Um die Sicherheit des Bezahlens im Internet zu erhöhen, hat der europäische Gesetzgeber die Zahlungsdiensterichtlinie überarbeitet. Die neuen Vorschriften (PSD2) sind nach förmlicher Verabschiedung durch den Europäischen Rat und der Veröffentlichung im Europäischen Amtsblatt innerhalb von 2 Jahren von den Mitgliedstaaten umzusetzen. Bis es soweit ist, gelten seit dem 5.11.2015 in Deutschland Übergangsvorschriften.

 

In ihrem Rundschreiben vom 5 Mai 2015 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) „Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“ an alle Zahlungsdienstleister in der Bundesrepublik Deutschland versendet, die seit dem 5. November 2015 einzuhalten sind. Auch wenn Shop-Betreiber von diesen nicht unmittelbar betroffen sind, werden sie sich dennoch auf sie auswirken, nämlich über die Zahlungsdienstleister, die sie für die Vertragsabwicklung mit ihren Kunden nutzen (wollen).

Zahlungssicherheit durch starke Kundenauthentifizierung

Zahlungsdiensteanbieter aus Deutschland sind unter anderem verpflichtet, Internetzahlungen durch eine sog. „starke Kundenauthentifizierung“ zu schützen. Das heißt, dass der Kunde, der eine Zahlung auslösen möchte, sie durch Verwendung von zwei verschiedenen Elementen autorisieren muss. Zahlungsdienstleister können dazu aus drei Kategorien wählen: Wissen, Besitz, Inhärenz.

Das Element „Wissen“ wird etwa durch die Eingabe von PIN oder Passwörtern erfüllt, also Angaben, die nur der Nutzer weiß. „Besitz“ meint Gegenstände, die nur der Nutzer besitzt, z.B. sein Mobiltelefon, während sich die Inhärenz („Eigenschaften“) auf biometrische Merkmale des Nutzers bezieht, etwa sein Fingerabdruck, die Netzhaut seines Auges oder seine Stimme. Um diese Zwei-Faktoren-Prüfung zu gewährleisten, müssen im Webshop entsprechende technische Möglichkeiten zur Verfügung gestellt werden.

Anwendungsbereich der MaSI

Für den Käufer heißt das, dass das Onlineshopping komplizierter wird, was für den Händler Umsatzeinbußen zur Folge haben kann, wenn der Bestellvorgang deshalb abgebrochen wird. Die MaSI gelten jedoch nicht für alle Zahlungsarten. Betroffen sind ausschließlich deutsche Dienstleister, die Zahlungen per Kreditkarte, Lastschrift, Überweisung oder E-Geld anbieten. Für einen Kauf auf Rechnung ist die starke Kundenauthentifizierung nicht erforderlich. Auch für die beliebte Zahlart „PayPal“ bedarf es keiner Prüfung über zwei Faktoren. PayPal unterliegt als ausländischer Anbieter nicht den Vorgaben der BaFin.

Ausnahmen von der starken Kundenauthentifizierung

Auf eine starke Kundenauthentifizierung kann ebenfalls bei Transaktionen mit geringem Risiko verzichtet werden, oder wenn der Shop-Betreiber auf einer sog. „White List“ als vertrauenswürdiger Zahlungsempfänger geführt ist. Die praktische Umsetzung muss jedoch erst noch geklärt werden.

Weitere Pflichten für Shop-Betreiber

Shop-Betreiber können daneben weitere Pflichten treffen. Zum einen die Trennung zwischen Webshop und Zahlungsprozess, damit der Käufer weiß, wann er mit dem Zahlungsdienstleister kommuniziert und wann mit dem Zahlungsempfänger (dem Verkäufer). Das macht optische Anpassungen der Webseite erforderlich, was zu Kundenirritationen und damit verbundenen Kaufabbrüchen führen kann, wie der Bitkom befürchtet.

Zum anderen muss der Online-Händler die Sicherheit seiner Infrastruktur gewährleisten, um die Zahlungsdaten der Kunden zu schützen. Diese Pflicht trifft Shop-Betreiber aber bereits auf Grund des am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes. Mehr dazu hier: https://www.protectedshops.de/infothek/whitepapers-und-how-tos/it-sicherheitsgesetz

Kommt es zu schwerwiegenden Sicherheitslücken oder Datenschutzverstößen, müssen Händler diese melden.

Konsequenzen bei Nichtbeachtung

Setzen die Shop-Betreiber die Vorgaben, die ihnen die Zahlungsdienstleister auferlegen, nicht um, drohen vertragliche Sanktionen, im schlimmsten Fall die Vertragskündigung. Der Händler kann die betreffende Zahlart seinen Kunden in diesen Fällen dann nicht mehr anbieten. Werden die auch nach dem IT-SiG erforderlichen Sicherungsmaßnahmen nicht eingehalten, drohen weitere Konsequenzen, z.B. Bußgelder, Schadenersatzansprüche der Kunden, deren Daten abgegriffen wurden und eventuell sogar wettbewerbsrechtliche Abmahnungen.

Fazit

Obwohl Online-Händler von den seit dem 5. November 2015 zu befolgenden MaSI der BaFin nicht unmittelbar betroffen sind, könnten diese teils gravierende Folgen für sie haben. Wer deutsche Zahlungsdienste in seinem Webshop anbieten will, muss vor allem die sog. „starke Kundenauthentifizierung“ technisch ermöglichen. Welche konkreten Pflichten Webshop-Betreiber treffen, ergibt sich aus den Verträgen mit den von ihnen genutzten Zahlungsdienstleistern.

Der richtige Mix verschiedener Zahlarten wird künftig also noch wichtiger, um das Bedürfnis der Kunden entweder nach Leichtigkeit oder nach Sicherheit beim Online-Einkauf zu befriedigen.