Demnach wird es die BaFin nicht beanstanden, wenn Kartenzahlungen im Online-Handel bis Ende nächsten Jahres noch ohne eine nach der PSD2 vorgeschriebene starke Kundenauthentifizierung ausgeführt werden. Händler gewinnen damit Zeit, ihre Shopsoftware zu aktualisieren und ihre Kunden zu informieren. Hintergrund ist eine Empfehlung der europäischen Bankenaufsicht EBA, in der diese den nationalen Aufsichtsbehörden diese Frist empfiehlt. Die Erleichterungen gelten auch für Online-Zahlungen mit Debitkarten oder Prepaid-Karten. Bis zum 31.12.2020 müssen dann alle einschlägigen PSD2-Anforderungen vollständig umgesetzt sein. Unternehmen, die bereits jetzt eine PSD2-konforme Authentifizierungsmethode für Kartenzahlungen anbieten, sollten diese aber nach Empfehlung der BaFin nicht wieder abschalten.

Umstellung eigentlich im September

Eigentlich hätte diese Umstellung schon am 14. September 2019 abgeschlossen sein sollen, dem Stichtag zur Einführung der Regeln aus der PSD2. Einige Wochen vor dem 14.09. hatte die BaFin bereits über die Erleichterungen bei der Kundenauthentifizierung informiert, aber noch keine Frist für die endgültige Umsetzung genannt. Diese steht nun also fest.

Die PSD2 schreibt für Zahlungen die Verwendung von zwei der drei Merkmale „Wissen“ (z.B. PIN oder Passwort), „Besitz“ (z.B. Mobiltelefon oder Bankkarte) und „Inhärenz“ (biometrische Merkmale wie Fingerabdruck oder Iris) vor. Beim Onlinebanking ist dies bereits seit September Pflicht. Neben den üblichen Anmeldeinformationen müssen User nun etwa eine einmalige Transaktionsnummer (TAN) anfordern und sich diese zum Beispiel per SMS an eine zuvor bei ihrer Bank hinterlegte Handynummer schicken lassen.

Weitere Infos zu PSD2, Strong Customer Authentification (SCA), Zwei-Faktor-Authentifizierung (2FA) und zum neuen Verfahren 3D-Secure 2 finden Sie im Artikel „PSD 2: Neue Regeln beim Bezahlen im Onlineshop (offiziell) in Kraft“.