Was ist eine „starke Kundenauthentifizierung“?

Bei einem elektronischen Zahlungsvorgang (zum Beispiel bei einer Überweisung im Online-Banking oder bei einer Kreditkartenzahlung im Internet) müssen Sie sich gegenüber Ihrer Bank oder Ihrem Zahlungsdienstleister genau ausweisen. Die Bank oder der Zahlungsdienstleister muss einen Nachweis darüber verlangen, dass Sie selbst und keine andere Person die elektronische Zahlung tätigt oder auf das Konto zugreift. Dieser Nachweis muss über die sogenannte „starke Kundenauthentifizierung“ erfolgen. Dieser Prozess wird auch „2-Faktor-Authentifizierung“ genannt, da Sie sich auf zwei verschiedenen Arten ausweisen müssen.

Die „starke Kundenauthentifizierung“ bzw. „2-Faktor-Autentifizierung“ bedeutet, dass Sie Ihre Identität durch zwei Elemente aus den folgenden Kategorien nachweisen müssen:

  • Wissen (etwas, das nur Sie wissen): PIN, Passwort, Sicherheitsfrage oder Ähnliches
  • Besitz (etwas, das nur Sie besitzen): Smartphone, (Kredit-)Karte, Smartwatch oder Ähnliches
  • Inhärenz (etwas, das nur Sie sind): Fingerabdruck, Gesichtserkennung, Iris-Scan, Stimmerkennung, oder Ähnliches (NICHT: Unterschrift)

Die beiden Elemente, mit denen sich die zahlende Person authentifiziert, müssen aus unterschiedlichen Kategorien stammen und voneinander unabhängig sein. Es müssen also zwei Schranken zur Freigabe einer Zahlung überwunden werden.

Typische Kombinationen sind:

  • Passwort (Kategorie: Wissen) + mobile TAN bzw. SMS-TAN (Kategorie: Besitz)
  • Passwort (Kategorie: Wissen) + Fingerabdruck bzw. Gesichtserkennung (Kategorie: Inhärenz)

Die bloße Eingabe der Kreditkartendaten bei der Online-Zahlung entspricht also nicht einer „starken Kundenauthentifizierung“. Auch die Eingabe der Kreditkartendaten plus die Eingabe eines zusätzlichen Passworts (zum Beispiel „SecureCode“) gilt nicht als „starke Kundenauthentifizierung“. Denn: Die Kreditkartendaten zählen anders als die Karte selbst nicht zur Kategorie „Besitz“.

Es gibt gewisse Ausnahmen von der „starken Kundenauthentifizierung“. So ist bei Lastschriftmandaten und bei kleinen Beträgen keine „starke Kundenauthentifizierung“ notwendig. Außerdem können Sie bei ihrer Bank eine Liste bestimmter ZahlungsempfängerInnen („White List“) erstellen, für die Sie sich nicht mit einer „starken Kundenauthentifizierung“ identifizieren müssen. Zuletzt hatte die Finanzmarktaufsicht Österreich (FMA) die Frist, ab wann die starke Kundenauthentifizierung auch bei Kartenzahlungen im E-Commerce-Geschäft anzuwenden ist, bis 31.12.2020 verlängert.

Wie bezahle ich mit „Kauf auf Rechnung“?

Bei der Zahlungsart „Kauf auf Rechnung“ schickt Ihnen das Unternehmen die Rechnung gemeinsam mit der Ware oder nachdem die Leistung ...

Wie bezahle ich mit „Vorkasse“?

Bei der Zahlungsart „Vorkasse“ (Vorauszahlung) müssen Sie das Geld auf das Konto des Unternehmens überweisen, bevor die Ware verschickt oder ...

Kann ich eine Überweisung von meiner Bank wieder zurückholen lassen?

Nein. Sobald Sie einen Betrag überwiesen haben, können Sie diesen nur zurückholen, wenn die Zahlungsempfängerin oder der Zahlungsempfänger ...

Wie bezahle ich mit einer „eps-Überweisung“?

Die Zahlungsart „eps-Überweisung“ ist ein Direkt-Überweisungsverfahren. Das bedeutet: Nach einer Bestellung, können Sie Ihre Bank auswählen und ...

Wie bezahle ich mit einer SEPA-Lastschrift?

Bei einer „(SEPA-)Lastschrift“ erlauben Sie der Zahlungsempfängerin oder dem Zahlungsempfänger, Geld von Ihrem Konto abzubuchen ...

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Bezahlen im Internet"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen