DE | EN

Tipp KW 22 – 2019

Während der eine oder andere noch mit der Umsetzung der DSGVO beschäftigt ist, kommt bereits die nächste große Änderung für den Onlinehandel auf uns zu.

Zum 13. Januar 2018 wurde in Deutschland die neue Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD2) in nationales Recht umgesetzt. Mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie (Zahlungsdiensteumsetzungsgesetz – ZDUG) wurden die aufsichtsrechtlichen Bestimmungen im Zahlungsdiensteaufsichtsgesetz (ZAG) und die zivilrechtlichen Vorgaben im Bürgerlichen Gesetzbuch (BGB) berücksichtigt. Zudem waren Folgeänderungen in weiteren Gesetzen (z.B. Kreditwesengesetz) erforderlich. Die PSD2 ist eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern, deren Ziel es ist

• die Sicherheit im Zahlungsverkehr zu erhöhen,
• den Verbraucherschutz zu stärken,
• Innovationen zu fördern und
• den Wettbewerb im Markt zu steigern.

Dabei hat der Gesetzgeber dem Markt in einem Punkt eine längere Umsetzungsfrist eingeräumt. Die Pflicht zur starken Kundenauthentifizierung soll erst 18 Monate nach Inkrafttreten der Delegierten Verordnung, die Einzelheiten dazu regelt, für die Zahlungsdienstleister verbindlich sein. Da diese am 14. März 2018 in Kraft getreten ist, sind die neuen Regeln über die starke Kundenauthentifizierung ab dem 14. September 2019 anzuwenden.

Worum geht es bei der starken Kundenauthentifizierung genau?

Jeder Nutzer ist damit vertraut, sich auf einer Webseite zu authentifizieren, zum Beispiel, indem er sein Passwort eingibt. Die Pflicht zur starken Kundenauthentifizierung verlangt jedoch eine Authentifizierung, die nicht nur aus einem, sondern mindestens aus zwei Elementen besteht. Diese Elemente müssen aus zwei der folgenden Kategorien stammen:

• Wissen (z.B. PIN, Passwort, etc.)
• Besitz (z.B. Handy, Karte, TAN-Generator, etc.)
• Inhärenz (z.B. Fingerabdruck, Iris, Stimme, etc.)

Wenn es sich bei der ausgelösten elektronischen Zahlung um einen Fernzahlungsvorgang handelt, zum Beispiel die Beauftragung einer Überweisung im Onlinebanking oder die Zahlung mit Kreditkarte im Internet, ist die starke Kundenauthentifizierung mit einer sogenannten dynamischen Verknüpfung in Bezug auf Empfänger und Betrag zu erweitern. Das bedeutet, dass z.B. eine übermittelte TAN die Daten der Überweisung enthalten muss. Aus diesem Grund sind die bisweilen noch zum Einsatz kommenden TAN-Listen für solche Zahlungen nicht mehr zulässig.

Auch die Zahlung mit Kreditkarte im Internet ausschließlich mit den auf der Karte genannten Daten (Kartennummer, Laufzeit und Prüfziffer) genügt den Anforderungen nicht. Bei Kreditkartenzahlungen werden zukünftig weitere Elemente den Zahlungsvorgang ergänzen müssen.

Wann ist eine starke Kundenauthentifizierung erforderlich?

Die PSD2 regelt auch, wann zukünftig eine starke Kundenauthentifizierung erforderlich ist. Dies ist insbesondere der Fall, wenn der Zahler online auf sein Zahlungskonto zugreift, aber auch, wenn er selbst einen elektronischen Zahlungsvorgang auslöst, z.B. beim Bezahlen im Onlineshop, beim Abschluss eines digitalen Abonnements etc.

Die Delegierte Verordnung enthält allerdings auch Ausnahmetatbestände, bei deren Vorliegen auch in den genannten Situationen keine starke Kundenauthentifizierung notwendig ist.

Ein Beispiel für eine solche Ausnahme bei Zahlungsvorgängen sind kontaktlose Kartenzahlungen. Eine solche Zahlung bedarf nach der Verordnung keiner starken Kundenauthentifizierung, wenn der Betrag max. 50 Euro beträgt. Die Karte darf jedoch nur für maximal fünf aufeinander folgende Zahlungen ohne starke Kundenauthentifizierung genutzt werden. Alternativ darf der Zahlungsdienstleister auch einen Höchstwert für Zahlungen ohne starke Kundenauthentifizierung von in Summe max. 150 EUR vorsehen. Ist keine der Alternativen erfüllt, muss der Karteninhaber eine starke Kundenauthentifizierung z.B. durch die zusätzliche Eingabe einer PIN durchführen.

Auch bei Zahlungen mit der Kreditkarte im Internet muss die starke Kundenauthentifizierung nicht immer erfolgen. Die Zahlungsdienstleister können hier die sogenannte Transaktionsrisikoanalyse durchführen. Dabei wird jede Zahlung automatisch daraufhin untersucht, ob das Betrugsrisiko gering ist. Ist das für die konkrete Zahlung der Fall, kann auf eine starke Kundenauthentifizierung verzichtet werden. Erwecken die dem Zahlungsdienstleister vorliegenden Zahlungsinformationen jedoch den Eindruck eines erhöhten Betrugsrisikos, muss eine starke Kundenauthentifizierung durchgeführt werden. Indizien für ein erhöhtes Betrugsrisikos sind z.B. eine Abweichung von den üblichen Verhaltensmustern des Kunden oder eine Ähnlichkeit zu bereits bekannten Betrugsmustern.

Insgesamt sieht die Verordnung folgende Ausnahmen vor:

• Abrufen von Kontostand und Umsätzen
• Kontaktlose Zahlungen
• Unbeaufsichtigte Terminals für Verkehrsnutzungsentgelte und Parkgebühren
• Vom Zahler als vertrauenswürdig eingestufte Empfänger
• Wiederkehrende Zahlungsvorgänge
• Zahlungen an die eigene Person
• Kleinbetragszahlungen
• Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind
• Zahlungen nach Transaktionsrisikoanalyse

Und warum das Ganze?

Die Vorschrift soll natürlich dem Verbraucherschutz dienen, in dem er den Onlinebetrug erschwert. Leider entstehen durch die neuen Regelungen auch große Risiken für die Händler. Wer die Vorschriften nicht umsetzt oder umsetzen kann, dem drohen Zahlungsverluste durch fehlgeschlagene Transaktionen und negative Einflüsse auf die Conversion-Rate.

Positiv könnte sich die Regelung auf die Einführung neuer Zahlungsarten wie Apple Pay und Google Pay, also insbesondere kontaktlose Zahlungsarten und solche mit biometrischen Sicherheitsverfahren auswirken. Da die Zahlungsbereitschaft bei solchen Zahlungsarten häufig höher ist als bei klassischen Zahlungsarten, könnte die stärkere Verbreitung dieser Formen langfristig zu Umsatzsteigerungen führen. Jedenfalls ist es für ein langfristiges Wachstum des Onlinehandels sinnvoll, die Sicherheit im Zahlungsverkehr zu erhöhen, da mit steigendem Vertrauen die Onlineausgaben steigen.

Bei rechtzeitiger Berücksichtigung der Anforderungen dieser Verordnung und einer gelungenen Kommunikation im Kundenservice lassen sich die Umsetzungsrisiken reduzieren und langfristig in einen positiven Trend umwandeln.

Felix Prömel (Senior Berater)
junokai