Mehr­fach gab es Aufschub, seit Mitte März gelten die stren­geren Vorgaben fürs Bezahlen im Internet voll­umfäng­lich. Wer seinen Online-Einkauf per Kredit­karte zahlt, soll so vor Betrug besser geschützt werden.

Erstes Fazit zu neuen Regeln fürs Bezahlen mit Kreditkarte

Bild: dpa Die Finanz­auf­sicht Bafin zieht eine posi­tive Zwischen­bilanz der seit einem halben Jahr umge­setzten stren­geren Regeln für das Bezahlen per Kredit­karte im Internet. "Durch die Einfüh­rung der starken Kunden­authen­tifi­zie­rung werden Kunden in Deutsch­land noch stärker vor betrü­geri­schen Zahlungen geschützt als bisher. Dies gilt vor allem bei Karten­zah­lungen im Internet", erklärte ein Spre­cher der Bundes­anstalt für Finanz­dienst­leis­tungs­auf­sicht (Bafin) auf Anfrage.

Seit dem 15. März gilt beim Bezahlen per Kredit­karte im Internet grund­sätz­lich auch für klei­nere Beträge die Pflicht zur soge­nannten Zwei-Faktor-Authen­tifi­zie­rung. Das heißt: Kunden müssen in der Regel auf zwei vonein­ander unab­hän­gigen Wegen nach­weisen, dass sie der recht­mäßige Inhaber der Bezahl­karte sind.

Miss­brauch der Karten noch besser verhin­dern

Bild: dpa Bei Kredit­karten sind die Vorgaben beson­ders streng, denn Nummer und Prüf­ziffer dieser Karten können relativ leicht ausge­späht werden, etwa beim Einsatz im Restau­rant. Darum reicht der Besitz der Kredit­karte nicht aus. Verbrau­cher brau­chen für Kredit­kar­ten­zah­lungen beim Online-Shop­ping nach den neuen Regeln zwei weitere Sicher­heits­fak­toren: zum Beispiel Pass­wort und Trans­akti­ons­nummer (TAN). So soll Miss­brauch der Karten noch besser verhin­dert werden.

"Inzwi­schen sind nahezu alle ausge­gebenen Kredit­karten tech­nisch in der Lage, eine starke Kunden­authen­tifi­zie­rung für Onli­nezah­lungen durch­zuführen", resü­mierte die Bafin. "Aller­dings ist diese Funk­tio­nalität bei vielen Banken vom Kunden explizit frei­zuschalten. Verbrau­cher sollten die entspre­chenden Infor­mationen ihrer Bank dazu ernst nehmen, da ansonsten ein Online-Kauf mit Kredit­karten schei­tern kann."

SMS, spezi­elle App oder Biome­trie

Je nach karten­aus­gebender Bank ist die Umset­zung etwas anders: Manche Kunden bekommen die einmalig einsetz­bare TAN zur Frei­gabe der Online-Bezah­lung per SMS auf eine vorab bei der Bank hinter­legte Tele­fon­nummer geschickt. Andere Banken lassen den Kauf über eine spezi­elle App bestä­tigen, etwa per Eingabe einer Geheim­nummer oder Abfo­togra­fieren eines Strich­codes. Tech­nisch möglich sind auch biome­tri­sche Verfahren wie Finger­abdruck oder Gesichts­erken­nung zur Frei­gabe einer Zahlung mit zwei Faktoren.

Eigent­lich gilt die Pflicht zur starken Kunden­authen­tifi­zie­rung nach neuen EU-Regeln ("Payment Service Direc­tive"/"PSD2") bereits seit dem 14. September 2019 für jede Zahlung im Online-Banking und beim Einkaufen im Internet.

Doch weil mancher Händler Probleme bei der Umset­zung hatte, gab es von der Finanz­auf­sicht Bafin zunächst Aufschub bis Ende 2020. Kurz vor Weih­nachten teilte die Behörde dann mit, dass auch der 1. Januar 2021 als Start­termin nicht gehalten werden kann. Statt­dessen galt ein Stufen­modell: Seit dem 15. Januar 2021 müssen Zahlungen ab 250 Euro mit zwei vonein­ander unab­hän­gigen Faktoren frei­gegeben werden, seit dem 15. Februar greift die Zwei-Faktor-Authen­tifi­zie­rung ab 150 Euro. In vollem Umfang wirksam sind die stren­geren Sicher­heits­bestim­mungen für das Online-Bezahlen per Kredit­karte in Deutsch­land nun seit dem 15. März.

Unter­schied­liche Umset­zung in der Praxis

"Tatsäch­lich scheint es, dass sich die Unter­nehmen mit der Situa­tion einge­richtet haben", sagte Ulrich Binne­bößel, Zahlungs­ver­kehrs­experte beim Handels­ver­band Deutsch­land (HDE). Breche ein Kunde einen Kauf­vor­gang im Internet ab, falle es einem Online­händler ohne entspre­chendes Know-how jedoch schwer, dies auf etwaige Fehler bei der starken Kunden­authen­tifi­zie­rung zurück­zuführen.

Ob Verbrau­cher tatsäch­lich jeden Einkauf im Internet mit zusätz­lichen Eingaben frei­geben müssen, hängt von der Bank ab, von der die Bezahl­karte stammt. Kauft ein Kunde zum Beispiel häufiger beim selben Online-Shop ein, kann ein Finanz­institut darauf verzichten, die Zahlung dort jedes Mal mit zwei Faktoren frei­geben zu lassen. Auch bei Zahlungen unter 30 Euro kann auf das zwei­stu­fige Verfahren der starken Kunden­authen­tifi­zie­rung verzichtet werden.

