Fachnews Datenschutz: Strong Customer Authentication – Neue Herausforderungen für den Datenschutz Freitag, 16. August 2019
Im September 2019 tritt die starke Kundenauthentifizierung (Strong Customer Authentication = SCA) in Kraft. Online-Einkäufe müssen dann über eine Zwei-Faktor-Authentifizierung bestätigt werden. Onlineshop-Händler, Zahlungsdienstleister und Banken müssen hierzu zukünftig möglicherweise mehr personenbezogene, in einigen Fällen sogar biometrische Daten Daten eines Kunden verarbeiten und schützen als bislang. Es wird eine ähnliche Verunsicherung wie bei Einführung der DSGVO erwartet. I. Strong Customer Authentication Die SCA ist Teil der zweiten EU-Zahlungsdienstrichtlinie (Second Payment Services Directive, PSD2) und gibt neue Regeln für den Online-Zahlungsverkehr vor. In nationales Recht umgesetzt, ist sie ab dem 14. September 2019 in Europa anwendbar. Die SCA gilt für alle Teilnehmer, die elektronischen Zahlungsverkehr anbieten und sollen Online-Transaktionen sicherer machen. Banken, Online-Händler und Unternehmen sollen Nutzer eindeutig identifizieren und so das Betrugs- und Missbrauchsrisiko reduzieren können. Daneben wird ein gerechter Wettbewerb zwischen Banken und Zahlungsdienstleistern wie PayPal oder Klarna geschaffen. 2020 startet die SCA weltweit. II. Anforderungen der SCA Die Strong Customer Authentication ist erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. Die SCA schreibt vor, dass Kunden in diesen Fällen zukünftig vor der Online-Transaktion ihre Identität über eine Zwei-Faktor-Authentifizierung nachweisen müssen. Händler und Banken müssen entsprechende technische Voraussetzungen dafür schaffen und entscheiden, welche zwei Faktoren abgefragt werden. Zur Wahl stehen drei Wege: Wissen des Kunden: Abfragen, z.B. Passwort, PIN oder Geheimfrage Besitz des Kunden: Authentifizierung durch ein Gerät, z.B. Smartphone, Karte mit Nummer oder Wearable Sein des Kunden: z.B. Fingerabdruck, Gesichtserkennung oder Irisscan In der praktischen Umsetzung ist beispielsweise an ein Einmalpasswort zu denken, dass der Kunde nach Angabe seiner Handynummer auf sein Smartphone erhält oder an die Zahlung per Fingerabdruck. Ganz ungewohnt ist diese Form der Authentifizierung nicht. Einige Kunden sind diese Art der doppelten Absicherung bereits vom Online-Banking gewohnt (Login = Wissen und (SMS-)TAN = Besitz), auch bei der Zahlung per girocard an der Kasse sind zwei Faktoren notwendig. Ungewohnt dürfte es indes in all den Fällen sein, in denen die Kunden bisher eine unkomplizierte und schnelle Bezahlmöglichkeit gewohnt waren. Das unkomplizierte Einkaufserlebnis ist Teil eines risikobasierten Ansatzes, den Online-Händler und Zahlungsdienstleister verfolgen. Händler sehen sich mit der Umstellung neuen Risiken gegenüber. Die Gefahr, dass sich Kunden durch den neuen Aufwand genervt fühlen, dürfte steigen. Das bequeme Online-Shopping könnte etwas umständlicher werden und Fälle des „Aussteigens“ im Bezahlvorgang könnten sich häufen. Insgesamt würden somit das Nutzererlebnis und der Kaufkomfort nachlassen. Auch die Option „Als Gast einkaufen“ dürfte ab September ganz der Vergangenheit angehören. Spannend wird zudem die Zukunft des One-Click-Buys. III. Ausnahmen Dabei sieht die SCA eine Reihe von Ausnahmen von der Zwei-Faktor-Authentifizierung vor. So muss etwa dann nicht für eine starke Kundenauthentifizierung gesorgt werden, wenn Online-Händler keine Gefahr für Betrug und Missbrauch von Kartendaten erzeugen. Das ist gilt primär für Transaktionen per Lastschrift, Rechnung oder Vorkasse der Fall. Hier fehlt es an der für die SCA grundlegend erforderlichen Online-Transaktion. Weiter kann auf die SCA bei wiederkehrenden Zahlungen und Abonnements mit einem festen Betrag verzichtet werden. Hier kann ab der zweiten Zahlung die Zwei-Faktor-Authentifizierung eingestellt werden. Dies gilt solange bis sich der Zahlbetrag oder die Kundenzahlungsdaten ändern. Insbesondere ist die SCA auch bei Beträgen unter 30 € nicht zu beachten. Etwas anderes gilt nur dann, wenn der Kunde innerhalb von 24 Stunden mehrere unter 30 €-Käufe tätigt, die in der Gesamtsumme 100€ übersteigen. IV. Anforderungen an den Datenschutz Datenschutzrechtlich beachtenswert ist die SCA im Zusammenhang mit dem Grundsatz der Datenminimierung. Der Grundsatz der Datenminimierung besagt, dass Verantwortliche nur jene personenbezogenen Daten speichern dürfen, die für die Verarbeitung erforderlich sind. Banken oder Zahlungsdienstleister brauchen zur Erbringung Ihrer Leistung in der Regel keine Handynummer des Kunden, erst recht keine biometrischen Daten wie z.B. einen Fingerabdruck. Die Erhebung biometrischer Daten hat unmittelbaren Einfluss auf die Datensicherheit. Biometrische Daten als besonders sensible Daten im Sinne von Art. 9 DSGVO sind besonders schutzbedürftig. Die Anforderungen an die hausinterne IT und die Dienstleister in Sachen Datensicherheit steigen. Schließlich dürfen sensible Daten nach Art. 9 DSGVO nur mit einer Einwilligung der betroffenen Person, also des Kunden, verarbeitet werden. Liegt kein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO oder § 22 BDSG vor, muss der Verantwortliche entsprechend eine Einwilligung des Kunden einholen, bevor er biometrische Daten speichert. Die Anforderungen an die Einwilligungen beinhalten unter anderem die Pflicht, die Freiwilligkeit der Einwilligung nachweisen zu können. Hierzu ist ein entsprechendes Dokumentationsmanagement notwendig. Bei den Kunden muss zudem ein Bewusstsein dafür geschaffen werden, für welche Art der Identifizierung sie sich entscheiden und welche Daten damit in Zusammenhang stehen. Kunden sind in den Informationen zum Datenschutz nach Art. 13, 14 DSGVO entsprechend über die neuen Umstände zu informieren. V. Fazit Mit Geltung der SCA werden höhere Anforderungen an Online-Händler, Zahlungsdienstleister und Banken gestellt werden, wenngleich diese für einen sichereren Online-Zahlungsverkehr notwendig und zu begrüßen sind. Einerseits muss die Zwei-Faktor-Authentifizierung technisch umgesetzt und eingeführt werden. Andererseits sind dabei die datenschutzrechtlichen Ansprüche an die Datensicherheit zu beachten. Ein Problemergibt sich sicherlich aus der schwindenden Nutzerfreundlichkeit (Usability) und dem Einbruch der Conversionrate. Da zukünftig mehrere Handlungsschritte des Kunden notwendig sein werden, um einen Kauf online abzuschließen, könnte zumindest anfänglich die Gefahr des Aussteigens oder Abbrechens steigen bis sich die Kunden an die neue Routine gewöhnt haben. Eine Umorientierung hin zur kartenlosen Zahlung ab einem Rechnungsbetrag von 30 €, z.B. in Form von Lastschriften oder Rechnungen, könnte für ein Online-Händler ein Ansatz sein, um nicht den auch technisch komplexen Vorgaben der SCA zu unterliegen. Eine Investition in die IT und die Einführung relativ aufwendiger Prozesse bringt die SCA in jedem Fall mit sich. Autor: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Fachnews vom 20. Juni 2023 Datenschutz Gruppenpostfächer – Personendaten in vielen Händen Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand mehrere Fliegen mit einer Klappe schlagen. Um das datenschutzrechtliche Niveau zu halten, muss bereits bei der Anlage eines Gruppenpostfachs Sorgfalt … Weiterlesen … Gruppenpostfächer – Personendaten in vielen Händen Fachnews vom 07. Juni 2023 Datenschutz Das Verbandbuch und der Datenschutz Die erforderliche Aufzeichnung geleisteter Erste-Hilfe-Maßnahmen in Unternehmen, Behörden, Kindertageseinrichtungen und in Schulen erfolgen in der Praxis meist in sogenannten Verbandbüchern. Wie sind diese Aufzeichnungen datenschutzrechtlich zu bewerten und was gilt es bei der Organisation der … Weiterlesen … Das Verbandbuch und der Datenschutz Fachnews vom 16. Mai 2023 Datenschutz Die Revision der ISO/IEC 27001:2022 und der Datenschutz Die im Oktober 2022 veröffentlichte ISO/IEC 27001 in der Version 2022 löst die ISO/IEC 27001:2013, wohl wichtigste Norm zur Informationssicherheit, ab und rückt den Datenschutz stärker in den Fokus. Weiterlesen … Die Revision der ISO/IEC 27001:2022 und der Datenschutz < >