Neue Regeln fürs Online-Shopping und Online-Banking

Seit dem 13. Januar 2018 gilt die „PSD2“-Richtlinie (Payment Service Directive 2). Ziel der Richtlinie ist es, das Bezahlen im Internet bequemer und sicherer zu machen, den Verbraucherschutz zu stärken sowie den Wettbewerb zu steigern. Sie wurde in zwei Stufen umgesetzt. Die erste Stufe der Umsetzung erfolgte im Januar 2018, die zweite Stufe im September 2019.

Stand der Informationen : September 2019

PSD2-Richtlinie über Zahlungsdienste: Was seit Januar 2018 gilt


Missbrauch von Bankkarte oder Online-Banking

Seit Januar 2018 gilt, dass der Kunde bei Missbrauch der Bank- oder Kreditkarte, zum Beispiel nach einem Diebstahl, des Lastschriftverfahrens oder des Online-Bankings, beispielsweise durch eine gestohlene PIN, nur noch bis maximal 50 Euro für entstandene Schäden haftet, solange er die Karte oder sein Online-Konto noch nicht gesperrt hat. Davor lag die maximale Haftungsgrenze bei 150 Euro. Allerdings haftet der Kunde bei grober Fahrlässigkeit oder Vorsatz aber weiterhin unbeschränkt. Grob fahrlässig ist es beispielsweise, die PIN auf der EC-Karte zu notieren. Unter Vorsatz fällt zum Beispiel, das Mitteilen einer PIN an eine Person, die dann Geld abhebt und gleichzeitig die Karte als gestohlen gemeldet wird.

Buchung eines Hotelzimmers oder Mietwagen

Viele Hotels oder Mietwagenfirmen blockieren bei der Buchung ohne Ankündigung einen bestimmten Betrag auf der Kreditkarte des Kunden. Das ist nun nicht mehr einfach so möglich. Der Kunde muss dem ausdrücklich zustimmen.

Keine Zusatzgebühren für bargeldlose Zahlungsarten

Händler dürfen keine Zusatzgebühren mehr für bestimmte, besonders gängige bargeldlose Zahlungsarten verlangen. Der Verbraucher als Kunde kann frei wählen, ob er per Überweisung, Lastschrift oder Kreditkarte bezahlt, ohne Sorge vor Aufschlägen haben zu müssen.

Überweisungen

Kommt es zur Fehlleitung einer Überweisung, ist das Geldinstitut nun dazu verpflichtet, auf Anfrage des Kunden alle verfügbaren Informationen herauszugeben, die nötig sind, um die Erstattung des Zahlbetrags zu beantragen. Die Aufforderung zur Auskunft muss der Kunde schriftlich stellen.

Wenn Lastschriftverfahren oder Kartenzahlungen vom Verbraucher nicht genehmigt wurden, z.B. im Fall von Missbrauch, sind die Banken nun verpflichtet, den falsch abgebuchten Betrag zurückzuerstatten. Dies hat bis spätestens einen Tag, nachdem die Bank informiert wurde, zu erfolgen.

Sofern die Bank aber einen begründeten Verdacht hat, dass ein Betrugsfall zugrunde liegt, kann sie die Rückbuchung verweigern.

Für Überweisungen innerhalb des Europäischen Wirtschaftsraums (EWR) in Fremdwährungen von Drittländern, etwa in Schweizer Franken oder US-Dollar, gelten seit Januar 2018 dieselben Regelungen wie für Überweisungen in den Währungen der Mitgliedsländer der Europäischen Union.

 

PSD2-Richtlinie über Zahlungsdienste: Was seit September 2019 gilt

Einige Vorgaben der Zahlungsdiensterichtlinie entfalten seit dem 14. September 2019 ihre Wirkung.

Händler werden verpflichtet, Kunden beim Bezahlen im Internet über zwei Faktoren zu identifizieren (starke Kundenauthentifizierung) und die Zahlungskonten für „Dritte“ zu öffnen.

 

Starke Kundenauthentifizierung

Starke Kundenauthentifizierung bedeutet, dass der Kunde sich über zwei verschiedene Wege identifizieren muss.

Viele Verbraucher kennen dies vom Online-Banking. Beim Einloggen in das Online-Banking muss der Kunde sich bereits mit zwei „Faktoren“, zum Beispiel Kontonummer und Passwort einloggen. Wenn der Kunde eine Überweisung tätigen möchte, wird kurz vor Abschluss der Überweisung beispielsweise zusätzlich ein Code abgefragt, der ihm aufs Handy geschickt wurde.

In der Richtlinie wird dieser Vorgang Zwei-Faktor-Authentifizierung genannt.

Die möglichen Faktoren sind in drei Kategorien aufgeteilt. Der Kunde soll sich mit zwei Faktoren, welche aus verschiedenen Kategorien kommen, ausweisen und identifizieren. Diese Kategorien sind:

  • Wissen, zum Beispiel ein Passwort oder eine PIN;
  • Besitz, beispielsweise die Kreditkarte oder das Smartphone für den Empfang einer Transaktionsnummer;
  • „Sein“ (Inhärenz), das sind biometrische Merkmale, wie Fingerabdrücke oder Bewegungen.

 

Ausnahmen von der starken Authentifizierung gibt es unter anderen bei Summen unter 30 Euro. Kunden können bis zu fünf Mal hintereinander bezahlen, ohne sich mit zwei Faktoren identifizieren zu müssen. Die Gesamtsumme darf dabei 100 Euro nicht übersteigen. Eine weitere Ausnahme besteht, wenn die Bank die Zahlung als ein geringes Risiko einschätzt oder der Kunde der Bank mitteilt, dass er dem Händler vertraut, zum Beispiel, weil er öfter dort einkauft.

Wie eingangs beschrieben, wird es beim Bezahlen mit Kreditkarte zukünftig nicht mehr ausreichen, die Kartendaten, also Kartennummer, Ablaufdatum und Prüfziffer, einzutragen. Vielmehr muss beim Einkauf und Bezahlen im Internet auch das Smartphone zur Hand sein: Der Kunde muss durch einen weiteren „Faktor“ zeigen, dass er wirklich berechtigt ist, die Kreditkarte zu nutzen. Dies ist beispielsweise durch eine TAN möglich oder die Bestätigung der Zahlung durch den Kunden per Fingerabdruck auf dem Handy. Dieses Zwei-Faktor-Authentifizierung wird von vielen bereits angewendet, wird aber durch die Zahlungsdiensterichtlinie nun verpflichtend für die Händler.

Diese Regeln gelten auch für das Online-Banking. Dort ist seit September 2019 ebenfalls die Zwei-Faktor-Authentifizierung vorgeschrieben. Zusätzlich zum Benutzernamen und Passwort oder PIN und Kontonummer müssen Kunden dann in vielen Fällen noch eine TAN-Nummer, wie es heute schon bei Online-Überweisungen der Fall ist, eingeben. Auch ein per Smartphone übermittelter Fingerabdruck, Gesichtserkennung oder das Einstecken der Karte in einen TAN-Generator kommen für diese zusätzliche Identifizierung in Betracht. Allerdings sind in Zukunft keine TAN-Listen (iTAN) nicht mehr erlaubt. Die Codes müssen jedes Mal neu erzeugt werden.

 

Drittanbieter

Neben den Änderungen für das Login beim Online-Banking und die Abschaffung der iTAN-Liste gehören zur Zahlungsdiensterichtlinie auch Regelungen für Drittanbieter, die Dienstleistungen rund ums Bezahlen und Konto anbieten. Ziel ist es, die Sicherheit für Verbraucher und Bankkunden weiter zu verbessern und gleichzeitig die Zusammenarbeit zwischen Banken und Zahlungsdienstleistern zu erleichtern.

Die Zahlungsdiensterichtlinie regelt klar die Nutzung von Zahlungsdienstleistern und Kontoinformationsdiensten.

In Zukunft müssen die Banken auch Drittanbietern, in einem streng von der Zahlungsdiensterichtlinie geregeltem Rahmen, Zugang zu einem Konto des Kunden gewähren. Das ist beispielsweise der Fall, wenn beim Einkauf im Internet die Überweisung nicht über das Login beim Online-Banking vorgenommen wird, sondern über einen auf der Händlerseite angebotenen Zahlungsauslösedienst abgewickelt wird. 

Bei der Nutzung eines Kontoinformationsdienstes hat der Verbraucher die Möglichkeit, sich für alle Zahlungskonten, die er bei verschiedenen Banken hat, Kontostände und Umsätze anzeigen zu lassen.

Allerdings wird diesen Anbietern der Zugang zum Konto des Verbrauchers nur gewährt, wenn dieser explizit zustimmt und den Zugriff erlaubt.

  • Artikel schließen