Kanzlei Lachenmann Onlinerecht IT-Recht

Mobiles Bezahlen – Rechtliche Bestimmungen und IT-Sicherheit

Von RAin Lachenmann | Veröffentlicht: 13. Oktober 2015

Kanzlei Lachenmann zu Datenschutz im WEG - VideoüberwachungMobiles Bezahlen mittels Apps, Smartphones und Internet-Diensten ist auf dem Vormarsch und wird die Barzahlung weiter ablösen. Diensleister müssen ab November die Anforderungen der MaSi einhalten, die Übergangsfrist läuft aus. Strafen der BaFin drohen bei fehlender Umsetzung. Klassische Banken werden an Umsatz verlieren, neue Online-Dienstleister und Start-Ups werden bei neuen Finanzgeschäfte eine wachsende Rolle einnehmen. In meinem letzten Beitrag hatte ich die Technologien des mobilen Bezahlens beschrieben. Im Folgenden ein Überblick über rechtliche Bestimmungen und IT-Sicherheit bei mobilem Bezahlen:

Mobiles Bezahlen – Rechtliche Bestimmungen:

Mobile Zahlungen (mittels Mobile Payment Diensten) sind in aller Regel „digitale Zahlungsgeschäfte“ gem. § 1 Abs. 2 Nr. 5 ZAG oder „Finanztransfergeschäfte“ gem. Nr. 6 (Gesetz über die Beaufsichtigung von Zahlungsdiensten). Anbieter solcher Geschäfte gelten als „Zahlungsinstitute“ und benötigen für ihren Betrieb eine Erlaubnis der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht).

Europaweit besteht die Pflicht zur Anerkennung von Erlaubnissen, die eine Finanzaufsicht in einem anderen EU-Staat erteilt hat („europäischer Pass“). Aufgrund der verschiedenen Bestimmungen in den EU-Ländern gibt es so einen relativ großen Unterschied in der Zuverlässigkeit der verschiedenen Anbieter von Mobile Payment. Dies soll sich künftig durch die Zahlungsdiensterichtlinie II ändern. Neben allgemeiner Harmonisierung sollen dann auch z.B. Zahlungsauslöse- und Kontoinformationsdienste von der Regulierung erfasst werden.

Mobiles Bezahlen – IT-Sicherheit und Datenschutz:

Schon jetzt sollten Anbieter von mobilem Bezahlen die Anforderungen des Rundschreibens 4/2015 der BaFin zur Datensicherheit bei Internet-Zahlungen vom 4./5. Mai 2015 berücksichtigen (MaSi). Dieses beruht auf den europäischen Vorgaben, den EBA Guidelines on the security of internet payments. Für das MaSi-Schreiben der BaFin, das seit 5.5.2015 gültig ist, galt eine Übergangsfrist, die am 5.11.2015 ausläuft. Bis Anfang November sollten Anbieter von mobilem Bezahlen also die MaSi-Anforderungen der BaFin einhalten!

Nicht alle Lösungen für mobiles Bezahlen sind von der MaSi erfast, nur browserbasierte Zahlungen im Anwendungsbereich. Wer aber als externe Dienstleister der erfassten Verfahren gilt, soll laut BaFin auf die Grundsätze zur IT-Sicherheit verpflichtet werden. Das MaSi enthält Regelungen für Kontroll- und Sicherheitsmaßnahmen, die einzuhalten sind. Ebenso wichtig ist der Schutz aller personenbezogenen Daten nach dem Bundesdatenschutzgesetz (BDSG), teils auch Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG). Hinweise liefert auch der Düsseldorfer Kreis, der Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden, die mit Beschluss vom 4./5.5.2011 Anbieter von NFC-Technologien und anderen mobilen Bezahl-Diensten zu mehr Datenschutz aufforderten. Weitere Unterstützung bietet die Orientierungshilfe vom 16.6.2014.

Zur IT-Sicherheit für mobiles Bezahlen gehört laut MaSI:

  • Starke Kundenauthentifizierung: Verwendung von zumindest 2 Elemente wie Wissen, Besitz und Kohärenz (vergleichbar mit der EC-Karte, Tokens, Code, Smartphones, Passwörter), dies beinhaltet die Nutzung starker Authentifizierungstechnologien.
  • Einsatz von Betrugerkennungs- und Betrugverhütungssystemen: Außergewöhnliche Verhaltensmuster von Kunden sollen erkannt werden und ggf. das Programm blockieren.
  • Protokollierung der Daten zu Transaktionen: Protokollierung, fortlaufende Transaktionsnummern, Zeitstempel bei Transaktionen, Parametriesierungsänderungen usw. sollen Betrugsfälle vermeiden helfen oder nach Eintritt zur Zurückverfolgung elektronischer Einzugsermächtigungen führen.

Bei Einhaltung  solcher Anforderungen kann mobiles Bezahlen eine sichere und praktische Alternative zur Barzahlung bieten. Eine Übersicht über Dienste für mobiles Bezahlen gebe ich im gesonderten Beitrag.

Dieser Beitrag wurde in Apps und Recht, Blog, Compliance, Datenschutzrecht, IT- und Internetrecht, Vertragsrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.