PSD2: BaFin verschiebt Starke Kundenauthentifizierung (SCA) für Kreditkartenzahlungen

Am 21. August 2019 verkündete die BaFin in einer Pressemitteilung: Kreditkartenzahlungen im Internet dürfen auch nach dem Stichtag vorerst ohne Starke Kundenauthentifizierung (auch zwei-Faktor-Authentifizierung genannt) durchgeführt werden. Eigentlich gilt diese Vorgabe aus der zweiten Europäischen Zahlungsdiensterichtlinie (Payment Services Directive – PSD2) ab dem 14. September 2019. Bezahlen im Internet soll dadurch sicherer werden.
 
Die BaFin hält zwar die kartenausgebenden Zahlungsdienstleister in Deutschland für ausreichend vorbereitet, jedoch nicht die Unternehmen, die diese Zahlungen empfangen. Damit Unternehmen und Verbraucher die Möglichkeit der Kreditkartenzahlungen jedoch weiterhin nutzen können, besteht die BaFin in solchen Fällen vorerst nicht auf die Starke Kundenauthentifizierung. Die Europäische Bankenaufsichtsbehörde (European Banking Authority – EBA) hatte den nationalen Aufsichtsbehörden eine entsprechende Handlungsoption eingeräumt. Das bereits bestehende Sicherheitsniveau für Zahlungen im Internet und zivilrechtliche Haftungsregeln (bspw. zwischen Karteninhaber und Zahlungsdienstleister) bleiben natürlich bestehen. Ein Nachteil soll laut BaFin durch diese Verlängerung nicht entstehen.

Wie lange die BaFin diese Ausnahmeregelungen aufrechterhält, wird nach einer Konsultation mit der EBA, anderen Aufsichtsbehörden und Marktteilnehmern verkündet. Gleichzeitig stellte die BaFin aber auch klar, dass sie eine zügige Umsetzung der Vorgaben zur Starken Kundenauthentifizierung erwartet.

Auch die Österreichische Finanzmarktaufsichtsbehörde (FMA) verlängert die Frist zur Umsetzung der Starken Kundenauthentifizierung in Österreich bis auf europäischer Ebene eine einheitliche neue Frist beschlossen wird. Dies ist voraussichtlich Ende September der Fall. Die FMA gab dazu eine Pressemeldung am 19. August heraus, nach der ähnliche Bedenken wie die von der BaFin angegeben werden. Die FMA erwartet von den österreichischen Zahlungsdienstleistern konkrete Pläne zum Fortschritt der Umsetzung und laufend Informationen zu den Bemühungen.

Bereits vor wenigen Tagen verkündete die BaFin in einem Rundschreiben, dass die Befreiungen vom Erfordernis der Notfallmechanismen für Kontoschnittstellen für Drittanbieter nicht wie ursprünglich erwartet ab dem 14. September 2019 erteilt werden können.  Drittdienstleister wie Zahlungsauslösedienste und Kontoinformationsdienste können daher weiterhin andere, bestehende Schnittstellen nutzen, bis die neuen Schnittstellen den PSD2 Standards entsprechen.
 
Bei in Deutschland gebräuchlichen Lastschriften im Internet sieht die BaFin generell keinen Bedarf für Starke Kundenauthentifizierung.