Online-Shopping wird bald sicherer – und komplizierter: Neue EU-Richtlinie gilt ab dem Herbst

Ab Herbst gilt eine neue EU-Richtlinie. Die Payment Services Directive oder PSD2 soll für mehr Sicherheit beim Online-Shopping sorgen, macht das Bezahlen im Netz aber auch etwas komplizierter. Was genau ändert sich?

So macht Online-Shopping Spaß: Kreditkarte zücken, Daten eingeben und auf "Zahlen" klicken. Das ist einfach, aber nicht besonders sicher. Schließlich kann jeder, der die Kreditkarte einer anderen Person hat, in deren Namen online auf Einkaufstour gehen. Ab Mitte September gilt darum die EU-Zahlungsdiensterichtlinie PSD2. Sie soll Bezahlvorgänge im Internet sicherer machen.

Starke Authentifizierung

Wissen, Besitz und Inhärenz – aus diesen Kategorien müssen laut EU-Richtlinie künftig zwei unterschiedliche Faktoren ausgewählt werden, um die Identität eines Kunden zu überprüfen. Zur Kategorie Wissen gehören PIN oder Passwort, in die Kategorie Besitz fallen zum Beispiel Kreditkarte oder Mobiltelefon. Merkmale der Kategorie Inhärenz sind dem Nutzer persönlich zugehörig, etwa sein Fingerabdruck.

Bekannt vom Online-Banking

Im Online-Banking ist die starke Authentifizierung bereits üblich: Wer sich etwa per SMS eine Transaktionsnummer (TAN) schicken lässt, die für die Freigabe einer Überweisung im Online-Banking benötig wird, nutzt für die Identifizierung zwei erforderliche Elemente, nämlich Wissen und Besitz – und hat damit die Voraussetzungen für eine starke Authentifizierung erfüllt. Neu ist, dass diese doppelte Sicherheitsabfrage auch auf den Bereich des Online-Shoppings ausgeweitet wird.

Nicht ohne mein Smartphone

Kunden von Banken, die Mastercards herausgeben, können den Einkauf in der Bezahl-App bereits per Fingerabdruck oder Gesichtserkennung freigeben. Und auch für Dienste wie PayPal ist es denkbar, dass Kunden zum Bezahlen künftig eine zusätzliche App nutzen werden. Noch ist man bei dem US-Unternehmen jedoch nicht so weit. Auf Anfrage teilt eine Sprecherin lediglich mit: "Wir werden sicherstellen, dass wir bis zum Stichtag die Bestimmungen zur starken Kundenauthentifizierung erfüllen."

Beim Kauf auf Rechnung ändert sich nichts

Dass Kunden abgehängt werden könnten, die kein Handy oder Smartphone besitzen, sei jedoch ausgeschlossen, beruhigt Jens Obermöller von der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin: "Die PSD2 verbietet nichts, sondern lässt nach wie vor alle Zahlungsmethoden zu."

Schließlich betrifft die starke Authentifizierung nur Zahlungen per Kreditkarte sowie Dienste wie SOFORT-Überweisung oder PayPal. Wer im Internet etwas auf Rechnung bestellt oder Lastschrift als Zahlungsweise wählt, ist von der doppelten Identitätsabfrage nicht betroffen.

Ausnahmen von der starken Authentifizierung

Zahlungen von kleinen Beträgen unter 30 Euro sind von den neuen Sicherheitsbedingungen ausgenommen. Übersteigt der Gesamtbetrag aller innerhalb von 24 Stunden angefragten Transaktionen 100 Euro, wird die starke Authentifizierung jedoch wieder benötigt. Zudem wird bei jeder fünften Transaktion der strengere Identitätstest durchgeführt.

Auch Abonnements oder wiederkehrende Zahlungsvorgänge mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Nur bei der ersten Zahlung wird die starke Authentifizierung abgefragt.

• Verrückte eBay Kleinanzeigen: Diese Inserate sind unbezahlbar witzig
• Amazon besonders auffällig: Studie enthüllt die Preistricks der Online-Shops
• Neuware auf den Müll? Das passiert mit Retouren im Online-Handel

Kunden können zudem eine von ihrer Bank geführte Positivliste in Anspruch nehmen und darauf Unternehmen sammeln, die sie als vertrauenswürdig einstufen. Für Zahlungen an ein gelistetes Unternehmen ist dann keine starke Authentifizierung mehr notwendig.