Jetzt amtlich: Die Zwei-Faktor-Autorisierung (2FA) für Zahlungen im Internet wird auch in Deutschland nicht zum 14. September kommen. „Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen“, das teilt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) heute (endlich) in einer Pressemitteilung mit. Bereits am vergangenen Freitag hatte die Lebensmittel Zeitung über die geplante Aufhebung der Deadline berichtet.
Die EU-Kommission ist damit mit ihrem Ziel, eine „starke Kundenauthentifizierung“ (SCA) für elektronische Bezahlungen zum 14. September 2019 in Europa einzuführen, vorerst gescheitert. Vor Deutschland hatten bereits Großbritannien, Italien, Österreich und Frankreich von der „Opinion“ der Europäischen Bankenaufsicht Gebrauch gemacht und den Stichtag 14. September für die aufsichtsrechtliche Durchsetzung der sogenannten „Zwei-Faktor-Autorisierung“ aufgehoben. Die BaFin wählt den Sonderweg, ihre „Erleichterungen“ ausdrücklich nur auf Kreditkartenzahlungen zu beschränken – was immer auch die BaFin unter eine Kreditkarte versteht. „Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet„, so die Mitteilung.
Die FCA hat inzwischen bereits einen eigenen 18-monatigen Migrationsplan mit der Paymentsbranche und dem Onlinehandel vereinbart und veröffentlicht. Von der BaFin heißt es zum Thema „Dauer des Aufschubs“ lediglich:
„Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten.“
Die Deutsche Kreditwirtschaft „unterstützt“ die neue Übergangsfrist in einer Stellungnahme und drängt auf eine gemeinsame europäische Lösung. „Richtige und wichtige Entscheidung der BaFin. Mehr Flexibilität bei allen Beteiligten in der Umsetzung der technischen Vorgaben der PSD2 zur sicheren Authentifizierung“, kommentiert Ulrich Binnebößel, Zahlungsverkehrsexperte des Handelsverbands HDE, auf Twitter. Die LZ berichtet heute über eine Umfrage der EBA zur Umsetzungsfrist, die auf eine einheitliche Lösung bzw. eine koordinierende Hand hoffen lasse.
Zugriff auf Bankkonto bleibt erhalten
Auch beim zweiten Kernpunkt der 2. Stufe der PSD2, dem Kontenzugriff für Drittdienstleister (TPP), bleibt in Deutschland zunächst alles beim Alten: Bereits am Donnerstag hatte die BaFin in einem Schreiben an die Deutsche Kreditwirtschaft klargestellt, dass der Stichtag 14. September von den Banken nicht dazu genutzt werden darf, die bisherigen (nicht PSD2-konformen) Zugänge zu Bankkonten zu kappen. Die DK zeigte sich in einer Stellungnahme „erstaunt“. „Der PSD2-Streit zwischen Banken und Fintechs ist fürs erste zugunsten der Fintechs entschieden“, resümierte Christian Kirchner auf Finanz-Szene.de zum gleichen Thema.
Was versteht die BaFin in der heutigen Pressemitteilung unter „Kreditkarten“? Verwendet die BaFin hier die Legaldefinition einer Kreditkarte gemäß der Interchange Fee-Verordnung (2015) oder orientiert sich die BaFin an die Definition, die der EZB-Zahlungsverkehrsstatistik unterliegt? Oder versteht sie hier unter „Kreditkarten“ generell alle Zahlungskarten (wie üblich in Übersichten zur Nutzung von Zahlungsinstrumenten im eCommerce, wie beim EHI)?
Manchmal stellt man eine Frage und dann muss man die Frage selbst beantworten 🙂
Die BaFin versteht in dieser Pressemitteilungen unter „Kreditkarten“ generell Zahlungskarten. Das war das Ergebnis meines Gesprächs mit der BaFin. Selbstkritisch: Vielleicht soll man nicht jedes Wort einer amtlichen Pressemitteilung auf die Goldwaage legen.