Strengere Regeln fürs Bezahlen mit Kreditkarte
Bezahlen im Internet mit Kreditkarte
Bild: dpa
Verbraucher müssen sich im neuen Jahr nach und
nach an strengere Sicherheitsbestimmungen beim Bezahlen im Internet
gewöhnen. Spätestens ab Mitte März 2021 reicht für Online-Zahlungen
per Kreditkarte nicht mehr die Eingabe der Kartendaten. Kunden müssen
dann auf weiteren Wegen nachweisen, dass sie der rechtmäßige Inhaber
der Bezahlkarte sind - zum Beispiel per Passwort oder TAN-Nummer.
Eigentlich gilt diese Pflicht zur "starken Kundenauthentifizierung" nach neuen EU-Regeln ("Payment Service Directive"/PSD2) bereits seit dem 14. September 2019 für jede Zahlung im Online-Banking und beim Einkaufen im Internet. Doch weil mancher Anbieter Probleme bei der Umsetzung dieser "Zwei-Faktor-Authentifizierung" hat, gab es bereits einmal Aufschub von der Finanzaufsicht Bafin bis Ende 2020. Im Handel bestehe "nach wie vor erheblicher Anpassungsbedarf", stellte die Behörde im August 2019 fest.
Zahlungen ab 250 Euro ab 15. Januar abgesichert
Bezahlen im Internet mit Kreditkarte
Bild: dpa
Zum 1. Januar 2021 sollten die neuen Regeln nach bisheriger Planung
greifen. Doch die Bafin gewährt eine erneute Schonfrist. Nun gilt ein
Stufenmodell: Ab dem 15. Januar 2021 müssen Zahlungen ab 250 Euro mit
zwei voneinander unabhängigen Faktoren freigegeben werden, ab 15. Februar greift die "Zwei-Faktor-Authentifizierung" dann ab 150 Euro.
In vollem Umfang sollen die Regeln ab 15. März angewendet werden.
"Wir wollen damit den Beteiligten ein sicheres Hochfahren ihrer neu implementierten Systeme ermöglichen", begründete ein Sprecher der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) kurz vor Weihnachten den erneuten Aufschub. Bei der Einführung neuer IT-Systeme gebe es erfahrungsgemäß oft Anlaufschwierigkeiten.
Banken und Kreditkartenanbieter haben nach Einschätzung der Bafin ihre Hausaufgaben erledigt: "Nach Kenntnis der Bafin haben die Zahlungsdienstleister ihre Implementierungsarbeiten bezüglich der Anwendung der starken Kundenauthentifizierung bei Kartenzahlungen im Internet abgeschlossen", erklärte der Bafin-Sprecher.
Auch der Onlinehandel arbeitet daran, technische Lücken zu schließen. "Allerdings sind Händler auch abhängig von den Vorstufen, das heißt von ihren eigenen Dienstleistern, den Acquirern, aber auch von den Kartenherausgebern und ihrem Umgang mit den neuen Verfahren", sagt Ulrich Binnebößel vom Handelsverband HDE. "Nicht zuletzt müssen auch die Karteninhaber ihre Karten freigeschaltet haben und bereit sein, die Zwei-Faktor-Authentifizierung auch anzuwenden."
Im Folgenden beantworten wir die wichtigsten Fragen zur Umstellung:
Was bedeutet "Zwei-Faktor-Authentifizierung"?
Kunden müssen auf zwei voneinander unabhängigen Wegen nachweisen, dass sie der rechtmäßige Inhaber der Bezahlkarte sind. Wer per Karte bezahlen will, muss künftig zusätzlich verpflichtend zum Beispiel ein Passwort oder eine Transaktionsnummer (TAN) für den jeweiligen Auftrag eingeben. Bei Kreditkarten sind die neuen Vorgaben besonders streng, denn Nummer und Prüfziffer dieser Karten können relativ leicht ausgespäht werden, etwa beim Einsatz im Restaurant. Darum reicht der Besitz der Kreditkarte nicht aus. Verbraucher brauchen für Kreditkartenzahlungen beim Online-Shopping nach den neuen Regeln zwei weitere Sicherheitsfaktoren: zum Beispiel Passwort und TAN.
Wie funktioniert das in der Praxis?
Banken- und Kreditkartenunternehmen haben ein sogenanntes 3-D-Secure-Verfahren entwickelt. Je nach kartenausgebender Bank ist die Umsetzung etwas anders: Manche Kunden bekommen die einmalig einsetzbare TAN-Nummer zur Freigabe der Online-Bezahlung per SMS auf eine vorab bei der Bank hinterlegte Telefonnummer geschickt. Andere Banken lassen den Kauf über eine spezielle App per Eingabe einer Geheimnummer oder Abfotografieren eines Strichcodes bestätigen. Technisch möglich sind auch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung zur Freigabe einer Zahlung mit zwei Faktoren.
Ist die zusätzliche Freigabe im Internet bei jedem Einkauf nötig?
Das hängt nach Angaben des Bundesverbandes deutscher Banken (BdB) von der Entscheidung der Bank ab, von der ein Kunde seine Bezahlkarte hat. Kauft ein Kunde zum Beispiel häufiger beim selben Online-Shop ein, könnte ein Finanzinstitut darauf verzichten, die Zahlung dort jedes Mal mit zwei Faktoren freizugeben. Auch bei Zahlungen unter 30 Euro könnte auf das zweistufige Verfahren der starken Kundenauthentifizierung verzichtet werden.
Warum wird das Verfahren überhaupt geändert?
Hintergrund ist die europäische Zahlungsdiensterichtlinie ("Payment Service Directive"/PSD2). Mit ihr will die EU-Kommission den Zahlungsverkehr in der Europäischen Union für Verbraucher sicherer machen und zugleich den Wettbewerb fördern. Die Richtlinie schreibt unter anderem vor, dass die für das Online-Banking notwendigen Transaktionsnummern künftig dynamisch generiert werden müssen. Die gedruckten Papierlisten mit durchnummerierten TAN-Nummern erlaubt das EU-Recht seit dem 14. September 2019 nicht mehr. Seither gelten auch die strengeren Sicherheitsvorgaben für Zahlungen im Online-Banking und beim Einkaufen im Internet.
Und wieso greift das in Deutschland erst jetzt? Weil mancher Anbieter Probleme bei der Umsetzung der "Zwei-Faktor-Authentifizierung" hat, gewährte die Finanzaufsicht Bafin eine Übergangsfrist für die Umstellung bis Ende 2020. Im Handel bestehe "nach wie vor erheblicher Anpassungsbedarf", stellte die Behörde im August 2019 fest. Zum 1. Januar 2021 sollten die neuen Regeln nach bisheriger Planung greifen. Doch die Bafin gewährte eine erneute Schonfrist. Nun gilt ein Stufenmodell: Ab dem 15. Januar 2021 müssen Zahlungen ab 250 Euro mit zwei voneinander unabhängigen Faktoren freigegeben werden, ab 15. Februar greift die "Zwei-Faktor-Authentifizierung" dann ab 150 Euro. In vollem Umfang sollen die Regeln ab 15. März angewendet werden.
Sind Banken vorbereitet?
"Banken und Sparkassen in Deutschland haben ihre Vorbereitungen zur Umsetzung dieser gesetzlichen Vorgaben frühzeitig angestoßen und abgeschlossen", erklärte die Deutsche Kreditwirtschaft auf Nachfrage. "Das für die starke Kundenauthentifizierung genutzte 3-D-Secure-Verfahren bei Kartenzahlungen im Internet ist bereits seit Jahren bekannt und im Einsatz. Daher sind die kartenausgebenden Banken und Sparkassen gut vorbereitet." Es bleibe "unverzichtbar, dass der Handel die Verpflichtung zur starken Kundenauthentifizierung zügig in den Online-Shops berücksichtigt", mahnen die Bankenverbände.
Und wie sieht es im Onlinehandel aus? Nach Einschätzung des Handelsverbandes HDE geht der Onlinehandel das Thema an. Die Händler seien jedoch abhängig von ihren jeweiligen Dienstleistern, sagt HDE-Experte Ulrich Binnebößel. Zudem hätten sich viele Kunden noch nicht auf das neue Verfahren eingerichtet. Nicht wenige Händler zögerten daher die Umstellung hinaus, um möglichst lange die gewohnte Art der Kreditkartenzahlung zu ermöglichen. Denn erfahrungsgemäß brechen viele Kunden während des Bezahlvorgangs den Kauf ab, wenn sie zu viele Daten eingeben müssen. Vorerst reichen fürs Shoppen im Internet weiterhin häufig Nummer, Gültigkeitsdatum und Sicherheitscode der Kreditkarte.
Die Zwei-Faktor-Authentisierung (2FA) ist ein zusätzliches Sicherheitstool, um Konten vor unbefugten Zugriff zu schützen. Wir haben uns die 2FA anhand einiger Beispiele angeschaut und zeigen, wie man sie aktiviert.