Contents
Was ist die PSD2-Richtlinie?
PSD2 ist eine EU-Richtlinie, die den europäischen Markt in Hinblick auf seine Zahlungsdienste anpassen und modernisieren soll. Bereits 2015 wurde sie vom Europäischen Parlament und dem Europäischen Rat beschlossen, am 13. Januar 2018 trat der erste Teil in Kraft. Dabei wurde beispielsweise das Surcharching, das Verlangen von Gebühren für bestimmte Zahlungsmethoden wie SEPA-Überweisung oder SEPA-Lastschrift, verboten. Zudem wurde die verschuldensunabhängige Haftungsobergrenze gesenkt.
Weitere Neuerungen der PSD2:
- Die Selbstbeteiligung bei Betrug mit Bankkarten durch Diebstahl, Verlust und missbräuchlicher Verwendung sinkt von 150€ auf 50€
- Unautorisierte Zahlungen werden innerhalb eines Arbeitstages erstattet
- TAN-Verfahren mit Liste wird abgeschafft (iTAN)
- Zwei-Faktor-Authentifizierung
- Datenschnittstellen mit Zahlungskonten für Drittanbieter
Einige Vorgaben der zweistufigen Zahlungsdiensterichtlinie, die besonders für den Online-Handel relevant sind, werden erst ab dem 14. September 2019 wirksam. So werden ab diesem Zeitraum durch strengere Vorgaben zur Authentifizierung von Usern die digitalen Zahlungen im Europäischen Wirtschaftsraum noch sicherer gemacht. Außerdem soll eine Marktöffnung für Drittanbieter mit Kontoschnittstellen erzielt werden.
Den Wettbewerb stärken durch Zahlungsauslösedienste über Drittanbieter
Damit potentielle Käufer in Onlineshops noch mehr Zahlmethoden zur Auswahl haben, sollen Banken einheitliche Schnittstellen bereitstellen, über die zuvor von der Behörde für Finanzdienstleistungsaufsicht geprüfte und zertifizierte Drittdienstleister Zugriff auf das Kundenkonto erhalten.
Wenn also in Onlineshops der Service eines Zahlungsauslösediensts angeboten wird, muss der Kunde nicht über sein eigenes Online-Banking-System Überweisungen auslösen. Für einen Zugang dritter Zahlungsdienstleister muss aber zuvor eine explizite Zustimmung des Users gegeben werden. Ohne eine ausdrückliche Einwilligung wird sich also in dieser Hinsicht nichts ändern. Trotzdem sollten die Voraussetzungen dafür geschaffen werden, denn das stärkt auch den Wettbewerb im E-Commerce.
2-Faktor-Authentifizierung für mehr Sicherheit
Wollen Käufer den Zahlungsvorgang abschließen, wenn sie Produkte in Onlineshops erwerben, muss der Prozess ab September über eine 2-Faktor-Authentifizierung (2FA) abgesichert werden. Das betrifft ebenfalls z.B. das Log-in beim Onlinebanking. Durch diese 2FA beweist der Nutzer, dass er berechtigt ist, die verwendete Bankkarte zu benutzen bzw. auf Kontodaten zuzugreifen.
Bisher reichte es aus, sich nur über die Eingabe eines PINs oder Passworts zu authentifizieren. Nun sind jedoch mehrere, mindestens zwei Elemente benötigt, um die Zahlungssysteme sicher zu machen. Viele Banken haben bereits ihre Systeme angepasst und sich somit auf die Umstellung auf eine starke Kundenauthentifizierung (SCA) vorbereitet.
Allerdings räumte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Internet jetzt eine verlängerte Frist für die Kreditkartenzahlungen ein, die bisher noch nicht feststeht. Das bedeutet, dass Zahlungen mit Kreditkarten vorerst ohne SCA vorgenommen werden können.
Warum wurde die Umsetzung der Zahlungsdiensterichtlinie verschoben?
Eigentlich sollte die Frist am 14. September 2019 auslaufen. Bis dahin sollten Zahlungsdienstleister sowohl die Zwei-Faktor-Authentifizierung als auch die Kontoschnittstellen implementiert haben. Doch nachdem schon Anfang August klar wurde, dass die Frist zur Einrichtung von Datenschnittstellen zwischen Kreditinstituten und Drittanbietern nicht eingehalten werden kann, wurde nun verkündet, dass ebenso Kreditkartenzahlungen ohne starke Kundenauthentifizierung weiterhin ausgeführt werden können.
Laut BaFin sind Unternehmen noch nicht ausreichend darauf vorbereitet, während Kreditinstitute bereits umfangreiche Vorkehrungen getroffen haben. Bis jetzt steht noch nicht fest, wann die neue Frist sein wird, die Online-Händler und Zahlungsdienste einhalten müssen.
Von der Verlängerung sind andere Arten der elektronischen Zahlungsauslösung wie Online-Banking nicht betroffen – sie benötigen trotzdem bis zum 14. September die zwei Faktoren, um sich zu verifizieren. Neben dem üblichen Eingeben von Benutzernamen und Passwort kann hier z.B. eine TAN oder andere Faktoren gefordert werden.
Welche Faktoren gibt es für starke Kundenauthentifizierung?
Sobald ein E-Commerce-Check-out-System verwendet wird, müssen auch Onlinehändler Schutzmaßnahmen ergreifen, um den Kunden zu verifizieren. Die Kategorien für die SCA teilen sich in Besitz, Wissen und Inhärenz auf. Dazu zählen folgende Faktoren:
- Wissen: Passwort, PIN, Passphrase, usw.
- Besitz: Karte, Smartphone, Token, Kennzeichen, tragbares Gerät
- Inhärenz: Fingerabdruck, Stimme, Gesichtsmerkmale, Irismerkmale, DNA-Struktur
Zwei dieser Faktoren müssen mindestens kombiniert werden, um für ausreichend Sicherheit zu sorgen und damit die Voraussetzungen für die PSD2 zu erfüllen. Jeder Anbieter kann dabei seine eigenen Sicherheitsfaktoren wählen, in Abhängigkeit zu den Authentifikationssystemen der Bank, mit der die Schnittstellen geschaffen werden.
Da außerdem elektronische Zahlungsvorgänge zukünftig Zahlungen mit Empfängern dynamisch verknüpfen sollen, werden TAN-Listen ebenfalls als nicht mehr sicher eingestuft. Die TAN einer iTAN könnte nämlich für jede Zahlung genutzt werden.
Zalando hat die starke Kundenauthentifizierung beispielsweise bereits erfolgreich implementiert und überprüft zukünftig über ein Passwort, eine Tan oder einen Fingerabdruck seine Kunden. Der Zahlungsanbieter des Käufers entscheidet dann über das zweite Identifikationsmerkmal, z.B. einen Code über eine App.
Wo findet die SCA keine Anwendung?
Abgesehen von den Kreditkartenzahlungen, für die die SCA durch die Frist nicht angewendet werden muss, sind Zahlungen per Rechnung, Lastschrift und Paypal, wenn keine Kreditkarte als Zahlungsquelle hinterlegt ist, von der starken Kundenauthentifizierung ausgenommen. Besonders relevant für Onlineshopbetreiber ist, dass auch Kleinbeträge unter 30€ aus der Regelung bei Fernzahlungsvorgängen herausfallen. Bis 50€ darf ohne SCA sogar kontaktlos gezahlt werden.
Welche Verbesserungen bietet die PSD2?
Durch die Anbindung der Banken durch eine Schnittstelle an Drittanbieter können einerseits die User schneller und einfacher online Geschäfte machen, ohne sich extra auf der Website ihrer Bank einzuloggen, andererseits profitieren E-Commerce-Händler von den unionsweit vereinheitlichten Zahlungsabläufen. Denn so passen sie sich an die aktuellen Marktentwicklungen an und fördern den Wettbewerb.
Außerdem können Kunden mit der Umsetzung der Zwei-Faktor-Authentifizierung zukünftig noch sicherer ihre Einkäufe online tätigen. Daten und Zahlungskarten können so vor unberechtigter und missbräuchlicher Nutzung geschützt und Unsicherheiten durch Betrugsfälle aufgelöst werden. Doch nicht nur die potentiellen Käufer profitieren von der Stärkung des Verbraucherschutzes, auch Onlinehändler können dadurch eine Verbesserung des Kaufverhaltens feststellen.
Darauf sollten Onlinehändler achten
Kunden informieren
Bisher sind die vollständigen Auswirkungen jedoch noch nicht abschätzbar, denn mit jeder Veränderung kann gleichzeitig eine Verunsicherung kommen, die sich in Kaufabbrüchen zeigen könnte.
Damit jedoch bei der Neueinführung der Änderungen nicht Verwirrung und Unsicherheiten überwiegen, stellt es E-Commerce-Betreiber genauso wie Zahlungsdienstleister vor die Aufgabe, mit einer nutzerfreundlichen Software und verständlichen Informationen die Veränderungen und Vorteile herauszustellen.
Diese können beispielsweise im Newsletter oder direkt im Onlineshop erklärt werden. So kann man sich von der Konkurrenz abheben, gleichzeitig Vertrauen sowie Sicherheit schaffen und hat keinen Verlust in den Conversions.
Mit Vorbereitung zur sicheren Lösung
Grundsätzlich gibt es keine rechtlichen Verpflichtungen für Onlineshopbetreiber, die SCA umzusetzen, denn darum kümmern sich Zahlungsdienstanbieter. Jedoch müssen alle Unternehmen, die mit E-Commerce-Check-out-Systemen arbeiten, technisch darauf vorbereitet sein, die Schnittstellen auch im Shop zu implementieren.
Nur mit Updates, Plug-ins oder anderen Anpassungen wie einem Payment-Service-Provider kann vermieden werden, dass die starke Kundenauthentifizierung scheitert. Denn dann drohen Kosten.
Wir empfehlen deshalb, sich selbst ausreichend zum Thema zu informieren. Zahlungsdienstleister stellen meist umfangreiche Anleitungen und Informationen zusammen, die dabei helfen.
Händler und Zahlungsdienstleister müssen also sowohl Lösungen finden, die sicher vor Phishing und Betrug als auch gleichzeitig bequem und unkompliziert sind. Selbst wenn sich die Frist zu Kreditkartenzahlungen und der Einbindung der Schnittstellen verschoben hat, lohnt es sich, bereits an die Zukunft zu denken.