Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner
Wie Sie, liebe Leserinnen und Leser der Banken-Times SPEZIAL Bankrecht (BTS), alle wissen, war die „letzte Stufe“ der PSD II zum 14.09.2019 in nationales Recht umzusetzen. Seit dem 14.09.2019 ist daher bei elektronischen Kartenzahlungen in aller Regel eine „Starke Kundenauthentifizierung“ durchzuführen. Bei einem elektronischen Fernzahlungsvorgang ist – zum Schutze des Kunden – sogar eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. Bei einer Überweisung über das Online-Banking wird daher in der genutzten Smartphone-App bzw. dem eigens angeschafften QR-Code-Lesegerät neben der nur einmal gültigen TAN auch der Zahlungsempfänger sowie der zu überweisende Betrag angezeigt.
SEMINARTIPPS
FCH Innovation Days 2020, 15.–16.06.2020, Berlin.
Digitale Authentifizierung im Konten- & Zahlungsverkehr gemäß PSD II, 29.09.2020, Frankfurt/M.
Praxisprobleme in Kontoführung & Zahlungsverkehr, 29.10.2020, Würzburg.
Wer in den vergangenen Wochen Zahlungen im Internet ausgelöst hat, sei es bei der Nutzung eines Online-Shops oder bei der Buchung eines Tickets für den Nah- und Fernverkehr, dem wird aufgefallen sein, dass bei den meisten dieser Transaktionen, denen eine Kreditkartenzahlung zugrunde lag, eine starke Kundenauthentifizierung nicht verlangt wird. Der Grund hierfür liegt nicht in einer gesetzlichen Ausnahmeregelung für Kreditkartenzahlungen im Internet. Grund hierfür ist vielmehr, dass im Gegensatz zu den involvierten Banken die Mehrzahl der Online-Shops- und Händler die Voraussetzungen zur Durchführung einer starken Kundenauthentifizierung trotz der langläufigen Umsetzungsfristen nicht geschaffen haben. Die BaFin hat daher – im Einklang mit der EBA und den Aufsichtsbehörden aus weiteren EU-Staaten – verlauten lassen, dass sie vorerst Verstöße bei online veranlassten Transaktionen, denen eine Kreditkartenzahlung zugrunde liegt, nicht verfolgen wird, wenn die in die Transaktion involvierten Personen die neuen aufsichtsrechtlichen Vorgaben nicht beachten. Wichtig ist, dass dies rein aufsichtsrechtlich rechtliche Wirkungen entfaltet. Die zivilrechtlichen Haftungsregelungen bleiben von dem aufsichtsrechtlichen „Stillhalten“ unberührt. Grundsätzlich haftet somit der Zahlungsdienstleister des Zahlers für eine vom Zahler nicht autorisierte Zahlung. Etwas anders gilt dem Grunde nach und für Online-Transaktionen nur dann, wenn der Zahlungsempfänger oder dessen Zahlungsdienstleister eine starke Kundenauthentifizierung nicht akzeptieren.
FILMTIPP
Starke Kundenauthentifizierung nach PSD 2.
Die BaFin hat bislang nicht verlautbaren lassen, wie lange die aufsichtsrechtliche Ausnahme vom Erfordernis einer starken Kundenauthentifizierung bei Kreditkartenzahlungen im Internet gelten soll.
Beitragsnummer: 3425