PSD2: Keine Pflicht zur 2-Faktor-Authen­ti­fi­zie­rung für Online-Händler

Ziele und Inhalte der PSD2

Bereits am 12. 1. 2016 ist die 2. EU-Zahlungsdienste-Richtlinie (Payment Services Directive 2 – PSD2) vom 25. 11. 2015 in Kraft getreten.

PSD2: 2-Faktor-Authentifizierung für Online-Händler?

Eines der Ziele der Richtlinie ist es, Verbraucher besser gegen unbefugte Kontozugriffe zu schützen. Um dies zu erreichen, ist den Zahlungsdienstleistern in Deutschland auferlegt worden, bis 14. 9. 2019 sichere Methoden einzuführen, um Kunden beim Login in ihr Konto sowie bei der Veranlassung von Überweisungen zu identifizieren.

Bisher genügte ein einfaches Passwort, um sich im Onlinebanking einzuloggen, und eine TAN, um eine Zahlung auszulösen. Das wurde für zu unsicher befunden und genügt nach den Regelungen der PSD2 nicht mehr.

Bessere Sicherheit durch „zweiten Faktor“

Mit Umsetzung der PSD2 muss der Kontoinhaber daher zwei Sicherheitsmerkmale („Faktoren“) vorweisen können: Also z.B. neben der bisherigen Geheimzahl noch ein Smartphone, das mit dem Konto verbunden ist und auf dem eine zusätzliche Kennung (TAN) generiert wird, mit der sich der Kontoinhaber einloggen oder eine Zahlung auslösen kann. Als zweiter Faktor kann auch eine Girokarte zusammen mit einem Kartenleser (TAN-Generator) dienen.

PSD2-Pflichten treffen nur Zahlungsdienste

Zur Umsetzung dieser Sicherheitsmaßnahmen sind aber nur Zahlungsdienste verpflichtet – dies sind Banken, Sparkassen, Kreditkarten-Unternehmen, PayPal, Stripe, Wirecard und bestimmte andere Dienstleister, die Zahlungen veranlassen, wie z.B. „Sofortüberweisung“ von Klarna („Zahlungsauslösedienste“), oder in anderer Form Einblick in ein Konto erhalten können (Schnittstellendienste, APIs, „Smart Banking“).

Online-Händler sind keine Zahlungsdienste

Online-Händler sind keine solchen Zahlungsdienste. Daher müssen Online-Händler auch keine „starke Kundenauthentifizierung“ oder „2-Faktor-Authentifizierung“ anbieten. Sie können vielmehr alle Zahlungsmethoden weiterhin verwenden, die sie auch bisher schon eingebunden haben.

Auch wenn ein Unternehmer Rechnungsbeträge per SEPA-Lastschrift einzieht, ändert sich für den Unternehmer nichts. Denn die PSD2 gilt nicht für die Einrichtung oder Ausführung von SEPA-Lastschriften, sondern nur für Kontoabfragen, Überweisungen und Kartenzahlungen.

Haben Sie Fragen?

Wenn Sie Fragen zu diesem Thema haben, beraten wir Sie gern. Wir freuen uns auf Ihren Anruf!