Kundenauthentifizierung (starke)

GEPRÜFTES WISSEN
Über 100 Experten aus Wissenschaft und Praxis.
Mehr als 8.000 Stichwörter kostenlos Online.
Das Original: Gabler Banklexikon

Übersicht

Definition Online-Lexikon (kostenlos)
Mindmap
Literaturverzeichnis/Weblinks
Sachgebiete
interne Verweise

Zitierfähige URL

zuletzt besuchte Definitionen...

Ausführliche Definition im Online-Lexikon

Die Zweite Zahlungsdiensterichtlinie (PSD2) hat das Instrument der starken Kundenauthentifizierung eingeführt, um die Sicherheit von missbrauchsanfälligen Internetzahlungen zu erhöhen. Sofern ein Zahler online auf sein Konto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet (z.B. wenn er E-Geld von einem Konto auf ein anderes überträgt), ist der beteiligte Zahlungsdienstleister dazu verpflichtet, eine starke Kundenauthentifizierung zu verlangen (§ 55 I ZAG), deren Anforderungen in § 1 XXIV ZAG definiert sind. Danach müssen mindestens zwei Elemente aus den drei Kategorien Wissen (z.B. Passwort, Code, PIN), Besitz (z.B. Token, Smartphone) und Inhärenz (z.B. Fingerabdruck, Stimmerkennung) zur Kundenauthentifizierung herangezogen werden. Zusätzlich müssen diese Elemente voneinander unabhängig sein, die Nichterfüllung des einen Elements darf also nicht die Zuverlässigkeit des anderen in Frage stellen. Weitere Einzelheiten zu den Erfordernissen der starken Kundenauthentifizierung (z.B. Authentifizierungscode, dynamische Verknüpfung) und ihren Ausnahmen (z.B. zu Zahlungsabwicklungen unterhalb von 30 Euro oder kontaktlose Zahlungsvorgänge), legen die „Regulatory Technical Standards" (erarbeitet von der European Banking Authority [EBA] und in Kraft gesetzt durch die Europäische Kommission) fest, die jedoch in weiten Teilen erst zum 14.9.2019 anwendbar sein werden (VO (EU) 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation v. 27.11.2017). Verzichtet ein Zahlungsdienstleister auf die vorgeschriebene starke Kundenauthentifizierung, drohen ihm weitreichende zivilrechtliche Konsequenzen (§ 675v IV BGB): Der Zahler ist – abweichend von den allgemeinen Regelungen des § 675v I - III BGB grundsätzlich nicht zum Schadensersatz verpflichtet, es sei denn, er hat in betrügerischer Absicht gehandelt.