Unternehmen müssen ab September 2019 im elektronischen Zahlungsverkehr neue Pflichten beachten. Das Gesetz zur Umsetzung der 2. Zahlungsdiensterichtlinie (Payment Services Directive 2 - PSD2) soll moderne Bezahlsysteme sicherer machen sowie den Daten- und Verbraucherschutz stärken. Dabei steht v.a. die sog. starke Kundenauthentifizierung „SCA“ im Fokus, mit der Online-Zahlungen abgewickelt werden.
Hintergrund
Bereits Mitte 2017 wurde das Gesetz zur Umsetzung der 2. Zahlungsdiensterichtlinie über Zahlungsdienste im Binnenmarkt, Payment Services Directive 2 (PSD2), beschlossen und ist bereits seit dem 13.01.2018 in Kraft. Einzelregelungen, wie die Regelungen zum Kontoinformationsdienst und zur starken Kundenauthentifizierung, werden jedoch erst 18 Monate nach Veröffentlichung des Gesetzes, also zum 14.09.2019 in Kraft treten.
Durch diese Neuregelungen wird sich voraussichtlich der europäische Zahlungsverkehrsmarkt tiefgreifend verändern. Ähnlich wie die DSGVO den Umgang mit personenbezogenen Daten beeinflusst hat, könnte sich auch die starke Kundenauthentifizierung, kurz SCA (Strong-Customer-Authentication), auf den europäischen Online-Konsumenten, aber auch auf Unternehmen auswirken.
Was regelt die Zahlungsdiensterichtlinie (PSD2)?
PSD2 soll im Zuge einer voranschreitenden Harmonisierung und Digitalisierung des europäischen Zahlungsverkehrsmarkts dazu beitragen, den Verbraucherschutz sowie die Rechtssicherheit zu verbessern, technische Innovationen zu fördern und den Wettbewerb zu erhöhen.
Dabei ersetzt PSD2 die Zahlungsdiensterichtlinie PSD1 und soll insbesondere der Entwicklung neuer und innovativer Bezahlsysteme sowie den gestiegenen Anforderungen an den Datenschutz und die Sicherheit von elektronischen Zahlungen Rechnung tragen.
PSD2 ergänzt die Richtlinie PSD1 um zwei weitere Arten von Zahlungsdienstleistern, Zahlungsauslösedienste und Kontoinformationsdienste. Im Rahmen der Nutzung von Zahlungsauslösedienstleistern kann bei Abschluss eines Geschäfts direkt ein Zahlungsauftrag auf einem Zahlungskonto ausgelöst werden.
Ein Beispiel wäre das Einkaufen im Internet. Mit Kontoinformationsdiensten können Nutzer Kontoinformationen aufbereiten lassen. Dabei sollen die strengeren Vorschriften zur Authentifizierung dienen und für Internetzahlungen die Sicherheit der Zahlungsdienste erhöhen.
Starke Kundenauthentifizierung SCA
Mit der PSD2 rückt vor allem die starke Kundenauthentifizierung SCA in den Fokus. Hierunter wird die Bestätigung des Kunden für ein ausgewähltes Zahlungsmittel bei einem elektronischen Zahlungsvorgang verstanden.
Die Authentifizierung hat dabei anhand von mindestens zwei unterschiedlichen und voneinander unabhängigen Faktoren aus den drei folgenden Bereichen zu erfolgen:
- Wissen, also nur etwas, was der Kontoinhaber weiß, wie z.B. ein Passwort oder eine PIN,
- Besitz, etwas, was nur der Kontoinhaber hat, wie z.B. eine Zahlungskarte oder
- Inhärenz, etwas, was nur der Kontoinhaber ist, wie z.B. ein Fingerabdruck.
Dementsprechend kann nur in der kombinierten Anwendung eine Authentifizierung gültig und sicher sein. Beispiele für eine solche Kombination sind die Kartenzahlung mit PIN oder das PIN/TAN-Verfahren beim Online-Konto.
Praxishinweis
Die Einführung der starken Kundenauthentifizierung SCA scheint bei vielen Unternehmen noch nicht besonders im Fokus zu stehen. Die Auswirkungen auf die Zahlungsprozesse können jedoch enorm sein. Um nicht gänzlich von den neuen Anforderungen überrascht zu werden, sollten Unternehmen prüfen, inwieweit sie und ihre Zahlungsprozesse überhaupt von den Anforderungen der SCA betroffen sind.
Dabei sollten jedoch auch die zahlreichen Ausnahmeregelungen beachtet werden. Steuerpflichtige sollten sich spätestens jetzt mit den anstehenden Änderungen befassen, damit sich vielleicht ein ähnliches Chaos wie bei der Einführung der DSGVO im Mai letzten Jahres vermeiden lässt.
Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie v. 17.07.2017
Quelle: Steuerberater und Dipl.-Volkswirt Volker Küpper