Neuregelungen für digitalen Geldtransfer: Zwei von Drei

Das Bezahlen im Internet muss in Zukunft zusätzlichen Sicherheitsstandards genügen. Welchen, das hat die Bundesanstalt für Finanzdienstleistungsaufsicht in einem Rundschreiben mit dem Titel "Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi)" mitgeteilt. Das Rundschreiben setzt die sogenannten "Leitlinien zur Sicherheit von Internetzahlungen" der European Banking Authority (EBA) um. Und es bedeutet noch mehr: Bis zur Umsetzung der geänderten Richtlinie über Zahlungsdienste (PSD II) bildet es die wesentliche rechtliche Grundlage für Sicherheit des Online-Zahlungsverkehrs.

Das Ziel: Betrug im Zahlungsverkehr zu bekämpfen und das Vertrauen der Verbraucher zu stärken. Anders als frühere Regelungsvorschläge der EZB hierzu (die SecuRe Pay Empfehlungen) sind die MaSi ab dem 5. November strikt zu befolgen. Zahlungsdienstleistern, die die über 50 Einzelbestimmungen zur internen Organisation und zum Risikomanagement nicht rechtzeitig umsetzen, drohen aufsichtsrechtliche Sanktionen. Betroffen von den Regelungen sind Kreditinstitute, Zahlungsinstitute und E-Geld-Institute.

Kundenauthentifizierung das wesentliche Novum

Ein wichtiger Teilbereich - und zugleich das bedeutendste Novum - ist die starke Kundenauthentifizierung. Diese verlangt, dass bei einer Online-Zahlung die Identität der Kunden durch zwei verschiedene Merkmale überprüft wird, die aus drei möglichen Kategorien stammen: Wissen, Besitz oder Eigenschaft (Inhärenz).

Zur Kategorie Wissen zählen Elemente, die nur der Nutzer weiß, wie etwa ein Passwort oder einen Code. Mit Besitz sind Gegenstände gemeint, die nur der Nutzer besitzt, zum Beispiel einen Token oder das Mobiltelefon. Unter Inhärenz fallen wiederum die Eigenschaften des Nutzers, das könnte der Fingerabdruck oder die Netzhaut des Auges sein. Die Elemente müssen unabhängig voneinander bestehen, so dass die Verletzung eines Elements keinen Einfluss auf die anderen hat. Zudem dürfen die Elemente nicht wiederverwertbar und nicht reproduzierbar sein, wenn es sich nicht um ein Inhärenz-Element handelt.

Diese Zwei-Faktor-Prüfung betrifft Zahlungen per Kreditkarte, Lastschrift, E-Geld, z.B. PayPal, und auch Überweisungen, wenn diese etwa über giropay oder Sofort-Überweisung vermittelt werden. Von den Regelungen ausgenommen sind Käufe auf Rechnung oder Raten.

Regulierung als Conversion Killer im Online-Geschäft?

Die starke Authentifizierung ist eine Herausforderung für Online-Händler und Kunden. Letztere schließen einen Kaufvorgang mit höherer Wahrscheinlichkeit nämlich dann nicht ab, wenn das Zahlverfahren zu aufwendig ist. Die Folge ist vermutlich ein Einbrechen der so genannten Conversion-Rate, also des Prozentsatzes der Onlinemarktplatzbesucher, die den Kaufvorgang tatsächlich abschließen. Zudem steigt voraussichtlich beim Online-Händler der Verwaltungsaufwand für die Zahlungsabwicklung, insbesondere im Call Center.

Es gibt allerdings bei den MaSi auch Ausnahmeregelungen. Für Transaktionen mit geringem Risiko dürfen Zahlungsdienstleister alternative Authentifizierungsverfahren verwenden. Zudem können Online-Händler sich von ihren Kunden auf sogenannte White Lists von vertrauenswürdigen Zahlungsempfängern setzen lassen und hierdurch die starke Authentifizierung vermeiden.

Das Ziel, Internetzahlungen für alle Beteiligten sicherer zu machen, ist lobenswert. Die strikten Vorschriften der MaSi sind aber eine hohe Hürde für den Onlinehandel. Die Kreativität der Zahlungsindustrie, hier intelligente Wege zu finden, die Sicherheit und Convenience des Kunden gleichzeitig gewährleisten, wird dadurch stark beschränkt. Ein Trost: Die Ausnahmeregelungen und eine sinnvolle Auslegung der MaSi dürften die schlimmsten Probleme verhindern.

Dr. Matthias Terlau ist Leiter des Bereichs Bank- und Kapitalmarktrecht bei Osborne Clarke und berät regelmäßig führende E-Payment-Dienstleister.