Strengere Regeln fürs Bezahlen mit Kreditkarte

Bezahlen im Internet mit Kreditkarte
Bild: dpa Verbrau­cher müssen sich im neuen Jahr nach und nach an stren­gere Sicher­heits­bestim­mungen beim Bezahlen im Internet gewöhnen. Spätes­tens ab Mitte März 2021 reicht für Online-Zahlungen per Kredit­karte nicht mehr die Eingabe der Karten­daten. Kunden müssen dann auf weiteren Wegen nach­weisen, dass sie der recht­mäßige Inhaber der Bezahl­karte sind - zum Beispiel per Pass­wort oder TAN-Nummer.

Eigent­lich gilt diese Pflicht zur "starken Kunden­authen­tifi­zie­rung" nach neuen EU-Regeln ("Payment Service Direc­tive"/PSD2) bereits seit dem 14. September 2019 für jede Zahlung im Online-Banking und beim Einkaufen im Internet. Doch weil mancher Anbieter Probleme bei der Umset­zung dieser "Zwei-Faktor-Authen­tifi­zie­rung" hat, gab es bereits einmal Aufschub von der Finanz­auf­sicht Bafin bis Ende 2020. Im Handel bestehe "nach wie vor erheb­licher Anpas­sungs­bedarf", stellte die Behörde im August 2019 fest.

Zahlungen ab 250 Euro ab 15. Januar abge­sichert

Bezahlen im Internet mit Kreditkarte
Bild: dpa Zum 1. Januar 2021 sollten die neuen Regeln nach bishe­riger Planung greifen. Doch die Bafin gewährt eine erneute Schon­frist. Nun gilt ein Stufen­modell: Ab dem 15. Januar 2021 müssen Zahlungen ab 250 Euro mit zwei vonein­ander unab­hän­gigen Faktoren frei­gegeben werden, ab 15. Februar greift die "Zwei-Faktor-Authen­tifi­zie­rung" dann ab 150 Euro. In vollem Umfang sollen die Regeln ab 15. März ange­wendet werden.

"Wir wollen damit den Betei­ligten ein sicheres Hoch­fahren ihrer neu imple­men­tierten Systeme ermög­lichen", begrün­dete ein Spre­cher der Bundes­anstalt für Finanz­dienst­leis­tungs­auf­sicht (Bafin) kurz vor Weih­nachten den erneuten Aufschub. Bei der Einfüh­rung neuer IT-Systeme gebe es erfah­rungs­gemäß oft Anlauf­schwie­rig­keiten.

Banken und Kredit­kar­ten­anbieter haben nach Einschät­zung der Bafin ihre Haus­auf­gaben erle­digt: "Nach Kenntnis der Bafin haben die Zahlungs­dienst­leister ihre Imple­men­tie­rungs­arbeiten bezüg­lich der Anwen­dung der starken Kunden­authen­tifi­zie­rung bei Karten­zah­lungen im Internet abge­schlossen", erklärte der Bafin-Spre­cher.

Auch der Online­handel arbeitet daran, tech­nische Lücken zu schließen. "Aller­dings sind Händler auch abhängig von den Vorstufen, das heißt von ihren eigenen Dienst­leis­tern, den Acqui­rern, aber auch von den Karten­her­aus­gebern und ihrem Umgang mit den neuen Verfahren", sagt Ulrich Binne­bößel vom Handels­ver­band HDE. "Nicht zuletzt müssen auch die Karten­inhaber ihre Karten frei­geschaltet haben und bereit sein, die Zwei-Faktor-Authen­tifi­zie­rung auch anzu­wenden."

Im Folgenden beant­worten wir die wich­tigsten Fragen zur Umstel­lung:

Was bedeutet "Zwei-Faktor-Authen­tifi­zie­rung"?

Kunden müssen auf zwei vonein­ander unab­hän­gigen Wegen nach­weisen, dass sie der recht­mäßige Inhaber der Bezahl­karte sind. Wer per Karte bezahlen will, muss künftig zusätz­lich verpflich­tend zum Beispiel ein Pass­wort oder eine Trans­akti­ons­nummer (TAN) für den jewei­ligen Auftrag eingeben. Bei Kredit­karten sind die neuen Vorgaben beson­ders streng, denn Nummer und Prüf­ziffer dieser Karten können relativ leicht ausge­späht werden, etwa beim Einsatz im Restau­rant. Darum reicht der Besitz der Kredit­karte nicht aus. Verbrau­cher brau­chen für Kredit­kar­ten­zah­lungen beim Online-Shop­ping nach den neuen Regeln zwei weitere Sicher­heits­fak­toren: zum Beispiel Pass­wort und TAN.

Wie funk­tio­niert das in der Praxis?

Banken- und Kredit­kar­ten­unter­nehmen haben ein soge­nanntes 3-D-Secure-Verfahren entwi­ckelt. Je nach karten­aus­gebender Bank ist die Umset­zung etwas anders: Manche Kunden bekommen die einmalig einsetz­bare TAN-Nummer zur Frei­gabe der Online-Bezah­lung per SMS auf eine vorab bei der Bank hinter­legte Tele­fon­nummer geschickt. Andere Banken lassen den Kauf über eine spezi­elle App per Eingabe einer Geheim­nummer oder Abfo­togra­fieren eines Strich­codes bestä­tigen. Tech­nisch möglich sind auch biome­tri­sche Verfahren wie Finger­abdruck oder Gesichts­erken­nung zur Frei­gabe einer Zahlung mit zwei Faktoren.

Ist die zusätz­liche Frei­gabe im Internet bei jedem Einkauf nötig?

Das hängt nach Angaben des Bundes­ver­bandes deut­scher Banken (BdB) von der Entschei­dung der Bank ab, von der ein Kunde seine Bezahl­karte hat. Kauft ein Kunde zum Beispiel häufiger beim selben Online-Shop ein, könnte ein Finanz­institut darauf verzichten, die Zahlung dort jedes Mal mit zwei Faktoren frei­zugeben. Auch bei Zahlungen unter 30 Euro könnte auf das zwei­stu­fige Verfahren der starken Kunden­authen­tifi­zie­rung verzichtet werden.

Warum wird das Verfahren über­haupt geän­dert?

Hinter­grund ist die euro­päi­sche Zahlungs­dienste­richt­linie ("Payment Service Direc­tive"/PSD2). Mit ihr will die EU-Kommis­sion den Zahlungs­ver­kehr in der Euro­päi­schen Union für Verbrau­cher sicherer machen und zugleich den Wett­bewerb fördern. Die Richt­linie schreibt unter anderem vor, dass die für das Online-Banking notwen­digen Trans­akti­ons­num­mern künftig dyna­misch gene­riert werden müssen. Die gedruckten Papier­listen mit durch­num­merierten TAN-Nummern erlaubt das EU-Recht seit dem 14. September 2019 nicht mehr. Seither gelten auch die stren­geren Sicher­heits­vor­gaben für Zahlungen im Online-Banking und beim Einkaufen im Internet.

Und wieso greift das in Deutsch­land erst jetzt? Weil mancher Anbieter Probleme bei der Umset­zung der "Zwei-Faktor-Authen­tifi­zie­rung" hat, gewährte die Finanz­auf­sicht Bafin eine Über­gangs­frist für die Umstel­lung bis Ende 2020. Im Handel bestehe "nach wie vor erheb­licher Anpas­sungs­bedarf", stellte die Behörde im August 2019 fest. Zum 1. Januar 2021 sollten die neuen Regeln nach bishe­riger Planung greifen. Doch die Bafin gewährte eine erneute Schon­frist. Nun gilt ein Stufen­modell: Ab dem 15. Januar 2021 müssen Zahlungen ab 250 Euro mit zwei vonein­ander unab­hän­gigen Faktoren frei­gegeben werden, ab 15. Februar greift die "Zwei-Faktor-Authen­tifi­zie­rung" dann ab 150 Euro. In vollem Umfang sollen die Regeln ab 15. März ange­wendet werden.

Sind Banken vorbe­reitet?

"Banken und Spar­kassen in Deutsch­land haben ihre Vorbe­rei­tungen zur Umset­zung dieser gesetz­lichen Vorgaben früh­zeitig ange­stoßen und abge­schlossen", erklärte die Deut­sche Kredit­wirt­schaft auf Nach­frage. "Das für die starke Kunden­authen­tifi­zie­rung genutzte 3-D-Secure-Verfahren bei Karten­zah­lungen im Internet ist bereits seit Jahren bekannt und im Einsatz. Daher sind die karten­aus­gebenden Banken und Spar­kassen gut vorbe­reitet." Es bleibe "unver­zichtbar, dass der Handel die Verpflich­tung zur starken Kunden­authen­tifi­zie­rung zügig in den Online-Shops berück­sich­tigt", mahnen die Banken­ver­bände.

Und wie sieht es im Online­handel aus? Nach Einschät­zung des Handels­ver­bandes HDE geht der Online­handel das Thema an. Die Händler seien jedoch abhängig von ihren jewei­ligen Dienst­leis­tern, sagt HDE-Experte Ulrich Binne­bößel. Zudem hätten sich viele Kunden noch nicht auf das neue Verfahren einge­richtet. Nicht wenige Händler zögerten daher die Umstel­lung hinaus, um möglichst lange die gewohnte Art der Kredit­kar­ten­zah­lung zu ermög­lichen. Denn erfah­rungs­gemäß brechen viele Kunden während des Bezahl­vor­gangs den Kauf ab, wenn sie zu viele Daten eingeben müssen. Vorerst reichen fürs Shoppen im Internet weiterhin häufig Nummer, Gültig­keits­datum und Sicher­heits­code der Kredit­karte.

Die Zwei-Faktor-Authenti­sie­rung (2FA) ist ein zusätz­liches Sicher­heits­tool, um Konten vor unbe­fugten Zugriff zu schützen. Wir haben uns die 2FA anhand einiger Beispiele ange­schaut und zeigen, wie man sie akti­viert.