Person sitzt vor aufgeklappten Laptop und blickt auf Bildschirm
© flamingo images | stock.adobe.com

Zahlungsverkehr: Regeln für elektronische Zahlungen

Erhöhte Pflichten zur Identifikation der Kunden

Lesedauer: 2 Minuten

Seit 14. September 2019 gelten strengere Regeln für die Kundenauthentifizierung im elektronischen Zahlungsverkehr.

Weil die Umsetzung der neuen Vorgaben technische Nachrüstungen erfordert, hat sich die Wirtschaftskammer erfolgreich für einen zeitlichen Aufschub eingesetzt. Nach konstruktiven Gesprächen der WKÖ mit der zuständigen Aufsichtsbehörde FMA teilte diese nun mit, dass die von der Europäischen Bankenaufsicht in Aussicht gestellte aufsichtsrechtliche Nachsicht bei der Umsetzung der starken Kundenauthentifizierung in Österreich tatsächlich zur Anwendung gelangen wird. 

Diese Regeln sollen die missbräuchliche Verwendung von Zahlungsmitteln verhindern und sicherstellen, dass der Zahler auch der legitime Nutzer des Zahlungsinstruments ist. Die betrifft Zahlungen über das Internet, aber auch etwa elektronische Kartenzahlungen an einer Kassa.

Bei einer elektronischen Zahlung muss die Kundenauthentifizierung aus zwei der drei folgenden Elemente bestehen:

  • Wissen (etwas, was nur der Benutzer weiß, wie z.B. ein PIN-Code oder ein Passwort)
  • Besitz (etwas, was nur der Kunde besitzt, wie etwa eine Bankomat- oder Kreditkarte bei Zahlung an einem Kartenterminal)
  • Inhärenz (etwas, was nur der Zahler ist, wie etwa ein Fingerabdruck, das Gesicht bei Gesichtserkennung oder bestimmte andere biometrische Daten)

Damit entspricht beispielsweise eine Zahlung durch bloße Angabe der Kreditkartendaten (Name, Nummer, Ablaufdatum, Prüfziffer) nicht diesen Anforderungen. Auch die früher üblichen TAN-Listen sind ab 14. September nicht mehr zulässig, da die Authentifizierung immer mit dem Kunden und den konkreten Betrag (somit auch mit einer konkreten Transaktion) verknüpft sein muss.

In bestimmten Fällen sind Ausnahmen von der strengen Kundenauthentifizierung vorgesehen:

  • Zahlungskontoinformationen (wenn innerhalb der letzten 90 Tage eine Authentifizierung stattgefunden hat)
  • Kontaktloses Zahlen bis zu 50 Euro (bzw. kumuliert nicht über 150 € oder nicht mehr als fünf Zahlungen)
  • Kleinbetragszahlungen bis 30 € (bzw kumuliert nicht mehr als 100 € oder nicht mehr als fünf Zahlungen)
  • Zahlungen an Terminals für Parkgebühren und Fahrkartenkäufe für den Verkehr
  • Der Zahler kann eine Liste der vertrauenswürdigen Empfänger erstellen, die er dem Zahlungsdienstleister mitteilt („white listing“).
  • Bei wiederkehrenden Zahlungsvorgängen ist nur bei Erstellung, Änderung und erstmaligen Auslösen eine strenge Authentifizierung erforderlich.
  • Überweisungen zwischen Konten derselben natürlichen oder juristischen Person
  • Von Unternehmen genutzte sichere Zahlungsprozesse und –protokolle, wenn die zuständige Behörde (in Österreich die FMA) diese Prozesse und Protokolle als ausreichend sicher ansieht.
  • Zahlungen mit einem äußerst geringen Risiko des missbräuchlichen Gebrauchs von Zahlungsmitteln (Liegt z.B. die Obergrenze der kartengebundenen Zahlungen bei 500 €, darf die Betrugsquote bei diesen Zahlungen maximal 0,01 % ausmachen).

Nicht betroffen sind grundsätzlich Zahlungen mit „virtuellen Währungen“ wie Bitcoin, da diese rechtlich nicht als Zahlungsinstrumente gesehen werden. Beim Erwerb von Einheiten einer Kryptowährung sind aber die Regeln zur starken Kundenauthentifizierung relevant, wenn die Zahlung für den Erwerb online erfolgt.

Ab 14. September 2019 können Zahlungsauslösedienste und Kontoinformationsdienste (etwa über Apps, die von FinTech-Unternehmen angeboten werden) in Österreich angeboten werden. Bei einem Zahlungsauslösedienst löst der Zahlungsdienstleister eine Zahlung von einem Zahlungskonto aus, das von einem anderen Zahlungsdienstleister geführt wird. Ein Kontoinformationsdienst ermöglicht eine Übersicht über alle oder mehrere Zahlungskonten, die der Nutzer der Zahlungsdienstleistungen bei mehreren Zahlungsdienstleistungen hält. Für diese Dienste gelten ebenfalls strenge Sicherheits- und Authentifizierungsbestimmungen.

Stand: 02.03.2023

Weitere interessante Artikel