17.11.2020
Starke Kundenauthentifizierung: Online-Händler ab Januar 2021 in der Pflicht
IHK Halle-Dessau
https://www.halle.ihk.de/starthilfe/extra-handel-gastgewerbe-dienstleistungen/internethandel/rechtliche-grundlagen-fuer-den-onlinehandel/starke-kundenauthentifizierung-4502376
Starke Kundenauthentifizierung seit 14. September 2019 verpflichtend / Übergangsfrist läuft zum Ende des Jahres ab
Im Zuge der überarbeiteten Zahlungsdiensterichtlinie PSD II sind seit dem 14. September 2019 Zahlungsdienstleister verpflichtet, eine “Starke Kundenauthentifizierung” durchzuführen, wenn der Zahler:
- online auf sein Zahlungskonto zugreift,
- einen elektronischen Zahlungsvorgang auslöst oder
- über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
Eine bisher bestehende Übergangsfrist für Onlinehändler läuft nun ab:
Ab dem 1. Januar 2021 ist die “Starke Kundenauthentifizierung” beim Online-Einkauf in ganz Europa Pflicht. Entsprechend müssen im E-Commerce Zahlungen mit zwei Faktoren bestätigt werden – bislang reichte beispielweise die Nummer der Kreditkarte. E-Commerce-Händler und -Dienstleister, die Zahlungen nicht über eine “Starke Kundenauthentifizierung” (Strong Customer Authentication – SCA) verifizieren lassen, riskieren ab dem neuen Jahr, dass die Zahlung von der Kunden-Bank abgelehnt wird.
Ab dem 1. Januar 2021 ist die “Starke Kundenauthentifizierung” beim Online-Einkauf in ganz Europa Pflicht. Entsprechend müssen im E-Commerce Zahlungen mit zwei Faktoren bestätigt werden – bislang reichte beispielweise die Nummer der Kreditkarte. E-Commerce-Händler und -Dienstleister, die Zahlungen nicht über eine “Starke Kundenauthentifizierung” (Strong Customer Authentication – SCA) verifizieren lassen, riskieren ab dem neuen Jahr, dass die Zahlung von der Kunden-Bank abgelehnt wird.
Die SCA-Anforderung trat bereits im September 2019 in Kraft. Die Anwendung dieser neuen Anforderung ist noch bis zum 31. Dezember 2020 ausgesetzt, da viele Online-Shops zunächst die technischen Voraussetzungen schaffen mussten.
Zwei-Faktor-Authentifizierung
Liegt ein solcher Vorgang vor, muss eine Zwei-Faktor-Authentifizierung (2FA) durchgeführt werden. Dabei müssen zwei von drei Faktoren richtig vorliegen, um den Kunden zu authentifizieren. Dies kann etwas sein,
Liegt ein solcher Vorgang vor, muss eine Zwei-Faktor-Authentifizierung (2FA) durchgeführt werden. Dabei müssen zwei von drei Faktoren richtig vorliegen, um den Kunden zu authentifizieren. Dies kann etwas sein,
- das der Kunde besitzt – z.B. Girocard oder Smartphone,
- das der Kunde weiß – z.B. Passwort bzw. PIN,
- das dem Nutzer eigen ist (sog. Inhärenz) – also ein biometrischer Nachweis wie z.B. der Scan des Fingerabdrucks oder der Iris.
Ausnahmen
Die BaFin hat im Hinblick auf Lastschriften eine Mitteilung veröffentlicht: Bei SEPA-Lastschriften ist die SKA nur notwendig, wenn es sich um ein sogenanntes e-Mandat im Sinne des SEPA-Regelwerks handelt. Eine weitere Ausnahme bilden Transaktionen unter 50 Euro oder Zahlungen für Parkgebühren bzw. Personenbeförderungen.
Die BaFin hat im Hinblick auf Lastschriften eine Mitteilung veröffentlicht: Bei SEPA-Lastschriften ist die SKA nur notwendig, wenn es sich um ein sogenanntes e-Mandat im Sinne des SEPA-Regelwerks handelt. Eine weitere Ausnahme bilden Transaktionen unter 50 Euro oder Zahlungen für Parkgebühren bzw. Personenbeförderungen.
Eine detaillierte Zusammenfassung der Neuerungen finden Sie im DIHK-Merkblatt, das für Sie zum Download bereit steht.
Surcharging Verbot
Teil dieses Gesetzes ist das sogenannte „Surcharging-Verbot“, wonach Händler gegenüber Endkunden für bestimmte bargeldlose Zahlungsarten keine Gebühren mehr erheben dürfen. Die dem nationalen Gesetz zugrundeliegende EU-Richtlinie schreibt dies insbesondere für Überweisungen, Lastschriften und Kreditkartenzahlungen, deren Gebührenhöhe reguliert ist, vor. Drei-Parteien-Systeme, wie z.B. American Express, und der Zahlungsanbieter PayPal, sind nach derzeitigem Stand von der EU-Richtlinie nicht betroffen. Hier darf also weiterhin eine Zahlungsgebühr verlangt werden.
Teil dieses Gesetzes ist das sogenannte „Surcharging-Verbot“, wonach Händler gegenüber Endkunden für bestimmte bargeldlose Zahlungsarten keine Gebühren mehr erheben dürfen. Die dem nationalen Gesetz zugrundeliegende EU-Richtlinie schreibt dies insbesondere für Überweisungen, Lastschriften und Kreditkartenzahlungen, deren Gebührenhöhe reguliert ist, vor. Drei-Parteien-Systeme, wie z.B. American Express, und der Zahlungsanbieter PayPal, sind nach derzeitigem Stand von der EU-Richtlinie nicht betroffen. Hier darf also weiterhin eine Zahlungsgebühr verlangt werden.
Ausnahmen für beschränkte Netzwerke (u.a. Gutscheinsysteme)
Von den Zahlungssystemen ausgenommen, sind so genannte limitierte Netze.
Von den Zahlungssystemen ausgenommen, sind so genannte limitierte Netze.
U. a. fallen folgende Zahlungsinstrumente nach dem Zahlungsdienstleisteaufsichtsgesetz (ZAG) unter diese Ausnahme:
- Einkaufs- und Dienstleistungsverbünde, sog. City-Karten oder Gutscheine von Werbegemeinschaften und Kundenkarten fallen, unter den Tatbestand eines solchen limitiertes Netz, wenn die Akzeptanzstellen auf die unmittelbar angrenzenden zweistelligen PLZ-Bezirke begrenzt werden, z.B. für Regensburg (PLZ-Bereich 93 und 92).
- Kundenkarten von Filialunternehmen, solange ein einheitlicher Marktauftritt vorliegt. In diesem Zusammenhang ist es unerheblich, ob es sich um eigene Geschäfte, Franchisenehmer, Genossenschaften etc. handelt. Entscheidend ist der einheitliche Marktauftritt, der sich aus der Verwendung einer einheitlichen Zahlungsmarke ergibt.
Übertrifft das Volumen der Zahlungsvorgänge 1 Million € pro Jahr besteht jedoch auch für solche beschränkten Netzwerke eine Anzeigenpflicht bei der BaFin. Weitere Ausnahmen und Informationen sind dem Merkblatt zum Zahlungsdiensteaufsichtsgesetz zu entnehmen (siehe "Weitere Informationen").
Zurück zur Übersicht