Authentifizierung

Mobile Connect im Kontext von PSD2 und DSGVO

22.10.2019
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Mobile Connect soll die digitale Authentifizierung erleichtern. Erfahren Sie, was dahintersteckt und was der Dienst für PSD2 und DSGVO bedeutet.

Schon seit geraumer Zeit ist es möglich, sich auf Webseiten mit dem Facebook- oder Google-Account via Single Sign-On anzumelden, statt ein neues Konto auf der betreffenden Webseite erstellen zu müssen. Durch dieses Login-Verfahren entfällt das lästige Suchen nach "sicheren" Passwörtern, die im Zweifel sowieso wieder vergessen werden. Außerdem müssen auf fremden Internetseiten keine persönlichen Daten angegeben werden, sondern es kann bequem der Zugang genutzt werden, der bereits angelegt wurde.

Mobile Connect soll die digitale Authentifizierung sicherer und einfacher machen.
Mobile Connect soll die digitale Authentifizierung sicherer und einfacher machen.
Foto: golubovystock - shutterstock.com

Nun haben Facebook und Co. in dieser Hinsicht Konkurrenz bekommen: Telekom, Vodafone und Telefónica haben ihren Dienst "Mobile Connect" gestartet. Bei Mobile Connect handelt es sich um eine von der GSM Association (GSMA) entwickelte Lösung für digitale Authentifizierung. Dieser Dienst erlaubt es dem Nutzer, sich mit seiner Mobilfunknummer auf Internetseiten anzumelden, ohne Angabe einer E-Mail-Adresse oder eines Passworts. Dabei dient die persönliche Handynummer als Identifizierung, entweder als Haupt- oder als Zusatzfaktor.

Die Mobilfunknummer als Hauptfaktor

Es besteht durch Mobile Connect nun die Option, die Mobilfunknummer als Hauptfaktor bei der Authentifizierung einzusetzen. Dazu wird sie auf der betreffenden Website eingegeben, woraufhin ein Link per SMS an die angegebene Nummer übersendet wird. Wird der Link angeklickt, stellt dies die Bestätigung des Erhalts der SMS dar. Diese Bestätigung erlaubt anschließend dem Netzbetreiber - also Telekom, Vodafone oder Telefónica - dem Webseitenbetreiber eine "pseudonymisierte Kundenreferenznummer" zu übermitteln.

Der Webseitenbetreiber erhält also lediglich die Bestätigung der Authentifizierung, durch die pseudonymisierte Kundenreferenznummer kann er den Nutzer zuordnen. Das bedeutet, dass darüber hinaus an den Webseitenbetreiber keine Daten übermittelt werden müssen. Der Vorgang soll schnell und für den Nutzer komfortabel erfolgen, denn die Anmeldung erfolgt ohne E-Mail oder Passwort. Bereits jetzt bietet beispielsweise "Verimi" den Login mit Handynummer an. Künftig soll Mobile Connect auch digitale Behördengänge ermöglichen.

Aus datenschutzrechtlicher Hinsicht erscheint der Anmeldevorgang über Mobile Connect vielversprechend. Telekom selbst sagt, sie schließen mit dem Login-Verfahren die "Sicherheitslücke Passwort". So muss nicht mehr die unverschlüsselte Speicherung von Passwörtern - die unter Umständen auch mehrfach eingesetzt werden - befürchtet werden. Zudem werden die Daten nicht an den Webseitenbetreiber übermittelt, sondern der Prozess läuft vollständig über den Netzbetreiber, der sowieso schon über die entsprechenden Daten verfügt. Daher ist keine Angabe von persönlichen Daten auf fremden Webseiten mehr erforderlich, sodass auch kein Datenmissbrauch auf fremden Seiten befürchtet werden muss.

Die Mobilfunknummer als Zusatzfaktor

Es ist auch möglich, Mobile Connect als Zusatzfaktor bei der Zwei-Faktor-Authentifizierung zu nutzen. In diesem Fall dient die Authentifizierung durch Mobile Connect ergänzend zu den Login-Daten (Benutzerkennung und Passwort) als zusätzliche Absicherung. Gerade im Hinblick auf die Zahlungsdiensterichtlinie PSD2 (Payment Service Directive 2) ist dies in Zukunft auch erforderlich.

Die PSD2 wird in zwei Stufen in nationales Recht umgesetzt. Die erste Umsetzung erfolgte bereits im Januar 2018, das zweite Umsetzungsgesetz ist am 14. September 2019 in Kraft getreten. Dadurch sollen Zahlungsdienstleister zu einer "starken Kundenauthentifizierung" verpflichtet werden. Demnach sollen Online- und Kartenzahlungen in der Regel durch zwei unabhängige Merkmale bestätigt werden (aus den Kategorien Wissen, Besitz und Inhärenz). So müssen beispielsweise beim Online-Banking sowohl Login-Daten als auch eine TAN eingegeben werden. Die TAN muss aus einem dynamischen TAN-Verfahren erlangt werden, das heißt, mit einem Verfahren, bei dem für jede Transaktion eine neue TAN generiert wird. Die starke Kundenauthentifizierung führt also zu einer erhöhten Sicherheit für den Nutzer - was bei den sich ständig ändernden Betrugsmethoden auch erforderlich ist.

Vorläufige Ausnahme bei Kreditkartenzahlungen

Eigentlich sollte die starke Kundenauthentifizierung schon jetzt für alle Online-Zahlungen in der Europäischen Union gelten, jedoch wird es vorübergehend eine Ausnahme geben: die BaFin veröffentlichte am 21. August 2019 eine Pressemitteilung, in der sie bekanntgab, dass Zahlungsdienstleister mit Sitz in Deutschland auch weiterhin Kreditkartenzahlungen im Internet ohne starke Kundenauthentifizierung ausführen dürfen, ohne dabei eine Beanstandung durch die BaFin fürchten zu müssen. Zwar seien die kartenausgebenden Zahlungsdienstleister auf die Anforderungen der PSD2 vorbereitet, dagegen jedoch nicht die Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Damit also Verbraucher und Unternehmen weiterhin online mit der Kreditkarte Zahlungen vornehmen können, sei eine Karenzzeit vorgesehen. Wie lange diese andauere, war zu diesem Zeitpunkt noch offen und sollte nach Konsultierung der Marktteilnehmer und Abstimmung mit der EBA und den nationalen Aufsichtsbehörden durch die BaFin festgelegt werden.

Frist festgesetzt: Stichtag 31.12.2020

Nun gab die BaFin in einer weiteren Mitteilung vom 17.10.2019 bekannt, dass die Karenzzeit für die Zahlungsdienstleister mit Sitz in Deutschland bis zum 31.12.2020 gelte. Die Festsetzung fußt auf einer Option der Eba, in der sie den nationalen Aufsichtsbehörden diese Frist empfiehlt.
Die Fristverlängerung gelte nicht nur für "klassische" Kreditkarten, sondern auch für Debit- und Prepaid-Karten. Dennoch empfiehlt die BaFin Zahlungsdienstleistern, die bereits eine starke Kundenauthentifizierung anbieten, diese nicht wieder abzuschalten. Die übrigen Marktteilnehmer sind nun dazu angehalten, in der Zwischenzeit ihre Infrastruktur den gesetzlichen Anforderungen anzupassen.

Keine Übermittlung in Drittländer bei Mobile Connect

Aus Sicht der Datenschutzgrundverordnung (DSGVO) ist es vorteilhaft, dass der Dienst Mobile Connect durch die Deutsche Telekom, Vodafone Deutschland und Telefónica Deutschland angeboten wird. Denn es findet grundsätzlich keine Übermittlung in Drittstaaten außerhalb der Europäischen Union (beziehungsweise des Europäischen Wirtschaftsraumes) statt, soweit die Anmeldung direkt über Telekom, Telefónica oder Vodafone erfolgt. Allerdings ist eine Registrierung nicht nur über die Netzbetreiber selbst möglich, sondern auch über Mobile Connect Partner und GSMA. Von GSMA werden die Mobilfunknummern für zwölf Monate auf einem Server in den USA gespeichert (PDF), allerdings erst, nachdem sie anonymisiert wurden. Daher bestehen auch hier keine datenschutzrechtlichen Bedenken. (jd/bw)