Neue Anforderungen bei Kartenzahlungen im Internet

Neue Anforderungen bei Kartenzahlungen im Internet
© stockpics - Fotolia.com

Ab dem 14. September 2019 gelten im Internet neue Regeln: Die neue Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2) wird umgesetzt.

Was heißt das für Sie konkret?

Wird künftig im Internet mit der Kreditkarte gezahlt, so muss eine stärkere Authentifizierung erfolgen. Ein Passwort reicht künftig für den Kunden nicht mehr aus. Beim Einloggen muss demnächst eine Zwei-Faktor-Authentifizierung erfolgen. Dabei müssen zwei von diesen drei Faktoren umgesetzt werden:

  • Wissen (von PIN oder Passwort),
  • Besitz (Karte oder Smartphone) oder 
  • Biometrie (Fingerabdruck oder Iris).

Möchte ein Kunde demnächst mit seiner Kreditkarte online bezahlen, so muss neben dem Passwort beispielsweise ein Fingerabdruck oder eine TAN via Smartphone eingebracht werden. TAN-Listen sind nicht mehr zulässig, eine TAN-Nummer muss stets neu generiert werden.

Es gibt Ausnahmen: Kleinbeträge und kontaktlose Zahlungsvorgänge sind ausgeschlossen. Im Detail entscheidet darüber die jeweilige Bank.

Was für Sie jetzt wichtig ist!

Unternehmen, die Zahlungsmöglichkeiten im Internet anbieten, sollten umgehend mit ihrer Bank das Gespräch suchen und klären, welche Zwei-Faktor-Authentifizierung sie auf der Unternehmenswebsite anbieten und wie sie die umsetzen können.

Aktueller Hinweis

Laut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFIN) dürfen Zahlungsdienstleister mit Sitz in Deutschland zunächst Kreditkartenzahlungen im Internet ab dem 14. September 2019 auch ohne Starke Kundenauthentifizierung ausführen.

Es wird vorerst keine Beanstandungen geben. Dadurch sollen Störungen bei Internet-Zahlungen verhindert und ein unproblematischer Übergang auf die neuen Anforderungen ermöglicht werden.

BaFin setzt Frist für Umstellung von Kartenzahlungen im Internet

Die BaFin wird nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland Kartenzahlungen im Internet bis zum 31.12.2020 auch ohne eine nach der PSD2 erforderliche Starke Kundenauthentifizierung ausführen. Hintergrund der Entscheidung ist eine Empfehlung der European Banking Authority (EBA) vom 16. Oktober. Die BaFin wird in diesem Zeitraum kontrollieren, ob die Zahlungsdienstleister die vorgegebenen Meilensteine umgesetzt haben.