PSD2: Keine Pflicht zur 2-Faktor-Authentifizierung für Online-Händler
Ziele und Inhalte der PSD2
Die PSD2, eine bedeutende EU-Zahlungsdienste-Richtlinie, soll Verbraucher besser vor unbefugtem Kontozugriff schützen. Die 2-Faktor-Authentifizierung ist ein Bestandteil der PSD2. Wir verraten Ihnen, was das konkret für Online-Händler bedeutet.
Bereits am 12. 1. 2016 ist die 2. EU-Zahlungsdienste-Richtlinie (Payment Services Directive 2 – PSD2) vom 25. 11. 2015 in Kraft getreten.
Eines der Ziele der Richtlinie ist es, Verbraucher besser gegen unbefugte Kontozugriffe zu schützen. Um dies zu erreichen, ist den Zahlungsdienstleistern in Deutschland auferlegt worden, bis 14. 9. 2019 sichere Methoden einzuführen, um Kunden beim Login in ihr Konto sowie bei der Veranlassung von Überweisungen zu identifizieren.
Bisher genügte ein einfaches Passwort, um sich im Onlinebanking einzuloggen, und eine TAN, um eine Zahlung auszulösen. Das wurde für zu unsicher befunden und genügt nach den Regelungen der PSD2 nicht mehr.
Bessere Sicherheit durch „zweiten Faktor“
Mit Umsetzung der PSD2 muss der Kontoinhaber daher zwei Sicherheitsmerkmale („Faktoren“) vorweisen können: Also z.B. neben der bisherigen Geheimzahl noch ein Smartphone, das mit dem Konto verbunden ist und auf dem eine zusätzliche Kennung (TAN) generiert wird, mit der sich der Kontoinhaber einloggen oder eine Zahlung auslösen kann. Als zweiter Faktor kann auch eine Girokarte zusammen mit einem Kartenleser (TAN-Generator) dienen.
PSD2-Pflichten treffen nur Zahlungsdienste
Zur Umsetzung dieser Sicherheitsmaßnahmen sind aber nur Zahlungsdienste verpflichtet – dies sind Banken, Sparkassen, Kreditkarten-Unternehmen, PayPal, Stripe, Wirecard und bestimmte andere Dienstleister, die Zahlungen veranlassen, wie z.B. „Sofortüberweisung“ von Klarna („Zahlungsauslösedienste“), oder in anderer Form Einblick in ein Konto erhalten können (Schnittstellendienste, APIs, „Smart Banking“).
Online-Händler sind keine Zahlungsdienste
Online-Händler sind keine solchen Zahlungsdienste. Daher müssen Online-Händler auch keine „starke Kundenauthentifizierung“ oder „2-Faktor-Authentifizierung“ anbieten. Sie können vielmehr alle Zahlungsmethoden weiterhin verwenden, die sie auch bisher schon eingebunden haben.
Auch wenn ein Unternehmer Rechnungsbeträge per SEPA-Lastschrift einzieht, ändert sich für den Unternehmer nichts. Denn die PSD2 gilt nicht für die Einrichtung oder Ausführung von SEPA-Lastschriften, sondern nur für Kontoabfragen, Überweisungen und Kartenzahlungen.
Haben Sie Fragen?
Wenn Sie Fragen zu diesem Thema haben, beraten wir Sie gern. Wir freuen uns auf Ihren Anruf!
