Neue Regeln bei Onlinezahlungen: Was sich für Shopbetreiber ändert

Was steckt dahinter?

Die Idee klingt grundsätzlich klug und vernünftig: strengere Regeln beim Bezahlen in Onlineshops, dafür weniger Missbrauch und Cyberkriminalität. Das wünscht sich im Grunde jeder, Käufer und Verkäufer. Deshalb will die Bankenaufsicht in Zukunft mehrere Identitätselemente überprüfen und so feststellen, ob es sich tatsächlich um den vermeintlichen Kunden handelt. “Das Auslösen von Zahlungen sowie der Zugriff auf sensible Zahlungsdaten sollen durch eine starke Authentifizierung der Kunden geschützt werden”, heißt es in den Meindestanforderungen.

Erforderlich für eine starke Kundenauthentifizierung sind in Zukunft mindestens zwei der folgenden drei Elemente:

• Wissen: Etwas, das ausschließlich der Kunde weiß (Passwort, PIN)
• Besitz: Etwas, das ausschließlich der Kunde hat (zB Chip-TAN-Gerät)
• Inhärenz: Eine biometrische Eigenschaft des Kunden (zB Fingerabdruck), die diesem eindeutig zugeweisen werden kann

Wann und für wen gilt das?

Die neuen Regeln greifen erst, wenn die Kaufsumme über 30 Euro liegt. Außerdem gelten sie zunächst nur für Bankinstitute, die öffentliche Verwaltung (zB Bund, Länder, Gemeinden) sowie Zahlungsdienstleister. Aber auch hier gibt es Ausnahmen:  einige Anbieter müssen sich nur an abgemilderte Spezialregelungen halten, die das Missbrauchsrisiko minimieren sollen. Und die wohl wichtigste Ausnahme heißt Paypal. Für den weit verbreiteten Zahlungsdienstleister gilt die ganze Sache derzeit überhaupt nicht.

Aufmerksamkeit ist dennoch geboten: Onlineshops müssen “für Internetzahlungen per Kreditkarte Technologien nutzen, die es dem Aussteller ermöglichen, eine starke Authentifizierung des Karteninhabers vorzunehmen”, heißt es weiter in den Richtlinien. Das bedeutet, Shopbetreiber sollten sich bei Zahlungsanbietern erkundigen, wie sie die Authentifizierung vornehmen – und gegebenenfalls handeln. “Halten die Online-Händler die Verträge nicht ein, so müssen die Zahlungsdienstleister deren Umsetzung anmahnen und gegebenenfalls Sanktionen bis hin zur Kündigung ergreifen.” Von der BaFin sind aber bei Zuwiederhandlung oder Nicht-Handeln vorerst keine Strafen zu erwarten.

Ist dann alles absolut sicher?

Nein. Erstens, weil es Ausnahmen gibt. Paypal ist nur eine davon. Auch der Kauf auf Rechnung bleibt von der Richtlinie ausgenommen. Außerdem kann der Zahlungsdienstleister auf die starke Kundenauthentifizierung verzichten bei Kreditkartentransaktionen oder bei Zahlungen an Adressaten, die Händler durch eine so genannte White-List als vertrauenswürdig eingestuft haben. Und zweitens, weil selbst eine Zwei-Faktoren-Authentifizierung keinen hundertprozentigen Schutz vor Missbrauch bieten kann. Cyberangriffe durch Malware beispielweise werden dadurch nicht aufgehalten. Der Händler sollte stets wachsam bleiben und bei dem Verdacht irregulärer Transaktionen oder merkwürdigen Bewegungen im Shop reagieren.

Wie werden die Shopkunden auf die neue Regelung reagieren?

Im schlimmsten Fall mit Kaufabbrüchen. Der Prozess dauert länger, ist vielleicht manchen zu umständlich. Das ist – nicht nur aktuell vor dem Weihnachtsgeschäft – DER maßgebliche Faktor.  Allerdings steigt das Bewusstsein, sensible Daten im Internet schützen zu müssen, wenn auch langsam. Immer mehr Menschen ist es schon passiert, dass ihnen kritische Daten gestohlen wurden und sie jetzt den längeren Prozess zur Sicherheit in Kauf nehmen. Händler sollten bei der Umsetzung der neuen Regeln Kunden direkt darauf aufmerksam machen und ihnen die Beweggründe erklären. Das erhöht das Verständnis. Sollte auch Paypal irgendwann von den Richtlinien betroffen sein, könnte das zudem die Zahlungspräferenzen verschieben. Wohin, das ist jetzt noch nicht absehbar. Eine Renaissance von Bankeinzug und Kreditkartenzahlung ist aber nicht zu erwarten.

Autorin: Simone Schnell