Die European Banking Authority (EBA) hat kürzlich auf eine in ihrem Q&A Tool gestellte Frage eine Antwort gegeben, die einen immensen Einfluss auf die Zukunft der online SEPA-Lastschrift haben könnte. Die Frage war, ob bei der elektronischen Verarbeitung von online SEPA-Lastschriften eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) erforderlich ist. Die EBA gab zur Antwort, dass dies beim Aufsetzen eines online SEPA-Mandats der Fall sei, weil es sich dabei um eine Handlung handelt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs im Sinne von Artikel 97 (1) (c) PSD2 birgt. In der letzten Episode von PayTechTalk hatte ich mich mit meinem Kollegen Christian bereits mit den möglichen Auswirkungen der EBA-Stellungnahme auf die Online-Lastschrift beschäftigt. In diesem Beitrag beleuchte ich näher, was die Antwort der EBA für die online SEPA-Lastschrift bedeutet.
Table of Contents
Was bedeutet das für die online SEPA-Lastschrift?
Wenn also ein Käufer in einem Online-Shop etwas kaufen und über einen Zahlungsdienstleister des Händlers per online SEPA-Lastschrift bezahlen möchte, muss sich der Käufer mit zwei Elementen aus den drei Kategorien, Wissen, Besitz oder Inhärenz, authentifizieren. Nur, wie genau soll der Käufer dies tun?
Im Gegensatz zu Kreditkarten, bei denen sich das 3D-Secure-Verfahren – zumindest nach einigen Jahren – als Standard etabliert hat, oder im Vergleich zu den Login-Prozessen beim Zugang zu Online-Bankkonten, gibt es für SEPA-Lastschriften keine allgemein verfügbaren Authentifizierungsverfahren.
Wer ist betroffen?
Das führt dazu, dass zukünftig online SEPA-Lastschriften von Zahlungsdienstleistern nicht mehr angeboten werden können. Dies betrifft Wallet-Anbieter, die SEPA-Lastschriften als eine ihrer Zahlungsmittel nutzen, aber auch Online-Händler, die Lastschriften über einen Zahlungsdienstleister (Payment Service Provider / PSP) akzeptieren. Online-Händler hingegen, die selbst SEPA-Lastschriften durchführen, sind nicht betroffen und nicht verpflichtet, eine SCA durchzuführen, da die PSD2 nur für Zahlungsinstitute und E-Geld-Institute gilt. Wenn ein Händler jedoch die Dienste eines PSP in Anspruch nimmt, um das Risiko von SEPA-Lastschriften zu kontrollieren, muss SCA implementiert werden. Ein absurdes Ergebnis.
Sinneswandel der EBA?
Abgesehen davon, dass die online SEPA-Lastschrift nicht länger als Zahlungsmittel für Wallets oder mobile Bezahlverfahren, bei denen das SEPA Mandat online erteilt wird oder von Online-Händlern, die einen PSP einsetzen, genutzt werden kann, so weicht die EBA in ihrer Antwort auch noch von ihrer früheren Stellungnahme ab.
Laut Ziffer 13 im Final Report on the Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2) der EBA gilt SCA nicht für elektronische Zahlungsvorgänge, die nur vom Zahlungsempfänger initiiert werden (wie Lastschriften). Die EBA legt weiter dar:
In Anbetracht von Artikel 97(1)(c), ist für Zahlungsvorgänge dann eine Ausnahme davon zu machen, wenn die Zustimmung des Zahlers für die Lastschrift in Form eines elektronischen Mandats unter Einbeziehung seines Zahlungsdienstleisters erfolgt.
Diese wesentliche Anforderung, dass die Einrichtung eines elektronischen Mandats nur dann SCA erfordert, wenn es unter Beteiligung des PSP des Zahlers erteilt wird, fehlt in der kürzlich gegebenen Antwort der EBA. Aber genau das macht den Unterschied. Wenn der PSP des Zahlers eine Möglichkeit bietet, ein elektronisches Mandat einzurichten, dann kann der PSP auch SCA anwenden. Aktuell ist es allerdings so, dass der Großteil aller Banken keine elektronische Mandatserteilung anbietet, also faktisch gar kein SCA in diesem Kontext durchführen kann.
Es kann nur spekuliert werden, ob die EBA versehentlich die Anforderung der Beteiligung des PSP in ihrer Antwort weggelassen hat oder die EBA ihre Meinung geändert hat. Es würde sich in letzterem Fall jedoch um eine ziemlich kurzfristige Anpassung der Spielregeln handeln, da ab 14. September 2019 SCA verbindlich vorgeschrieben ist.
Was ist für den Verbraucher drin?
Nichts – und das ist eine weiterer überraschender Aspekt bei der Antwort der EBA. Die starke Kundenauthentifizierung soll das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs bei Nutzung eines Fernzugangs verhindern Wenn eine Zahlungskarte gestohlen und unbefugt verwendet wird, riskiert der Karteninhaber, Geld zu verlieren. SCA stellt eine weitere Hürde dar, die es dem Dieb schwerer macht, eine gestohlene Karte online zu nutzen. Zahlungen per online SEPA-Lastschrift kann der Zahler jedoch acht Wochen nach der Belastung ohne Angabe von Gründen rückgängig machen. Das Risiko, das Geld zu verlieren, ist also für den Zahlungsempfänger groß, nicht jedoch für den Zahler. Eine Lastschrift kann zurückgegeben werden, unabhängig davon, ob eine starke Kundenauthentifizierung durchgeführt wurde. Das ist im Kartenszenario anders, bei dem die fehlende starke Kundenauthentifizierung die Beweislast ändert.
Ist die Antwort der EBA bindend?
Generell haben die nationalen Aufsichtsbehörden die Wahl, sich an die Stellungnahmen der EBA zu halten oder ihre abweichende Ansicht zu erklären. Grundsätzlich hält sich die BaFin an die Stellungnahmen der EBA, einschließlich der Interpretationen im Q&A-Tool, um die Harmonisierung innerhalb der EU zu fördern. Für den Fall, dass die BaFin mit einer Stellungnahme der EBA nicht einverstanden ist, wird dies auf der BaFin-Website veröffentlicht.
Sollte also die BaFin keine abweichende Ansicht zur Antwort der EBA publizieren, wird diese auch für deutsche Zahlungsdienstleister verbindlich.
Und täglich grüßt das Murmeltier?
Die Nutzung der online SEPA-Lastschrift ist vor allem in Deutschland und Österreich weit verbreitet. In anderen Ländern werden die Auswirkungen wahrscheinlich nicht so zu spüren sein. Das weckt Erinnerungen an die Zeit, als die SEPA-Lastschrift durch die SEPA-Verordnung eingeführt und ursprünglich ein schriftliches oder ein elektronisches Mandat mit qualifizierter elektronischer Signatur gefordert wurde. Dies hätte der Todesstoß für Online-Mandate sein können, wenn sich nicht eine SEPA-Lastschriftkoalition gebildet hätte, die sich für niedrigere Anforderungen eingesetzt hat. Am Ende stand der Wegfall der qualifizierten elektronischen Signatur – und eine Pressemitteilung des Finanzministeriums und der Bundesbank, die den Banken erlaubte, weiterhin online erstellte Mandate zu verarbeiten. Was einmal erfolgreich war, kann wieder erfolgreich sein.
Cover picture: Copyright © fotolia / Archivist
Danke für einen mal wieder sehr hilfreichen Beitrag, Susanne! Hilft beim Rätselraten… 🙂
Grüße zu dir!
Vielen Dank für das Feedback, Stephan, immer wieder gerne! 🙂
Und natürlich viele Grüße zurück!
Hallo,
inzwischen ist die Einschätzung der BaFin da: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Verbrauchermitteilung/weitere/2019/meldung_190417_PSD2_ZAG_Kundenauthentifizierung.html;jsessionid=BEF889B43AF44E9F38B85F9DC5C26AB1.1_cid390
Ich würde mich daher über ein Update Ihres Beitrages freuen
Sehe ich es richtig, dass zwischen dem PSP des Zahlers und dem PSP des Zahlungsempfängers unterschieden werden muss? Eine SCA wäre demnach nur dann notwendig, wenn der Zahler einen PSP einbindet. Bei allen anderen Lastschriftfällen (sowohl direkt zwischen Zahler und Zahlungsempfänger und auch bei Einbindung eines PSP auf Seite des Zahlungsempfängers) ist eine SCA nicht nötig.
Hallo Frau Henke,
vielen Dank für Ihre Mitteilung – wir haben mittlerweile ein Update veröffentlicht:
https://paytechlaw.com/starke-kundenauthentifzierung-bei-einer-online-sepa-lastschrift/
Herzliche Grüße
Ja, das ist richtig. Die EBA hat ursprünglich schon gesagt, dass wenn bei der Erstellung des Mandats der PSP des Zahlers eingebunden ist (also das Institut, bei dem das Konto geführt wird, für das das Mandat erteilt wird) dann wird SCA benötigt. Das hat die BaFin nun bestätigt, denn beim e-Mandat im SEPA Rulebook findet eine Validierung durch das kontoführende Institut statt. Die Verwirrung kam dadurch zustande, dass die EBA in der Antwort nun gar nicht mehr darauf abgestellt hat, ob überhaupt ein PSP eingebunden wird, so dass immer SCA bei Mandatserteilung stattfinden müsste. Allerdings treffen die Anforderungen der PSD2 nur PSPs, daher würde einen Händler, der keinen PSP einbindet, diese Pflicht nicht treffen. Nach neuer Lesart der EBA aber wohl schon den PSP des Händlers (wenn dieser einen einbindet), nach Auslegung der BaFin nicht bzw. muss dieser nur dann die Infrastruktur bereitstellen, wenn e-Mandate erteilt werden, bei denen der PSP des Zahlers involviert ist.
Comments are closed.