Durchsetzung der Starken Kundenauthentifizierung für Internettransaktionen ab Januar 2021

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schließt sich der Meinung der Europäischen Bankenaufsichtsbehörde (EBA) an und übernimmt die Frist Dezember 2020 der EBA für die Umstellung von Kartenzahlungen im Internet. Die BaFin wird nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland Kartenzahlungen im Internet bis zum 31. Dezember 2020 ohne eine nach der PSD2 erforderliche Starke Kundenauthentifizierung ausführen.

Hintergrund ist eine sogenannte  Opinion der EBA vom 16. Oktober 2019, in der die EBA den nationalen Aufsichtsbehörden diese Frist empfiehlt. Außerdem legt die EBA Meilensteine für die beteiligten Zahlungsdienstleister fest und definiert die zu meldenden Daten, mit denen die Aufsicht den Fortschritt kontrollieren kann, bis alle einschlägigen PSD2-Anforderungen vollständig umgesetzt sind. Auch diese Meilensteine übernimmt die BaFin nun in ihre Aufsichtspraxis in Deutschland.

Am 21. August 2019 hatte die BaFin bereits über die Erleichterungen bei der Kundenauthentifizierung informiert, aber noch keine Frist genannt. Die Erleichterungen gelten auch für Online-Zahlungen mit Debitkarten oder Prepaid-Karten. Kartenausgebende Zahlungsdienstleister, die ihre Kartenkunden bereits eine PSD2-konforme Authentifizierungsmethode anbieten, sollten diese aber nicht wieder abschalten.

So erleichtert der Hotelverband wegen dieses Umsetzungsaufschubs hinsichtlich der Absicherung von Internetbuchungen ist, so deutlich müssen wir darauf hinweisen, dass bei Kartentranskationen im Hotel, wie z.B. Vorautorisierung, Zahlung beim Check-in, Express Check-out, Nachbuchung von Minibarumsätzen, eine Starke Kundenauthentifizierung bereits vonnöten ist, wenn der Hotelier das Risiko nicht einlösbarer Zahlungen vermeiden will.