Die Entwicklung des Zahlungsverkehrsmarktes in Österreich zeigt, dass der Trend von analog zu digital geht. Im Jahr 2011 wurden 82 Prozent aller Transaktionen mit Bargeld bezahlt. Von 2010 bis 2015 konnte ein Plus von 36 Prozent bei Online-Einkäufen festgestellt werden. 2017 wurden bereits 21 Prozent der online-Käufe via Smartphone getätigt. Durch die zunehmende Digitalisierung im Zahlungsverkehr wird ein rechtlicher Veränderungsprozess benötigt.
Rechtlicher Rahmen
Payment Services Directive 2 (PSD2) ist eine Zahlungsdienste-Richtlinie mit dem Geltungsbereich im EWR. Es handelt sich dabei um eine EU-Richtlinie der Europäischen Kommission. Diese ersetzt die Richtlinie 2007/64/EG (Europäische Gemeinschaft). Insbesondere Artikel 114 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) bildet die Grundlage für PSD2. Die Richtlinie war bis 13. Januar 2018 durch das Gesetz zur Umsetzung der Zweiten Zahlungsdienste-Richtlinie in nationales Recht umzusetzen und ist mehrheitlich am 14. September in Kraft getreten.
SCA (strong customer authentication)
Die SCA bzw. Zwei-Faktor-Authentifizierung soll unautorisierte Verwendungen verhindern und die Sicherheit von Transaktionen erhöhen. Die starke Kundenauthentifizierung sieht vor, dass sich online-ZahlerInnen zweifach ausweisen. Es braucht mind. zwei unabhängige Kriterien, um eine Zahlung vorzunehmen. Banken und Zahlungsdienstleister entscheiden mit welchen beiden Kriterien sie die starke Kundenauthentifizierung abfragen. Diese Kriterien bzw. Faktoren können aus drei Bereichen stammen:
- Wissen: etwas, das nur NutzerInnen selbst wissen, z.B. PIN, Passwort, Antwort auf Sicherheitsfrage
- Besitz: etwas, das nur NutzerInnen besitzen, z.B. TAN, Smartphone, Authenticator-App (Kreditkarten fallen nicht darunter).
- Inhärenz: etwas, was NutzerInnen eindeutig identifiziert, z.B. biometrische Daten wie Fingerprint, Gesichtsscan, Spracherkennung
Die EU-Bestimmungen zur starken Kundenauthentifizierung finden sich in Österreich insbesondere in den §§ 4 Z 28, 68 Abs. 5 und 87 Zahlungsdienstegesetz 2018 (ZaDiG 2018).
Umsetzung
Die finalen regulatorischen Standards (RTS) für starke Kundenauthentifizierung (2-Faktoren) der European Banking Authority (EBA) stellt kein festes Regelwerk bereit. Ohne strickte Vorgaben bleibt Spielraum für Interpretationen. Die selbständige Wahl der technischen Integration bringt eine ressourcenintensive Aufgabe mit sich. Elemente und Prozesse der PSD2 werden selbst bestimmt oder über Standard Frameworks umgesetzt.
Ziele
Die PSD2 ist eine Reaktion auf die Entwicklungen im Bereich innovativer Zahlungsprodukte. Vor allem im Bereich Mobile und Online Payments hat sich in den letzten Jahren viel getan. Die PSD2 erleichtert den Zugang zu Zahlungsdiensten durch die Stärkung der Systemsicherheit und öffnet den Markt für neue Zahlungsdienste. PSD2 zielt vorrangig auf die Sicherheit des EU Geldtransfers ab. Dies soll durch eine Standardisierung der Bankenregulierung und der Vorschriften für Zahlungsdienstleister erreicht werden. Der Verbraucherschutz soll gestärkt und Verbraucher besser vor Betrug, Missbrauch und sonstigen Problemen bei der Durchführung von Zahlungen geschützt werden. Auch der faire Wettbewerb soll gefördert, sowie die Neutralität und Transparenz im Hinblick auf Technologie und Geschäftsmodell gewährleistet werden. Online-Banking und Zahlungen im E-Commerce werden für KundInnen aufwendigerer, aber sicherer.
Pflichten und Ausnahmen
Zahlungsdienstleister sind verpflichtet in folgenden Situationen eine 2-F-Authentifizierung vorzunehmen, wenn ZahlerInnen:
– auf ein Zahlungskonto zugreifen
– einen elektronischen Zahlungsvorgang auslösen
– über einen Fernzugang eine missbrauchs- oder risikoanfällige Handlung vornehmen
Ausnahmen gibt es für Zahlungsdienstleister, HändlerInnen und VerbraucherInnen:
– Zugriff auf Zahlungskontoinformationen
– von ZahlerInnen als vertrauenswürdig eingestufte EmpfängerInnen („white list“)
– Kleinbetragszahlungen (bis zu 30€)
– wiederkehrende Zahlungsvorgänge
– lt. Transaktionsrisikoanalyse niedriges Risiko der Zahlung (nur Transaktionen bis 500€)
Die Gewährung dieser Ausnahmen ist nicht verpflichtend. Ein Zahlungsdienstleister kann für alle Zahlungsvorgänge eine starke Kundenauthentifizierung verlangen.
Webshop
Online-HändlerInnen sind für die Umsetzung der PSD2 nicht primär verpflichtet. Banken und Zahlungsdienstleister (PSP: payment service provider z.B. Adyen, Concardis, Heidelpay, Intercard, Wirecard uvm.) sind in der Pflicht. Zu empfehlen ist die Absprache mit den PSPs um einen reibungslosen Ablauf der neuen Authentifizierungsverfahren bei Zahlungen sicher zu stellen.
Datenschutzerklärung aktualisieren
Webshop-Betreiber sollten in Bezug auf die Datenübermittlung Rücksprache mit Ihren Zahlungsabwicklern bzw. Zahlungsdienstleister halten. Insbesondere beim neuen Sicherheitsverfahren bei Kreditkartenzahlung (3DS2 – 3-D Secure 2.0) kommt es zu einer weitreichenden Datenweitergabe.
Haftung
KonsumentInnen haften bei missbräuchlicher Verwendung nicht, wenn Sicherheitsstandards nicht eingehalten werden und HändlerInnen die starke Kundenauthentifizierung schuldhaft nicht einfordern (§ 68 Abs 5 ZaDiG 2018). Konsumenten haften nur, wenn sie in betrügerischer Absicht handeln. Ein Missachten von Sorgfaltspflichten löst keine KonsumentInnen-Haftung aus. Regressansprüche bei Missbrauch können beim Zahlungsempfänger (= HändlerIn) oder dessen PSP geltend gemacht werden.
Sind Sie PSD2 fit?
Quellen:
https://nextdigitalbanking.com/psd2-out-of-the-box
https://www.bankaustria.at/psd2.jsp
https://www.pwc.at/de/branchen/financial-services/psd2.html
https://www.guetezeichen.at/blog-detail/starke-kundenauthentifizierung/
https://www.kreditkarte.net/b2b/pos-point-of-sale/zahlungsdienstleister/