Was ist eine starke Kundenauthentifizierung?

Mit anderen Worten müssen also zwei Schranken zur Freigabe einer Zahlung überwunden werden. Es reicht also nicht aus, wenn man allein das Passwort einer anderen Person kennt; man muss gleichzeitig auch im Besitz des Endgeräts (Smartphones, Tablet usw.) dieser Person sein.

Typische Kombinationen sind:

• Passwort (Kategorie: Wissen) + Push-TAN (Kategorie: Besitz)
• Passwort (Kategorie: Wissen) + Fingerabdruck bzw. Gesichtserkennung (Kategorie: Inhärenz)

Die bloße Eingabe der Kreditkartendaten bei der Online-Zahlung entspricht also nicht einer „starken Kundenauthentifizierung“. Auch die Eingabe der Kreditkartendaten plus die Eingabe eines zusätzlichen Passworts (zum Beispiel „SecureCode“) gilt nicht als „starke Kundenauthentifizierung“. Denn: Die Kreditkartendaten zählen anders als die Karte selbst nicht zur Kategorie „Besitz“.

Bei Lastschriftmandaten (d. h. Bankeinzugsermächtigungen) ist keine „starke Kundenauthentifizierung“ notwendig. Es gibt aber noch weitere Ausnahmen vom Erfordernis der starken Kundenathentifizierung.

In manchen Fällen besteht keine Pflicht, eine starke Kundenauthentifizierung von Ihnen zu verlangen, weil in diesen Fällen das Betrugsrisiko als gering eingestuft wird (siehe Art 10 bis 18 der Delegierte Verordnung (EU) 2018/389). Die Händlerbank fordert eine solche Ausnahme während der Zahlungsabwicklung an. Ihr Zahlungsdienstleister erhält diese Anfrage und prüft das Risiko der Transaktion bzw. ob er der Risikoeinschätzung der Händlerbank vertraut.

• Elektronische Zahlungen über kleine Beträge bis € 30,-, wobei nicht mehr als fünf Zahlungen getätigt werden dürfen und der Gesamtbetrag der Zahlungen nicht über € 100,- hinausgehen darf.
• Bei wiederkehrenden Zahlungen mit demselben Betrag und demselben Zahlungsempfänger muss nur für die erste Zahlung eine starke Kundenauthentifizierung verlangt werden. Für alle nachfolgenden Zahlungsvorgänge kann Ihr Kreditkartenunternehmen von einer starken Kundenauthentifizierung absehen.
• Elektronische Zahlungen mit einem niedrigem Risiko. Hierbei ist ein Verzicht auf die starke Kundenauthentifizierung bei Beträgen bis € 500 möglich, sofern gesetzlich definierte Betrugsquoten nicht überschritten werden.
• Kontaktlose Zahlungen über Beträge bis € 50,- (z. B. an der Supermarktkassa), wobei nicht mehr als fünf Zahlungen getätigt werden dürfen und der Gesamtbetrag der Zahlungen nicht über € 150,- hinausgehen darf.
• Zahlungen bei Automaten für Park- und Mautgebühren.
• Zahlungen an Zahlungsempfänger auf einer zuvor von Ihnen erstellten Liste der vertrauenswürdigen Empfänger.

Wenn ein Onlineshop (bzw. dessen Bank) eine dieser Ausnahmen in Anspruch nehmen, verzichter er bewusst auf die Sicherheitsvorkehrung der "starken Kundenauthentifizierung", um die Zahlung für Ihre Kunden so bequem wie möglich zu machen. Sie müssen sich dann nicht mittels "starker Kundenauthentifizierung" (d. h. Passwort und TAN bzw. Fingerabrdruck) authentifizieren, sondern können bezahlen, indem Sie Sie die Informationen eingeben, die auf Ihrer Kreditkarte zu finden sind. Dies wird auch „unterschriftsloses Verfahren oder „MOTO-Transaktion“ („Mail Order Telephone Order“) genannt. Der Onlineshop trägt dann aber auch das Risiko, wenn die Zahlung tatsächlich nicht von Ihnen freigegeben wurde.