Beim Online-Zahlungsverkehr ist die Rechtslage aktuell kompliziert: Seit 14. September 2019 ist die sogenannte starke Kundenauthentifizierung (SCA) bei Online-Zahlungen mit Kreditkarten in Deutschland zwar gesetzlich vorgeschrieben, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verzichtet aber bis 31.12.2020 darauf, online getätigte Kreditkartenzahlungen ohne SCA zu beanstanden.
Spätestens jetzt ist es für Unternehmen allerhöchste Zeit, sich mit der starken Kundenauthentifizierung und der zugrunde liegenden EU-Richtline PSD2 auseinanderzusetzen. Deshalb finden Sie hier alles zum Thema auf einen Blick:
PSD2 und SCA – was genau ist der Unterschied?
Wofür steht PSD2?
PSD2 steht für Payment Services Directive 2 und ist eine – seit 2018 in Deutschland rechtsgültige – EU-Richtlinie, deren Hauptziel es ist, die Sicherheit im europäischen Zahlungsverkehr zu erhöhen, den Verbraucherschutz zu stärken, Innovationen zu fördern und den Wettbewerb im Markt zu steigern.
Was bedeutet SCA?
SCA steht für Strong Customer Authentication, im deutschen Sprachgebrauch also „starke Kundenauthentifizierung“ und ist eines der Instrumente zur Umsetzung der PSD2-Richtlinie. Die Einführung der starken Kundenauthentifizierung bei Online-Zahlungen ist in Deutschland – trotz der oben genannten Übergangsfrist – rechtlich verpflichtend.
Warum SCA heute notwendig ist
Die EU sagt in der Begründung zu PSD2, dass sich die Risiken für elektronische Zahlungen in den letzten Jahren erhöht haben. Mit dem SCA-Verfahren sorgt man nun dafür, dass zuverlässige und sichere Zahlungsdienste eine entscheidende Voraussetzung für einen gut funktionierenden Zahlungsverkehrsmarkt sein können – und dass die Nutzer künftig ausreichend vor möglichen Risiken geschützt werden.
Wie sich das SCA-Verfahren vom bisherigen Vorgehen unterscheidet
Die Vorteile von SCA werden begreiflich, vergleicht man das künftige Vorgehen bei der Kundenauthentifizierung mit dem jetzigen:
Zurzeit basieren Authentifizierungswerkzeuge auf der 3D-Secure-Technologie für die Verifizierung von Kartentransaktionen. Sie kennen den dahinterstehenden Prozess von Lösungen wie SafeKey: Bei einer Online-Zahlung erfolgt die Weiterleitung auf eine neue Seite und die Aufforderung zur Eingabe eines Codes. So stellt SafeKey sicher, dass Sie tatsächlich auch derjenige sind, für den Sie sich online ausgeben.
Im Gegensatz zu einstufigen Authentifizierungsverfahren ist bei einer Online-Zahlung nach dem SCA-Verfahren in Zukunft mindestens ein zusätzlicher Authentifizierungsfaktor notwendig. Dadurch werden Authentifizierungen sicherer – nicht nur für Kunden und Finanzdienstleister, sondern auch für Ihr Unternehmen.
Welche Authentifizierungsfaktoren für das SCA-Verfahren möglich sind
Die starke Kundenauthentifizierung setzt auf das Zusammenspiel verschiedener Faktoren zum Identitätsnachweis: Der Zahlungsverkehr wird so für jeden Beteiligten sicherer.
In der Wirkungsweise handelt es sich bei SCA um eine Zwei-Faktoren-Authentifizierung, wie Sie sie beispielsweise von Ihrem Mobilfunkvertrag kennen. Um die Leistungen Ihres Mobilfunkanbieters nutzen zu können, benötigen Sie zwei Faktoren, die Ihre Identität nachweisen: Ihre Sim-Karte und Ihre PIN.
Dieses Prinzip gilt auch beim SCA-Verfahren. Für maximale Sicherheit setzt die starke Kundenauthentifizierung auf Faktoren unterschiedlicher Arten. Diese können etwas sein,
- das Sie besitzen: beispielsweise Ihr Smartphone oder eine bestimmte Hardware;
- das Sie wissen: also ein Code, ein Passwort, eine PIN oder ein TAN;
- oder ein individuelles biometrisches Merkmal, wie der Scan Ihres Fingerabdrucks oder Ihrer Iris.
Welche Ausnahmen es vom verpflichtenden SCA-Verfahren gibt
In der PSD2-Richtlinie sind Ausnahmen von der Verpflichtung zum SCA-Verfahren vorgesehen: Bei Zahlungen auf eigene Konten wird beispielsweise keine 2-Faktoren-Authentifizierung verlangt werden. Gleiches gilt auch für besonders niedrige Beträge – beispielsweise Parkgebühren oder ÖPNV-Tickets.
Außerdem haben Kreditkarteninhaber die Möglichkeit, Zahlungsempfänger über Dienste wie SafeKey Express List als vertrauenswürdig zu definieren: Die starke Kundenauthentifizierung ist dafür nur einmalig notwendig – für alle weiteren Zahlungen an denselben Empfänger wird keine weitere 2-Faktoren-Authentifizierung verlangt.
Weitere Informationen zur starken Kundenauthentifizierung (Strong Customer Authentication/SCA) finden Sie hier.