Im Januar 2018 ist das deutsche Umsetzungsgesetz für die Zweite Zahlungsdiensterichtlinie („Payment Services Directive 2“), auch PSD 2 genannt, in Kraft getreten. Dabei handelt es sich um eine europäische Richtlinie, die unter anderem darauf abzielt, den Verbraucherschutz zu stärken, Innovationen zu fördern und die Sicherheit von elektronischen Bezahlvorgängen zu erhöhen.

Der Großteil der PSD 2 wurde bereits zum 13. Januar 2018 in deutsches Recht umgesetzt. Ein Teil der neuen Anforderungen ist jedoch erst seit dem 14. September 2019 anwendbar, nämlich die Regelungen, die zu Neuerungen beim Onlinebanking und Onlineshopping führen. Dies betrifft insbesondere die Starke Kundenauthentifizierung.

Was ist die „Starke Kundenauthentifizierung“?

Für das Bezahlen im Internet und den Onlinezugriff auf das Zahlungskonto gilt seit dem 14. September 2019 die Pflicht zur „Starken Kundenauthentifizierung.“ Diese Pflicht hat den Zweck, elektronische Zahlungen sicherer zu machen sowie die im Onlinebanking einsehbaren Daten vor unbefugtem Zugriff zu schützen. Starke Kundenauthentifizierung bedeutet, dass der Internetnutzer mindestens zwei Elemente verwenden muss, um sich zu authentifizieren. Diese Elemente müssen aus den Kategorien Wissen, Besitz und Inhärenz stammen, und dabei jeweils unterschiedliche Kategorien bedienen.

Ein Beispiel für die Kategorie Wissen ist das Passwort. Ein Beispiel für die Kategorie Besitz ist das Mobiltelefon – genauer gesagt: die SIM-Karte. Deren Besitz können Sie zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die zuvor per SMS an Ihr Telefon geschickt worden ist. Bei der Kategorie Inhärenz geht es um Ihre persönlichen beziehungsweise körperlichen Eigenschaften – etwa Ihren Fingerabdruck.

Weiterhin darf es nicht mehr ohne weiteres möglich sein, ein physisches Element zur Authentifizierung zu vervielfältigen. Deshalb markiert die Starke Kundenauthentifizierung auch das Ende der gedruckten iTAN-Liste.

Neue Regeln nur bei Zahlungskonten

Diese neuen Regeln gelten nur für Zahlungsdienste und Zahlungskonten. Zu Letzteren gehören unter anderem die üblichen Girokonten. Bei Spar- und Wertpapierkonten ist es deshalb möglich, dass Ihre Bank dabei noch das iTAN-Verfahren zulässt. Bei Banken, die sowohl Girokonten als auch Wertpapierdepots oder Sparkonten führen, ist es aber wahrscheinlich, dass durchweg die Starke Kundenauthentifizierung gefordert wird.

Neben der Überweisung im Onlinebanking sind auch andere Arten der elektronischen Zahlungsauslösung im Internet erfasst, zum Beispiel die Verwendung der Kreditkarte oder andere, neuartige Onlinebezahldienste. Dagegen ist bei der weit verbreiteten Zahlung mit Lastschrift auch in Zukunft keine Starke Kundenauthentifizierung notwendig, da hier die Zahlungsauslösung durch den Händler erfolgt.

Sonderkonstellation: Kreditkartenzahlung im Internet

Auch beim Bezahlen mit Kreditkarte im Internet reicht es deshalb nicht mehr aus, lediglich die auf der Karte sichtbaren Daten inklusive der auf der Rückseite befindlichen Prüfziffer einzugeben. Kunden müssen zusätzlich zum Beispiel eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, sowie ein Passwort eingeben.

Nachdem die BaFin für Kreditkartenzahlungen im Internet vorübergehend nicht auf einer Starke Kundenauthentifizierung bestanden hatte, werden seit Anfang 2021 auch Onlinekäufer zunehmend mit der Starken Kundenauthentifizierung konfrontiert. Verbraucher und Unternehmen sollten sich deshalb – falls noch nicht bekannt – bei ihrer Bank erkundigen, welches Authentifizierungsverfahren für ihre Karte vorgesehen und ob eine besondere Freischaltung erforderlich ist.

Ausnahmen von der Starken Kundenauthentifizierung

Aber auch zukünftig ist nicht bei allen Onlinezahlungen eine Starke Kundenauthentifizierung notwendig. Denn der europäische Gesetzgeber hat einige Ausnahmen davon zugelassen.

Das gilt zum Beispiel, wenn Sie in Ihrem Zahlungskonto nur Ihren Kontostand oder die Umsätze der letzten 90 Tage einsehen möchten. Dafür reicht es aus, wenn alle 90 Tage eine Starke Kundenauthentifizierung durchgeführt wird. Auf die Starke Kundenauthentifizierung kann ebenfalls verzichtet werden, wenn der zuständige Zahlungsdienstleister die Zahlung aufgrund einer in Echtzeit durchgeführten automatischen Risikoanalyse als wenig riskant einstuft. Zur Vermeidung von Missbräuchen gibt es hierzu allerdings vom Gesetzgeber festgelegte Obergrenzen. Der Zahlungsdienstleister kann diese Ausnahme nur nutzen, wenn er den Wert der betrügerischen Zahlungen unter dieser Grenze halten kann.

Wenn Sie sich für weitere Ausnahmen der Starken Kundenauthentifizierung interessieren, finden Sie Zusatzinformationen in einem Artikel im BaFinJournal.

Wichtig zu wissen: die verbesserten zivilrechtlichen Haftungsregeln zum Schutz des Bankkunden gelten schon seit 2018. Entdecken Sie unberechtigte Onlinezahlungen von Ihrem Konto, sollten Sie diese sofort bei ihrer Bank beanstanden.