Starke Kundenauthentifizierung bei Lastschriften im Internet


Hintergrund:

Am 14. September 2019 tritt § 55 Abs. 1 ZAG (Gesetz über die Beaufsichtigung von Zahlungsdiensten) in Kraft und setzt die Anforderungen aus Art. 97 der Zweiten Zahlungsdiensterichtlinie (PSD2) um. Zahlungsdienstleister werden damit verpflichtet, eine „Starke Kundenauthentifizierung“ durchzuführen, wenn der Zahler

  • online auf sein Zahlungskonto zugreift,
  • einen elektronischen Zahlungsvorgang auslöst oder
  • über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.

Starke Kundenauthentifizierung bedeutet, dass das Freigabeverfahren aus mindestens zwei Elementen aus den folgenden drei Kategorien bestehen muss:

  • Wissen, z. B. Passwort/PIN – etwas, das nur der Nutzer weiß
  • Besitz, z. B. Mobiltelefon – etwas, das nur der Nutzer besitzt
  • Inhärenz, z. B. Fingerabdruck – etwas, das der Nutzer ‚ist‘

Bei einem Fernzahlungsvorgang erfolgt eine zusätzliche dynamische Verknüpfung in Bezug auf Empfänger und Betrag.


Bezug auf Lastschriften im Internet:

Hierzu nimmt die BaFin dahingehend Stellung (Verbraucher mitteilung der BaFin vom 17. April 2019), dass bei Lastschriftzahlungen im Internet die Starke Kundenauthentifizierung nur dann erforderlich ist, wenn diese Erteilung unter direkter Einbindung des Zahlungsdienstleisters des Zahlers erfolgt.

Somit ist bei der in der Praxis gängigen Lastschriftmandatserteilung im Internet gegenüber dem Empfänger keine Starke Kundenauthentifizierung notwendig.

Die BaFin begründet dies damit, dass die Mandatserteilung des Zahlers in der Regel nur gegenüber dem Zahlungsempfänger erteilt wird, ohne dass der Zahlungsdienstleister des Zahlers direkt eingebunden ist. Da in diesen Fällen das Auslösen der Zahlung durch den Zahlungsempfänger und nicht durch den Zahler erfolgt, löst die Zahlung selbst ebenfalls nicht die Pflicht einer Starken Kundenauthentifizierung aus. 

Einzig das sogenannte e-Mandat im Sinne des SEPA-Regelwerks ist von der Starken Kundenauthentifizierung betroffen, da hier der Zahlungsdienstleister des Zahlers bei der Zustimmung zur Zahlung direkt eingebunden ist. Dem Zahlungsempfänger wird ein automatischer End-to-End-Prozess über einen gesicherten Kanal zur Verfügung gestellt. Er erhält eine Bestätigung, dass die Mandatsdaten korrekt sind, dass der Zahlungspflichtige über das angegebene Konto verfügungsberechtigt ist und der Mandatserteilung zugestimmt hat. Für den Zahlungspflichtigen entfällt das Ausfüllen und Versenden des papierhaften Formulars.


Handlungsbedarf:

  • Prüfung ob das SEPA e-Mandat eingesetzt wird und die Erteilung durch die Starke Kundenauthentifizierung bis spätestens 14. September 2019 sichergestellt ist
  • Prüfung, ob in anderen Fällen von Lastschriftzahlungen im Internet auf eine Starke Kundenauthentifizierung verzichtet werden kann/wird