Mehr Sicherheit beim Online-Einkauf

Jörn Bender

Von Jörn Bender (dpa)

Sa, 02. Januar 2021

Wirtschaft

Wer im Internet mit Kreditkarte bezahlt, muss sich auf neue Regeln einstellen / Die erste Stufe gilt von 15. Januar an.

. Wenn die Daten einer Kreditkarte in unbefugte Hände fallen, können Kriminelle damit im Internet leicht auf Einkaufstour gehen. Schärfere Regeln sollen Verbraucherinnen und Verbraucher besser schützen. Von 15. Januar an werden sie für Online-Einkäufe ab 250 Euro zur Pflicht, die vollständige Umsetzung dauert in Deutschland jedoch länger als geplant.

Was ändert sich?
Spätestens von 15. März 2021 an gelten für alle Einkäufe im Internet, die mit Kreditkarte bezahlt werden, strengere Sicherheitsanforderungen. Die Eingabe der Kartendaten reicht dann nicht mehr, sondern die sogenannte Zwei-Faktor-Authentifizierung wird Pflicht. Hierbei müssen Kunden auf zwei voneinander unabhängigen Wegen nachweisen, dass sie rechtmäßiger Inhaber der Karte sind. Zusätzlich zu den Kartendaten muss zum Beispiel ein Passwort oder eine Transaktionsnummer (TAN) für den jeweiligen Auftrag eingegeben werden. Bei Kreditkarten sind die Vorgaben besonders streng, da Nummer und Prüfziffer der Karten relativ leicht ausgespäht werden können, etwa beim Bezahlen im Restaurant.

Wie funktioniert das in der Praxis?
Banken- und Kreditkartenunternehmen haben ein sogenanntes 3-D-Secure-Verfahren entwickelt. Je nach kartenausgebender Bank kann sich die Umsetzung unterscheiden: Manche Kunden bekommen eine einmalig einsetzbare TAN zur Freigabe der Online-Bezahlung per SMS auf eine vorab bei der Bank hinterlegte Telefonnummer geschickt. Andere Banken lassen den Kauf über eine spezielle App durch die Eingabe einer Geheimnummer oder das Abfotografieren eines Strichcodes bestätigen. Technisch möglich sind auch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung zur Freigabe einer Zahlung.

Ist die zusätzliche Freigabe

bei jedem Online-Einkauf nötig?

Das hängt nach Angaben des Bundesverbands deutscher Banken (BdB) von der Bank ab, von der ein Kunde seine Bezahlkarte hat. Kauft ein Kunde zum Beispiel häufiger beim selben Online-Shop ein, könnte ein Finanzinstitut darauf verzichten, die Zahlung dort jedes Mal mit zwei Faktoren freizugeben. Auch bei Zahlungen unter 30 Euro könnte auf das zweistufige Verfahren verzichtet werden.

Warum überhaupt diese Änderung?
Hintergrund ist die europäische Zahlungsdiensterichtlinie (PSD 2). Mit ihr will die EU-Kommission den Zahlungsverkehr in der Europäischen Union für Verbraucher sicherer machen und zugleich den Wettbewerb fördern. Die Richtlinie schreibt zum Beispiel vor, dass die für Online-Banking nötigen Transaktionsnummern (TAN) künftig dynamisch erzeugt werden müssen. Fertig gedruckte TAN-Listen auf Papier sind schon seit 14. September 2019 nicht mehr erlaubt. Seither gelten auch die strengeren Sicherheitsvorgaben für Online-Zahlungen.

Wieso kommt die Pflicht
in Deutschland später?

Weil mancher Anbieter Probleme bei der Umsetzung der Zwei-Faktor-Authentifizierung hat, gewährte die Finanzaufsicht Bafin eine Übergangsfrist bis Ende 2020. Im Handel bestehe "nach wie vor erheblicher Anpassungsbedarf", befand die Behörde im August 2019. Die neuen Regeln sollten deshalb erst zum 1. Januar 2021 greifen. Wegen der Umsetzungsprobleme gewährte die Bafin schließlich eine weitere Schonfrist. Nun gilt ein Stufenmodell: Vom 15. Januar 2021 an müssen Zahlungen ab 250 Euro mit zwei voneinander unabhängigen Faktoren freigegeben werden. Von 15. Februar an greift die Zwei-Faktor-Authentifizierung bereits ab 150 Euro. In vollem Umfang sollen die Regeln von 15. März 2021 angewendet werden.

Sind die Banken vorbereitet?
"Banken und Sparkassen in Deutschland haben ihre Vorbereitungen zur Umsetzung dieser gesetzlichen Vorgaben frühzeitig angestoßen und abgeschlossen", sagt die Deutsche Kreditwirtschaft. "Das für die starke Kundenauthentifizierung genutzte 3-D-Secure-Verfahren bei Kartenzahlungen im Internet ist bereits seit Jahren bekannt und im Einsatz. Daher sind die kartenausgebenden Banken und Sparkassen gut vorbereitet." Es sei "unverzichtbar, dass der Handel die Verpflichtung zur starken Kundenauthentifizierung zügig in den Online-Shops berücksichtigt", mahnen die Verbände.

Wie sieht es im Onlinehandel aus?
Nach Ansicht des Handelsverbands HDE geht der Onlinehandel das Thema an. Die Händler seien jedoch abhängig von ihren jeweiligen Dienstleistern, sagt HDE-Experte Ulrich Binnebößel. Zudem hätten sich viele Kunden noch nicht auf das neue Verfahren eingerichtet. Nicht wenige Händler zögerten daher die Umstellung hinaus, um möglichst lange die gewohnte Art der Kreditkartenzahlung zu ermöglichen. Erfahrungsgemäß brechen viele Kunden während des Bezahlvorgangs den Kauf ab, wenn sie zu viele Daten eingeben müssen.