Kreditkartenzahlung im Internet: Online-Händler müssen bis Jahresende auf starke Kundenauthentifizierung umstellen

Im Rahmen der Umsetzung der europäischen zweiten Zahlungsdiensterichtlinie (PSD2) wurden auch technische Vorgaben für die Zahlung mittels Kreditkarten in Onlineshops festgelegt. Eine Umsetzung der Anforderungen ist bis zum 31.12.2020 erforderlich. Spätestens dann ist die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA) verpflichtend für Einkäufe im Internet mit Kreditkarten. Was dies für Betreiber von Onlineshops bedeutet und wie sie sich darauf vorbereiten sollten, haben wir im nachstehenden Artikel mit Hilfe von VR Payment, einem führenden Zahlungsdienstleister zusammengetragen (Lesen Sie auch die FAQ zum Thema PSD 2 und Starke Kundenauthentifizierung).


Starke Kundenauthentifizierung im Onlinehandel: Jetzt umstellen auf 3D Secure 2

Jede Schonfrist hat ein Ende. Bei der Umsetzung der gesetzlichen Anforderungen zur starken Kundenauthentifizierung ist der 31. Dezember 2020 Stichtag: Danach werden hierzulande keine Kartenzahlungen ohne zusätzliche Sicherheitsverfahren mehr genehmigt. Für Onlinehändler und andere Betreiber von Webseiten mit Kartenzahlungsmöglichkeit wird es daher höchste Zeit, Ihre Plattformen an die neuen Vorgaben anzupassen.

Das Thema ist nicht neu. Seit Inkrafttreten der zweiten Zahlungsdiensterichtlinie (Payment Services Directive2 oder kurz PSD2) am 14. September 2019 gelten verschärfte Sicherheitsmaßnahmen, die Händler und Konsumenten stärker vor Kartenbetrug schützen sollen. Die Regulierung sieht eine sogenannte Zwei-Faktor-Authentifizierung vor: Die Authentifizierung eines Kunden mittels zweier unabhängiger Faktoren aus den Bereichen Wissen, Besitz oder Inhärenz.

vr payment sca 1
© VR Payment

Zwar duldet die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) noch bis zum 31. Dezember 2020, wenn Online-Zahlungen wie bislang üblich mit nur einem Faktor abgesichert werden. Jedoch haben Kartenherausgeber (Issuer) und Zahlungsdienstleister (Acquirer) schon heute regelmäßig den Stand der Umsetzung zu dokumentieren.

Fakt ist: Viele Onlinehändler lassen sich mit der Umstellung noch Zeit. Dabei sind die Voraussetzungen von Seiten der Kreditkartengesellschaften und der Zahlungsdienstleister längst gegeben. So haben Mastercard und Visa ihr in die Jahre gekommenes Sicherheitsprotokoll EMV 3D Secure (3DS) weiterentwickelt. Aus „Secure Code“ wurde bei Mastercard „Identity Check“, „Verified by Visa“ wurde abgelöst durch „Visa Secure“.

Die neue 3DS-Version adressiert die Schmerzpunkte des alten Protokolls und bietet eine integrierte, leicht zu navigierende Sicherheitsabfrage – und damit laut Visa etwa 66 Prozent niedrigere Abbruchraten. Der Transaktionsvorgang wurde dafür umfassend überarbeitet. Es gib keine Weiterleitungen mehr und auch keine Skalierungsprobleme. 3DS 2 unterstützt mobile Zahlungen ebenso wie In-App-Payments. Eine weiter gefasste Datenerhebung verbessert die Risikoanalyse, wodurch mehr Transaktionen direkt genehmigt werden und die Betrugsraten laut Mastercard um etwa 50 Prozent sinken. Die neuen gesetzlichen Anforderungen sind bei 3DS 2 selbstverständlich berücksichtigt, inklusiver aller möglichen Ausnahmen.  

vr payment sca 2
© VR Payment

Der Knackpunkt: Zur Umsetzung der Zwei-Faktor-Authentifizierung und Anwendung von 3DS 2 müssen Onlineshops künftig mehr Informationen an den Kartenherausgeber liefern. Die bisherigen Schnittstellen müssen dafür angepasst und ausgebaut werden. Welche technischen Umstellungen im Einzelfall nötig sind, variiert je nach Anbindung des Payments im Shop. Werden vorkonfigurierte Onlineshop-Module eines Zahlungsdienstleisters verwendet, muss beispielsweise nur ein neues Plugin installiert werden – diese werden in der Regel vom jeweiligen Zahlungsdienstleister zum Download angeboten. Die Anpassung der Schnittstellen und die Aktivierung von 3DS 2 erfolgt dann automatisch. Ist der Webshop hingegen direkt per API an die Payment-Plattform des Zahlungsdienstleisters angebunden, müssen Händler ihre Schnittstelle selbst um die neuen Pflichtwerte des Protokolls erweitern. Geschieht dies nicht, werden Kartenherausgeber künftig Transaktionen als nicht PSD2-konform ablehnen.

Nicht vergessen: Mit der Umstellung auf 3DS 2 und die Zwei-Faktor-Authentifizierung müssen auch die Datenschutzhinweise aktualisiert werden. Die Erhebung und Weitergabe von Kundendaten muss entsprechend der Datenschutzgrundverordnung (DSGVO) in den Vertragsbedingungen vermerkt sein.

Zahlungsdienstleister bieten zur Umsetzung der starken Kundenauthentifizierung nach PSD2 meist umfassendes Informationsmaterial und unterstützen Händler bei allen Umsetzungsfragen. Eine Kontaktaufnahme lohnt sich. Weitere Informationen und hilfreiche Tipps rund um 3D Secure 2 finden Händler beispielsweise bei VR Payment: https://www.vr-payment.de/3d-secure-2