • Kartenzahlungen im Internet können auch nach dem 14. September ohne Starke Kundenauthentifizierung ausgeführt werden.
  • Von der Starken Kundenauthentifizierung sind über den 14. September hinaus allerdings nur Kartenzahlungen ausgenommen.
  • Shop-Betreiber, die bereits das alte Authentifizierungsverfahren 3D Secure 1.0 anbieten, müssen dies auf die PSD2-konforme Version 3D Secure 2.x aktualisieren.

Der Aufschub gilt also nur die Kartenzahlungen. Im Übrigen muss der Payment-Bereich also schnellstmöglich angepasst werden, um das Zwei-Faktor-Authentifizierungsverfahren anzubieten.

Welche Zahlungsarten sind von der Starken Authentifizierung betroffen?

Wichtig zu wissen ist, dass nicht alle Zahlungsarten von dem Zwei-Faktor-Authentifizierungsverfahren betroffen sind. Hier der Überblick über die betroffenen Zahlungsarten:

Umgestellt werden müssen:

  • Online-Kartenzahlungen aller Art (Kreditkarten oder Debitkarten)
  • Sofort-Überweisung, Giropay, Paydirekt (Hier wird die Authentifizierung über die Bank des Kunden abgewickelt, es sind also keine Maßnahmen erforderlich.)
  • Die Anbieter von Zahlungskonten wie Paypal, Amazon Pay, Klarna (Zahlungskonten wie Paypal oder Amazon Pay werden wahrscheinlich eine starke Kundenauthentifizierung fordern, sobald Kreditkarten als Standardzahlungsmethode beim Kunden hinterlegt sind. Details über die konkrete Abwicklung sind aber noch unklar.)

Von der Umstellung nicht betroffen sind:

  • Lastschrift
  • Rechnung
  • Vorkasse
  • Bezahlvorgänge unter 30 Euro

Reminder: Surcharching verboten

Mit der am 13.01.2018 in Kraft getretenen PSD2-Richtlinie ist es verboten, bei den bargeldlosen Zahlungen wie Überweisung, Lastschrift und Kartenzahlung Entgelte zu erheben. Online-Händler dürfen also ihre Nutzungsentgelte nicht mehr an Kunden weitergeben. Hier hat die Wettbewerbszentrale in einem gegen Flixbus geführten Verfahren ein Urteil des Landgerichts München erstritten, mit dem klargestellt wurde, dass dies auch für die Bezahlmethoden PayPal und Sofortüberweisung gilt.

Sofern auch Sie mit einer Abmahnung konfrontiert sind, sollten Sie anwaltlichen Rat suchen. Gerne können Sie sich bei uns melden – wir verteidigen seit 15 Jahren Mandanten gegen Abmahnungen. Profitieren auch Sie von unseren Erfahrungswerten. Wir vertreten bundesweit.

Gratischeck: so einfach geht’s:
  • Schicken Sie uns die Abmahnung unverbindlich zu.
  • Wir prüfen die Rechtslage und rufen Sie schnellstmöglich zurück.
  • Wir geben Ihnen eine telefonische kostenfreie Erstberatung über das Kostenrisiko und Erfolgsaussichten des Falls.
  • Termine vor Ort sind nicht erforderlich, sind aber auf Anfrage ebenfalls möglich.
  • Wir reagieren unmittelbar nach Mandatserteilung und bearbeiten Ihren Fall sofort und fristgerecht.
Hier können Sie uns die Abmahnung zuschicken.