Was ändert sich für Online-Händler ab September?

von Patricia Lotz

 

Bild von Pettycon auf Pixabay 

 

Jeder, der Internetbanking nutzt, weiß, dass er sich mittels Passwort authentifizieren muss. In spätestens einem Monat wird dies größtenteils nicht mehr ausreichen, um Zugriff auf seine Konten zu erhalten, da die neue Zahlungsdienstrichtlinie (die sog. PSD 2) den Zahlungsverkehr durch die Pflicht zur starken Kundenauthentifizierung sowohl flexibler als auch sicherer machen möchte.

 In welchen Fällen die neue Richtlinie greift und was eine „starke“ Kundenauthentifizierung überhaupt ist wird im Folgenden dargelegt.

 

Fälle in denen die starke Kundenauthentifizierung erfolgen muss:

 

  • Beim Auslösen eines elektronischen Zahlungsvorgangs ohne Karte und die persönliche Unterschrift.

 

  • Beim Online-Zugriff auf das Konto.

 

  • Bei einer Überweisung mittels Online-Banking und jeder Kreditkartenzahlung.

 

 Was mit einer „starken“ Kundenauthentifizierung gemeint ist:

 

  • Die Authentifizierung besteht nicht mehr nur aus einem Element, sondern aus mindestens zwei von drei Kategorien.
  • Diese Kategorien sind: Wissen, Besitz und Inhärenz
  • Ein Beispiel für Wissen ist die Angabe des Passworts, der Besitz kann die TAN auf einem Endgerät (Telefon oder ähnliches) sein, die Inhärenz ist die Authentifizierung mittels eigenem Körper (wie Fingerabdruck, Gesicht oder Iris).
  • Die starke Authentifizierung erweitert sich bei Kreditkartenzahlungen oder Online-Banking zudem auf eine dynamische Verknüpfung des Kontoinhabers mit dem Empfänger sowie den zu überweisenden Betrag. Dies ist ein Vorgang bei dem für jede Überweisung eine TAN abgefragt wird die sich sowohl auf den Empfänger, als auch den vorher festgelegten Betrag beschränkt. Jede nachträgliche Änderung dieser Angaben würde die TAN ungültig machen.
  • Auch beim Abruf von Kontostand und Umsätzen: Alle 90 Tage muss eine starke Kundenauthentifizierung durchgeführt werden.

Pflichten für den Händler

  • Bedienfreundliche Einbindung der starken Kundenauthentifizierung in ihre Online-Checkout-Prozesse.
  • Alle Kunden sollten mit dem Verfahren der starken Kundenauthentifizierung vertraut gemacht werden.
  • Händler müssen sich mit Ihren Dienstleistern abstimmen und alle notwendigen Schritte zur starken Kundenauthentifizierung einleiten. Erster Ansprechpartner ist der Payment Service Provider und/oder der Akquirierer.

  

Ausnahmen

 

  • Bei Zahlungsauslösung

 

  • Kontaktlose Zahlungen

 

  • Unbeaufsichtigte Terminals für Verkehrsnutzungsentgelte und Parkgebühren

 

  • Vom Zahler als vertrauenswürdig eingestufte Empfänger

 

  • Wiederkehrende Zahlungsvorgänge

 

  • Zahlungen an die eigene Person (beim selben Zahlungsdienstleister)

 

  • Kleinbetragszahlungen

 

  • Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind und Transaktionsrisikoanalyse

 

  • Abrufen von Kontostand und Umsätzen

Zurück