Datenschutz: Strong Customer Authentication – Neue Herausforderungen für den Datenschutz

Im September 2019 tritt die starke Kundenauthentifizierung (Strong Customer Authentication = SCA) in Kraft. Online-Einkäufe müssen dann über eine Zwei-Faktor-Authentifizierung bestätigt werden. Onlineshop-Händler, Zahlungsdienstleister und Banken müssen hierzu zukünftig möglicherweise mehr personenbezogene, in einigen Fällen sogar biometrische Daten Daten eines Kunden verarbeiten und schützen als bislang. Es wird eine ähnliche Verunsicherung wie bei Einführung der DSGVO erwartet.

I. Strong Customer Authentication

Die SCA ist Teil der zweiten EU-Zahlungsdienstrichtlinie (Second Payment Services Directive, PSD2) und gibt neue Regeln für den Online-Zahlungsverkehr vor. In nationales Recht umgesetzt, ist sie ab dem 14. September 2019 in Europa anwendbar. Die SCA gilt für alle Teilnehmer, die elektronischen Zahlungsverkehr anbieten und sollen Online-Transaktionen sicherer machen. Banken, Online-Händler und Unternehmen sollen Nutzer eindeutig identifizieren und so das Betrugs- und Missbrauchsrisiko reduzieren können. Daneben wird ein gerechter Wettbewerb zwischen Banken und Zahlungsdienstleistern wie PayPal oder Klarna geschaffen. 2020 startet die SCA weltweit.

II. Anforderungen der SCA

Die Strong Customer Authentication ist erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. Die SCA schreibt vor, dass Kunden in diesen Fällen zukünftig vor der Online-Transaktion ihre Identität über eine Zwei-Faktor-Authentifizierung nachweisen müssen. Händler und Banken müssen entsprechende technische Voraussetzungen dafür schaffen und entscheiden, welche zwei Faktoren abgefragt werden. Zur Wahl stehen drei Wege:

• Wissen des Kunden: Abfragen, z.B. Passwort, PIN oder Geheimfrage
• Besitz des Kunden: Authentifizierung durch ein Gerät, z.B. Smartphone, Karte mit Nummer oder Wearable
• Sein des Kunden: z.B. Fingerabdruck, Gesichtserkennung oder Irisscan

In der praktischen Umsetzung ist beispielsweise an ein Einmalpasswort zu denken, dass der Kunde nach Angabe seiner Handynummer auf sein Smartphone erhält oder an die Zahlung per Fingerabdruck.

Ganz ungewohnt ist diese Form der Authentifizierung nicht. Einige Kunden sind diese Art der doppelten Absicherung bereits vom Online-Banking gewohnt (Login = Wissen und (SMS-)TAN = Besitz), auch bei der Zahlung per girocard an der Kasse sind zwei Faktoren notwendig. Ungewohnt dürfte es indes in all den Fällen sein, in denen die Kunden bisher eine unkomplizierte und schnelle Bezahlmöglichkeit gewohnt waren. Das unkomplizierte Einkaufserlebnis ist Teil eines risikobasierten Ansatzes, den Online-Händler und Zahlungsdienstleister verfolgen. Händler sehen sich mit der Umstellung neuen Risiken gegenüber. Die Gefahr, dass sich Kunden durch den neuen Aufwand genervt fühlen, dürfte steigen. Das bequeme Online-Shopping könnte etwas umständlicher werden und Fälle des „Aussteigens“ im Bezahlvorgang könnten sich häufen. Insgesamt würden somit das Nutzererlebnis und der Kaufkomfort nachlassen. Auch die Option „Als Gast einkaufen“ dürfte ab September ganz der Vergangenheit angehören. Spannend wird zudem die Zukunft des One-Click-Buys.

III. Ausnahmen

Dabei sieht die SCA eine Reihe von Ausnahmen von der Zwei-Faktor-Authentifizierung vor.

So muss etwa dann nicht für eine starke Kundenauthentifizierung gesorgt werden, wenn Online-Händler keine Gefahr für Betrug und Missbrauch von Kartendaten erzeugen. Das ist gilt primär für Transaktionen per Lastschrift, Rechnung oder Vorkasse der Fall. Hier  fehlt es an der für die SCA grundlegend erforderlichen Online-Transaktion.

Weiter kann auf die SCA bei wiederkehrenden Zahlungen und Abonnements mit einem festen Betrag verzichtet werden. Hier kann ab der zweiten Zahlung die Zwei-Faktor-Authentifizierung eingestellt werden. Dies gilt solange bis sich der Zahlbetrag oder die Kundenzahlungsdaten ändern.

Insbesondere ist die SCA auch bei Beträgen unter 30 € nicht zu beachten. Etwas anderes gilt nur dann, wenn der Kunde innerhalb von 24 Stunden mehrere unter 30 €-Käufe tätigt, die in der Gesamtsumme 100€ übersteigen.

IV. Anforderungen an den Datenschutz

Datenschutzrechtlich beachtenswert ist die SCA im Zusammenhang mit dem Grundsatz der Datenminimierung. Der Grundsatz der Datenminimierung besagt, dass Verantwortliche nur jene personenbezogenen Daten speichern dürfen, die für die Verarbeitung erforderlich sind. Banken oder Zahlungsdienstleister brauchen zur Erbringung Ihrer Leistung in der Regel keine Handynummer des Kunden, erst recht keine biometrischen Daten wie z.B. einen Fingerabdruck. Die Erhebung biometrischer Daten hat unmittelbaren Einfluss auf die Datensicherheit. Biometrische Daten als besonders sensible Daten im Sinne von Art. 9 DSGVO sind besonders schutzbedürftig. Die Anforderungen an die hausinterne IT und die Dienstleister in Sachen Datensicherheit steigen. Schließlich dürfen sensible Daten nach Art. 9 DSGVO nur mit einer Einwilligung der betroffenen Person, also des Kunden, verarbeitet werden. Liegt kein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO oder § 22 BDSG vor, muss der Verantwortliche entsprechend eine Einwilligung des Kunden einholen, bevor er biometrische Daten speichert. Die Anforderungen an die Einwilligungen beinhalten unter anderem die Pflicht, die Freiwilligkeit der Einwilligung nachweisen zu können. Hierzu ist ein entsprechendes Dokumentationsmanagement notwendig. Bei den Kunden muss zudem ein Bewusstsein dafür geschaffen werden, für welche Art der Identifizierung sie sich entscheiden und welche Daten damit in Zusammenhang stehen. Kunden sind in den Informationen zum Datenschutz nach Art. 13, 14 DSGVO entsprechend über die neuen Umstände zu informieren.

V. Fazit

Mit Geltung der SCA werden höhere Anforderungen an Online-Händler, Zahlungsdienstleister und Banken gestellt werden, wenngleich diese für einen sichereren Online-Zahlungsverkehr notwendig und zu begrüßen sind. Einerseits muss die Zwei-Faktor-Authentifizierung technisch umgesetzt und eingeführt werden. Andererseits sind dabei die datenschutzrechtlichen Ansprüche an die Datensicherheit zu beachten. Ein Problemergibt sich sicherlich aus der schwindenden Nutzerfreundlichkeit (Usability) und dem Einbruch der Conversionrate. Da zukünftig mehrere Handlungsschritte des Kunden notwendig sein werden, um einen Kauf online abzuschließen, könnte zumindest anfänglich die Gefahr des Aussteigens oder Abbrechens steigen bis sich die Kunden an die neue Routine gewöhnt haben. Eine Umorientierung hin zur kartenlosen Zahlung ab einem Rechnungsbetrag von 30 €, z.B. in Form von Lastschriften oder Rechnungen, könnte für ein Online-Händler ein Ansatz sein, um nicht den auch technisch komplexen Vorgaben der SCA zu unterliegen. Eine Investition in die IT und die Einführung relativ aufwendiger Prozesse bringt die SCA in jedem Fall mit sich.

Autor: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz