Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Sarah Thomamüller

Neue Mindestanforderungen zur Sicherheit von Internetzahlungen

News vom 18.11.2015, 10:06 Uhr | Keine Kommentare

Seit Mai 2015 existiert ein neues Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI). Nach einer sechsmonatigen Umsetzungsfrist traten die neuen Regelungen am 5. November 2015 in Kraft.

Was ist der wesentliche Inhalt?

Die MaSI führen für alle Online-Zahlungen verpflichtend eine weitere Methode zur Kundenauthentifizierung ein, sog. „starke Kundenauthentifizierung“. Das bedeutet, dass es nicht mehr ausreicht, wenn sich der Kunde zum Beispiel über PIN oder Passwörter identifiziert. Nach den MaSI muss er sich nunmehr über zwei der drei folgenden Möglichkeiten authentifizieren:

  • Wissen des Kunden (z.B. Passwort, PIN)
  • Gegenstand im Besitz des Kunden (z.B. Smartcard, Mobiltelefon)
  • biometrisches Merkmal des Kunden (z.B. Fingerabdruck).

Neben der starken Kundenauthentifizierung sollen sensible Zahlungsdaten (Daten, die für Betrugszwecke missbraucht werden können) durch Zugriffsschutz und Verschlüsselung besonders geschützt werden und schwerwiegende Zahlungssicherheitsvorfälle an die BaFin gemeldet werden. Ein solcher Vorfall liegt vor, wenn ein Angriff wesentliche Auswirkungen auf die Sicherheit, Integrität oder Kontinuität der Zahlungssysteme und/oder die Sicherheit sensibler Zahlungsdaten oder -mittel hat oder haben könnte.

Banner Unlimited Paket

An wen richten sich die Mindestanforderungen?

Die MaSI richten sich an Bankinstitute, die öffentliche Verwaltung und Zahlungsdienstleister gem. § 1 Abs. 1 ZAG, also solche Einrichtungen, die direkt der Bankenaufsicht unterliegen.

Welche Vorgänge werden von den Anforderungen erfasst?

Betroffen sind nur Zahlungsvorgänge mit Beträgen über 30 €.

Der Kauf auf Rechnung, sowie das Lastschriftverfahren bleiben weiter ohne Einschränkungen möglich. PayPal ist als Zahlungsdienstleister ebenfalls nicht betroffen, da er nicht der deutschen Bankenaufsicht unterliegt.

Möglich ist theoretisch –in der Praxis aber noch kaum wahrgenommen-, dass Kunden vertrauenswürdige Shops auf eine „Whitelist“ bei ihren Banken setzen können, sodass die erweiterte Kundenauthentifizierung entfällt und weiterhin die einfache Identifizierung ausreicht.

Was müssen Online Händler nun tun?

Grundsätzlich müssen Händler in ihren Online Shops nun garantieren, dass eine zweite Art der Kundenauthentifizierung zur Verfügung steht. Ob eine Erweiterung der Authentifizierung überhaupt erforderlich ist und wie diese im konkreten Fall aussehen soll, sollte direkt mit den jeweiligen Zahlungsdienstleistern abgesprochen werden.

Bei Transaktionen mit geringem Risiko oder bei Kleinbetragszahlungen kann gegebenenfalls auch auf andere Authentifizierungsmethoden zurückgegriffen werden.

Weiter müssen sensible Zahlungsdaten, die gespeichert, verarbeitet oder übermittelt werden, besonders geschützt werden. Nur dann haben Online Händler auch Zugriff auf diese Daten bei ihrem Zahlungsdienstleister. Näheres regeln hier die jeweiligen Verträge zwischen Zahlungsdienstleistern und Händlern.

Schwere Sicherheitsvorfälle und Angriffe auf ihr System sind von den Händlern zu melden; sie haben im Ernstfall mit Zahlungsdienstleistern und Strafverfolgungsbehörden zu kooperieren.

Mit welchen Konsequenzen müssen Online Händler bei Nichtbeachtung rechnen?

Online-Händler können bei Nichteinhalten der Verträge mit den Zahlungsdienstleistern von diesen abgemahnt werden. Zahlungsdienstleister können darüber hinaus Sanktionen verhängen oder eine Kündigung des Vertrags vornehmen.

Die BaFin selbst wird Strafen nicht verhängen, jedoch handelt es sich bei allen Vorschriften um „Soll“-Vorgaben, die prinzipiell auch als verpflichtend zu verstehen sind.

Zukunftsaussichten

Im Oktober hat das Europäische Parlament den Vorschlag der Kommission über Vorschriften für mehr Sicherheit und Innovation bei europäischen Zahlungen angenommen, eine überarbeitete Zahlungsdiensterichtlinie, sog. PSD2. Auch sie sollen den Verbraucherschutz stärken. Die Mitgliedsstaaten haben zwei Jahre Zeit um die Richtlinien umzusetzen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Sarah Thomamüller
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller