PSD2 im Online-Handel

Die Online-Handelsbranche muss sich auf wichtige Veränderungen einstellen: Für Zahlungen im Internet werden künftig höhere Sicherheitsanforderungen gelten. Was ist jetzt zu beachten?

PSD2 und die Starke Kundenauthentifizierung – Je näher die ursprüngliche Frist zur Umsetzung der verordneten technischen Standards (RTS) der europäischen PSD2-Richtlinie am 14. September rückt, desto häufiger tauchen diese Begriffe in Artikeln, Foren und Newslettern auf. Doch gerade bei Online-Händlern herrscht Unsicherheit über die Anforderungen, die für sie gelten werden. Unter anderem deswegen hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 21. August verkündet, bei Kreditkartenzahlungen vorerst eine unbestimmte Fristverlängerung zu gewähren. Erst einmal können Händler und Unternehmen durchatmen: Ihnen bleibt mehr Zeit, um sich mit den neuen Regeln vertraut zu machen, diese umzusetzen und die Verbraucher über die anstehenden Neuerungen zu informieren.

Die Payment Service Directive 2 (PSD2) ist die zweite EU-Zahlungsdiensterichtlinie, die bereits Anfang 2018 in Kraft trat, und die den Online-Handel und das Online-Banking sicherer, innovativer und benutzerfreundlicher gestalten soll. Infolgedessen soll ab 14. September die RTS-Verordnung umgesetzt werden. Drittanbieter wie Fintechs und StartUps werden gestärkt, indem sie mit Zustimmung des Verbrauchers über neu eingerichtete offene Schnittstellen (API) auf dessen Konten zugreifen können. Und die Sicherheit soll durch die Einführung der Starken Kundenauthentifizierung (SCA) erhöht werden. Gelten werden die Regeln im Europäischen Zahlungsraum (Single European Payments Area, SEPA), also in den EU-Mitgliedstaaten sowie in Island, Norwegen, der Schweiz, Monaco, Andorra, Liechtenstein, San Marino und im Vatikan.

Neue Zeitrechnung für Online-Zahlungen

Ausgangspunkt der zweiten Zahlungsdiensterichtlinie waren Auseinandersetzungen zwischen Fintechs und Banken. Vor der Regelung war es zu rechtlichen Streitigkeiten zwischen StartUp-Unternehmen und Kreditinstituten gekommen, die die EU auf den Plan riefen. Durch eine Einrichtung von offenen Schnittstellen zwischen Banken und Drittanbietern soll jetzt der Wettbewerb erhöht werden, in der Hoffnung, dass durch die Marktöffnung europäische Innovationen gefördert werden. Bisher sind es nämlich vor allem nicht-europäische Unternehmen, die innovative Technologien und Systeme entwickeln. Die EU will sich dagegen durch eine Stärkung von Fintechs besser positionieren und verhindern, dass man abgehängt wird. Neuen Anbietern wie Zahlungsauslösediensten und Kontoinformationsdiensten wird hiermit die Tür geöffnet. Für den Online-Handel bereitet das die Möglichkeit, künftig zwischen zahlreichen neuen Zahlungsanbietern und -arten wählen zu können. Allerdings sind die Banken nicht übermäßig davon begeistert, ihre Kundendaten künftig teilen zu müssen und die APIs sind noch nicht so gut eingerichtet, wie die BaFin es verlangt.

Kompliziert ist bislang auch noch die Umsetzung der Starken Kundenauthentifizierung. Diese ist in der E-Commerce-Branche vor allem für Kreditkartenzahlungen und Online-Überweisungen relevant. Künftig müssen die Verbraucher bei einem Kauf im Internet zwei Faktoren aus drei Kategorien angegeben, um eine Zahlung auslösen zu können:

  • Besitz: z.B. Kreditkarte, Smartphone, …
  • Wissen: z.B. Karten-PIN, Passwort, …
  • Inhärenz: z.B. Fingerabdruck, Gesichtserkennung, …

Der Käufer kann dann selbst zwei aus den drei Kategorien wählen und seine Zahlungen in Zukunft beispielsweise mit einmaligen TAN-Codes, die ihm in einer speziellen App zur Verfügung gestellt werden, oder dem Scan seiner Iris mit einem Smartphone verifizieren. Für den Kunden wird die Sicherheit erhöht, für den Online-Händler reduziert sich das Betrugsrisiko. Von der SCA ausgenommen sind zum Beispiel Zahlungen von Kleinstbeträgen oder per Lastschriftverfahren (z.B. per PayPal). Kreditkartenzahlungen sind jedoch voll betroffen, die Branche hat für die reibungslose Abwicklung von SCA das Sicherheitsprotokoll 3-D-Secure 2 entwickelt. Dieses sollte in Online-Shops integriert werden, während sich Verbraucher bei ihren Kreditinstituten für die Starke Authentifizierung via 3-D-Secure 2 registrieren müssen.

Nicht alle Online-Händler sind für die SCA bereit

Und genau hier gibt es Probleme: Online-Händler wissen teilweise nicht, welche Anforderungen an sie gestellt werden. Gesetzliche Pflichten gibt es für sie nicht, doch müssen manche die technischen Lösungen zur Umsetzung der SCA durch Updates oder neue Software unterstützen. Wer die Dienste von Payment Service Providern nutzt, sollte abgesichert sein, weil diese mittlerweile größtenteils PSD2-konforme Lösungen umsetzen, ohne das Händler tätig werden müssen. Auch Banken haben ihre Systeme nach Einschätzung der BaFin ausreichend umgestellt. Problematisch sind die neuen technischen Anforderungen vor allem für Händler, die die elektronischen Zahlungen in ihren Shops selbst verwalten und programmieren. Aber die Informationslage für Online-Händler ist unübersichtlich und mit den zahlreichen Abkürzungen und Fachbegriffen aus der Finanzwelt können gerade kleine und mittelständische Online-Händler nichts anfangen. Die Verwirrung ist groß.

Durchatmen und Fristverlängerung nutzen

Die BaFin hat auf die Schwierigkeiten bei der Umsetzung der PSD2 reagiert und die Fristen für die Einrichtung der offenen Schnittstellen sowie für die Umstellung auf SCA verlängert, allerdings ausschließlich für Kreditkartenzahlungen. Im Online-Banking oder bei Online-Überweisungen muss trotzdem ab 14. September die Starke Kundenauthentifizierung greifen. Online-Überweisungen sind schon heute nur mit Zwei-Faktor-Authentifizierung durchzuführen. Nur sind unter PSD2 ausschließlich „dynamische“ PINs zulässig. Nutzt man also TAN-Codes müssen diese für jede Nutzung neu und einmalig generiert werden und z.B. per App abgerufen werden. Adieu, iTAN-Listen!

Auch andere nationalen Aufsichtsbehörden haben die Fristen verlängert, z.B. in Frankreich und in Großbritannien. Doch nicht alle Mitgliedstaaten haben bislang eine Fristverschiebung abgesegnet. Dadurch droht das Worst-Case-Scenario: Eine uneinheitliche Einführung der PSD2-Regeln, die die ganze Idee eines einheitlichen europäischen Zahlungsraums ad absurdum führen würde. Die Industrie schlägt deshalb Alarm und europäische Branchen-Dachverbände wie Ecommerce Europe fordern in einem gemeinsamen Brief die Europäische Bankenaufsichtsbehörde EBA dazu auf, so schnell wie möglich eine homogene Verlängerung der Frist um 18 Monate durchzusetzen.

Bislang ist das noch nicht passiert, doch es erscheint als sehr wahrscheinlich, dass die EBA bald tätig wird und eine neue Frist für die SCA bei Kreditkartenzahlungen verkündet. Die Online-Händler sollten die schon jetzt zusätzlich gewonnene Zeit nutzen, um mit den eigenen PSPs und Acquirern in Kontakt zu treten. Diese können beraten, erklären und vor allem auf die individuelle Situation eines Shops abschätzen. 3-D-Secure 2 haben die meisten sowieso schon eingerichtet; wenn nicht, können sie die Händler bei dem Vorgang beraten. Und noch viel wichtiger: Alle Marktteilnehmer müssen die Verbraucher informieren. Denn wenn die Kunden künftig mit zusätzlichen Klicks und Eingabemasken konfrontiert werden, steigen auch die Kaufhürden. Wenn die Kunden dann nicht wissen, warum sie zusätzliche Schritte zur Zahlungsverifizierung gehen müssen, drohen Kaufabbrüche und sinkende Konversionsraten. Alle Anstrengungen der Industrie zur Umsetzung von PSD2 nützen wenig, wenn die Verbraucher davon überrascht werden.

Der Händlerbund hilft!

Die rechtliche Absicherung ihrer Internetpräsenzen verursacht vielen Online-Händlern einen enormen Mehraufwand. Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Händler jetzt für die umfangreichen Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode P2138#2019 einen Nachlass von 3 Monaten auf das Mitgliedschaftspaket Ihrer Wahl. Jetzt informieren!