Neue Regeln sollen elektronische Zahlungen sicherer machen

Inhaltsverzeichnis

"Risikoreiche" Zahlungen im Internet oder an einem Terminal im Handel sollen bald nicht mehr quasi mit einem Klick durchgeführt werden können. Die EU-Kommission hat am Montag technische Regulierungsstandards für eine "starke Kundenauthentifizierung" angenommen, mit der Vorgaben aus der Zahlungsdienste-Richtlinie konkretisiert werden. Angaben auf einer Kreditkarte oder die Eingabe eines Passworts werden demnach in den meisten Fällen nicht mehr ausreichen, um eine Zahlung zu tätigen.

Verschärfte Kontrolle

Mit den verschärften Regeln will die Kommission den Betrug bei allen Zahlungsmethoden – und insbesondere im Netz – eindämmen. Ein Authentifizierungsverfahren muss laut den neuen Vorschriften mindestens zwei Elemente verlangen, etwa ein Passwort, eine Zahlungskarte oder ein Smartphone oder ein “ständiges Merkmal des Kunden”, also etwa ein Fingerabdruck. In bestimmten Fällen soll ein spezieller Code, der nur für eine bestimmte Transaktion gültig ist, zusammen mit den beiden anderen unabhängigen Elementen erforderlich sein. In Deutschland, wo der Bundestag die Richtlinie an sich im Juni bereits umgesetzt hat, ist ein solcher flexibler Faktor in der Regel im Online-Banking etwa durch die Verfahren mTAN oder photoTAN gegeben.

Mit den Standards will die Kommission aber auch anerkennen, dass ein akzeptables Zahlungssicherheitsniveau in einigen Fällen auf einfachere Weise ohne die unabhängige Merkmalskombination erreicht werden kann. Einzelne Anbieter sollen sich von dieser Pflicht befreien lassen, "wenn sie Wege zur Bewertung der Risiken von Transaktionen entwickelt haben und betrügerische Transaktionen erkennen können", heißt es. Ausnahmen bestünden auch für kontaktlose Zahlungen und Transaktionen für "kleine Beträge" sowie für bestimmte Arten von Zahlungen etwa "für Beförderungsleistungen im Stadtverkehr oder Parkgebühren". So könnten Dienstleister eine bequeme Zahlung ohne unverhältnismäßige Abstriche bei der Sicherheit gewährleisten.

Kritik von Online-Händlern

Die Kommission folgte damit im Kern einem Entwurf der Europäischen Bankenaufsichtsbehörde (EBA), den sie nach eigenen Angaben nur noch an wenigen Punkten verändert hat. Eine Allianz aus 27 Verbänden wie wie E-Commerce Europe, Edima, Digital Europe oder der Computer & Communications Industry Association (CCIA) und Unternehmen war gegen den Vorschlag Sturm gelaufen. Sie warnte, dass etwa beim Shoppen mit dem Smartphone "jeder zusätzliche Klick, der erforderlich ist, um einen Kauf zu bestätigen, den Konsumenten vom Abschluss der Transaktion abhalten kann".

Die neuen Vorgaben regeln auch die Pflichten von Banken und Anbietern neuer Zahlungslösungen wie etwa der zur Klarna-Gruppe gehörenden Münchner Firma Sofort mit ihrem Service Sofortüberweisung. Verbraucher, die diese neuen Dienste nutzen wollen, können demnach von ihren Banken nicht daran gehindert werden. Jedes Finanzinstitut, das einen Online-Zugang zu Konten anbietet, muss auch mit "FinTech"-Startups oder anderen Banken zusammenarbeiten, die entsprechende Services im Portfolio haben. Pflicht der Banken ist es nun, "sichere Kommunikationskanäle" einzurichten, über die Daten übermittelt und Zahlungen veranlasst werden können.

Nächster Halt: EU-Parlament

Insgesamt geht die Kommission davon aus, dass die Verbraucher mit dem vorgesehenen Instrumentarium "von einem breiteren Angebot an Zahlungslösungen und einem stärkeren Wettbewerb profitieren". Sie könnten ihre persönlichen Finanzen effizienter über Anwendungen verwalten, über die Informationen von ihren bei verschiedenen Banken unterhaltenen Konten zusammengefasst werden. Das EU-Parlament und der Ministerrat haben nun drei Monate Zeit, um die Standards zu prüfen. Sie sollen dann im EU-Amtsblatt veröffentlicht werden und in Kraft treten. Banken und andere Zahlungsdienstleister haben dann 18 Monate Zeit, um die Auflagen umzusetzen. (vbr)