BaFin will PSD2/SCA-Pflicht erst mal nicht beanstanden – nennt aber kein Enddatum

PSD2 verpflichtet Zahlungs­dienst­leister, ab dem 14. September eine Starke Kundenauthentifizierung (SCA) durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Nun wird klar, dass das schlicht nicht geht: Zahlungs­dienst­leister mit Sitz in Deutschland dürfen deshalb Kreditkartenzahlungen im Internet ab dem 14. September vorerst auch ohne starke Kunden­authentifizierung ausführen. Die BaFin werde die Nichteinhaltung “zunächst nicht beanstanden” – nennt aber kein Enddatum.

Die BaFin entschärft die Regelung zwar nicht verbindlich, werde aber die Nichteinhaltung “zunächst nicht beanstanden”. Heißt: Unternehmen verstoßen trotzdem gegen geltendes Recht, die BaFin drückt aber die Augen zu. Nur: Es gibt keine Planungssicherheit, denn die Erleichterungen seien zeitlich befristet. Ohne konkretes Enddatum. Das ist einfach unklar.

Wann die Befristung auslaufe, will die BaFin festlegen, “nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet“, so die Pressemitteilung.

Im Kern will man damit den Ausbruch des verursachten Chaos mit nationalen Mitteln verhindern (“SCA: Ein Aufschub wäre zwecklos”) – oder wie es in der Meldung heißt: “Sie will damit Störungen bei
Internetzahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen.”

SCA: Das Ziel ist nobel, doch es gibt Streit um die tatsächliche Höhe der Schäden

PSD2/SCA soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.

Nach Einschätzung der BaFin seien die kartenausgebenden Zahlungsdienstleister in Deutschland auf die
neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen
im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf.
Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditkartenzahlungen im Internet vorübergehend nicht auf einer starken
Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten.aj