PSD2 und Zweifaktor-Authentifizierung: Aufschub für Online-Handel bis Ende 2020
Bei Kartenzahlungen im Online-Handel gilt nun eine Frist bis zum 31.12.2020 für die Einführung von Zwei-Faktor-Authentifizierung.
(Bild: Shutterstock/Elvira Koneva)
In der Frage, wann nun im Online-Handel die Zweifaktor-Authentifizierung für Kartenzahlungen eingeführt werden soll, steht eine neue Deadline im Raum: Bis zum 31. Dezember 2020 solle auch beim Onlineshopping auf "starke Authentifizierung" umgestellt sein, empfiehlt die europäische Bankenaufsicht EBA in einer Stellungnahme.
Die Bafin teilte auf Anfrage von heise online mit, der Entscheidung der EBA zu folgen. "Wir werden nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland, Kartenzahlungen im Internet bis zum 31. Dezember 2020 auch ohne eine nach der PSD2 erforderliche starke Kundenauthentifizierung ausführen", erklärte ein Sprecher. Generell muss der Zahlungsdienstleister für den jeweiligen Shop die technische Abwicklung leisten. Aber auch die Händler gewinnen damit Zeit, ihre Shopsoftware zu aktualisieren und ihre Kunden zu informieren.
Umstellung eigentlich im September
Eigentlich hätte diese Umstellung schon am 14. September passieren sollen, dem Stichtag zur Einführung der Regeln aus der EU-Zahlungsdiensterichtlinie PSD2. Die PSD2 schreibt dabei zwei der drei Merkmale Wissen (etwa PIN oder Passwort), Besitz (etwa Bankkarte oder Mobiltelefon) und Inhärenz (biologische Merkmale wie etwa Fingerabdruck oder Iris) für Zahlungen vor. Beim Onlinebanking ist das bereits Pflicht seit September: Neben den üblichen Anmeldeinformationen muss nun zum Beispiel auch eine einmalige Transaktionsnummer (TAN) angefordert werden, etwa per SMS an eine zuvor bei der Bank hinterlegte Handynummer.
Aus dem Einzelhandel kamen aber noch vor Stichtag Rufe nach zusätzlichem Aufschub. Mangelnde Vorbereitung bei vielen kleinen Händlern und die Angst vor Zahlungsabbrüchen wurden angeführt. Als Reaktion darauf hatte die EBA den nationalen Aufsichtsbehörden freigestellt, während einer unbestimmten Übergangszeit nicht die Anforderungen durchzusetzen. Die deutsche Aufsicht Bafin war dem gefolgt.
Der deutsche Handelsverband HDE bezeichnete die aktuelle EBA-Entscheidung als "richtig und gut“. Nun sei Zeit, die neueste Variante des Kartenzahlungsstandard EMV 3D Secure einzuführen und zu testen, mit der sich die PSD2-Forderungen korrekt umsetzen ließen. (axk)
