Ich kaufe - vor allem wegen Corona - momentan viel im Internet ein und habe dabei oft meine Kreditkarte hinterlegt beziehungsweise zahle direkt damit. Vor einiger Zeit hieß es, dass es zu Jahresanfang schärfere Sicherheitsvorschriften geben soll. Nun habe ich gelesen, dass sich das verzögert. Was gilt jetzt?

€uro am Sonntag: Sie müssen sich in der Tat erst nach dem Jahreswechsel mit höheren Sicherheitsanforderungen auseinandersetzen. Das bestätigte ein Sprecher der Finanzaufsicht Bafin gegenüber €uro am Sonntag.Demnach ist die sogenannte starke Kundenauthentifizierung erst ab dem 15. März 2021 bei allen Geldsummen nötig. Bereits ab dem 15. Januar 2021 greift die Methode bei Zahlungen ab 250 Euro, und ab 15. Februar ab 150 Euro. Bislang war der Start nach diversen Verzögerungen für den 1. Januar 2021 vorgesehen.

Der Sprecher begründete die Verschiebung mit der Erfahrung der Bafin, "dass bei der Inbetriebnahme neuer IT-Systeme oft vielfältige Anfangsschwierigkeiten auftreten". Es handelt sich bereits um die zweite Verschiebung der starken Kundenauthentifizierung. Das neue Verfahren sollte ursprünglich im Herbst 2019 starten und war dann von der Bafin auf Anfang 2021 terminiert worden. Damals hieß es, dass etliche Onlineshops noch nicht auf die Neuerungen eingestellt seien.

Bisher ging Onlineshopping mit der Kreditkarte meistens so: Zum Bezahlen Kartennummer, Gültigkeitsdatum und den Sicherheitscode von der Rückseite eintippen - fertig. Es gibt aber schon heute viele Shops, die bei Kartenzahlungen ein sogenanntes 3-D-Secure-Verfahren nutzen, also eine zusätzliche Sicherheitsabfrage tätigen. Je nachdem, welche Freigabevariante die Bank des Verbrauchers anbietet, erhalten Sie etwa eine Transaktionsnummer (TAN) aufs Handy, die dann zur Freigabe online eingegeben werden muss. Wer ein Smartphone nutzt, kann je nach Bank seine Identität auch über die Banking-App bestätigen oder biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung nutzen.

Nicht bei jedem Online-Einkauf ab 2021 ist eine zusätzliche Freigabe nötig. Denn die sogenannte PSD-II-Richtlinie der Europäischen Union, auf der die Pflicht zur starken Kundenauthentifizierung beruht, erlaubt Ausnahmen. Inwiefern sie angewendet werden, "liegt in der Entscheidung des jeweiligen Kreditinstituts", sagte eine Sprecherin des Bundesverbands deutscher Banken schon vor Monaten. Sie verwies auf das sogenannte Whitelisting: "Man kann als Kunde teilweise im Onlinebanking hinterlegen, dass man bei bestimmten Händlern häufig einkauft und diese als vertrauenswürdig eingeschätzt werden."