Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2018, Wirtschaft/Finanzwesen - EU Bund

Die Änderung betrifft nicht die deutsche Fassung.

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG ¹, insbesondere Artikel 98 Absatz 4 Unterabsatz 2,

in Erwägung nachstehender Gründe:

(1) Elektronisch angebotene Zahlungsdienste sollten sicher abgewickelt werden, wobei Technologien eingesetzt werden sollten, mit denen eine sichere Authentifizierung des Nutzers gewährleistet und das Betrugsrisiko so weit wie möglich verringert werden kann. Das Authentifizierungsverfahren sollte generell Transaktionsüberwachungsmechanismen enthalten, um Versuche zur Verwendung der personalisierten Sicherheitsmerkmale eines Zahlungsdienstnutzers, die verloren, gestohlen oder missbräuchlich verwendet wurden, zu erkennen; außerdem sollte das Authentifizierungsverfahren sicherstellen, dass es sich bei dem Zahlungsdienstnutzer um den legitimen Nutzer handelt, der somit durch die normale Verwendung der personalisierten Sicherheitsmerkmale seine Zustimmung für den Transfer von Geldbeträgen und den Zugang zu seinen Kontoinformationen erteilt. Des Weiteren ist es notwendig, Erfordernisse des Verfahrens zur starken Kundenauthentifizierung festzulegen, die jedes Mal angewendet werden sollten, wenn ein Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die insofern das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs birgt, als die Generierung eines Authentifizierungscodes erforderlich ist; dieser Code sollte gegenüber dem Risiko der Fälschung in seiner Gesamtheit oder durch die Offenlegung der Elemente, auf deren Grundlage er generiert wurde, immun sein.

(2) Angesichts der sich ständig ändernden Betrugsmethoden sollten die Erfordernisse für eine starke Kundenauthentifizierung innovative technische Lösungen ermöglichen, mit denen neu aufkommenden Bedrohungen der Sicherheit elektronischer Zahlungen begegnet werden kann. Zur Gewährleistung einer wirksamen kontinuierlichen Umsetzung der festzulegenden Anforderungen sollte ebenfalls verlangt werden, dass die Sicherheitsmaßnahmen für die Durchführung einer starken Kundenauthentifizierung und ihrer Ausnahmen, die Maßnahmen für den Schutz der Vertraulichkeit und der Integrität der personalisierten Sicherheitsmerkmale und die Maßnahmen für die Einrichtung gemeinsamer und sicherer offener Standards für die Kommunikation dokumentiert, regelmäßig getestet, bewertet und von operativ unabhängigen Prüfern mit Fachwissen auf dem Gebiet der IT-Sicherheit und des Zahlungsverkehrs geprüft werden. Damit die zuständigen Behörden die Qualität der Überprüfung dieser Maßnahmen überwachen können, sollten ihnen diese Überprüfungen auf Verlangen zur Verfügung gestellt werden.

(3) Da elektronische Fernzahlungsvorgänge einem höheren Betrugsrisiko ausgesetzt sind, ist es notwendig, bei solchen Vorgängen zusätzliche Anforderungen für eine starke Kundenauthentifizierung einzuführen; diese sollten sicherstellen, dass die Elemente den Zahlungsvorgang dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpfen, die vom Zahler beim Auslösen des Zahlungsvorgangs angegeben werden.

(4) Eine dynamische Verknüpfung ist durch Generierung von Authentifizierungscodes möglich, bei der eine Reihe strenger Sicherheitsanforderungen einzuhalten sind. Um Technologieneutralität sicherzustellen, sollte für die Implementierung von Authentifizierungscodes keine bestimmte Technologie vorgegeben werden. Solange die Sicherheitsanforderungen erfüllt sind, sollten Authentifizierungscodes daher auf Lösungen beruhen wie der Generierung und Validierung einmaliger Passwörter, digitalen Signaturen oder anderen kryptografisch basierten Gültigkeitsversicherungen unter Verwendung von Schlüsseln oder kryptografischem Material, die in den Authentifizierungselementen gespeichert werden.