Neuerungen, nicht nur im Finanzsektor

PSD2: Bezahlen? Aber sicher!
Keine Kommentare

Zum 14.09.2019 endete die Umsetzungsfrist der sogenannten zweiten Zahlungsdiensterichtlinie der EU, die auf Englisch als Second Payment Services Directive, kurz: PSD2, bezeichnet wird. Die Richtlinie muss in den einzelnen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Daher sind ihre Regelungen, die im folgenden Beitrag vorgestellt werden, seit dem Stichtag Mitte September bindend.

Ein nicht unwesentlicher Bestandteil der PSD2 sind die Regelungen zur starken Kundenauthentifizierung (engl.: Strong Customer Authentication, kurz: SCA). Die SCA soll bewirken, dass ein elektronischer Zahlungsvorgang einer bestimmten Person zugeordnet werden kann, um Missbrauch möglichst zu verhindern. Zu der bisher üblichen Authentifizierung durch bloße Eingabe einer Kreditkartennummer oder PayPal-Kennung muss also eine zweite Stufe hinzukommen. Zu diesem Zweck muss eine Zwei-Faktor-Authentifizierung zum Einsatz kommen, die zwei von drei gesetzlich vorgegebenen Methoden verwendet:

  • Methode Wissen: Information, die nur der Kunde kennt (Passwörter, Sicherheitsfragen, PINs o. ä.)
  • Methode Besitz: Sache, die nur der Kunde hat (Karte, Smartphone-App etc.)
  • Methode Inhärenz: Eigenschaft, die dem Kunden „anhaftet“ (z. B. Fingerabdruck, Irisscan, Stimm- oder Gesichtserkennung)

Die meisten werden das schon z. B. von ihrer Hausbank kennen, weil sie inzwischen das Log-in in den eigenen Kundenbereich via Browser noch zusätzlich mittels App bestätigen müssen. Da die Vorgaben der PSD2 nicht starr sind, gibt es verschiedene Varianten der Umsetzung. Wichtig ist nur, dass mindestens zwei Faktoren aus den genannten Bereichen verwendet werden.

International PHP Conference

How Much Framework?

by Arne Blankerts (thePHP.cc)

Building a Cloud-Friendly Application

by Larry Garfield (Platform.sh)

Crafting Maintainable Laravel Applications

by Jason McCreary (Pure Concepts, LLC)

JavaScript Days 2020

Wie ich eine React-Web-App baue

mit Elmar Burke (Blendle) und Hans-Christian Otto (Suora)

Architektur mit JavaScript

mit Golo Roden (the native web)


Die Europäische Bankenaufsichtsbehörde (EBA) hat die technischen Standards zur Umsetzung der PSD2-Vorgaben bewusst technologieneutral gestaltet, um Innovationen zu ermöglichen. Dadurch können (und sollen) ganz unterschiedliche Technologien zum Einsatz kommen. Unabhängig davon erfolgt der Zugriff auf Kontodaten jedoch immer nur nach ausdrücklicher Einwilligung des Kunden und wird über die betreffende Bank abgewickelt. Vor einem erstmaligen Abfragen der Kontoinformationen muss der Kunde dem also zustimmen. Anschließend ist dem anfragenden Anbieter der Kontozugriff für 90 Tage möglich, danach muss in einen weiteren Zugriff erneut eingewilligt werden.

Außerdem dürfen die Daten nur für den konkret vorgesehenen Zweck genutzt werden. Ein maschinengesteuertes Auslesen von Konten, insbesondere von Girokonten, ist nicht zulässig, denn es sollen keine umfänglichen Informationen über alle Eingänge, Zahlungen oder Gewohnheiten einsehbar sein. Selbstverständlich sind alle Kreditinstitute, Zahlungsanbieter oder andere Dienstleister dazu verpflichtet, nach dem Stand der Technik geeignete technische und organisatorische Maßnahmen (TOM) zu realisieren, um so die Sicherheit ihrer Kunden sowie deren Kontodaten zu gewährleisten. Solche TOMs mussten aber auch schon früher nach dem Bundesdatenschutzgesetz (BDSG) und seit Mai 2018 auch aufgrund der Regelungen der Datenschutzgrundverordnung (DSGVO) realisiert werden. Zwar hat der Datenschutz eine andere Zielrichtung und die DSGVO-Pflichten gelten auch nicht nur für den Finanzsektor, sondern für alle Behörden und Unternehmen gleichermaßen. Aber ein gewisses Maß an Sicherheit war natürlich auch schon vor Inkrafttreten der PSD2 Pflicht.

Es gibt aber auch noch andere Auswirkungen der PSD2, nicht nur auf Banken und ihre Kunden.

PSD2 und der Onlinehandel

Die PSD2 hat für den (Online-)Handel im Wesentlichen zwei Änderungen mit sich gebracht: eine direkt und eine indirekt spürbare. Bereits seit dem 13. Januar 2018 existiert die Änderung, die unmittelbar spürbare Auswirkungen hervorgerufen hat. Denn es besteht das Verbot der Erhebung von Gebühren für die Nutzung bestimmter bargeldloser Zahlungsarten, sowohl on- als auch offline. Seit diesem Zeitpunkt dürfen von privaten Endkunden keine Gebühren für bestimmte Zahlungsarten mehr erhoben werden. Zu diesen Zahlungsarten zählen beispielsweise SEPA-Überweisungen bzw. -Lastschrift, Kreditkarten oder auch PayPal. Ihre Nutzung muss Verbrauchern also kostenfrei möglich sein. Werden derartige Gebühren dennoch erhoben, stellt das ein unlauteres und somit abmahnbares Verhalten dar.

Die lediglich indirekt spürbaren Änderungen – jedenfalls für Kunden von Onlineshops – ergeben sich aus den SCA-Regelungen. Durch die Pflicht zur technischen Umsetzung der starken Kundenauthentifizierung müssen u. a. auch die im Webshop eingebundenen Schnittstellen zu Zahlungsdienstleistern wie PayPal & Co. entsprechend modifiziert werden. Beim althergebrachten Lastschriftverfahren oder beim Kauf auf Rechnung ändert sich hingegen nichts. Bislang war eine Zwei-Faktor-Authentifizierung, wie sie nun als Sicherheitselement gefordert wird, eher eine Ausnahme. Denn im Rahmen von Onlinebestellprozessen stellt sie ein zwar sicheres, aber auch umständliches Feature dar. Banken, Zahlungsdienstleister, Shopsoftwarehersteller und Onlinehändler mussten bzw. müssen ihre Systeme nunmehr den PSD2-Vorgaben anpassen.

Die neuen Regelungen durch SCA bzw. PSD2 sind sicherer als die bislang regelmäßig eingesetzten Authentifizierungsverfahren, bringen in der Praxis aber auch einen erhöhten Aufwand mit sich. Denn man muss ständig sein Smartphone oder eine Chipkarte zur Hand haben. Daher existieren verschiedene Ausnahmefälle, in denen von den strengen Sicherheitsvorkehrungen abgewichen werden kann:

  • Für Zahlungen von Beträgen unter 30 Euro muss keine Zwei-Faktor-Authentifizierung eingesetzt werden.
  • Für Zahlungen von Beträgen unter 500 Euro können Ausnahmen gemacht werden, allerdings nur im Falle von risikoarmen Transaktionen (hierfür gibt es von der EU vorgegebene Risikoeinstufungen, abhängig von durchschnittlichen Betrugsraten).
  • Generell können Bankkunden sogenannte Whitelists anlegen, auf denen sie Unternehmen als vertrauenswürdig einstufen, sodass sie sich dort nicht per Zwei-Faktor-Authentifizierung verifizieren müssen.

Darüber hinaus gibt es speziell für Geschäfte zwischen Unternehmen (B2B-Bereich) Ausnahmeregelungen. Für Aboverträge etc. gibt es ebenfalls Erleichterungen.

FinTech-Branche

Ein moderner, nicht zuletzt durch die PSD2 hervorgebrachter Begriff lautet „FinTech“. Hierbei geht es um neue Finanzdienstleistungen mit einem gewissen Automatisierungsgrad. Mit Hilfe der PDS2-Regelungen soll die Verarbeitung von Kontodaten, nicht länger „nur“ durch Banken erfolgen, sondern auch durch Drittanbieter ermöglicht werden. Somit können beispielsweise verschiedene Daten zu unterschiedlichen Zwecken analysiert und verwendet werden, etwa um transparente Leistungs- bzw. Zinsvergleiche anzubieten – ähnlich wie es schon längst in den Bereichen Telefon, DSL oder auch Versicherung erfolgt.

Die PSD2 sieht folgende neue Möglichkeiten für neue Zahlungsdienste bzw. -anbieter vor:

  • Berechtigungen für sogenannte Kontoinformationsdienste, um auf die Konten von Bankkunden zuzugreifen und ihnen dadurch aufbereitete Informationen dazu bereitzustellen (Account Information Service Providers, kurz: AISP)
  • Möglichkeit für sogenannte Zahlungsauslösedienste, Zahlungsvorgänge im Namen ihrer Kunden auf elektronischem Wege zu veranlassen, wie z. B. PayPal & Co. (Payment Initiation Services Providers, kurz: PISP)
  • Einschätzung u. a. von Zahlungsausfallrisiken durch Deckungsabfragedienste, etwa für Kreditkartenanbieter (hierbei erfolgt seitens der Bank lediglich die Antwort „Ja“ oder „Nein“ auf die Frage einer ausreichenden Deckung, mehr Informationen dürfen nicht herausgegeben werden)

Insgesamt ist bislang starke Bewegung in den Bereich der Finanzdienstleistungen gekommen und für die Zukunft ist noch mehr zu erwarten. Allerdings unterliegen Anbieter von Finanzdienstleistungen in Europa einer strengen Aufsicht. Zahlungsauslösedienste benötigen für ihre Tätigkeit in Deutschland beispielsweise eine entsprechende Zulassung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Kontoinformationsdienste müssen sich bei der BaFin hingegen „nur“ registrieren lassen (Kasten: „Praxistipp“). Um zugelassen zu werden bzw. um sich registrieren lassen zu können, muss eine Berufshaftpflichtversicherung oder alternativ eine gleichwertige Garantie nachgewiesen werden. So müssen Anbieter für Zahlungsauslösedienste z. B. mindestens 50 000 Euro Anfangskapital belegen können.

Praxis-Tipp

Die Europäische Bankenaufsicht und die BaFin führen kostenfrei einsehbare Onlineverzeichnisse, in denen alle Anbieter von sogenannten Drittdiensten geführt werden. In ihnen kann mit verschiedenen Suchkriterien geprüft werden, ob der jeweilige FinTech-Anbieter über die verlangte Lizenz bzw. Registrierung verfügt. Kunden haben auch die Möglichkeit, bei der BaFin nachzufragen, sofern es Unstimmigkeiten gibt oder ihre Recherche nicht erfolgreich ist. Europaweit haben sich ca. 200 und in Deutschland etwa 30 Unternehmen bei den Aufsichtsbehörden gemeldet (Stand: März 2019).

Haftungsfragen

Nicht nur bei neuen gesetzlichen Regelungen stellt sich schnell die Frage nach der Haftung. Wer muss wem was zahlen, wenn etwas passiert? Und gerade in einem so sensiblen Bereich, in dem es immerhin um Zugangsdaten zu bzw. Informationen über Bankkonten geht, ist die Frage nach der Verantwortung von ganz entscheidender Bedeutung. Die PSD2 sieht hier deutliche Regelungen zugunsten der Verbraucher, also der Kunden, vor. Bei nicht erfolgten, fehlerhaft oder verspätet ausgeführten Zahlungsvorgängen darf den Kunden kein Schaden entstehen. Kreditinstitute bzw. Finanzdienstleister müssen ihre Kunden von allen Schäden freistellen, d. h., sie müssen ihnen etwaige Zahlungsausfälle oder sonstige Schäden ersetzen. Sollten unbefugte Dritte Zugriff auf fremde Konten, fremde Kreditkarten etc. erhalten und sollte den betroffenen Kunden dadurch ein finanzieller Schaden entstehen, haftet dieser nunmehr lediglich noch bis zu einem Betrag in Höhe von 50 Euro; früher lag diese Selbstbeteiligung bei 150 Euro. Darüber hinaus haben Banken inzwischen die Pflicht, bei nicht autorisierten Kartenzahlungen den entsprechenden Betrag bis spätestens einen Tag nach Kenntnis der irrtümlichen Zahlung zurückzubuchen.

Links & Literatur

  • [1] Homepage des Autors: http://www.ra-rohrlich.de
  • [2] Video-Trainings des Autors: https://www.linkedin.com/learning/instructors/michael-rohrlich

PHP Magazin

Entwickler MagazinDieser Artikel ist im PHP Magazin erschienen. Das PHP Magazin deckt ein breites Spektrum an Themen ab, die für die erfolgreiche Webentwicklung unerlässlich sind.

Natürlich können Sie das PHP Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Kiosk ist das PHP Magazin weiterhin im Print-Abonnement erhältlich.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -