PSD2: Keine Pflicht zur 2-Faktor-Authen­ti­fi­zie­rung für Online-Händler

Die PSD2, eine bedeutende EU-Zahlungsdienste-Richtlinie, soll Verbraucher besser vor unbefugtem Kontozugriff schützen. Die 2-Faktor-Authentifizierung ist ein Bestandteil der PSD2. Wir verraten Ihnen, was das konkret für Online-Händler bedeutet.

Titelbild | PSD2: Keine Pflicht zur 2-Faktor-Authentifizierung für Online-Händler | onwalt-Akademie

Ziele und Inhalte der PSD2

Bereits am 12. 1. 2016 ist die 2. EU-Zahlungsdienste-Richtlinie (Payment Services Directive 2 – PSD2) vom 25. 11. 2015 in Kraft getreten.

Eines der Ziele der Richtlinie ist es, Verbraucher besser vor unbefugten Kontozugriffen zu schützen. Deshalb mussten Zahlungsdienstleister in Deutschland bis zum 14. September 2019 sichere Methoden einführen, um Kunden beim Login und bei Überweisungen zu identifizieren.

Früher genügte ein einfaches Passwort, um sich im Onlinebanking einzuloggen, und eine TAN, um eine Zahlung auszulösen. Das wurde für zu unsicher befunden und genügt nach den Regelungen der PSD2 nicht mehr.

Bessere Sicherheit durch „zweiten Faktor“

Mit der Umsetzung der PSD2 muss der Kontoinhaber nun zwei Sicherheitsmerkmale („Faktoren“) vorweisen. Das bedeutet zum Beispiel, dass neben der bisherigen PIN ein Smartphone verwendet werden kann, auf dem eine zusätzliche Kennung (TAN) generiert wird, um sich einzuloggen oder Zahlungen auszulösen. Alternativ kann auch eine Girokarte zusammen mit einem Kartenleser (TAN-Generator) als zweiter Faktor dienen.

Banner für professionelle Rechtstexte für Ihren Onlineshop

PSD2-Pflichten treffen nur Zahlungsdienste

Zur Umsetzung dieser Sicherheitsmaßnahmen sind aber nur Zahlungsdienste verpflichtet – dies sind Banken, Sparkassen, Kreditkarten-Unternehmen, PayPal, Stripe und bestimmte andere Dienstleister, die Zahlungen veranlassen, wie z.B. „Sofortüberweisung“ von Klarna („Zahlungsauslösedienste“), oder in anderer Form Einblick in ein Konto erhalten können (Schnittstellendienste, APIs, „Smart Banking“).

Online-Händler sind keine Zahlungsdienste

Online-Händler sind keine solchen Zahlungsdienste. Daher müssen Online-Händler auch keine „starke Kundenauthentifizierung“ oder „2-Faktor-Authentifizierung“ anbieten. Sie können vielmehr alle Zahlungsmethoden weiterhin verwenden, die sie auch bisher schon eingebunden haben.

Auch wenn ein Unternehmer Rechnungsbeträge per SEPA-Lastschrift einzieht, ändert sich für den Unternehmer nichts. Denn die PSD2 gilt nicht für die Einrichtung oder Ausführung von SEPA-Lastschriften, sondern nur für Kontoabfragen, Überweisungen und Kartenzahlungen.