Ab dem 14.09.2019 gilt die zweite Stufe der PSD2 Richtlinie. Dadurch gilt für fast alle Online-Zahlungen, die vom Kunden selbst getätigt werden, die Pflicht für Zahlungsdiensteanbieter eine starke Kundenauthentifizierung (Strong Customer Authentification – SCA) durchzuführen. Bei Internet-Zahlungen reicht es dann nicht mehr aus, lediglich die Informationen zum Zahlungsmittel einzugeben. Die Identität des Kunden muss bei den meisten Transaktionen zusätzlich beispielsweise durch eine Transaktionsnummer (TAN) und ein Passwort geprüft werden. Dieser Vorgang wird Zwei-Faktor-Authentifizierung (2FA) genannt. Die Einschätzungen darüber, welche Folgen dies für E-Commerce-Unternehmen haben kann, reichen von starken Umsatzeinbußen bis zu kaum spürbaren Anpassungen. Dieser Artikel beleuchtet die Folgen, die das zweite Paket der PSD2-Richtlinie und die Pflicht zur SCA auf den Onlinehandel haben wird und zeigt auf, was Händler zu beachten haben. Die BaFin hat zwar in einer Pressemitteilung vom 21.08.2019 erklärt, dass Kreditkartenzahlungen auch nach dem 14.09.2019 vorübergehend noch ohne SCA erfolgen dürfen, jedoch sollten Händler sich nicht auf diese nicht genau terminierte Übergangsregelung verlassen und bereits jetzt die Vorgaben der PSD2-Richtlinie vollständig umsetzen. Dieser Artikel konzentriert sich auf die Auswirkungen der PSD2-Richtlinie auf Online Händler. Er beleuchtet die veränderte Situation für Zahlungsdiensteanbieter, Zahlungsdienstleister und Banken nur soweit, wie das für die Darstellung notwendig ist.
Darstellung der Entstehungsgeschichte der zweiten Stufe der PSD2-Richtlinie
Um einen sicheren und EU-weit einheitlich regulierten Markt für Zahlungsdienste zu schaffen, Innovationen zu fördern und den Wettbewerb zu stärken, hat die Europäische Union die erste Zahlungsdiensterichtlinie aus dem Jahr 2007 (PSD) erlassen und diese später durch die zweite Zahlungsdiensterichtlinie (PDS 2) ersetzt. Die erste Stufe der durch die PSD2-Richtlinie vorgesehenen Änderungen wurde vom deutschen Gesetzgeber mit Wirkung zum 13.01.2018 umgesetzt. Die für die zweite Stufe wichtigen von der Europäischen Bankenaufsichtsbehörde EBA vorgegebenen „Regulatory Technical Standards“ (RTS) treten nach einer 18-monatigen Umsetzungsfrist am 14.09 2019 in Kraft.
Änderungen der gesetzlichen Anforderungen inkl. Ausnahmen, insbesondere SCA und 2FA
Neben bereits erfolgten Änderungen, wie der Absenkung der Haftung des Zahlers für leicht fahrlässig verursachte, nicht autorisierte Zahlungsvorgänge von maximal 150 Euro auf höchstens 50 Euro (§ 675v BGB) und der Abschaffung von Gebühren für SEPA-Basislastschriften, SEPA-Firmenlastschriften, SEPA-Überweisungen oder die Benutzung einer Zahlungskarte (§ 270a BGB) bringt die PSD2-Richtlinie durch ihre Umsetzung im Zahlungsdiensteaufsichtsgesetz (§ 55 Abs. 1 S. 1 Nr. 2, Abs 2 ZAG) auch die Pflicht mit sich, bei Bezahlvorgängen starke Kundenauthentifizierungen anzuwenden.
Diese Pflicht gilt grundsätzlich nur für Bezahlvorgänge, die vom Benutzer initiiert wurden, sogenannte „Push“-Zahlungen. Im Gegensatz dazu sind sogenannte „Pull“-Zahlungen, die vom Händler angefordert werden, nicht der Pflicht zur sogenannten Strong Customer Authentification (SCA) unterworfen.
Ausnahmen von der Pflicht zur starken Kundenauthentifizierung:
- Kauf auf Rechnung
- Lastschrift
- Beträge unter 30 Euro (Wenn seit der letzten 2FA nicht mehr als 100 EURO bezahlt oder 5 Zahlungen getätigt wurden)
- Widerkehrende Abonnement Zahlungen (Wenn der Betrag gleich bleibt und Auftragserteilung mit 2FA authentifiziert wurde)
- Kontaktlose Zahlungen an Verkaufsstellen bis zu Einzelbeträgen von 50 Euro (Wenn seit der letzten 2FA nicht mehr als 150 EURO bezahlt oder 5 Zahlungen getätigt wurden)
- Kontaktlose Zahlungen für Verkehrsentgelte und Parkgebühren
- Zahlungen bei Online-Shops, die Kunden auf ihre Whitelists gesetzt haben
- Transaktionen mit geringem Risiko
Dabei kann für Zahlungen zwischen 30 und 500 Euro anhand der vom Kartenherausgeber und den Aquirer (Unternehmen, das die Zahlung zwischen Kartenherausgeber und Händler vermittelt) ermittelten durchschnittlichen Betrugswerte von beiden gemeinsam beschlossen werden, welche Zahlungen als risikoarm anzusehen sind (Artikel 18 der PSD2 -Richtlinie). Die Betrugsrate darf dazu die im Anhang zu den Regulatory Technical Standards (RTS) definierten Werte nicht überschreiten und soll bei der Echtzeitüberwachung gewisser Risikofaktoren unauffällig bleiben.
Was sollte der Online-Handel ändern?
Nach Art 4 Abs. 1 RTS muss zur Autorisierung eines Zahlungsvorganges mit Hilfe der Zwei-Faktor-Authentifizierung durch den Kunden immer eine Kombination von zwei Merkmalen aus den drei folgenden Gruppen angegeben werden:
Wissen (Pin, Zugangsdaten et cetera), Besitz (Tan Generator, Handy mit Banking App et cetera) oder Inhärenz (Fingerabdruck, Iris, Gesichtszüge et cetera).
Diese Pflicht trifft die meisten Händler jedoch nicht direkt, da durch die Norm die Zahlungsdienstleister verpflichtet werden. Solche Anbieter wie zum Beispiel Klarna, Mastercard, Paypal oder Ähnliche haben dafür Sorge zu tragen, dass alle vom Kunden veranlassten Zahlungen, die nicht unter die oben genannten Ausnahmetatbestände fallen, nur durchgeführt werden, wenn der Kunde sie durch die Zwei-Faktor Authentifizierung (2FA) veranlasst hat. Kreditkartenzahlungen zum Beispiel werden daher nur noch zulässig sein, wenn sie eine Zwei-Faktor-Authentifizierung verlangen. Diese wird von allen großen Kreditkartenanbietern bereits optional angeboten und ist ab dem 14.09.19 für die nicht von den oben genannten Ausnahmen erfassten Zahlungen verpflichtend.
Die aus der Kartenzahlung im Alltag bekannte Kombination aus EC-Karte und PIN-Eingabe ist ein gutes Beispiel für eine funktionierende und vielfach erprobte 2FA. Die Regelung ist jedoch so formuliert, dass auch modernere Authentifizierungen, zum Beispiel über den Fingerabdruck oder den Iris-Scan möglich sind. Sie ist daher weitestgehend technologieneutral.
Der Online-Handel muss für die zweite Stufe der Einführung der PSD2-Richtlinie im September 2019 also nicht allzu viel ändern.
Er sollte nur noch Zahlungsmittel anbieten, die entweder von der Pflicht zur SCA ausgenommen sind (Kauf auf Rechnung, Lastschrift) oder sollte sicherstellen, dass die „Push“ Zahlungsmethoden, die er seinen Kunden anbietet, mit starken Kundenauthentifizierungen (SCA) abgesichert sind.
Weiterhin müssen Plattformen, die Verträge zwischen zwei Parteien vermitteln, wie zum Beispiel Amazon Marketplace, Etsy oder Kickstarter, entweder ihre Zahlungsströme so organisieren, dass sie selbst kein Geld transferieren oder eine Lizenz als Zahlungsdienstleister beantragen.
Fazit
Zumindest der Online-Handel hat bis zur Einführung der zweiten Stufe der PSD2 keine großen Anpassungsleistungen zu vollbringen. Die Zahlungen, die vom Kunden ausgehen, müssen bis auf wenige Ausnahmen durch die Zwei-Faktor-Authentifizierung (2FA) autorisiert werden, was jedoch Sache der Zahlungsdienstleister ist. Für Bestellungen auf Rechnung oder Lastschrift ändert sich nichts. Schwieriger ist das Thema für Zahlungsdienstleister und Zahlungsdiensteanbieter. Diese müssen genau prüfen, dass ihre Zahlungswege sicher sind und die Vorgaben der technischen Regulierungsstandards für starke Kundenauthentifizierungen eingehalten werden oder die aufwändige Betrugsprävention für Zahlungen in gewisser Höhe schultern.