Online-Zahlungen: Digitalwirtschaft protestiert gegen "starke Kundenauthentifizierung"
Bei Transaktionen von über 30 Euro sollen sich Online-Käufer künftig mit einem Passwort, einer Zahlungskarte oder per Fingerabdruck ausweisen müssen. 27 Verbände und Firmen laufen Sturm gegen das Vorhaben.
(Bild: EBA)
Der Entwurf der Europäischen Bankenaufsichtsbehörde (EBA) für technische Standards zur "starken Kundenauthentifizierung" bei Zahlungen im Internet oder anderen "risikoreichen" Geschäften wie einer elektronischen Abbuchung über ein "Point-of-Sale"-Terminal stößt bei der Online-Wirtschaft auf Widerstand. Eine Allianz aus 27 Verbänden und Unternehmen hat am Montag einen Brandbrief an den Präsidenten der EU-Kommission, Jean-Claude Juncker, und acht seiner Kabinettsmitglieder geschrieben, den das Online-Magazin "Euractiv" veröffentlicht hat. Das Bündnis warnt darin vor einer Überregulierung und großen Hindernissen für den E-Commerce.
Die EBA schlägt vor, dass sich Online-Käufer künftig bei Transaktionen von über 30 Euro mit Zusatzkriterien authentifizieren sollen. "Reibungslose Online-Zahlungen sind besonders wichtig für einige Typen von Verbrauchern wie solchen, die zunehmend über Mobiltelefone shoppen, nicht sonderlich vertraut sind mit digitaler Technik oder Käufer mit Behinderungen", schreiben die Absender. "In diesen Situationen kann jeder zusätzliche Klick, der erforderlich ist, um einen Kauf zu bestätigen, den Konsumenten vom Abschluss der Transaktion abhalten." Das Nachsehen hätten die europäischen Verbraucher und die Händler.
"Unnötige Hürden"
Ein hoher Grad an Sicherheit sei bei Online-Bezahllösungen zwar wichtig, wird in dem Brief eingeräumt. Den Bürgern müsse es aber möglich sein, "ohne unnötige Hürden im Internet einzukaufen". Zu den Unterzeichnern des Schreibens gehören Verbände wie E-Commerce Europe, Edima, Digital Europe, Emota oder die Computer & Communications Industry Association (CCIA) mit Mitgliedern wie Amazon, Google oder Microsoft genauso wie einzelne Konzerne wie Expedia oder die Accor-Hotelgruppe.
Der europäische Gesetzgeber hat eigentlich schon in der zweiten Zahlungsdiensterichtlinie prinzipiell festgelegt, dass eine stärkere Kundenauthentifizierung erfolgen soll. Ein entsprechendes Verfahren muss demnach mindestens zwei Elemente der Kategorien Wissen, also etwa ein Passwort, Besitz, zum Beispiel eine Zahlungskarte, oder ein ständiges Merkmal des Kunden verlangen, wie es der Fingerabdruck darstellen kann. Die Komponenten sollen voneinander unabhängig sein. Wird ein Kriterium nicht erfüllt, darf die Zuverlässigkeit der anderen also nicht beeinträchtigt werden.
Anbieter befürchten Rechtsunsicherheit
Bei einem elektronischen Fernzahlungsvorgang muss der Authentifizierungsprozess zudem Elemente umfassen, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. In Deutschland, wo der Bundestag die Richtlinie im Juni umgesetzt hat, ist ein solcher flexibler Faktor in der Regel im Online-Banking etwa durch die Verfahren mTAN oder photoTAN gegeben. Die Aufgabe, die Details festzulegen, überließ das EU-Parlament der EBA. Deren Regelentwurf soll nun in eine Durchführungsverordnung der Kommission münden.
Ein solcher Schritt entlang der EBA-Linie würde aber Rechtsunsicherheit für europäische Verkäufer schaffen, heißt es in dem Brief. Sie könnten daran gehindert werden, Produkte und Dienstleistungen im gesamten Binnenmarkt anzubieten. Für Anbieter, die in einer "Transaktionsrisikoanalyse" als wenig gefährdet eingeschätzt werden, sollen zwar Ausnahmen von den Vorgaben gelten. Die Digitalwirtschaft kritisiert dabei aber, dass die Firmen einen solchen Nachweis nicht selbst erbringen dürften, sondern Banken oder Online-Zahlungsanbieter die Einstufungen vornehmen müssten. (anw)
