PSD2 und Starke Kundenauthentifizierung (SCA): Der vollständige Leitfaden

Was ist PSD2 – und warum wurde sie eingeführt?

PSD2 (Payment Services Directive 2) ist die EU-Zahlungsdiensterichtlinie, die den gesamten elektronischen Zahlungsverkehr in Europa neu geordnet hat. Sie trat im Januar 2016 in Kraft und musste bis Januar 2018 in das nationale Recht aller EU-Mitgliedstaaten umgesetzt werden. Seitdem gilt sie als rechtliche Grundlage für nahezu jede Online-Zahlung, die du innerhalb des Europäischen Wirtschaftsraums (EWR) tätigst.

Die Richtlinie verfolgt vier klar definierte Kernziele. Erstens soll sie die Sicherheit von Online-Zahlungen erhöhen – durch verbindliche Authentifizierungspflichten, die Betrug strukturell erschweren. Zweitens stärkt sie den Verbraucherschutz: Haftungsregeln wurden verschärft, Rückbuchungsrechte ausgeweitet. Drittens fördert PSD2 den Wettbewerb, indem sie Drittanbietern (sogenannten TPPs – Third Party Providers) Zugang zu Bankkonten ermöglicht, sofern der Kontoinhaber zustimmt. Viertens schafft sie einen einheitlichen europäischen Rechtsrahmen, der grenzüberschreitende Zahlungen vereinfacht und harmonisiert.

Die technischen Details – also wie Sicherheitsanforderungen konkret umzusetzen sind – regelt die Delegierte Verordnung 2018/389 der Europäischen Kommission. Diese sogenannten Regulatory Technical Standards (RTS) traten am 14. September 2019 in Kraft. Damit wurde die Starke Kundenauthentifizierung (SCA) für Online-Zahlungen und den Zugang zu Online-Banking-Anwendungen offiziell verpflichtend.

In Deutschland räumte die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) eine Übergangsfrist bis Ende 2020 ein. Das bedeutet: Kartenzahlungen ohne SCA wurden bis dahin nicht beanstandet. Die vollständige Durchsetzung der SCA-Pflicht für Online-Kartenzahlungen erfolgte in Deutschland und dem gesamten EWR ab dem 1. Januar 2021.

Wichtig ist die begriffliche Abgrenzung: PSD2 ist die übergeordnete Richtlinie. SCA ist eine ihrer zentralen Anforderungen – die konkrete Pflicht zur Zwei-Faktor-Authentifizierung. Wer PSD2 sagt, meint den rechtlichen Rahmen. Wer SCA sagt, meint den Mechanismus, der diesen Rahmen für dich als Zahler spürbar macht. Verantwortlich für die Umsetzung sind primär die Zahlungsdienstleister (PSPs), Acquirer und Kartenaussteller – nicht die Händler selbst, außer wenn diese Zahlungen direkt über Bankschnittstellen auslösen.

Starke Kundenauthentifizierung (SCA): Die drei Faktoren im Detail

Starke Kundenauthentifizierung bedeutet: Bevor eine elektronisch ausgelöste Zahlung durchgeführt wird, musst du deine Identität mit mindestens zwei von drei unabhängigen Faktoren nachweisen. Diese Pflicht gilt für alle kundenseitig veranlassten Online-Zahlungen innerhalb des EWR – egal ob du per Kreditkarte, Debitkarte oder Banküberweisung zahlst.

Die drei anerkannten Faktorkategorien sind Wissen, Besitz und Inhärenz. Sie müssen so kombiniert werden, dass die Kompromittierung eines Faktors die Sicherheit der anderen nicht beeinträchtigt. Ein Passwort und eine PIN gelten beispielsweise beide als „Wissen“ – diese Kombination erfüllt die SCA-Anforderung nicht, weil es sich um dieselbe Kategorie handelt.

Faktor 1 – Wissen: Etwas, das nur du kennst. Klassische Beispiele sind ein Passwort oder eine PIN. Dieser Faktor ist der älteste und verbreitetste – aber allein nicht mehr ausreichend.

Faktor 2 – Besitz: Etwas, das nur du physisch besitzt. Das kann dein Smartphone sein, auf dem du einen SMS-Code oder eine Push-Benachrichtigung empfängst. Auch Hardware-Token und TAN-Generatoren fallen in diese Kategorie. Beim Online-Banking sind seit PSD2 nur noch dynamische TAN-Verfahren erlaubt – also Verfahren, bei denen pro Transaktion eine neue, einmalig gültige TAN generiert wird. Statische TAN-Listen sind damit Geschichte.

Faktor 3 – Inhärenz: Etwas, das du bist. Biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung fallen in diese Kategorie. Moderne Banking-Apps nutzen diese Methode intensiv – du entsperrst die App per Fingerabdruck und bestätigst die Zahlung per Gesichtsscan. Das ist bequem und gleichzeitig SCA-konform, weil Besitz (Smartphone) und Inhärenz (Biometrie) kombiniert werden.

In der Praxis sieht SCA bei einer Kartenzahlung so aus: Du gibst deine Kartendaten ein, und deine Bank sendet dir eine Push-Benachrichtigung in die Banking-App. Du öffnest die App, bestätigst per Fingerabdruck – fertig. Zwei Faktoren (Besitz + Inhärenz) sind erfüllt. Alternativ erhältst du einen SMS-Code (Besitz), den du zusammen mit deiner PIN (Wissen) eingibst.

Das Unabhängigkeitsprinzip ist dabei entscheidend: Wenn jemand dein Passwort stiehlt, darf das keinen Einfluss auf die Sicherheit deines Fingerabdrucks oder deines Smartphones haben. Genau deshalb müssen die Faktoren aus verschiedenen Kategorien stammen. Dieses Prinzip macht SCA strukturell robuster als jedes Einzel-Passwort-System.

3D Secure 1.0 vs. 3D Secure 2.0: Das technische Rückgrat der SCA

Wenn du online mit einer Kreditkarte zahlst, läuft im Hintergrund ein Protokoll namens 3D Secure (3DS). Es ist der primäre technische Mechanismus, mit dem Kartenzahlungen die SCA-Anforderungen der PSD2 erfüllen. Die Frage ist nur: welche Version?

3D Secure 1.0 (3DS1) war das ältere Protokoll. Es funktionierte so: Beim Bezahlen wurdest du auf eine separate Seite deiner Bank weitergeleitet, wo du ein statisches Passwort eingeben musstest – das sogenannte „Verified by Visa“- oder „SecureCode“-Passwort. Das Problem: Diese Weiterleitung unterbrach den Kaufprozess abrupt. Viele Nutzer brachen den Kauf ab, weil sie das Passwort vergessen hatten oder die Weiterleitung als verdächtig empfanden. 3DS1 galt in der Branche als „Conversion Killer“ – und das zu Recht. Außerdem reicht 3DS1 für die PSD2-Konformität nicht aus, weil es keine echte Zwei-Faktor-Authentifizierung im Sinne der RTS liefert.

3D Secure 2.0 (3DS2) ist das Nachfolgeprotokoll und der einzige PSD2-konforme Standard für Kartenzahlungen. Es funktioniert grundlegend anders. Statt einer Weiterleitung läuft die Authentifizierung direkt im Browser oder in der App – ohne dass du die Seite verlässt. Das Herzstück von 3DS2 ist die risikobasierte Authentifizierung: Das Protokoll überträgt umfangreiche Transaktionsdaten an den Kartenaussteller – Geräteinformationen, Kaufhistorie, Standortdaten, Verhaltensmuster. Anhand dieser Daten bewertet der Kartenaussteller das Risiko der Transaktion in Echtzeit.

Fällt die Bewertung positiv aus (risikoarme Transaktion), greift der sogenannte Frictionless Flow: Die Authentifizierung erfolgt unsichtbar im Hintergrund, ohne dass du irgendetwas tun musst. Kein Code, kein Klick, keine Unterbrechung. Erst wenn das System eine Transaktion als risikobehaftet einstuft, wird ein aktiver Challenge Flow ausgelöst – dann erscheint die vertraute Aufforderung, einen Code einzugeben oder per Biometrie zu bestätigen.

Die unterstützten Authentifizierungsmethoden bei 3DS2 sind deutlich moderner: Einmalpasswörter (OTPs), biometrische Verfahren, Token und Push-Benachrichtigungen. Das macht den Prozess nicht nur sicherer, sondern auch nutzerfreundlicher. Der erwartete Anstieg des Anteils mit 3DS abgesicherter Internetzahlungen war erheblich: von rund 10 % vor der PSD2-Einführung auf bis zu 80 % aller Internetzahlungen.

SCA-Ausnahmen: Wann entfällt die Zwei-Faktor-Pflicht?

SCA gilt nicht für jede einzelne Transaktion ausnahmslos. Die Delegierte Verordnung 2018/389 definiert neun anerkannte Ausnahmetatbestände. Diese Ausnahmen sind kein Schlupfloch – sie sind bewusst eingebaut, um den Zahlungsverkehr praktikabel zu halten, ohne die Sicherheit zu gefährden. Wichtig: Ausnahmen müssen aktiv beantragt oder technisch implementiert werden. Sie gelten nicht automatisch für alle Beteiligten.

1. Low-Value Transactions (Kleinbetragszahlungen): Online-Kartenzahlungen unter 30 € können ohne SCA durchgeführt werden. Im Vereinigten Königreich liegt die Grenze bei 25 £. Diese Ausnahme gilt jedoch nicht unbegrenzt. Es gibt kumulative Limits: Übersteigt die Summe aller Zahlungen ohne SCA auf einer Karte 100 € (innerhalb von 24 Stunden), wird SCA zwingend angefordert. Nach einer anderen Berechnungsmethode gilt ein kumulativer Gesamtbetrag von 150 €. Außerdem: Nach fünf aufeinanderfolgenden Transaktionen ohne SCA – unabhängig vom Gesamtbetrag – wird SCA ebenfalls zwingend ausgelöst. Den Überblick behält dabei der Kartenaussteller, der diese Limits überwacht.

2. Transaktionsrisikoanalyse (TRA): Transaktionen zwischen 30 € und 500 € können von SCA ausgenommen werden, wenn die Betrugsraten von Kartenaussteller und Acquirer gesetzlich definierte Schwellenwerte nicht überschreiten. Je niedriger die Betrugsrate eines Anbieters, desto höher der Betrag, für den er TRA-Ausnahmen beantragen darf. Diese Ausnahme liegt in der Verantwortung von Acquirer oder Kartenaussteller – nicht des Händlers.

3. Wiederkehrende Zahlungen und Abonnements: Wenn du ein Abonnement abschließt, ist SCA nur bei der ersten Transaktion erforderlich. Alle Folgetransaktionen mit gleichem Betrag an denselben Empfänger sind ausgenommen. Ändert sich der Betrag – etwa bei einer Preiserhöhung – ist erneut SCA nötig. Diese Ausnahme beantragen PSP oder Händler.

4. Whitelisting (Vertrauenswürdige Empfänger): Du kannst bei deiner Bank bestimmte Händler als vertrauenswürdig hinterlegen. Bei zukünftigen Zahlungen an diese Händler entfällt SCA. Manche Kartenanbieter nennen dieses Konzept eine „Express List“ – du legst einmalig fest, welchen Händlern du vertraust, und zahlst dort künftig reibungsloser. Die Einrichtung liegt beim Karteninhaber selbst.

5. Merchant Initiated Transactions (MITs): Wenn der Händler – nicht du – eine Zahlung auslöst (etwa bei einem Lastschriftverfahren oder einer automatischen Verlängerung), greift die SCA-Pflicht nicht. Voraussetzung ist, dass du der Händlerinitiierung zuvor zugestimmt hast.

6. MOTO (Mail Order / Telephone Order): Zahlungen, die du per Telefon oder schriftlich per E-Mail aufgibst, sind von SCA ausgenommen. Der Händler trägt hier die Verantwortung für die korrekte Klassifizierung.

7. One Leg Out: Sitzt entweder dein Kartenaussteller oder die Händlerbank außerhalb des EWR, greift die PSD2-SCA-Pflicht nicht. Diese Ausnahme gilt automatisch – ohne dass jemand sie beantragen muss.

8. Secure Corporate Payment: B2B-Transaktionen über zentralisierte Firmenkonten oder Firmenkarten sind ausgenommen, sofern das Konto nicht einer einzelnen natürlichen Person zugeordnet ist. Beispiele sind Firmenkarten für Reisekostenabrechnungen oder zentralisierte Unternehmenskonten.

9. Anonyme Prepaid-Karten: Karten ohne Identifizierung des Inhabers sind automatisch von der SCA-Pflicht ausgenommen.

Auswirkungen auf den E-Commerce: Händler und Verbraucher unter Druck

Die Einführung der SCA-Pflicht war für den deutschen und europäischen E-Commerce kein reibungsloser Übergang. Sowohl auf Händler- als auch auf Verbraucherseite löste die neue Authentifizierungspflicht erhebliche Unsicherheit aus – und die Zahlen belegen das deutlich.

Eine Verbraucherbefragung aus dem August 2019 – kurz vor dem offiziellen Inkrafttreten der RTS – zeigte ein gemischtes Bild. 22,5 % der Befragten gaben an, aufgrund der neuen SCA-Prozesse künftig weniger online einkaufen zu wollen. Das ist fast jeder vierte Konsument. Gleichzeitig planten 64,4 % keine Änderung ihres Kaufverhaltens. Und 13,1 % begrüßten die erhöhte Sicherheit sogar ausdrücklich und wollten verstärkt online einkaufen. Die Mehrheit der Verbraucher war also pragmatisch – aber eine relevante Minderheit zeigte echte Kaufzurückhaltung.

Auf Händlerseite war die Lage noch angespannter. Im November 2019 – also unmittelbar nach dem offiziellen Inkrafttreten der SCA-Pflicht – hatte die Hälfte aller Online-Händler noch keine PSD2-Anpassungen vorgenommen. Die Gründe: 34 % nannten die Komplexität der technischen Anpassung als Haupthindernis. 33 % fürchteten mehr Kaufabbrüche durch zusätzliche Authentifizierungsschritte. Diese Zahlen erklären, warum die BaFin in Deutschland eine Übergangsfrist bis Ende 2020 einräumte.

Die Befürchtungen der Händler waren nicht unbegründet. 44 % der Online-Händler bemerkten nach der PSD2-Einführung eine erhöhte Komplexität des Zahlungsvorgangs für ihre Kunden. 43 % verzeichneten ein erhöhtes Serviceaufkommen – mehr Anfragen, mehr Beschwerden, mehr Supportbedarf rund um abgelehnte Zahlungen und Authentifizierungsprobleme. Und mehr als drei Viertel der Online-Händler sahen durch PSD2 insgesamt mehr Nachteile als Vorteile für ihr Unternehmen.

Diese Wahrnehmung ist verständlich – aber sie spiegelt vor allem die Übergangsphase wider. Mit der breiten Einführung von 3D Secure 2.0 und dem Frictionless Flow hat sich die Situation für viele Händler verbessert. Risikoarme Transaktionen laufen heute oft ohne jede Nutzerinteraktion durch. Die Conversion-Einbußen, die anfangs befürchtet wurden, sind bei gut implementiertem 3DS2 deutlich geringer als unter dem alten 3DS1-Regime.

Für Händler, die Zahlungen direkt über Bankschnittstellen (XS2A – Access to Account) auslösen, gelten besondere Anforderungen: Sie müssen die SCA-Maßnahmen der jeweiligen Bank technisch einbinden. Technologien wie Card on File (COF) und Delegated Authentication helfen dabei, PSD2-Anforderungen zu erfüllen und gleichzeitig einen nahtlosen Checkout zu bieten. Wer diese Möglichkeiten nutzt, kann SCA-Konformität und gute Nutzererfahrung miteinander verbinden – kein Widerspruch, sondern eine Frage der technischen Umsetzung.

SCA in der Praxis: Was tun bei abgelehnter Zahlung?

Trotz aller technischen Fortschritte kommt es vor: Du versuchst, online zu bezahlen, und die Transaktion wird abgelehnt. Das kann verschiedene Ursachen haben – nicht alle davon hängen direkt mit SCA zusammen, aber viele schon.

Die häufigsten Ablehnungsgründe im SCA-Kontext sind: Die Karte unterstützt kein 3D Secure (vor allem ältere Karten). Die SCA-Faktoren wurden nicht korrekt bereitgestellt – etwa weil du keinen Zugang zu dem Smartphone hast, auf dem deine Banking-App installiert ist. Die Rechnungsadresse stimmt nicht mit den Kartendaten überein. Das Kreditlimit ist überschritten. Oder die Karte ist schlicht abgelaufen.

Was kannst du konkret tun? Erstens: Versuche die Zahlung erneut – manchmal handelt es sich um einen temporären technischen Fehler. Zweitens: Wechsle die Zahlungsmethode, wenn der Händler Alternativen anbietet. Drittens: Kontaktiere deinen Kartenaussteller. Oft lässt sich 3D Secure nachträglich aktivieren oder ein Problem mit der Authentifizierungsmethode lösen. Viertens: Prüfe deine Kartendaten – Gültigkeit, Rechnungsadresse, Kreditlimit.

Bei unberechtigten Abbuchungen – also wenn jemand deine Karte missbräuchlich genutzt hat – greift das Chargeback-Verfahren. Du kontaktierst zunächst den Händler schriftlich und forderst eine Rückbuchung. Bleibt das erfolglos, wendest du dich an deine Bank. Dabei gelten Fristen, die je nach Kartentyp und Zahlungsnetzwerk variieren. Wichtig: Viele Kartennetzwerke bieten einen Zero-Liability-Schutz bei Kartenmissbrauch – vorausgesetzt, du hast nicht grob fahrlässig gehandelt (etwa deine PIN weitergegeben).

Das Whitelisting-Prinzip ist in der Praxis ein unterschätztes Werkzeug. Wenn du regelmäßig bei denselben Händlern einkaufst – etwa bei deinem bevorzugten Online-Supermarkt oder einem Streaming-Dienst – lohnt es sich, diese Händler in deiner Banking-App als vertrauenswürdig zu hinterlegen. Kartenanbieter, die eine solche „Express List“ oder ähnliche Funktionen anbieten, ermöglichen dir damit einen reibungsloseren Checkout, ohne auf den Schutz durch SCA zu verzichten. Du genießt denselben Sicherheitsstandard – nur ohne die Unterbrechung bei jedem einzelnen Kauf.

Für Verbraucher, die häufig international einkaufen: Beachte die One-Leg-Out-Regel. Kaufst du bei einem Händler außerhalb des EWR – etwa in den USA oder Asien – und dein Kartenaussteller sitzt im EWR, greift die PSD2-SCA-Pflicht nicht zwingend. Das bedeutet, dass du bei solchen Transaktionen möglicherweise keine SCA-Aufforderung erhältst. Das ist kein Fehler, sondern rechtlich so vorgesehen.

Zusammengefasst: SCA ist kein Hindernis, das du umgehen musst. Es ist ein Sicherheitsmechanismus, der – richtig implementiert – im Hintergrund läuft, ohne deinen Kaufprozess zu stören. Die Ausnahmen sind zahlreich und gut durchdacht. Und wenn doch einmal etwas schiefläuft, gibt es klare Wege, das Problem zu lösen.