20.08.2019
Höhere Sicherheitsanforderungen bei Zahlung über Internet
Die am 18. Januar 2018 in nationales Recht umgesetzte Zweite Zahlungsdienstrichtlinie PSD2 erweitert die bisher geltende Regulierung für Finanzdienstleister unter anderem um sogenannte Kontoinformationsdienste (KID) und Zahlungsauslösedienste (ZAD). Ein KID hat Zugriff auf die Kontodaten, ein ZAD darf auch Zahlungen auslösen.
Die starke Kundenauthentifizierung (SCA) soll die Sicherheit bei Zahlungen im Internet erhöhen. Deshalb muss ab dem 14. September 2019 jede Zahlung, die als elektronischer Fernzahlungsvorgang vom Kunden ausgelöst wird, über zwei Faktoren aus den drei verschiedenen Bereichen Wissen (Passwort), Besitz (Smartphone) oder Inhärenz (biometrisches Merkmal wie Fingerabdruck) authentifiziert werden (2FA). Betroffen sind alle Zahlungen bis auf die Lastschrift.
Der Gesetzgeber hat in einem ausführlichen Regelwerk die technischen Standards (RTS) festgelegt. In diesem Regelwerk werden auch Ausnahmen genannt, die vom Einsatz eines zweiten Faktors entbinden und damit sogenannte One-Click-Lösungen weiterhin möglich machen. Zahlungsdienstleister können auf Abfrage des zweiten Faktors unter anderem verzichten bei:
-
Wiederkehrenden Zahlungsvorgängen an dieselben Zahlungsempfänger, wenn diese einmal per 2FA autorisiert wurden
-
Vom Zahler oder seiner Bank als vertrauenswürdig eingestuften Empfängern (Whitelist)
-
Transaktionsrisikoanalyse
-
Kleinbetragszahlungen bis 50 Euro, maximal fünf Transaktionen ohne 2FA, kumulierter Betrag darf 150 Euro nicht überschreiten
Welche Änderungen ergeben sich konkret im Handel?
In der Konsequenz müssen Händler die Verfahren der starken Kundenauthentifizierung in ihre Online-Checkout-Prozesse einbinden. Zudem müssen alle Kunden mit den Verfahren der starken Kundenauthentifizierung vertraut gemacht werden und diese künftig einsetzen können.
Welche Zahlungsarten sind betroffen?
Von den Anforderungen der starken Kundenauthentifizierung sind insbesondere Kartenzahlungen in Online-Shops betroffen. Auch Zahlungsplattformen wie Pay Pal und Amazon Pay unterliegen grundsätzlich den Anforderungen und müssen die Kriterien erfüllen. Hier sind die Anbieter gefordert, entsprechende Umstellungserfordernisse zu kommunizieren.
Ausgenommen von den Anforderungen der starken Kundenauthentifizierungen sind Zahlungen, die vom Händler initiiert werden. Dazu zählt insbesondere die in Deutschland gebräuchliche Internetlastschrift. Auch der Rechnungskauf ist nicht betroffen, hier erfolgt die Zahlung nachgelagert.
Zahlungen am POS mit Kreditkarte oder Debitkarte sind zwar betroffen. Hier ist aber davon auszugehen, dass die bisher schon geltenden Sicherheitsfaktoren bereits die neuen europäischen Anforderungen erfüllen. Umstellungsanforderungen bzw. Updates der Terminals sind daher für diesen Bereich nicht zu erwarten.
Was müssen Händler jetzt tun?
Der Handel muss die Verfahren in seine Onlineshops integrieren und dabei auf eine möglichst kundenfreundliche Handhabung achten um Kaufabbrüche zu minimieren. Letztlich ist er allerdings auf die Vorarbeiten der Zahlungsdienstleister angewiesen. Nicht zuletzt wegen offener Detailfragen zur Umsetzung der technischen Standards sind diese allerdings auch spät mit ihren Vorbereitungen fertig geworden und stellen erst kurzfristig die nötigen Schnittstellen und Tools zur Verfügung.
Der Onlinehändler muss also seine Dienstleister (sogenannte Payment Service Provider), seine Bankpartner (sogenannte Acquirer) und auch seinen Software-Anbieter (CMS/Shopsoftware-hersteller) koordinieren.
Wer Angst davor hat, dass seine Onlinekäufer aufgrund der Abfrage eines zusätzlichen Faktors den Check-out-Prozess vorzeitig abbrechen, kann für die Übergangsphase den Bezahlmix ändern, etwa den Kauf per Rechnung oder per Lastschrift forcieren. Ebenfalls hilfreich könnte ein Hinweis zur neuen Methode beim Check-out sein, um so die Akzeptanz beim Kunden zu erhöhen.
Quellen: Bafin, EBA, Amtsblatt der EU, 13.3.2018, L69/24, HDE, DIHK
Zurück zur Übersicht