Seite wählen
EU Zahlungsdiensterichtlinie PSD2 – Online Banking soll sicherer werden
Die EU hat mit PSD2 (EU 2015/2366) eine neue Richtlinie für Zahlungsmethoden eingeführt, die Onlinebanking für Verbraucher sicherer machen soll.

13. September 2019

psd2
(Bild: © VRD - Fotolia.com)

Es war eine Umsetzungsfrist von 18 Monaten angesetzt, die nun am 14. September ausläuft. Deutschland hatte bereits Anfang des Jahres, am 13. Januar 2018, die Richtlinie in nationales Recht umgesetzt. Die Richtline umfasst unter anderem neue Vorgaben bei der Kundenauthentifizierung und bei Onlinezahlvorgängen, sowie Bankkontenzugriff durch Drittanbieter. Dabei soll auch erreicht werden, dass ein fairerer Wettbewerb zwischen den klassischen Banken und den neuen Zahlungsdienstleistern stattfinden kann. 

Einfaches Passwort reicht für PSD2 nicht mehr 

Der Name PSD2 steht hierbei für Payment Service Directive 2 und beschreibt die zweite Zahlungsdiensterichtlinie die von der EU erlassen wurde. 

Teil dieser Richtline ist der Begriff SCA, welcher für Strong Customer Authentification steht. Durch die SCA soll es zur Eindämmung von Betrugsfällen im elektronischen Bereich kommen. 

Für den Benutzter bedeutet das konkret, dass in Zukunft die Eingabe einer normalen Nutzerkennung oder PIN nicht mehr zum Konto-Login ausreicht. Onlinezahlvorgänge könnten sich also unter Umständen als komplizierter erweisen. 

Zwei-Faktor-Authentifizierung für mehr Verbrauchersicherheit

Die erhöhte Sicherheit soll nach der PSD2 durch eine Zwei-Faktor-Authentifizierung (2FA) erreicht werden. 

Diese geht einem Onlinebezahlvorgang voraus und ermöglicht eine bessere Zuordnung von Zahlungsdaten zu einer Person und beugt somit dem Missbrauch vor. 

Bisher genügte in vergleichbaren Fällen in der Regel die Eingabe eines Passworts oder der Kreditkartenummer. Die neue Regelung sieht hingegen drei unterschiedliche Möglichkeiten vor, mit der sich der Kunde identifizieren kann:

  • Wissentlicher Bereich (Daten die nur der Kunde wissen kann, z.B: Passwörter, PINs, Sicherheitsabfragen etc.)
  • Possessorischer Bereich (Dinge die nur der Verbraucher besitzen kann z.B. Karten, Handys, oder auch Wearables wie Smartwatches) 
  • Persönlicher Bereich (Eigenschaften die nur dem Verbraucher anhaften, z.B. biometrische Daten wie Fingerabdruck, Gesichtserkennung Iris-scan etc.) 

Bei einem Zahlvorgang muss der Kunde hierbei zwei Sicherheitsmerkmale aus den drei Kategorien erfüllen.

Ganz neu ist das Prinzip der 2FA nicht, schließlich ist dies bereits bei Kartenzahlung mit PIN-Eingabe erfüllt. Von nun an wird es aber für nahezu alle elektronischen Zahlungsvorgänge verpflichtend sein. 

Ausnahmen bei der Zwei-Faktor-Authentifizierung 

Ausgenommen davon sind Lastschriftverfahren, genauso wie Zahlungen auf Rechnung oder Vorkasse. Hierbei erfolgt eine Zahlungseinleitung nicht durch den Verbraucher, sondern den Zahlungsempfänger.

Es gibt in der PSD2 noch weitere Ausnahmen für die Zwei-Faktor-Authentifizierung:

  • Zahlungen unter 30 Euro bei Onlinezahlungen, bis zu 50 Euro beim kontaktlosen Zahlen;
  • Zahlungen unter 500 Euro, wenn die Transaktion als risikoarm eingestuft ist (dafür kommt es auf die durchschnittlichen Betrugsraten den entsprechenden Zahlungsdienstleisters an); 
  • Whitelist für den Kunden, Unternehmen und Banken als vertrauenswürdigen Zahlungsempfänger anzusehen;
  • Weitere Ausnahmen im B2B Bereich, sowie bei wiederkehrenden Transaktionen wie Abosystemen.

Einfacher wird der Zugriff eines Drittanbieters direkt auf das Konto des Verbrauchers. Eine Bank muss nicht mehr dazwischentreten. Klassische Kreditinstitute müssen hierfür Schnittstellen für Drittanbieter zur Verfügung stellen. Banken sind dann unter bestimmten Umständen dazu verpflichtet, Kundendaten an den Drittanbieter weiterzugeben. Hiermit soll ein fairerer Wettbewerb zwischen den Banken und den neuen Zahlungsdienstleistern gewährleistet werden. 

Neue Zahlungsdienstleister unterliegen nach PSD2 Bankenaufsicht

Im Gegenzug unterliegen die Drittanbieter der Bankenaufsicht, was bedeutet, dass ein Drittanbieter eine Zulassung von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) benötigt, um am Markt aktiv zu sein. Von der BaFin wird ein Verzeichnis angelegt, für anerkannte und zuverlässige Zahlungsdienstleister, um dem Verbraucher Orientierung zu geben.

Die neue Richtlinie unterscheidet hierbei bei den Drittanbietern: 

  • Zahlungsauslösende Dienste (wird vom Kunden beauftragt, zu seinen Lasten eine Überweisung auszuführen, z.B. PayPal).
  • Kontoinformationsdienste (z.B. Apps, die dem Verbraucher Auskunft über seine verschiedenen Bankkonten geben. Die Informationen werden für den Kunden abgerufen und aufbereitet). 

Bezüglich der Kundendaten unterliegen Drittanbieter der DSVGO und müssen in ihren Datenschutzbestimmungen detailliert angeben, welche Daten zu welchem Zweck genutzt werden.

Die Kontrolle bleibt aber weiterhin beim Verbraucher, indem er explizit zustimmen muss, wenn ein Drittanbieter auf seine Konten Zugriff haben möchte.

Anpassung und rechtliche Folgen

In Zukunft wird wichtig, dass Händler überprüfen sollten, ob die Dienstleister, mit denen sie zusammenarbeiten auch den Anforderungen der PSD2 gerecht werden. Besonders wenn Unternehmen mehr als die bisherigen Kundendaten an Zahlungsdienstleister weitergeben müssen, ist zu einer Anpassung der AGB und ggf. der Datenschutzbestimmungen geraten. Sollten erforderliche Änderungen hier versäumt werden, können diese Versäumnisse aller Voraussicht nach von Mitbewerbern wettbewerbsrechtlich abgemahnt sowie von den zuständigen Datenschutzbehörden mit einem Bußgeld belegt werden. 

Update: Keine Beanstandungen vor 31.12.2020

Die BaFin wird einem Bericht von heise online zufolge der Empfehlung der europäischen Bankenaufsicht EBA folgen und „nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland, Kartenzahlungen im Internet bis zum 31. Dezember 2020 auch ohne eine nach der PSD2 erforderliche starke Kundenauthentifizierung ausführen“. Onlinehändler sind jedoch allein angesichts des Umfangs der erforderlichen Anpassungen weiterhin gut beraten, wenn sie sich um eine zeitnahe Umsetzung der Anforderungen bemühen.

l

Ihre Autoren

Die Autoren der Beiträge bei wettbewerb.law sind Rechtsanwälte der Kanzlei Tölle Wagenknecht Wulff aus Bonn und u.a. im Wettbewerbsrecht tätig. Erfahren Sie mehr über uns oder die Kanzlei, indem Sie Kontakt zu uns aufnehmen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ähnliche Beiträge

Bleiben Sie auf dem Laufenden

Sie haben Fragen?

Gerne klären wir mit Ihnen auch Ihr Anliegen im Wettbewerbsrecht. Wir freuen uns über eine Kontaktaufnahme. 

Newsletter abonnieren

Erhalten Sie kostenfrei regelmäßige Updates aus unseren Rechtsgebieten.

Folgen Sie uns 

Vernetzen Sie sich über unsere Auftritte in den sozialen Medien mit uns. 

Share This