Nachdem die European Banking Authority (EBA) mit einer ihrer Antworten im Q&A Tool für viel Aufregung gesorgt hatte (siehe meinen Beitrag zur Zukunft der online SEPA-Lastschrift), die BaFin bereits eine Mitteilung veröffentlicht hat (siehe „Starke Kundenauthentifizierung bei einer online SEPA-Lastschrift“), wurde nun auch die EBA-Klarstellung veröffentlicht: Danach bedarf das Aufsetzen eines SEPA-Lastschriftmandats keiner starken Kundenauthentifizierung, wenn nicht das zahlungskontenführende Institut dabei involviert ist.
Was bisher geschah
Die EBA hatte in ihrem Final Report ausgeführt, dass bei Erteilung eines SEPA-Lastschriftmandats keine starke Kundenauthentifizierung notwendig sei. Eine Ausnahme davon sei ein elektronisches Mandat unter Einbeziehung des Zahlungsdienstleister des Zahlers. Dies wurde so verstanden, dass es sich um ein in der SEPA-Verordnung vorgesehenes e-Mandat handeln muss, das eine technische Implementierung durch das kontoführende Institut vorsieht.
Überraschenderweise veröffentlichte die EBA dann auf die Frage (Q&A 2018_4359), ob bei auf elektronischem Wege erteilten Mandaten eine starke Kundenauthentifizierung notwendig ist, dass diese erforderlich sei, weil ein Betrugsrisiko bestünde. Die Einschränkung darauf, dass dies nur der Fall ist, wenn das kontoführende Institut involviert ist, fehlt dabei.
Nach einem Aufschrei des Handels in Deutschland, der die beliebte Lastschrift in Gefahr sah, stellte die BaFin klar, dass keine starke Kundenauthentifizierung notwendig ist.
Was sagt die EBA-Klarstellung
Nun gibt es auch die EBA-Klarstellung als Antwort auf eine Frage der BaFin (!) im Single Rule Book Q&A Tool (Q&A 2019_4664). Die EBA führt dazu aus (Übersetzung durch PayTechLaw):
Q&A 2018_4359 stellt klar, dass für eine Lastschrifttransaktion keine starke Kundenauthentifizierung erforderlich ist, weil es als eine durch den Zahlungsempfänger initiierte Transaktion definiert ist. Die Antwort stellt auch klar, dass in Fällen, in denen der Zahler dem Zahlungsempfänger ein Mandat für einen oder mehrere Zahlungsvorgänge durch einen Fernzugang erteilt, diese Erteilung eine starke Kundenauthentifizierung erfordert. Eine starke Kundenauthentifizierung ist jedoch nur in dem Fall notwendig, wenn nach dem Wortlaut des Art. 97 PSD2, der nur Pflichten für Zahlungsdienstleiter aufstellt, auch ein Zahlungsdienstleister bei der Erteilung des Mandates involviert ist. Mandate, die der Zahler dem Zahlungsempfänger ohne direkte Einbindung des Zahlungsdienstleisters des Zahlers erteilt, erfordern keine starke Kundenauthentifizierung.
Ende gut, alles gut? Das Thema starke Kundenauthentifizierung ist damit vom Tisch. Ungemach droht der Lastschrift allerdings weiterhin von anderer Seite, zum Beispiel, wenn eine IBAN-Diskriminierung auch durch Differenzierung nach Wohnsitz des Zahlers vorliegt. Das Thema SEPA-Lastschriftverfahren wird uns wohl noch einige Zeit begleiten.
Cover picture: Copyright © fotolia / Archivist