Ab dem 5. November 2015 werden Zahlungsdienstleister in Deutschland die „Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“ befolgen müssen. Ob die dadurch erhöhte Sicherheit der Zahlungen im Internet mit einem Rückgang der Conversion Rate im E-Commerce „erkauft“ werden muss, ist noch nicht klar.

Um bei Zahlungen über das Internet drohenden Gefahren zu begegnen, erließ die EZB 2013 die „Final SecuRe Pay Recommendations on the Security of Internet Payments“ (EZB-Empfehlungen). Später war man überzeugt, dass die Europäische Bankenaufsichtsbehörde (EBA) eher zuständig sei, diese Regeln zu erlassen, sodass die EBA im Dezember 2014 die „Leitlinien zur Sicherheit von Internetzahlungen“ (EBA-Leitlinien) veröffentlichte. Die Bundesanstalt für Finanzdienstleistungen (BaFin) traf die Entscheidung, die EBA-Leitlinien im Mai 2015 wortgleich als „Rundschreiben über Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“ zu veröffentlichen und hierdurch in ihre Aufsichtspraxis zu übernehmen. Den deutschen Zahlungsdienstleistern räumte die BaFin eine Karenz ein, indem sie zusagte, dass die neuen Vorschriften erst ab dem 5. November 2015 aufsichtsrechtlich durchgesetzt würden.

Soeben hat die BaFin das in der Zahlungsindustrie mit Spannung erwartete Rundschreiben “Mindestanforderungen an die Sicherheit von Internetzahlungen” (MaSin) veröffentlicht. Anders als erwartet sind die MaSin eine bloße, wörtliche Übersetzung der EBA-Leitlinien zur Sicherheit von Internetzahlungen.

Anfang Februar 2014 hat das Bundesministerium der Finanzen das erste Online-Identifizierungsverfahren genehmigt (Osborne Clarke hat WebID Solutions GmbH, Berlin, dabei beraten). Dieses neue Verfahren ist eine große Bereicherung für den eCommerce-Markt in Deutschland, weil es die Identifizierung nach dem Geldwäscherecht ohne Medienbruch erlaubt.

Der EuGH hat in einem aktuellen Urteil verschiedene Begriffe der Zahlungsdiensterichtlinie ausgelegt. Der EuGH vertritt unter anderem den Standpunkt, dass der Begriff des Zahlungsinstruments, der als Zahlungsauthentifizierungsinstrument in das deutsche Recht übertragen wurde, das Verfahren beleggebundener Überweisungen mit Unterschrift umfasst. Damit stellt sich der EuGH gegen die von der deutschen Regierung und auch die ganz überwiegend in der deutschen Literatur vertretene Auffassung, wonach ein Zahlungsauthentifizierungsinstrument stets die Verwendung personalisierter Sicherheitsmerkmale wie PIN und/oder TAN voraussetzt.

Das Verhältnis der Vorschriften zur internen Organisation und zur Sicherheit von Zahlungsdiensten der zweiten Zahlungsverkehrsrichtlinie (PSD2) und der SecuRe Pay Empfehlungen dürfte sich zukünftig wie folgt darstellen:

Die PSD2, die seit dem 24. Juli 2013 im Entwurf vorliegt, ist noch in nationales Recht umzusetzen. Sobald die Richtlinie verabschiedet ist, wird eine Umsetzungsfrist von voraussichtlich zwei Jahren laufen.