LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

Neuregelungen für digitalen Geldtransfer: Zwei von Drei

von Dr. Matthias Terlau

06.07.2015

BaFin, MaSi, EBA, PSD II – klingt technisch und ist es auch. Dahinter verbergen sich neue Regelungen für das Bezahlen im Internet. Eine wichtige neue Maßgabe erläutert Matthias Terlau.

Das Bezahlen im Internet muss in Zukunft zusätzlichen Sicherheitsstandards genügen. Welchen, das hat die Bundesanstalt für Finanzdienstleistungsaufsicht in einem Rundschreiben mit dem Titel "Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi)" mitgeteilt. Das Rundschreiben setzt die sogenannten "Leitlinien zur Sicherheit von Internetzahlungen" der European Banking Authority (EBA) um. Und es bedeutet noch mehr: Bis zur Umsetzung der geänderten Richtlinie über Zahlungsdienste (PSD II) bildet es die wesentliche rechtliche Grundlage für Sicherheit des Online-Zahlungsverkehrs.

Das Ziel: Betrug im Zahlungsverkehr zu bekämpfen und das Vertrauen der Verbraucher zu stärken. Anders als frühere Regelungsvorschläge der EZB hierzu (die SecuRe Pay Empfehlungen) sind die MaSi ab dem 5. November strikt zu befolgen. Zahlungsdienstleistern, die die über 50 Einzelbestimmungen zur internen Organisation und zum Risikomanagement nicht rechtzeitig umsetzen, drohen aufsichtsrechtliche Sanktionen. Betroffen von den Regelungen sind Kreditinstitute, Zahlungsinstitute und E-Geld-Institute.

Kundenauthentifizierung das wesentliche Novum

Ein wichtiger Teilbereich - und zugleich das bedeutendste Novum - ist die starke Kundenauthentifizierung. Diese verlangt, dass bei einer Online-Zahlung die Identität der Kunden durch zwei verschiedene Merkmale überprüft wird, die aus drei möglichen Kategorien stammen: Wissen, Besitz oder Eigenschaft (Inhärenz).

Zur Kategorie Wissen zählen Elemente, die nur der Nutzer weiß, wie etwa ein Passwort oder einen Code. Mit Besitz sind Gegenstände gemeint, die nur der Nutzer besitzt, zum Beispiel einen Token oder das Mobiltelefon. Unter Inhärenz fallen wiederum die Eigenschaften des Nutzers, das könnte der Fingerabdruck oder die Netzhaut des Auges sein. Die Elemente müssen unabhängig voneinander bestehen, so dass die Verletzung eines Elements keinen Einfluss auf die anderen hat. Zudem dürfen die Elemente nicht wiederverwertbar und nicht reproduzierbar sein, wenn es sich nicht um ein Inhärenz-Element handelt.

Diese Zwei-Faktor-Prüfung betrifft Zahlungen per Kreditkarte, Lastschrift, E-Geld, z.B. PayPal, und auch Überweisungen, wenn diese etwa über giropay oder Sofort-Überweisung vermittelt werden. Von den Regelungen ausgenommen sind Käufe auf Rechnung oder Raten.

Regulierung als Conversion Killer im Online-Geschäft?

Die starke Authentifizierung ist eine Herausforderung für Online-Händler und Kunden. Letztere schließen einen Kaufvorgang mit höherer Wahrscheinlichkeit nämlich dann nicht ab, wenn das Zahlverfahren zu aufwendig ist. Die Folge ist vermutlich ein Einbrechen der so genannten Conversion-Rate, also des Prozentsatzes der Onlinemarktplatzbesucher, die den Kaufvorgang tatsächlich abschließen. Zudem steigt voraussichtlich beim Online-Händler der Verwaltungsaufwand für die Zahlungsabwicklung, insbesondere im Call Center.

Es gibt allerdings bei den MaSi auch Ausnahmeregelungen. Für Transaktionen mit geringem Risiko dürfen Zahlungsdienstleister alternative Authentifizierungsverfahren verwenden. Zudem können Online-Händler sich von ihren Kunden auf sogenannte White Lists von vertrauenswürdigen Zahlungsempfängern setzen lassen und hierdurch die starke Authentifizierung vermeiden.

Das Ziel, Internetzahlungen für alle Beteiligten sicherer zu machen, ist lobenswert. Die strikten Vorschriften der MaSi sind aber eine hohe Hürde für den Onlinehandel. Die Kreativität der Zahlungsindustrie, hier intelligente Wege zu finden, die Sicherheit und Convenience des Kunden gleichzeitig gewährleisten, wird dadurch stark beschränkt. Ein Trost: Die Ausnahmeregelungen und eine sinnvolle Auslegung der MaSi dürften die schlimmsten Probleme verhindern.

Dr. Matthias Terlau ist Leiter des Bereichs Bank- und Kapitalmarktrecht bei Osborne Clarke und berät regelmäßig führende E-Payment-Dienstleister.

Zitiervorschlag

Dr. Matthias Terlau, Neuregelungen für digitalen Geldtransfer: Zwei von Drei . In: Legal Tribune Online, 06.07.2015 , https://www.lto.de/persistent/a_id/16067/ (abgerufen am: 19.08.2019 )

Infos zum Zitiervorschlag
Kommentare
  • 29.07.2015 17:07, Anonym

    Vielen Dank für den sehr aufschlussreichen Artikel, Dr. Terlau!
    Was mir nicht ganz klar ist: Die PSD2 und damit auch die MaSi richtet sich ja an Zahlungsdienstleister und nicht an die Händler direkt. Heißt das nun, dass eine starke Authentifizierung seitens der Banken, Zahlungsdienstleister, etc. angeboten werden muss oder dass der Händler sie tatsächlich auch einsetzen muss? Könnte ein Händler die Problematik damit umgehen, indem er einen Zahlungsdienstleister wählt, der außerhalb der EU reguliert wird? Und dadurch das die Zahlung Lastschrift sowie geschlossene Systeme, wie PayPal, nicht betrifft - wird es dann also ausschließlich Kreditkarten-Zahlungen betreffen?

  • 03.08.2015 00:02, t4rsec

    @Anonym:
    Die Zahlungsdienstleister "sollen" (müssen mit in MaSI 7.1 definierten Ausnahmen) die starke Authentifizierung anbieten. Ein Ausweg ist, dass der Händler sich auf die Whitelist setzen lässt, nur Kleinbeträge unter 30 € abrechnet oder dass der Händler auf einen Kunden trifft, die beide beim gleichen ZDL sind und ein geringes Transaktionsrisiko haben. Da ist viel Spielraum!
    Selbst kartenausgebende ZDL "sollen" die starke Authentisierung nur "unterstützen" bzw. "ermöglichen".
    PayPal unterfällt der Regulierung der MaSI und PSD, weil es in Luxemburg registriert ist.
    Ein außereuropäischer ZDL unterfällt zwar nicht der MaSI oder PSD, allerdings ist der Grat zwischen ZDL und Kreditinstitut bzw. Institut mit Einlagen sehr schmal. Zudem: welches Vertrauen soll ein europäischer Kunde in ein nicht-europäisches Institut haben?

    • 07.08.2015 17:19, PT

      Gilt die Verpflichtung denn für das ZI ggü. seinen Kunden (den Händlern) oder aber den Endkunden (den Kunden der Händler)?

    • 06.09.2015 20:25, t4rsec

      Die Verpflichtung zur starken Authentisierung richtet sich an den ZDL, welcher diese für die Kunden der an ihn vertraglich gebundenen Händler umzusetzen hat.
      Für die Übermittlung "sensibler Zahlungsdaten" haben Händler, Zahlungsdienstleister sichere Übertragungswege zu nutzen.