02.11.2015 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
"Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) kommen eigentlich von der europäischen Bankenaufsichtsbehörde (EBA). Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hatte sie im Mai für verbindlich erklärt, aber ein halbes Jahr Zeit für die Umsetzung gegeben, das am 5. November ausläuft. Mit dem Rundschreiben wird die Zeit bis zum Inkrafttreten der PSD II (Payment Services Directive II - Zahlungsdiensterichtlinie II) überbrückt.
MaSi fordert sicherere aber damit auch kompliziertere Zahlungsabwicklungen. Diese können bei frustrierten Kunden zu vermehrten Kaufabbrüchen führen. Grundlage für Befürchtungen des Handels sind vor allem die neuen Anforderungen an eine sog. „starke Kundenauthentifizierung“.
Im Schreiben der Behörde heißt es:
„Starke Kundenauthentifizierung ist im Sinne dieses Rundschreibens ein Verfahren, das auf der Verwendung zweier oder mehrerer der folgenden Elemente basiert, die als Wissen, Besitz und Inhärenz kategorisiert werden: i) etwas, das nur der Nutzer weiß, z. B. ein statisches Passwort, ein Code, eine persönliche Identifikationsnummer, ii) etwas, das nur der Nutzer besitzt, z. B. ein Token, eine Smartcard, ein Mobiltelefon, iii) eine Eigenschaft des Nutzers, z. B. ein biometrisches Charakteristikum, etwa ein Fingerabdruck. Außerdem müssen die gewählten Elemente unabhängig voneinander sein, d. h. die Verletzung eines Elements darf keinen Einfluss auf das andere bzw. die anderen haben. Mindestens eines der Elemente sollte nicht wiederverwendbar und nicht reproduzierbar (die Inhärenz ausgenommen) sein und nicht heimlich über das Internet entwendet werden können. Das starke Authentifizierungsverfahren sollte so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten gewahrt bleibt.“
Gemeint ist also, dass der Kunde eine Zahlung nur noch durch zwei unabhängige Vorgänge freigeben soll. Zahlungsdienstleister werden gezwungen, diese starken Authentifizierungen in vielen Fällen einzusetzen. Eine 2-Faktor-Authentifzierung dürfte viele Kunden abschrecken, da heute schon eine Passwortanforderung den Kaufabschluss torpedieren kann. Dies dürfte dann erst recht gelten, wenn bei der Zahlung zusätzliche Freigaben parat sein müssen. Müssen erst das Mobilgerät hergeholt werden, etwa eine App gestartet oder per SMS übermittelte Codes abgelesen und wieder am Computer eingegeben werden, sind Kaufabbrüche vorprogrammiert.
Adressaten der neuen Regelung sind im Wesentlichen die Zahlungsdienstleister, z. B. Internetzahlungsdienste, wie PayPal und Banken. Händler sind unmittelbar nicht angesprochen und für sie gibt es allenfalls mittelbaren Handlungsbedarf, wenn die Zahlungsdienstleister neue Vorgaben machen, um starke Authentifizierungen künftig zu ermöglichen. Gewohnte Services, wie man sie etwa bei Amazon und Co kennt, bei denen man etwa eine einmal hinterlegte Kreditkarte oder Bankdaten bei weiteren Zahlungen für einen Kauf einfach nur kurz auswählt oder auch nur vorausgewählt und meist kaum reflektiert bestehen lässt, könnten damit künftig auf der Strecke bleiben.
Das BaFin, welche die Einhaltung der Mindestanforderungen künftig überwacht, hat in den letzten Tagen noch einmal bestätigt, dass sie ausschließlich Zahlungsdienstleister im Fokus hat.
Insgesamt sollen Zahlungen im Online-Bereich auch nach Auffassung des europäischen Richtliniengebers bald noch transparenter und sicherer werden. Vor kurzem wurde die überarbeitete Zahlungsdiensterichtlinie (Payment Services Directive II oder PSD2) angenommen. Die neuen Vorschriften, die im Jahr 2013 von der EU-Kommission vorgeschlagen wurden, sollen den Verbraucherschutz verbessern, Innovationen fördern und die Sicherheit von Zahlungsdiensten erhöhen und Zahlungen billiger machen. Die Richtlinie enthält z. B. Verbote für Händler, Entgelte für bestimmte Zahlungskarten zu erheben (erlaubt nur noch für Drei-Parteien-Kreditkartensysteme). Nach Verabschiedung der Richtlinie durch den Ministerrat der EU und deren Veröffentlichung im Amtsblatt haben die Mitgliedsstaaten dann zwei Jahre Zeit, um die erforderlichen Anpassungen der nationalen Rechtsvorschriften vorzunehmen. Dann wird man sehen, wie der deutsche Gesetzgeber mit den Möglichkeiten umgeht.
Themen
Login
Bitte melden Sie sich mit Ihrem Benutzernamen und Ihrem Passwort an.
Benutzerkonto anlegen
Sind Sie auf unserer Website noch nicht registriert? Hier können Sie sich ein neues Kundenkonto bei dashoefer.de anlegen.
RegistrierenHaben Sie Fragen? Kontaktformular
So erreichen Sie unseren Kundenservice:
Telefon: 040 / 41 33 21 -0
Email: kundenservice@dashoefer.de
Haben Sie Fragen zu unseren Produkten und Online-Angeboten?
Rückruf vereinbaren
Möchten Sie einen Rückruf vereinbaren?