Die Finanzaufsicht Bafin erlaubt noch bis Ende 2020 Zahlungen per Kreditkarte im Internet mit den bisherigen einfacheren Sicherheitsbestimmungen. Eigentlich gilt nach neuen EU-Regeln («Payment Service Directive»/«PSD2») seit dem 14. September 2019 für jede Zahlung im Internet die Pflicht zur starken Kundenauthentifizierung.
Die Behörde werde «nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland Kartenzahlungen im Internet bis zum 31. Dezember 2020 auch ohne eine nach der PSD2 erforderliche starke Kundenauthentifizierung ausführen», teilte die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) am Donnerstag mit.
Die Finanzaufsicht Bafin erlaubt noch bis Ende 2020 Zahlungen per Kreditkarte im Internet mit den bisherigen einfacheren Sicherheitsbestimmungen. Die Behörde werde «nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland Kartenzahlungen im Internet bis zum 31. Dezember 2020 auch ohne eine nach der PSD2 erforderliche starke Kundenauthentifizierung ausführen», teilte die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) am Donnerstag mit.
Eigentlich gilt nach neuen EU-Regeln («Payment Service Directive»/«PSD2») seit dem 14. September 2019 für jede Zahlung im Online-Banking und beim Einkaufen im Internet die Pflicht zur starken Kundenauthentifizierung. Das heißt, Kunden müssen ihre Identität in jedem Fall mit zwei der drei folgenden Möglichkeiten nachweisen: «Wissen» (z.B. Geheimnummer/PIN), «Besitz» (z.B. Smartphone, Original-Zahlungskarte), «Sein» (biometrische Merkmale wie z.B. ein Fingerabdruck).
Die BaFin hatte bereits im Juni nach Einräumung eines engen Umsetzungsspielraums durch die Europäische Bankenaufsicht eine mögliche Flexibilisierung bei der Umsetzung der Starken Kundenauthentifizierung signalisiert, für die sich auch der Hotelverband Deutschland (IHA) nachdrücklich eingesetzt hat.„So erleichtert wir wegen des Umsetzungsaufschubs hinsichtlich der Absicherung von Internetbuchungen sind, so deutlich müssen wir die Hotellerie darauf hinweisen, dass Kartentranskationen im Hotel, wie z.B. Vorautorisierung, Zahlung beim Check-in, Express Check-out, Nachbuchung von Minibarumsätzen, ab dem 14. September eine Starke Kundenauthentifizierung voraussetzen“, erläutert Markus Luthe, Hauptgeschäftsführer des Hotelverbandes Deutschland (IHA). „Hoteliers sind also gut beraten, ihre Prozesse weiterhin mit Hochdruck auf die neuen Anforderungen einzustellen,“ stellt Luthe klar.
Bei Kreditkarten sind die Vorgaben besonders streng, denn Nummer und Prüfziffer dieser Karten können relativ leicht ausgespäht werden. Darum verlangt das Gesetz bei Kreditkartenzahlungen künftig zwei weitere Sicherheitsfaktoren: zum Beispiel ein Passwort und eine Transaktionsnummer (TAN), die sich der Kunde für das jeweilige Geschäft auf sein Handy schicken lässt.
Doch weil mancher Anbieter Probleme bei der Umsetzung hat, gewährte die Bafin im August einen zunächst zeitlich nicht genau begrenzten Aufschub. Im Handel bestehe «nach wie vor erheblicher Anpassungsbedarf», stellten die Aufseher damals fest.