Die Umsetzung der PSD2-Richtlinie verschiebt sich auch im Bereich der starken Kundenauthentifizierung (SCA) nach hinten. Erst letzte Woche hatte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) angekündigt, dass die Frist für die Einrichtung von Datenschnittstellen zwischen Kreditinstituten und Drittanbietern nicht eingehalten werden kann (wir berichteten). Diese Schnittstellen sollen dazu dienen, dass Kunden Drittanbietern Zugriff auf das eigene Bankkonto gewähren können. Am 21. August verkündete die Aufsichtsbehörde jetzt, dass sie nicht beanstanden wird, wenn Kreditkartenzahlungen im Internet vorerst ohne starke Kundenauthentifizierung ausgeführt werden. Damit können Online-Kreditkartenzahlungen faktisch wie bisher angeboten werden.
Die grundlegenden Ziele der PSD2-Richtlinie sind einerseits eine Marktöffnung bei Online-Zahlungen für Drittanbieter und innovative Start-Ups durch Kontoschnittstellen und andererseits mehr Sicherheit bei Zahlungen im Internet durch die starke Kundenauthentifizierung. Eigentlich läuft die Frist zur Umsetzung der neuen Regelungen am 14. September ab. Wie viel Zeit den Zahlungsdienstleistern und Online-Händlern jetzt gewährt wird, steht noch nicht fest. Eine europaweite Fristverlängerung um 18 Monate, wie sie Branchenverbände fordern, scheint derzeit aber wahrscheinlich.
Die Ausnahme von der Umsetzungsfrist gilt allerdings ausschließlich für Kreditkartenzahlungen im Internet. Nicht von der Verlängerung betroffen sind andere Formen elektronischer Zahlungsauslösungen. Wer sich also am 15. September in sein Online-Banking einloggen will oder über einen Zahlungsauslösedienst bezahlt, wird den Vorgang zusätzlich zum normalen Passwort durch eine pushTAN per App oder dem Fingerabdruck verifizieren müssen. Auch Online-Überweisungen werden dann einen zweiten Sicherheitsfaktor benötigen. Optionale Ausnahmen für die starke Kundenauthentifizierung können etwa bei Kleinbeträgen oder kontaktlosen Zahlungen zugelassen werden.
Rechtliche Verpflichtungen bestehen für Online-Händler unter den neuen Regelungen nicht. Allerdings ermahnen Banken und andere Zahlungsdienstleister, dass Online-Händler die technische Umsetzung der starken Kundenauthentifizierung ebenfalls unterstützen müssten. Ein Sprecher der BaFin teilte OnlinehändlerNews mit: „Online-Händler sind zum jetzigen Zeitpunkt technisch noch nicht auf die Anforderungen der PSD 2 vorbereitet – immerhin müssen die Anforderungen an eine Starke Kundenauthentifizierung auch beim Händler implementiert werden.” Eine der technischen Änderungen, die Zahlungsanbieter für Online-Shops empfehlen ist das Sicherheitsprotokoll 3-D-Secure 2.0. Dieses ermöglicht es für Kunden, während der Zahlung mit der Kreditkarte im Internet beim jeweiligen Kreditinstitut eine starke Kundenauthentifizierung durchzuführen.
Online-Händler sollten sich jetzt mit den Zahlungsdienstleistern in Verbindung setzen, deren Dienste sie in ihren Online-Shops benutzen. Diese haben bereits teilweise eigene Anleitungen und Informationen dazu, was Online-Händler beachten müssen. Denn sollte die starke Kundenauthentifizierung an technischen Problemen des Online-Shops scheitern, drohen Kosten für Händler. Auch diese Möglichkeit sollte mit den Zahlungsdienstleistern im Voraus besprochen werden. Zwar ist die Kommunikation der Banken und Zahlungsanbieter bisher bei weitem nicht perfekt und klar verständlich. Doch die Fristverlängerung bei Kreditkartenzahlungen sollte für Online-Händler der Startschuss dazu werden, sich selbst und die Kunden über die anstehenden Regeln zu informieren.