Das deutsche Zahlungsverkehrsrecht war lange stark richterrechtlich geprägt. Mit der europarechtlichen Payment Services Directive (PSD = Zahlungsdiensterichtlinie) wurde das Zahlungsverkehrsrecht 2009 in den §§ 676a ff. BGB kodifiziert. Zum Anfang 2018 mussten dann verschiedene Ergänzungen aufgrund der überarbeiteten PSD 2 umgesetzt werden, was der deutsche Gesetzgeber wiederum in den §§ 676a ff. BGB geregelt hat.
Weitere Änderungen durch PSD 2 stehen nun an: Zahlungsdienstleister sind ab dem 14. September 2019 verpflichtet, grundsätzlich eine „starke Kundenauthentifizierung“ durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Hierbei werden zwei voneinander unabhängige Elemente verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).
Die Vorgaben zur starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.
Es wird davon ausgegangen, dass die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet sind. Bei Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, besteht nach Einschätzung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) allerdings noch Anpassungsbedarf. Um Verbrauchern und Unternehmen dennoch bis auf weiteres die Möglichkeit zu geben, online mit der Kreditkarte zu bezahlen, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer starken Kundenauthentifizierung bestehen. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt also zunächst erhalten.
Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der Europäischen Bankenaufsichtsbehörde (EBA) und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit haben alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anzupassen, dass diese in den gesetzlich vorgesehenen Fällen eine starke Kundenauthentifizierung ermöglichen.
