§ 55 ZAG – Starke Kundenauthentifizierung

(1)Der Zahlungsdienstleister ist verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler 1.online auf sein Zahlungskonto zugreift;

2.einen elektronischen Zahlungsvorgang auslöst;

3.über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.

Ein Zahlungsdienstleister muss im Fall des Satzes 1 über angemessene Sicherheitsvorkehrungen verfügen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen.

(2)Handelt es sich bei dem elektronischen Zahlungsvorgang nach Absatz 1 Satz 1 Nummer 2 um einen elektronischen Fernzahlungsvorgang, hat der Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

(3)Absatz 1 Satz 2 und Absatz 2 gelten auch, wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst werden. Absatz 1 gilt auch, wenn die Informationen über einen Kontoinformationsdienstleister angefordert werden.

(4)Der kontoführende Zahlungsdienstleister hat es dem Zahlungsauslösedienstleister und dem Kontoinformationsdienstleister zu gestatten, sich auf die Authentifizierungsverfahren zu stützen, die er dem Zahlungsdienstnutzer gemäß Absatz 1 sowie, in Fällen, in denen ein Zahlungsauslösedienstleister beteiligt ist, darüber hinaus gemäß Absatz 2 bereitstellt.

(5)Näheres zu Erfordernissen und Verfahren zur starken Kundenauthentifizierung einschließlich etwaiger Ausnahmen von deren Anwendung sowie Anforderungen an Sicherheitsvorkehrungen für die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.

Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG · aktuelle Fassung

Zitierende Gerichtsentscheidungen

BGH, Urt. v. 03.03.2026 – XI ZR 20/24ECLI:DE:BGH:2026:030326UXIZR20.24.0
Eine starke Kundenauthentifizierung im Sinne von § 675v Abs. 4 Satz 1 Nr. 1 BGB erfordert im manuellen chipTAN-Verfahren nicht die Angabe des Namens des Zahlungsempfängers im Display des TAN-Generators.
BGH, Urt. v. 22.07.2025 – XI ZR 107/24ECLI:DE:BGH:2025:220725UXIZR107.24.0
1. Zur grob fahrlässigen Verletzung einer Pflicht durch den Zahler im Sinne von § 675v Abs. 3 Nr. 2 Buchst. a BGB. 2. Ist der Schaden durch eine Überweisung eingetreten und hat der Zahlungsdienstleister für das Auslösen dieser Überweisung eine starke Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG verlangt, ist sein Schadensersatzanspruch aus § 675v Abs. 3 BGB gegen den Zahler nicht gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen, unabhängig davon, ob der Zahlungsdienstleister für die Anmeldung im Online-Banking eine starke Kundenauthentifizierung verlangt hat.

Diese Seite zeigt die aktuelle Fassung (Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG). Für tagesaktuelle, zitiersichere Abfragen lässt sich § 55 ZAG und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich § 55 ZAG direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.