Am 21. August 2019 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Pressemitteilung zur starken Kundenauthentifizierung (SCA) (Pressemitteilung vom 21. August 2019). In dieser Pressemitteilung erlaubt die BaFin Zahlungsdienstleistern mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne starke Kundenauthentifizierung ausführen.
Hintergrund
Mit Inkrafttreten von Art. 97 der Richtlinie (EU) 2015/2366 (PSD2) bzw. § 55 Zahlungsdiensteaufsichtsgesetz (ZAG) sind Zahlungsdienstleister ab dem 14.09.2019 grundsätzlich verpflichtet, eine SCA zu verlangen, wenn der Zahler
- online auf sein Zahlungskonto zugreift;
- einen elektronischen Zahlungsvorgang auslöst;
- über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
Was eine SCA ist, haben wir in unserem Blogbeitrag (Identifizieren, autorisieren, authentifizieren) dargelegt.
Diese SCA-Verpflichtung gilt folglich auch bei Kreditkartenzahlungen im Internet.
Ausnahme der BaFin
Die BaFin stellt nunmehr klar, dass Zahlungsdienstleister mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne SCA ausführen dürfen. Ein solches Vorgehen wird von der BaFin zunächst nicht beanstandet werden. Die BaFin will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen SCA-Anforderungen ermöglichen.
Nach Einschätzung der BaFin sind nämlich Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, nicht auf die neuen SCA-Anforderungen vorbereitet. Bei diesen bestehe nach wie vor erheblicher Anpassungsbedarf. Um aber Verbrauchern und Unternehmen weiterhin die Möglichkeit zu belassen, online mit der Kreditkarte bezahlen zu können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf die SCA bestehen.
Die Möglichkeit, solche Ausnahmen einzuräumen, hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsichtsbehörden eingeräumt (EBA publishes an Opinion on the elements of strong customer authentication under PSD2, Rn. 13).
Allerdings ist die Erleichterung zeitlich befristet. Ein konkretes Datum steht zwar noch nicht fest, aber trotzdem sollten Betroffene die Umsetzung der SCA-Pflichten bei Kreditkartenzahlungen im Internet vorantreiben.
Cover picture: Copyright © fotolia / 279photo
Eine kleine Ergänzung und Klarstellung: Unter “Kreditkarten” versteht die BaFin in diesem Zusammenhang alle gängigen ZAG-relevanten Zahlungskarten, die im Internet als Zahlungsinstrument eingesetzt werden können (also auch Debitkarten, Prepaid Karten usw.).