Neues aus dem E-Commerce: PSD2 & Starke Kundenauthentifizierung (SCA)

Der 14.9. ist ein weiterer Meilenstein für die PSD2: Spätestens ab dem 14. September 2019 sollten Zahlungsdienstleister in der EU eine sog. „Starke Kundenauthentifizierung“ (SCA) durchführen müssen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst.

Beim neuen Begriff der „Starken Kundenauthentifizierung“ werden zur Identifikation des Zahlenden zwei voneinander unabhängige Elemente verwendet. Die Elemente müssen aus zwei der drei Kategorien

• Wissen,
• Besitz und
• Inhärenz

stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).

Die neuen Vorgaben zur SCA sollen nun auch für Kreditkartenzahlungen im Internet verwendet werden. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.

Allerdings hat die Bafin schon verlauten lassen, dass sie die SCA für Kreditkartenzahlungen erst einmal verschiebt (siehe Pressemitteilung vom 21. August). Zahlungsdienstleister haben daher zunächst Entscheidungszeit gewonnen, um sich auf die Umsetzung der neuen PSD2-Vorgaben in Deutschland vorzubereiten. Es gilt dann aber genau zu beobachten, wie sich die BaFin in ihrer Position weiter entwickelt.

Unsere bisherigen Beiträge zu PSD2-Themen können Sie hier abrufen:

19.02.2019
Ein Jahr PSD2 – aktuelle Entwicklungen

19.12.2017
Auf zur letzten Runde: Die finalen RTS der Europäischen Kommission zur PSD2

Praxistipp:
Von den SCA-Vorgaben sind in erster Linie Zahlungsdienstleister betroffen. Andere E-Commerce-Akteure, wie beispielsweise Online-Shops, sollten jedoch bei ihren Zahlungsdienstleistern in Erfahrung bringen, ob die SCA-Vorgaben eingehalten werden.