2570113

2-Faktor-Authentifizierung: So ändert sich Online-Shopping

07.03.2021 | 08:34 Uhr | Peter Stelzel-Morawietz

Beim Onlinebanking müssen Sie Ihre Identität schon jetzt über einen zweiten Faktor bestätigen. Weil die Schonfrist für den Onlinehandel zum Jahresende auslief, gilt das Gleiche nun beim Bezahlen von Interneteinkäufen. Dazu informieren wir zur Ökodesign-Richtlinie 2021 und zu den neuen Energielabeln.

Bei Onlinebanking gilt die Zweite Europäische Zahlungsdiensterichtlinie, häufig abgekürzt mit PSD2, schon seit Herbst 2019. Da muss man sich über das Einloggen hinaus zwar nicht jedes Mal zusätzlich authentifizieren, aber eben doch spätestens nach 90 Tagen sowie bei bestimmten Prozessen. Und genau diese sogenannte starke Authentifizierung gilt seit Anfang Januar nun auch bei Einkäufen im Internet.

Ursprünglich sollte die PSD2 („Payment Services Directive 2“) von Beginn an EU-weit für sämtliche Bereiche gelten, doch die Onlinehändler hierzulande erhielten von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als zuständiger Aufsichtsbehörde eine 15-monatige Schonfrist. Während dieser Zeit genügte es beim Onlinebezahlen weiterhin, dass Kunden ihre Kreditkartennummer und gegebenenfalls zusätzlich die dreistellige Prüfzimmer eingaben. Diese Übergangsfrist ist zum 1. Januar ausgelaufen, die starke Kundenauthentifizierung („Strong Customer Authentication”, kurz SCA), gilt damit auch für viele Bezahlverfahren im Internet und muss von allen Onlinehändlern im Kaufprozess ihrer Shops integriert sein.

Starke Kundenauthentifizierung jetzt auch beim Onlinebezahlen

Für das Onlinebezahlen mit Kreditkarte muss die Karte bei der Bank für die Sicherheitsfunktion 3DS registriert und freigeschaltet werden.
Vergrößern Für das Onlinebezahlen mit Kreditkarte muss die Karte bei der Bank für die Sicherheitsfunktion 3DS registriert und freigeschaltet werden.

Die Zwei-Faktor-Authentifizierung der EU-Zahlungsdiensterichtlinie verlangt, dass Verbraucher ihre Identität über mindestens zwei von drei möglichen und voneinander unabhängigen Sicherheitsfaktoren – Wissen, Besitz und Inhärenz (Biometrie) – belegen müssen. Zum Wissen zählen beispielsweise Passwort und PIN, als Besitz das Mobiltelefon oder die Kredit- beziehungsweise EC-Karte in Verbindung mit einem TAN-Generator, die Inhärenz lässt sich per Gesichtserkennung oder Fingerabdruck belegen.

Die neue Pflicht gilt fürs Bezahlen mit EC- oder Geldkarte ebenso wie für die Bezahldienstleister Paypal und Klarna. Ausgenommen sind Zahlungen per Lastschrift, weil diese der Händler und nicht der Kunde auslöst. Beim Bezahlen per Rechnung kommt es darauf an, wie der Kunde den Betrag später begleicht: per Überweisungsträger wie früher oder per Onlinebanking. In diesem Fall findet die PSD2 ohnehin schon Anwendung. So einfach wie bisher bleibt das Onlinebezahlen mit dem Mobiltelefon, weil Apple und Google die Zwei-Faktor-Authentifizierung ohnehin schon in den Bezahlprozess implementiert haben.

Für die Umsetzung der starken Authentifizierung bei der häufig gewählten Zahlungsvariante Kreditkarte ist zwischen den Herausgebern und den Anbietern zu unterscheiden: Herausgegeben werden die Karten von den Geldinstituten, also den Banken und Sparkassen. Als Anbieter fungieren Mastercard, Visa und American Express. Zwar sind die Banken für den SCA-Prozess verantwortlich, in der Praxis greifen sie dazu aber auf das 3D-Secure-Verfahren („3DS“) der Anbieter zurück. Wie der eigentliche Authentifizierungsprozess in der Praxis abläuft, bestimmen wieder die Geldinstitute: per SMS-TAN, App auf dem Smartphone, TAN-Generator, Photo-TAN oder Onlinebanking. Welches Verfahren Ihre Bank nutzt, erfahren Sie über deren Webseite. Um auch künftig mit der Kreditkarte bei europäischen Onlinehändlern bezahlen zu können, müssen Sie die 3DS-Funktion „Visa Secure“ oder „Mastercard Identity Check“ bei Ihrer Bank registrieren.

Ein paar Ausnahmen von der neuen PSD2-Richtlinie gibt es auch: Beträge bis 30 Euro, wiederkehrende Zahlungen wie Abonnements und „vertrauenswürdige Händler“, die der Kunde bei seinem Geldinstitut hinterlegen kann.

Tipp: So erkennen Sie betrügerische Online-Shops

Bank muss Drittanbietern Zugriff auf Kundenkonten gewähren

Bereits seit Inkrafttreten der Zweiten Europäischen Zahlungsdiensterichtlinie im September 2019 müssen die Geldinstitute auch sogenannten dritten Zahlungsdienstleistern Zugriff auf die Bankkonten ihrer Kunden geben – vorausgesetzt, die stimmen ausdrücklich zu. Das können Dienste zum Abrufen von Kontoinformationen, für die Kontodeckungsprüfung oder zum Auslösen von Zahlungen sein. Über die Zahlungsauslösedienste beispielsweise bezahlen Sie Interneteinkäufe, ohne dass Sie sich jedes Mal in das Onlinebanking Ihrer Bank einloggen müssen.

Während der Zugang für Kontoinformation und die Deckungsüberprüfung den Drittanbietern für einen bestimmten Zeitraum genehmigt werden, benötigt ein Zahlungsauslösedienst für jede einzelne Zahlung Ihre erneute Genehmigung. Ihre grundsätzliche Zustimmung für solche Drittdienstleister geben Sie bei Ihrem Geldinstitut nach dem Log-in in der Regel im „persönlichen Bereich“, das Gleiche gilt für den Widerruf. Fragen Sie gegebenenfalls bei der Bank nach. 

PC-WELT Marktplatz

2570113