Ist der Einsatz biometrischer Verfahren zulu00e4ssig?

Biometrie ist rechtlich zulu00e4ssig, unterliegt aber strengen Anforderungen. Mau00dfgeblich sind Notwendigkeit, Verhu00e4ltnismu00e4u00dfigkeit, Transparenz, Sicherheit und die Achtung von Betroffenenrechten. In vielen Konstellationen gelten erhu00f6hte Schutzstandards, weil biometrische Daten besonders sensibel sind.

Wie lange du00fcrfen Authentifizierungsdaten gespeichert werden?

Die Speicherdauer richtet sich nach dem Erforderlichkeitsgrundsatz und einschlu00e4gigen Aufbewahrungspflichten. Daten sind zu lu00f6schen oder zu anonymisieren, sobald der Zweck entfu00e4llt und keine gesetzlichen Fristen oder berechtigten Interessen entgegenstehen.

Legal Lexikon

Wiki»Legal Lexikon»Bank- und Kapitalmarktrecht»Kundenauthentifizierung

Kundenauthentifizierung

Q: Was bedeutet starke Kundenauthentifizierung rechtlich?

Sie beschreibt die Pflicht, bei bestimmten Vorgu00e4ngen zwei oder mehr unabhu00e4ngige Faktoren aus Wissen, Besitz und Inhu00e4renz zu verwenden. Ziel ist ein erhu00f6htes Schutzniveau gegen Missbrauch. Fu00fcr klar definierte Fu00e4lle bestehen Ausnahmen, die an Bedingungen geknu00fcpft sind und auf Risikou00fcberlegungen beruhen.

Q: Du00fcrfen Dienstanbieter die Kundenauthentifizierung an Dritte auslagern?

Die Auslagerung ist mu00f6glich, erfordert aber eine rechtliche Absicherung der Zusammenarbeit. Dazu zu00e4hlen klare Verantwortlichkeiten, vertragliche Regelungen zur Datensicherheit, Weisungsbindung, Kontrollrechte und Vorgaben zur internationalen Datenu00fcbermittlung, soweit betroffen.

Q: Gilt die Pflicht zur Authentifizierung auch bei Kleinbetru00e4gen oder wiederkehrenden Zahlungen?

Fu00fcr Kleinbetru00e4ge und bestimmte wiederkehrende Zahlungen ku00f6nnen Erleichterungen bestehen. Diese sind jedoch eng begrenzt und oft an kumulative Bedingungen und Risikoabwu00e4gungen geknu00fcpft. Der Regelfall bleibt ein angemessen hohes Sicherheitsniveau.

Letzte Aktualisierung: 09. Aug. 2025

Kundenauthentifizierung: Begriff, Bedeutung und rechtliche Einordnung

Kundenauthentifizierung bezeichnet den Prozess, mit dem ein Dienstanbieter prüft, ob eine anfragende Person tatsächlich diejenige ist, für die sie sich ausgibt. Sie dient dazu, unberechtigte Zugriffe zu verhindern, Vermögenswerte zu schützen und Abläufe nachweisbar bestimmten Nutzerinnen und Nutzern zuzuordnen. Im Alltag tritt Kundenauthentifizierung unter anderem beim Online-Banking, beim Zugriff auf Kundenkonten in Online-Shops, bei behördlichen Online-Diensten oder bei elektronischen Signaturen auf.

Ziele und Anwendungsbereiche der Kundenauthentifizierung

Sicherheit und Vertrauensschutz

Rechtlich erfüllt Kundenauthentifizierung die Funktion, schutzwürdige Interessen zu wahren: Sie reduziert Missbrauchsrisiken, schützt personenbezogene Daten und ermöglicht die Zurechnung von Handlungen zu einer bestimmten Person. Damit stützt sie vertragliche Beziehungen und gesetzlich geforderte Schutzstandards.

Nachweis und Zurechenbarkeit

Die Authentifizierung schafft Voraussetzungen für die Beweisführung, etwa ob eine Transaktion autorisiert war. Sie spielt damit eine Rolle bei der Klärung von Verantwortlichkeiten, Haftung und Erstattungsfragen.

Rechtlicher Rahmen in Europa

Datenschutzrecht

Die Verarbeitung von Authentifizierungsdaten unterliegt dem Datenschutz. Erforderlich sind eine tragfähige Rechtsgrundlage, Zweckbindung, Datenminimierung, Transparenz sowie Sicherheit der Verarbeitung. Betroffene haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch im Rahmen der gesetzlichen Vorgaben. Bei internationalen Datenübermittlungen gelten zusätzliche Anforderungen.

Zahlungsdienste und starke Kundenauthentifizierung

Im Zahlungsverkehr bestehen besondere Anforderungen an die sogenannte starke Kundenauthentifizierung. Grundidee ist die Verwendung von mindestens zwei unabhängigen Faktoren aus den Kategorien Wissen (z. B. Passwort), Besitz (z. B. Gerät oder Token) und Inhärenz (z. B. biometrische Merkmale). Für bestimmte Situationen sind eng gefasste Ausnahmen vorgesehen, etwa für Kleinbeträge, wiederkehrende Zahlungen oder vertrauenswürdige Empfänger, regelmäßig auf Basis einer Risikoabwägung.

Elektronische Identitäten und Signaturen

Für elektronische Identifizierungsmittel und Signaturen definiert das europäische Recht Vertrauensniveaus und Anforderungen an Anbieter. Dadurch wird festgelegt, wann eine elektronische Handlung einer Person rechtlich zugeordnet werden kann und welche Beweiskraft ein Verfahren hat.

Geldwäscheprävention

Bei Finanzdienstleistungen und bestimmten anderen Tätigkeiten bestehen besondere Pflichten zur Prüfung der Identität von Kundinnen und Kunden, insbesondere bei Begründung dauerhafter Geschäftsbeziehungen. Die Authentifizierung kann dabei Bestandteil von Fernidentifizierungsverfahren sein.

Arten der Kundenauthentifizierung

Faktoren und Verfahren

Authentifizierung kann auf verschiedenen Faktoren beruhen:

Wissen: etwas, das nur die berechtigte Person kennt (z. B. PIN, Passwort).
Besitz: etwas, das nur die berechtigte Person besitzt (z. B. Kartenleser, Token, Smartphone-App).
Inhärenz: etwas, das die Person ist (z. B. Fingerabdruck, Gesichtserkennung, Stimmerkennung).

In der Praxis kommen neben Passwörtern häufig Einmalcodes (z. B. TAN), Push-Bestätigungen, Hardware-Token oder biometrische Verfahren zum Einsatz. Bei Zahlungsvorgängen ist eine Kombination aus mindestens zwei Kategorien vielfach vorgesehen.

Risikobasierte Authentifizierung

Einige Systeme verwenden Risikoindikatoren (z. B. ungewöhnlicher Standort oder Gerät), um die Stärke der Authentifizierung zu variieren. Rechtlich ist dabei maßgeblich, dass Schutzniveau, Transparenz und Verhältnismäßigkeit gewahrt bleiben und Ausnahmen von verstärkten Verfahren nur unter engen Voraussetzungen zulässig sind.

Daten- und grundrechtliche Aspekte

Rechtsgrundlagen und Zweckbindung

Authentifizierungsdaten werden typischerweise zur Erfüllung eines Vertrags, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage berechtigter Interessen verarbeitet. Entscheidend ist, dass die Daten nur für festgelegte Zwecke erhoben und nicht darüber hinaus verwendet werden, sofern keine gesonderte Rechtsgrundlage vorliegt.

Datenminimierung, Speicherbegrenzung und Transparenz

Es gilt, nur die für den Zweck erforderlichen Daten zu verarbeiten und diese nicht länger als nötig aufzubewahren. Wer Authentifizierungsdaten verarbeitet, hat in klarer, verständlicher Form über Art, Umfang, Zwecke und Rechte zu informieren.

Biometrische Daten

Biometrische Verfahren können besonders schutzbedürftige Informationen betreffen. Rechtlich sind erhöhte Anforderungen an Notwendigkeit, Sicherheit, Transparenz und ggf. an Einwilligung oder alternative Verfahren zu beachten. Der Einsatz hat sich am Grundsatz der Verhältnismäßigkeit zu orientieren.

Sicherheit der Verarbeitung

Technische und organisatorische Maßnahmen müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. Dazu zählen unter anderem Zugriffskontrollen, Verschlüsselung, Integritätsschutz und Protokollierung. Die Eignung der Maßnahmen ist fortlaufend zu bewerten.

Vertrags- und Haftungsfragen

Zurechnung von Handlungen

Die verwendete Authentifizierung wirkt sich auf die Frage aus, ob eine Transaktion einer Person zugerechnet werden kann. Verfahren mit höherer Beweiskraft erleichtern die Nachvollziehbarkeit, ersetzen aber nicht die Prüfung der konkreten Umstände eines Einzelfalls.

Unautorisierte Vorgänge

Kommt es trotz Authentifizierung zu unautorisierten Vorgängen, stellen sich Fragen der Haftung, der Risikotragung und möglicher Erstattungen. Maßgeblich sind unter anderem die Einhaltung von Sorgfaltspflichten durch die Beteiligten und die Ausgestaltung des Authentifizierungsverfahrens.

Allgemeine Geschäftsbedingungen und Transparenz

Bestimmungen zur Authentifizierung sind häufig in Vertragsunterlagen geregelt. Sie müssen transparent und verständlich sein und dürfen keine unangemessenen Benachteiligungen enthalten. Änderungen an Authentifizierungsverfahren berühren regelmäßig Informations- und Mitteilungspflichten.

Branchenspezifische Besonderheiten

Finanzbereich

Im Zahlungsverkehr gelten erhöhte Sicherheitsniveaus und dokumentierte Abläufe, insbesondere bei starker Kundenauthentifizierung, Ausnahmen und Transaktionsüberwachung.

Gesundheitswesen

Bei Gesundheitsdaten sind strenge Schutzanforderungen maßgeblich. Authentifizierung dient hier besonders dem Schutz vor unberechtigtem Zugriff auf sensible Informationen.

Telekommunikation und Digitale Dienste

Für digitale Plattformen, Kommunikationsdienste und Cloud-Angebote bestehen Anforderungen an sichere Zugänge, Transparenz und an den Schutz vor unbefugter Nutzung.

Grenzüberschreitende Kontexte

Bei grenzüberschreitender Nutzung von Authentifizierungsverfahren stellen sich Fragen der Anerkennung, der Übermittlung personenbezogener Daten und der Anwendbarkeit unterschiedlicher Rechtsordnungen. Europäische Regelwerke fördern Interoperabilität und Vertrauensniveaus, insbesondere bei elektronischen Identitäten und Signaturen.

Abgrenzung: Identifizierung vs. Authentifizierung

Identifizierung meint die erstmalige Feststellung der Identität, etwa im Rahmen eines Onboardings. Authentifizierung ist die wiederholte Bestätigung, dass dieselbe Person bei späteren Vorgängen handelt. Rechtlich können beide Schritte unterschiedlichen Anforderungen unterliegen, insbesondere wenn gesetzliche Identifikationspflichten bestehen.

Dokumentation, Nachweis und Aufbewahrung

Protokolle über Authentifizierungsvorgänge dienen dem Nachweis gegenüber Kundschaft, Aufsichtsstellen und in Streitfällen. Dabei gelten Grundsätze wie Integrität der Aufzeichnungen, Speicherbegrenzung, Zugriffsschutz und Trennung von Daten nach Zweck. Die Dauer der Aufbewahrung richtet sich nach gesetzlichen Fristen und dem Erforderlichkeitsgrundsatz.

Häufig gestellte Fragen (FAQ) zur Kundenauthentifizierung

Was bedeutet starke Kundenauthentifizierung rechtlich?

Sie beschreibt die Pflicht, bei bestimmten Vorgängen zwei oder mehr unabhängige Faktoren aus Wissen, Besitz und Inhärenz zu verwenden. Ziel ist ein erhöhtes Schutzniveau gegen Missbrauch. Für klar definierte Fälle bestehen Ausnahmen, die an Bedingungen geknüpft sind und auf Risikoüberlegungen beruhen.

Ist der Einsatz biometrischer Verfahren zulässig?

Biometrie ist rechtlich zulässig, unterliegt aber strengen Anforderungen. Maßgeblich sind Notwendigkeit, Verhältnismäßigkeit, Transparenz, Sicherheit und die Achtung von Betroffenenrechten. In vielen Konstellationen gelten erhöhte Schutzstandards, weil biometrische Daten besonders sensibel sind.

Welche Rechte haben Kundinnen und Kunden im Zusammenhang mit Authentifizierungsdaten?

Es bestehen Rechte auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch im Rahmen der gesetzlichen Voraussetzungen. Zudem besteht Anspruch auf nachvollziehbare Informationen über Zwecke, Umfang und Speicherdauer der Datenverarbeitung.

Wer trägt die Verantwortung bei unautorisierten Transaktionen trotz Authentifizierung?

Die Verantwortlichkeit richtet sich nach den vertraglichen Regelungen und gesetzlichen Vorgaben. Relevant sind die Eignung des eingesetzten Verfahrens, die Einhaltung von Sorgfaltspflichten und die Umstände des Einzelfalls. In bestimmten Bereichen bestehen abgestufte Haftungs- und Erstattungsregelungen.

Dürfen Dienstanbieter die Kundenauthentifizierung an Dritte auslagern?

Die Auslagerung ist möglich, erfordert aber eine rechtliche Absicherung der Zusammenarbeit. Dazu zählen klare Verantwortlichkeiten, vertragliche Regelungen zur Datensicherheit, Weisungsbindung, Kontrollrechte und Vorgaben zur internationalen Datenübermittlung, soweit betroffen.

Wie lange dürfen Authentifizierungsdaten gespeichert werden?

Die Speicherdauer richtet sich nach dem Erforderlichkeitsgrundsatz und einschlägigen Aufbewahrungspflichten. Daten sind zu löschen oder zu anonymisieren, sobald der Zweck entfällt und keine gesetzlichen Fristen oder berechtigten Interessen entgegenstehen.

Gilt die Pflicht zur Authentifizierung auch bei Kleinbeträgen oder wiederkehrenden Zahlungen?

Für Kleinbeträge und bestimmte wiederkehrende Zahlungen können Erleichterungen bestehen. Diese sind jedoch eng begrenzt und oft an kumulative Bedingungen und Risikoabwägungen geknüpft. Der Regelfall bleibt ein angemessen hohes Sicherheitsniveau.