Im Sep­tem­ber 2019 tritt die star­ke Kun­den­au­then­ti­fi­zie­rung (Strong Cus­to­mer Authen­ti­ca­ti­on = SCA) in Kraft. Online-Einkäufe müs­sen dann über eine Zwei-Faktor-Authentifizierung bestä­tigt wer­den. Onlineshop-Händler, Zah­lungs­dienst­leis­ter und Ban­ken müs­sen hier­zu zukünf­tig mög­li­cher­wei­se mehr per­so­nen­be­zo­ge­ne, in eini­gen Fäl­len sogar bio­me­tri­sche Daten eines Kun­den ver­ar­bei­ten und schüt­zen als bis­lang. Es wird eine ähn­li­che Ver­un­si­che­rung wie bei Ein­füh­rung der DSGVO erwartet.

Mit Gel­tung der SCA wer­den höhe­re Anfor­de­run­gen an Online-Händler, Zah­lungs­dienst­leis­ter und Ban­ken gestellt wer­den, wenn­gleich die­se für einen siche­re­ren Online-Zahlungsverkehr not­wen­dig und zu begrü­ßen sind.” – Eileen Binder

I. Strong Cus­to­mer Authentication

Die SCA ist Teil der zwei­ten EU-Zahlungsdienstrichtlinie (Second Pay­ment Ser­vices Direc­ti­ve, PSD2) und gibt neue Regeln für den Online-Zahlungsverkehr vor. In natio­na­les Recht umge­setzt, ist sie ab dem 14. Sep­tem­ber 2019 in Euro­pa anwend­bar. Die SCA gilt für alle Teil­neh­mer, die elek­tro­ni­schen Zah­lungs­ver­kehr anbie­ten und sol­len Online-Transaktionen siche­rer machen. Ban­ken, Zah­lungs­dienst­leis­ter und Online-Händler sol­len Nut­zer ein­deu­tig iden­ti­fi­zie­ren und so das Betrugs- und Miss­brauchs­ri­si­ko redu­zie­ren kön­nen. Dane­ben wird ein gerech­ter Wett­be­werb zwi­schen Ban­ken und Zah­lungs­dienst­leis­tern wie Pay­Pal oder Klar­na geschaf­fen. 2020 star­tet die SCA weltweit.

II. Anfor­de­run­gen der SCA

Die Strong Cus­to­mer Authen­ti­ca­ti­on ist erfor­der­lich, wenn der Nut­zer online auf sein Zah­lungs­kon­to zugreift. Die SCA schreibt vor, dass Kun­den in die­sen Fäl­len zukünf­tig vor der Online-Trans­ak­ti­on ihre Iden­ti­tät über eine Zwei-Faktor-Authentifizierung nach­wei­sen müs­sen. Händ­ler und Ban­ken müs­sen ent­spre­chen­de tech­ni­sche Vor­aus­set­zun­gen dafür schaf­fen und ent­schei­den, wel­che zwei Fak­to­ren abge­fragt wer­den. Zur Wahl ste­hen drei Wege:

  • Wis­sen des Kun­den: Abfra­gen, z.B. Pass­wort, PIN oder Geheimfrage
  • Besitz des Kun­den: Authen­ti­fi­zie­rung durch ein Gerät, z.B. Smart­phone, Kar­te mit Num­mer oder Wearable
  • Sein des Kun­den: z.B. Fin­ger­ab­druck, Gesichts­er­ken­nung oder Irisscan

In der prak­ti­schen Umset­zung ist bei­spiels­wei­se an ein Ein­mal­pass­wort zu den­ken, dass der Kun­de nach Anga­be sei­ner Han­dy­num­mer auf sein Smart­phone erhält oder an die Zah­lung per Fingerabdruck.

Ganz unge­wohnt ist die­se Form der Authen­ti­fi­zie­rung nicht. Eini­ge Kun­den sind die­se Art der dop­pel­ten Absi­che­rung bereits vom Online-Banking gewohnt (Log­in = Wis­sen und (SMS-)TAN = Besitz), auch bei der Zah­lung per giro­card an der Kas­se sind zwei Fak­to­ren not­wen­dig. Unge­wohnt dürf­te es indes in all den Fäl­len sein, in denen die Kun­den bis­her eine unkom­pli­zier­te und schnel­le Bezahl­mög­lich­keit gewohnt waren. Die­ses unkom­pli­zier­te Ein­kaufs­er­leb­nis ist Teil eines risi­ko­ba­sier­ten Ansat­zes, den Online-Händler und Zah­lungs­dienst­leis­ter ver­fol­gen. Betrug und Miss­brauch wer­den in Kauf genom­men, um dem Kun­den ein­fa­ches Ein­kau­fen zu ermög­li­chen. Händ­ler sehen sich mit der Umstel­lung nun neu­en Risi­ken gegen­über. Die Gefahr, dass sich Kun­den durch den neu­en Auf­wand genervt füh­len, dürf­te stei­gen. Das beque­me Online-Shopping könn­te etwas umständ­li­cher wer­den und Fäl­le des „Aus­stei­gens“ im Bezahl­vor­gang könn­ten sich häu­fen. Ins­ge­samt wür­den somit das Nut­zer­er­leb­nis und der Kauf­kom­fort nach­las­sen. Auch die Opti­on „Als Gast ein­kau­fen“ dürf­te ab Sep­tem­ber ganz der Ver­gan­gen­heit ange­hö­ren. Span­nend wird zudem die Zukunft des One-Click-Buys.

III. Aus­nah­men

Dabei sieht die SCA eine Rei­he von Aus­nah­men von der Zwei-Faktor-Authentifizierung vor.

So muss etwa dann nicht für eine star­ke Kun­den­au­then­ti­fi­zie­rung gesorgt wer­den, wenn Online-Händler kei­ne Gefahr für Betrug und Miss­brauch von Kar­ten­da­ten erzeu­gen. Das ist gilt pri­mär für Trans­ak­tio­nen per Last­schrift, Rech­nung oder Vor­kas­se der Fall. Hier  fehlt es an der für die SCA grund­le­gend erfor­der­li­chen Online-Transaktion.

Wei­ter kann auf die SCA bei wie­der­keh­ren­den Zah­lun­gen und Abon­ne­ments mit einem fes­ten Betrag ver­zich­tet wer­den. Hier kann ab der zwei­ten Zah­lung die Zwei-Faktor-Authentifizierung ein­ge­stellt wer­den. Dies gilt solan­ge bis sich der Zahl­be­trag oder die Kun­den­zah­lungs­da­ten ändern.

Ins­be­son­de­re ist die SCA auch bei Beträ­gen unter 30 € nicht zu beach­ten. Etwas ande­res gilt nur dann, wenn der Kun­de inner­halb von 24 Stun­den meh­re­re unter 30 €-Käu­fe tätigt, die in der Gesamt­sum­me 100€ übersteigen.

IV. Anfor­de­run­gen an den Datenschutz

Daten­schutz­recht­lich beach­tens­wert ist die SCA im Zusam­men­hang mit dem Grund­satz der Daten­mi­ni­mie­rung. Der Grund­satz der Daten­mi­ni­mie­rung besagt, dass Ver­ant­wort­li­che nur jene per­so­nen­be­zo­ge­nen Daten spei­chern dür­fen, die für die Ver­ar­bei­tung erfor­der­lich sind. Ban­ken oder Zah­lungs­dienst­leis­ter brau­chen zur Erbrin­gung Ihrer Leis­tung in der Regel kei­ne Han­dy­num­mer des Kun­den, erst recht kei­ne bio­me­tri­schen Daten wie z.B. einen Fin­ger­ab­druck. Die Erhe­bung bio­me­tri­scher Daten hat unmit­tel­ba­ren Ein­fluss auf die Daten­si­cher­heit. Bio­me­tri­sche Daten als beson­ders sen­si­ble Daten im Sin­ne von Art. 9 DSGVO sind beson­ders schutz­be­dürf­tig. Die Anfor­de­run­gen an die haus­in­ter­ne IT und die Dienst­leis­ter in Sachen Daten­si­cher­heit stei­gen. Schließ­lich dür­fen sen­si­ble Daten nach Art. 9 DSGVO nur mit einer Ein­wil­li­gung der betrof­fe­nen Per­son, also des Kun­den, ver­ar­bei­tet wer­den. Liegt kein Aus­nah­me­tat­be­stand nach Art. 9 Abs. 2 DSGVO oder § 22 BDSG vor, muss der Ver­ant­wort­li­che ent­spre­chend eine Ein­wil­li­gung des Kun­den ein­ho­len, bevor er bio­me­tri­sche Daten spei­chert. Die Anfor­de­run­gen an die Ein­wil­li­gun­gen beinhal­ten unter ande­rem die Pflicht, die Frei­wil­lig­keit der Ein­wil­li­gung nach­wei­sen zu kön­nen. Hier­zu ist ein ent­spre­chen­des Doku­men­ta­ti­ons­ma­nage­ment not­wen­dig. Bei den Kun­den muss zudem ein Bewusst­sein dafür geschaf­fen wer­den, für wel­che Art der Iden­ti­fi­zie­rung sie sich ent­schei­den und wel­che Daten damit in Zusam­men­hang ste­hen. Kun­den sind in den Infor­ma­tio­nen zum Daten­schutz nach Art. 13, 14 DSGVO ent­spre­chend über die neu­en Umstän­de zu informieren.

V. Fazit

Mit Gel­tung der SCA wer­den höhe­re Anfor­de­run­gen an Online-Händler, Zah­lungs­dienst­leis­ter und Ban­ken gestellt wer­den, wenn­gleich die­se für einen siche­re­ren Online-Zahlungsverkehr not­wen­dig und zu begrü­ßen sind. Einer­seits muss die Zwei-Faktor-Authentifizierung tech­nisch umge­setzt und ein­ge­führt wer­den. Ande­rer­seits sind dabei die daten­schutz­recht­li­chen Ansprü­che an die Daten­si­cher­heit zu beach­ten. Ein Pro­blemer­gibt sich sicher­lich aus der schwin­den­den Nut­zer­freund­lich­keit (Usa­bi­li­ty) und dem Ein­bruch der Con­ver­si­on­ra­te. Da zukünf­tig meh­re­re Hand­lungs­schrit­te des Kun­den not­wen­dig sein wer­den, um einen Kauf online abzu­schlie­ßen, könn­te zumin­dest anfäng­lich die Gefahr des Aus­stei­gens oder Abbre­chens stei­gen bis sich die Kun­den an die neue Rou­ti­ne gewöhnt haben. Eine Umori­en­tie­rung hin zur kar­ten­lo­sen Zah­lung ab einem Rech­nungs­be­trag von 30 €, z.B. in Form von Last­schrif­ten oder Rech­nun­gen, könn­te für ein Online-Händler ein Ansatz sein, um nicht den auch tech­nisch kom­ple­xen Vor­ga­ben der SCA zu unter­lie­gen. Eine Inves­ti­ti­on in die IT und die Ein­füh­rung rela­tiv auf­wen­di­ger Pro­zes­se bringt die SCA in jedem Fall mit sich.

Artikel zum selben Thema:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN