Zahlungsrichtlinie in Kraft getreten
Die am 18. Januar 2018 in nationales Recht umgesetzte Zweite Zahlungsdienstrichtlinie PSD2 erweitert die bisher geltende Regulierung für Finanzdienstleister unter anderem um sogenannte Kontoinformationsdienste (KID) und Zahlungsauslösedienste (ZAD). Ein KID hat Zugriff auf die Kontodaten, ein ZAD darf auch Zahlungen auslösen. Welche Vorgaben diese Unternehmen im Detail erfüllen müssen, regeln die von der europäischen Bankenaufsicht EBA ausgearbeiteten regulatorisch-technischen Standards (RTS).
Die Testphase für die von vielen Banken gebauten Kundenschnittstellen zum Konto läuft seit Mitte März, die Banken stellen interessierten Anbietern und anderen Banken eine Testumgebung zur Verfügung. In dieser sogenannten Sandbox können die Dienstleister alle Funktionen ausprobieren. Ab dem 14. September müssen alle Banken ihre Schnittstellen für Drittanbieter öffnen. Noch sind viele Punkte offen, doch Experten sind sich einig, dass die Infrastruktur bis zum Stichtag stehen wird.
Gemäß § 55 Absatz 1 ZAG, der am 14. September 2019 in Kraft getreten ist, und die Anforderungen des Artikel 97 der Zweiten Zahlungsdiensterichtlinie PSD2 (Payment Services Directive) umsetzt, sind Zahlungsdienstleister verpflichtet, eine Starke Kundenauthentifizierung durchzuführen, wenn der Zahler
- online auf sein Zahlungskonto zugreift,
- einen elektronischen Zahlungsvorgang auslöst oder
- über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet
Starke Kundenauthentifizierung
Die starke Kundenauthentifizierung (SCA) soll die Sicherheit bei Zahlungen im Internet erhöhen. Deshalb muss ab dem 14. September jede Zahlung, die als elektronischer Fernzahlungsvorgang vom Kunden ausgelöst wird, über zwei Faktoren aus den drei verschiedenen Bereichen Wissen (Passwort), Besitz (Smartphone) oder Inhärenz (biometrisches Merkmal wie Fingerabdruck) authentifiziert werden (2FA). Betroffen sind alle Zahlungen bis auf die Lastschrift.
Der Gesetzgeber hat in einem ausführlichen Regelwerk die technischen Standards (RTS) festgelegt. In diesem Regelwerk werden auch Ausnahmen genannt, die vom Einsatz eines zweiten Faktors entbinden und damit sogenannte One-Click-Lösungen weiterhin möglich machen.
Ausnahmeregeln
Zahlungsdienstleister können auf Abfrage des zweiten Faktors unter anderem verzichten bei:
- Wiederkehrenden Zahlungsvorgängen an dieselben Zahlungsempfänger, wenn diese einmal per 2FA autorisiert wurden
- Vom Zahler oder seiner Bank als vertrauenswürdig eingestuften Empfängern (Whitelist)
- Transaktionsrisikoanalyse
- Kleinbetragszahlungen bis 50 Euro, maximal fünf Transaktionen ohne 2FA, kumulierter Betrag darf 150 Euro nicht überschreiten
Anwendung der Starken Kundenauthentifizierung (SKA) bei Lastschriften im Internet
Die BaFin weist nun darauf hin, dass bei Lastschriftzahlungen im Internet nur dann eine Starke Kundenauthentifizierung gemäß § 55 Absatz 1 Nummer 3 Zahlungsdiensteaufsichtsgesetz (ZAG) erforderlich ist, wenn bei der Erteilung der Zustimmung zur Zahlung durch den Zahler (Lastschriftmandat), diese Erteilung unter direkter Einbindung des Zahlungsdienstleisters des Zahlers erfolgt. Dies ist beim SEPA-Lastschriftmandat nur der Fall, wenn es sich um ein sogenanntes e-Mandat im Sinne des SEPA-Regelwerks handelt.
In der gängigen Praxis der Mandatserteilung im Internet hingegen erfolgt die Mandatserteilung des Zahlers nur gegenüber dem Zahlungsempfänger ohne direkte Einbindung des Zahlungsdienstleisters des Zahlers. Die Auslösung einer Lastschriftzahlung nach erfolgter Mandatserteilung wird ebenfalls nicht durch die Starke Kundenauthentifizierung gemäß § 55 Absatz 1 Nummer 2 ZAG erfasst, da die Auslösung des elektronischen Zahlungsvorgangs nicht durch den Zahler, sondern durch den Zahlungsempfänger erfolgt.
Unter e-Mandate fallen vorrangig Zahlungen im Internet (electronic Payments bzw. E-Payments) und Bezahlverfahren unter Nutzung des Handys (mobile Payments bzw. M-Payments). Derzeit werden e-Mandate in Deutschland von den Banken noch nicht angeboten.