Beim Onlineshopping fürs Bezahlen einfach nur Kreditkartennummer, Gültigkeitsdatum und Sicherheitscode von der Rückseite eintippen? Bald reicht das nicht mehr aus. Denn in der ganzen EU gelten ab 14. September strengere Vorgaben, die Verbrauchern ein höheres Maß an Sicherheit bringen sollen. Ab dann gilt die zweite Stufe der EU-Zahlungsdiensterichtlinie PSD II. Sie schreibt insbesondere eine sogenannte starke Kundenauthentifizierung vor - und zwar nicht nur im Onlinebanking, sondern auch beim Bezahlen in Onlineshops mit Kreditkarte, Paypal et cetera.
Doch offenbar haben es etliche Onlineshops nicht rechtzeitig geschafft, ihre Systeme aufzurüsten. Die Finanzaufsicht Bafin besteht daher vorerst nicht auf die pünktliche Umstellung. Sie will damit "Störungen bei Internetzahlungen verhindern". Wie lang die höheren Anforderungen ausgesetzt werden, ist offen. Die Bafin spricht von "vorübergehend". Klar ist: "Verbraucher sind gut beraten, sich über die neuen Sicherheitsvorschriften schlau zu machen und sich darauf einzustellen, wollen sie auch künftig per Karte im Netz einkaufen", sagt Frank Christian Pauli vom Verbraucherzentrale Bundesverband. BÖRSE ONLINE beantwortet die wichtigsten Fragen.
Was versteht man unter "starker Kundenauthentifizierung", und wann wird diese gebraucht?
Die starke Kundenauthentifizierung wird immer dann gefordert, wenn ein Kunde eine elektronische Zahlung aus lösen möchte. Dafür müssen Händler künftig immer mindestens zwei der drei Faktoren Wissen (zum Beispiel PIN oder Passwort), Besitz (zum Beispiel Smartphone, das mit Karte verknüpft wurde) und Biometrie (zum Beispiel biometrische Merkmale wie den Fingerabdruck) abfragen. Beim Onlineshopping reicht die Angabe von Kartennummer, Prüfziffer und Gültigkeitsdatum also künftig nicht mehr aus, denn die Kartendaten könnten ja auch zuvor entwendet worden sein. Jemand, der die Karte einmal in der Hand gehabt hat, könnte sie sich aufgeschrieben haben.
Heißt das, ich muss künftig bei Onlineshops meine Karten-PIN angeben?
Nein, ganz und gar nicht: Die Persönliche Identifikationsnummer (PIN) Ihrer Kreditkarte gilt nicht für den Onlineeinkauf und sollte auch nie im Internet eingegeben werden. Sie ist zum Abheben von Bargeld am Geldautomaten und zum Bezahlen an der Kasse im Handel erforderlich. Für Kartenzahlungen braucht man demnächst zusätzlich eine dynamische, also jedes Mal neu erzeugte TAN - ähnlich wie bei Überweisungen im Onlinebanking.
Wie bekomme ich diese TAN als zweiten Faktor?
Wie diese TANs erzeugt werden, ist ganz unterschiedlich - gängig sind Freigaben über SMS-TAN aufs Handy oder über eine App. Das müssen Sie bei Ihrer Bank erfragen. Während der Übergangszeit sind Händler noch nicht verpflichtet, Kunden über zusätzliche Verfahren zu identifizieren. Als Basis für die Neuerung dienen sogenannte 3-D-SecureVerfahren, die bereits heute vielerorts beim Internetshopping zum Einsatz kommen und an die erhöhten Anforderungen angepasst wurden. Bei Kreditkarten von Mastercard nennt sich das Verfahren "Mastercard Identity Check" und bei Visa "Visa Secure".
Wie kann ich die Verfahren nutzen?
Für diese Sicherheitsverfahren muss man sich meist bei seiner Bank an melden, manchmal registrieren die Banken ihre Kunden aber auch schon automatisch dafür. Eventuell muss man eine gesonderte App laden.
Ich bin Sparkassen-Kunde und wurde gebeten, mich für den S-ID-Check zu registrieren. Was hat es damit auf sich?
Der S-ID-Check ist das von den deutschen Sparkassen eingeführte App-basierte Verfahren für die Freigabe von Kartenzahlungen beim Onlineshopping gemäß den neuen Anforderungen. Verbrauchern wird empfohlen, sich rechtzeitig vor dem 14. September für das neue Verfahren zu registrieren.
Wie läuft ein Onlinekauf mit dem 3-D-Secure-Verfahren ab?
Vereinfacht dargestellt geht das so: Sie wählen im Onlineshop die Zahlungsart "Kreditkarte" und geben Ihre Kartendaten ein. Dann öffnet sich ein Pop-up-Fenster für das 3-D-Secure-Verfahren, in dem Sie aufgefordert werden, die Daten gegenzuchecken und die Zahlung freizugeben. Je nachdem, welche Freigabevariante Ihre Bank anbietet, erhalten Sie nun eine TAN auf ihr Handy. Wer ein Smartphone benutzt, kann je nach Bank seine Identität auch über die Banking-App beispielsweise mit einer PIN oder einem Fingerabdruck nachweisen. Ist dies abgeschlossen, sendet der Händler die Anfrage an Ihre Bank, die die Zahlung prüft, autorisiert und freigibt. Der Kauf ist dann abgeschlossen. Wichtig: Die Bankdaten werden nur zwischen der Bank und der 3-D-Secure-Seite ausgetauscht, der Onlineshop erhält keinen Zugriff darauf.