Am 14. September sollte sie vollends in Kraft treten: Die zweite Zahlungsdiensterichtlinie der EU-Kommission, kurz PSD2. Ab diesem Stichtag sind Händler zur Umsetzung einer starken Kundenauthentifizierung im elektronischen Zahlungsverkehr verpflichtet. Was das für den Handel bedeutet und warum die Deadline 14. September nun doch nicht mehr in Stein gemeißelt ist, erfahren Sie im folgenden Artikel
Strong Customer Authentication: Neue Sicherheitsstandards für elektronische Bezahlungen
Ein zentrales Ziel der PSD2 ist die Erhöhung der Sicherheit von Zahlungsprozessen. Endkunden sollen von verschärften Sicherheitsvorgaben profitieren, Händler und Zahlungsdienstleister von einem reduzierten Betrugsrisiko. Dreh- und Angelpunkt dieser Vorgaben ist die Einführung der sogenannten zwei-Faktor-Authentifizierung für elektronische Bezahlungen. Sie schreibt vor, dass zur Freigabe von elektronischen Zahlungen ab dem 14. September mindestens zwei unabhängige Elemente notwendig sind. Diese müssen aus den Kategorien Wissen (z. B. Passwort, PIN), Besitz (z. B. Bezahlkarte, Smartphone) oder Inhärenz (z. B. Fingerabdruck, Gesichtserkennung) stammen. Die zwei Faktor-Authentifizierung soll sicherstellen, dass es sich beim bezahlenden Nutzer auch tatsächlich um den Kontoinhaber handelt.
Unter die Definition elektronische Zahlungen fallen dabei primär Bezahlverfahren, die für das Bezahlen im Internet entwickelt wurden – beispielsweise Bezahlungen über PayPal, Sofortüberweisung oder Kreditkartenzahlungen nach dem 3D Secure-Verfahren. Sie sind abzugrenzen von klassischen Bezahlverfahren, wie die Zahlung auf Vorkasse, die beleghafte Überweisung oder die elektronische Lastschrift. Klassische Zahlungsarten sind nicht von diesen Regelungen betroffen und damit von der Zwei-Faktor-Authentifizierung entbunden.
Zwischen Sicherheit und Convenience: Diese Zahlungsszenarien sind nicht betroffen
Das zentrale Problem für Shop-Betreiber ist: Je mehr Maßnahmen getroffen werden, um die Sicherheit von Bezahlprozessen zu erhöhen, desto komplexer wird der Check-Out für den Nutzer – darunter leidet die Kundenerfahrung und letztlich die Conversion. Um Sicherheit und Nutzerfreundlichkeit in ein angemessenes Verhältnis zu setzen, gibt es Ausnahmen von der Pflicht zur starken Kundenauthentifizierung. So sind beispielsweise Zahlungen von geringem Wert (unter 30€) und wiederkehrende Zahlungen (z. B. bei Abonnements) von der Pflicht zur Zwei-Faktor-Authentifizierung befreit. Ebenso befreit sind globale Transaktionen. Sobald entweder die kartenausgebende (Issuer) oder die kartenakzeptierende Bank (Acquirer) nicht in Europa ansässig sind, fällt deine Zahlung nicht unter die Regelungen der PSD2.
ToDos und Verantwortlichkeiten
Falls Shop-Betreiber einen Zahlungsdienstleister mit der Abwicklung ihrer elektronischen Zahlungen beauftragen, ist dieser grundsätzlich für die Umsetzung der neuen Sicherheitsvorschriften verantwortlich: Über die genannten Ausnahmefälle hinaus sind Verfahren einzusetzen, die eine Sicherstellung der Identität der zahlenden Gäste ermöglichen. Zahlungsdienstleister müssen die Auslieferung und Verarbeitung der technischen Daten für die korrekte Abbildung der Zwei-Faktor-Authentifizierung sicherstellen. Da die Anbindungen von Buchungsstrecken meist über technische Schnittstellen realisiert werden, besteht der Aufwand vor allem in der Erweiterung dieser Schnittstellen. Die Herausforderung der Webseitenbetreiber besteht vor allem darin, die Komplexität im Check-Out-Prozess weitestgehend zu reduzieren und dem Nutzer eine bestmögliche User Experience zu bieten.
Stichtag 14. September 2019! Jetzt doch nicht?
Die aktuellste Frage in Bezug auf die PSD2 ist jedoch nicht das was, sondern das wann. Denn die Richtlinien der Europäischen Union sind nicht unmittelbar gültig, sondern müssen von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Nachdem die europäische Bankenaufsicht, kurz EBA, im Juli eine Fristverlängerung für die Umsetzung angeboten hat, hat die britische Finanz-Aufsichtsbehörde FCA am 28.Juli 2019 umgehend von diesem Recht Gebrauch gemacht. Am 21. August legte ihr deutsches Pendant, die BaFin, nach: In einer Pressemitteilung kündigte die Bundesanstalt für Finanzdienstleistungen an, elektronische Zahlungen ohne starke Kundenauthentifizierung auch über den 14. September hinaus vorerst nicht zu beanstanden. Störungen bei Internet-Zahlungen sollen durch diese Regelung verhindert und ein reibungsloser Übergang zu den neuen Anforderungen ermöglicht werden.
Auch wenn bisher keine neue Deadline verkündet wurde, bedeutet dies nicht, dass Online-Händler sich zurücklehnen können: Die PSD2 wird – früher oder später – gänzlich in Kraft treten. Shop-Betreiber sollten sich mit ihrem Zahlungsdienstleister in Verbindung setzen, um die notwendigen Anpassungen abzustimmen.
BS PAYONE ist auf PSD2 vorbereitet und bietet Ihnen einfache Hilfsmittel zur Umsetzung der neuen Richtlinien. Melden Sie sich dazu einfach beim Support oder Ihrem vertrieblichen Ansprechpartner.
Sie möchten mehr Informationen zum Payment Provider BS PAYONE? Kontaktieren Sie ihn unter: www.bspayone.com
