Bezahlen im Internet
Das Online-bezahlen wird sicherer, aber auch komplizierter
Beim Onlinebanking müssen Sie Ihre Identität schon jetzt immer mal wieder über die „starke Authentifizierung“bestätigen. Weil die Schonfrist für den Onlinehandel zum Jahresende auslief, gilt das Gleiche nun beim Bezahlen von Interneteinkäufen. Auch informieren wir hier zur Ökodesign-richtlinie 2021 und zu den neuen Energielabeln.
Beim Onlinebanking gilt die zweite Europäische Zahlungsdiensterichtlinie, häufig abgekürzt mit PSD2, schon seit Herbst 2019. Da muss man sich über das Einloggen hinaus zwar nicht jedes Mal zusätzlich authentifizieren, aber eben doch spätestens nach 90 Tagen sowie bei bestimmten Prozessen. Und genau diese sogenannte starke Authentifizierung gilt seit Anfang Januar nun auch bei Einkäufen im Internet. Ursprünglich sollte die PSD2 („Payment Services Directive 2“) von Beginn an Eu-weit für sämtliche Bereiche gelten, doch die Onlinehändler
hierzulande erhielten von der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) als zuständiger Aufsichtsbehörde eine 15-monatige Schonfrist. Während dieser Zeit genügte es beim Onlinebezahlen weiterhin, dass Kunden ihre Kreditkartennummer und gegebenenfalls zusätzlich die dreistellige Prüfzimmer eingaben. Diese Übergangsfrist ist zum 1. Januar ausgelaufen, die starke Kundenauthentifizierung („Strong Customer Authentication”, kurz SCA), gilt damit auch für viele Bezahlverfahren im Internet und muss von allen Onlinehändlern im Kaufprozess ihrer Shops integriert sein.
Starke Kundenauthentifizierung gilt jetzt auch beim Onlinebezahlen
Die 2-Faktor-authentifizierung der Eu-zahlungsdiensterichtlinie verlangt, dass Verbraucher ihre Identität über mindestens zwei von drei möglichen und voneinander unabhängigen Sicherheitsfaktoren – Wissen, Besitz und Inhärenz (Biometrie) – belegen müssen. Zum Wissen zählen beispielsweise Passwort und PIN, als Besitz das Mobiltelefon oder die Kredit- beziehungsweise Ec-karte in Verbindung mit einem Tan-generator, die Inhärenz lässt sich per Gesichtserkennung oder Fingerabdruck belegen.
Die neue Pflicht gilt fürs Bezahlen mit Ecoder Geldkarte ebenso wie für die Bezahldienstleister Paypal und Klarna. Ausgenommen sind Zahlungen per Lastschrift, weil diese der Händler und nicht der Kunde auslöst. Beim Bezahlen per Rechnung kommt es darauf an, wie der Kunde den Betrag später begleicht: per Überweisungsträger wie früher oder per Onlinebanking. In diesem Fall findet die PSD2 ohnehin schon Anwendung. So einfach wie bisher bleibt das Onlinebezahlen mit dem Mobiltelefon, weil Apple und Google die 2-Faktor-authentifizierung ohnehin schon in den Bezahlprozess implementiert haben.
Für die Umsetzung der starken Authentifizierung bei der häufig gewählten Zahlungsvariante Kreditkarte ist zwischen den Herausgebern und den Anbietern zu unterscheiden: Herausgegeben werden die Karten von den Geldinstituten, also den Ban
„Übergangsfrist beendet: Ab sofort wird das Onlinebezahlen sicherer, aber auch etwas komplizierter.“
ken und Sparkassen. Als Anbieter fungieren Mastercard, Visa und American Express. Zwar sind die Banken für den Sca-prozess verantwortlich, in der Praxis greifen sie dazu aber auf das 3D-secure-verfahren („3DS“) der Anbieter zurück.
Wie der Authentifizierungsprozess genau in der Praxis abläuft, bestimmen wieder die Geldinstitute: per SMS-TAN, App auf dem Smartphone, Tan-generator, Photo-tan oder Onlinebanking. Welches Verfahren Ihre Bank nutzt, erfahren Sie über deren Webseite. Um auch künftig mit der Kreditkarte bei europäischen Onlinehändlern bezahlen zu können, müssen Sie die 3Dsfunktion „Visa Secure“oder „Mastercard Identity Check“bei Ihrer Bank registrieren. Ein paar Ausnahmen von der neuen Psd2richtlinie gibt es auch: Beträge bis 30 Euro, wiederkehrende Zahlungen wie Abonnements und „vertrauenswürdige Händler“, die der Kunde bei seinem Geldinstitut hinterlegen kann.
Bank muss Drittanbietern Zugriff auf Kundenkonten gewähren
Bereits seit Inkrafttreten der zweiten Europäischen Zahlungsdiensterichtlinie im September 2019 müssen die Geldinstitute auch sogenannten dritten Zahlungsdienstleistern Zugriff auf die Bankkonten ihrer Kunden geben – vorausgesetzt, die stimmen ausdrücklich zu. Das können Dienste zum Abrufen von Kontoinformationen, für die Kontodeckungsprüfung oder zum Auslösen von Zahlungen sein. Über die Zahlungsauslösedienste beispielsweise bezahlen Sie Interneteinkäufe, ohne dass Sie sich jedes Mal in das Onlinebanking Ihrer Bank einloggen müssen.
Während der Zugang für Kontoinformation und die Deckungsüberprüfung den Drittanbietern für einen bestimmten Zeitraum genehmigt wird, benötigt ein Zahlungsauslösedienst für jede einzelne Zahlung Ihre erneute Genehmigung. Ihre grundsätzliche Zustimmung für solche Drittdienstleister geben Sie bei Ihrem Geldinstitut nach dem Log-in zum Onlinebanking in der Regel im „persönlichen Bereich“, das gleiche gilt für den Widerruf. Fragen Sie gegebenenfalls bei der Bank nach.