Die Deutsche Kreditwirtschaft fühlt sich gut gerüstet: In allen deutschen Banken und Sparkassen habe man sich in den letzten Monaten umfangreich vorbereitet auf die von der BaFin im Mai vorgegebenen Regeln. Und so hätten die Institute schon vor deren Inkrafttreten höchste Sicherheitsanforderungen erfüllt, heißt es in einer Mitteilung von heute Morgen. Für die Verbraucher bedeutet das: es reicht künftig nicht mehr, zum Bezahlen nur die Kreditkartennummer und die Prüfziffer oder den Benutzernamen und ein Kennwort einzugeben. Es wird deutlich komplizierter, denn der Kunde muss sich stärker autorisieren, erklärt Steffen von Blumröder, Bereichsleiter von Bitkom, dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien:

"Starke Autorisierung heißt: Zwei von drei Faktoren aus Wissen, Besitz und Biometrie. PIN/Tan genauso wie Kennwort würde eben den Wissensaspekt abbilden. Besitz wäre so etwas: Ich besitze mein Smartphone oder mein Tablet. Und dann käme eben der dritte Faktor dazu, Biometrie: Fingerabdruck, Stimme, Venenscan, so etwas. Und dann muss man in Zukunft zwei von diesen drei Faktoren abbilden können."

Diese zweifache Autorisierung gilt auch beim Zugriff auf vertrauliche Daten, etwa wenn man die Kontoauszüge abrufen möchte. Online zu bezahlen wird also mühsamer. Ein Klick - und der Kauf ist abgeschlossen, das geht eben von heute an nicht mehr. Und das könnte Folgen haben, meint von Blumröder:

"Käufer mögen es bequem, daher könnte es aktuell auch zu mehr Kaufabbrüchen führen, weil sie mit den neuen Sicherungssystemen teilweise noch nicht vertraut sind oder diese im Moment auch noch zu umständlich gestaltet sind."

Ausgenommen von solchen Regeln sind Käufe auf Rechnung. Die höhere Sicherheit beim Bezahlen im Netz werden die Verbraucher zwar schätzen. Das Ganze hat aber zwei Seiten, erklärt Peter Lassek von der Verbraucherzentrale Hessen. Denn bisher habe der Kunde sich um Haftungsfragen nicht sorgen müssen:

"Momentan ist es eben so, weil wir es mit beleglosem Zahlungsverkehr zu tun haben, dass im Falle eines Missbrauchs eben die kartenausstellende Stelle den Schaden zu tragen hat, sich dann also mit dem Online-Händler auseinandersetzen muss, sodass der Kunde fein raus ist, der Verbraucher. Künftig kann es aber sein, dass die Rechtsprechung, die wir zum Beispiel im EC-Kartenbereich haben, dann auch hier übertragen wird auf diese Internetzahlungen. Da gilt dann der sogenannte Anscheinsbeweis, das heißt, wenn ich zusätzliche Merkmale erfüllen muss, eine PIN eingeben muss, eine TAN eingeben muss, und dann erfolgt ein Missbrauch, wird natürlich sofort vermutet, dass der Kunde irgendetwas falsch gemacht hat."

Die strengeren Regeln der BaFin gelten nur für die Institutionen, die direkt der Bankenaufsicht unterstellt sind. Das sind Banken, öffentliche Verwaltung und Zahlungsinstitute. Nicht darunter fallen Zahlungsdienstleister wie Paypal. Aber auch das wird sich bald ändern. Denn Anfang Oktober hat das Europäische Parlament die überarbeitete Zahlungsdiensterichtlinie angenommen. Steffen von Blumröder von Bitkom:

"Paypal wird auch zukünftig unter diese Regulierung fallen, und dann wird es in den nächsten zwölf Monaten auch darum gehen, die technischen Möglichkeiten viel mehr im Detail zu betrachten, die für Lösungen rund um die Zwei-Faktor-Autorisierung möglich sind."

Erst 2017 aber müssen die Mitgliedsstaaten die überarbeitete Zahlungsdiensterichtlinie umsetzen. Das aber sollte möglichst bald geschehen, fordert die Deutsche Kreditwirtschaft. Denn nur so könne man einheitliche Sicherheitsstandards für Internetzahlungen in ganz Europa umsetzen.