Seit dem 1. Januar 2021 müssen Sie bei jeder elektronischen Zahlung auf zwei Arten nachweisen, dass es sich tatsächlich um Ihr Konto handelt. Dies ist Teil der zweiten europäischen Zahlungsdiensterichtlinie (PSD2), die darauf abzielt, Online-Betrug durch diesen zusätzlichen Schutz für Verbraucherinnen und Verbraucher zu verringern.

Die zweite europäische Zahlungsdiensterichtlinie (PSD2) wurde als Reaktion auf das Wachstum des elektronischen Handels in Europa einerseits und den starken Anstieg von Phishing und anderen Formen des Internetbetrugs andererseits erlassen. Die Richtlinie verpflichtet Online-Shops, ab dem 1. Januar 2021 eine starke Kundenauthentifizierung anzuwenden. Dadurch werden potenzielle Betrugsrisiken bei Online-Zahlungen erheblich verringert.

Mehr Merkmale, weniger Gefahr

Die Zeiten, in denen man online nur durch Eingabe einer Kreditkartennummer und eines CVC-Codes bezahlen konnte, sind endgültig vorbei. Die PSD2 verlangt von Online-Shops eine starke Kundenauthentifizierung. Das bedeutet, dass Sie sich bei einer Zahlung mit zwei Merkmalen aus verschiedenen Kategorien identifizieren:

• Etwas, das Sie wissen: Sie identifizieren sich mit einer PIN, einem Passwort oder etwas anderem, das nur Sie kennen.
• Etwas, das Sie haben: Sie identifizieren sich mit einer Kredit- oder Debitkarte, einem Bankkartenlesegerät, einem Telefon, an das ein Code per SMS gesendet werden kann, oder mit etwas anderem, über das nur Sie die Kontrolle haben.
• Wer Sie sind: Sie identifizieren sich mit Ihrem Fingerabdruck (z. B. Touch ID auf einem iPhone), der Gesichtserkennung (z. B. Face ID auf einem iPhone), einem Iris-Scan oder anderen persönlichen Merkmalen, die Sie einzigartig machen.

Diese zusätzliche Prüfung bei jeder Zahlung verhindert einen Großteil des Online-Betrugs. Wenn bei einem Betrug Ihre PIN oder Ihr Passwort geklaut wurden (Etwas, das Sie wissen), sind Online-Zahlungen über Ihr Konto nicht möglich, solange nicht auch ein zweites Merkmal bekannt ist (Etwas, das Sie haben oder Wer Sie sind).

Wann wird diese starke Kundenauthentifizierung angewendet?

Die Banken verwenden schon seit langem eine starke Kundenauthentifizierung, wenn ihre Kundinnen und Kunden sich in ihren Online-Banking-Systemen anmelden. Die PSD2 hat diese Verpflichtung auf alle europäischen Zahlungen ausgeweitet. Die zusätzliche Identifikationspflicht gilt nun auch, wenn Sie:

• online einkaufen;
• in einem Geschäft mit Ihrer Bankkarte oder Telefon bezahlen;
• eine Überweisung ausführen;
• einen Lastschriftauftrag registrieren;
• ein Konto einsehen.

Ausnahmen

Unter Umständen ist eine starke Kundenauthentifizierung aber unpraktisch. PSD2 hat deswegen Ausnahmen von der Verpflichtung definiert. Das sind die wichtigsten Ausnahmen: 

• kontaktlose Zahlungen für weniger als 50 Euro in den Geschäften;
• Online-Einkäufe für weniger als 30 Euro;
• Zahlungen an Parkplatz- und Mautautomaten.

Das Betrugsrisiko ist in diesen Fällen geringer, da es sich um kleine Beträge handelt. Doch selbst für diese Ausnahmen bestehen Einschränkungen, um das Risiko zu verringern. Bei kontaktlosen Zahlungen und Online-Einkäufen ohne starke Kundenauthentifizierung ist nach jeweils fünf Transaktionen eine erneute Authentifizierung erforderlich. Bei wiederkehrenden Abonnementzahlungen reicht eine einmalige starke Kundenauthentifizierung aus.