Starke Kundenauthentifizierung: Online-Händler müssen jetzt tätig werden

Ein erklärtes Ziel der zweiten Zahlungsdiensterichtlinie (PSD2) ist es, mehr Wettbewerb zu ermöglichen. Dazu werden die neuen Institutionen der Zahlungsinformations- und Zahlungsauslösedienstleister reguliert. Diesen Dienstleistern soll ein Zugriff auf Konten ermöglicht werden, wenn dies der Kontoinhaber gestattet. Um hier Missbrauch vorzubeugen und einen verbesserten Schutz des Verbrauchers zu erzielen, werden technische Vorgaben für die Authentifizierung des Kontoinhabers festgelegt. Die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist im Vergleich zur bisherigen Kundenauthentifizierung komplexer, da mindestens zwei Faktoren erfüllt werden müssen. Durch die Veröffentlichung sogenannter Regulatorischen Technischen Standards (RTS) setzt der Gesetzgeber tiefgehende technische verpflichtende Vorgaben zur SCA, die für viele Transaktionen verpflichtend ist.

Was dies für Betreiber von Onlineshops bedeutet und wie sie sich darauf vorbereiten sollten, haben wir im Folgenden anhand von Fragestellungen kurz dargestellt. Mitglieder finden weitere Informationen im HDE-Intranet.

Welche Änderungen bringt die zweite Zahlungsdiensterichtlinie ab dem 14. September?

Ein erklärtes Ziel der zweiten Zahlungsdiensterichtlinie (PSD2) ist es, mehr Wettbewerb zu ermöglichen. Dazu werden die neuen Institutionen der Zahlungsinformations- und Zahlungsauslösedienstleister reguliert. Diesen Dienstleistern soll ein Zugriff auf Konten ermöglicht werden, wenn dies der Kontoinhaber gestattet. Um hier Missbrauch vorzubeugen und einen verbesserten Schutz des Verbrauchers zu erzielen, werden technische Vorgaben für die Authentifizierung des Kontoinhabers festgelegt. Die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist im Vergleich zur bisherigen Kundenauthentifizierung komplexer, da mindestens zwei Faktoren erfüllt werden müssen.

Durch die Veröffentlichung sogenannter Regulatorischen Technischen Standards (RTS) setzt der Gesetzgeber tiefgehende technische verpflichtende Vorgaben zur SCA, die für viele Transaktionen verpflichtend ist.

Welche Änderungen ergeben sich konkret im Handel?

Mit den Änderungen ab 14. September ist eine Übernahme des Zahlungsrisikos durch den Händler zugunsten einer besseren Kundenführung durch den Check Out nicht mehr möglich.

In der Konsequenz müssen Händler die Verfahren der starken Kundenauthentifizierung in ihre Online-Checkout-Prozesse einbinden. Zudem müssen alle Kunden mit den Verfahren der starken Kundenauthentifizierung vertraut gemacht werden und diese künftig einsetzen können und wollen.

Es steht zu befürchten, dass beides in der noch zur Verfügung stehenden kurzen Zeit nicht vollständig gelingt. Der Anspruch des Handels, alle Kunden unabhängig von ihrer technischen Ausstattung oder ihres technischen Verständnisses eine möglichst bequeme Einkaufs- und Bezahlmöglichkeit zu bieten, wird durch die PSD2 eingeschränkt.

Händler müssen daher damit rechnen, dass diejenigen Zahlarten, auf die die PSD2 zutrifft, künftig eher gemieden werden und Kunden auf andere Zahlarten wie die Lastschrift ausweichen. Im Zweifel könnten gar Kaufabbrüche erfolgen, wenn Bezahlprozesse zu kompliziert sind.

Welche Zahlungsarten sind betroffen?

Von den Anforderungen der starken Kundenauthentifizierung sind insbesondere Kartenzahlungen in Online-Shops betroffen. Auch Zahlungsplattformen wie Pay Pal und Amazon Pay unterliegen grundsätzlich den Anforderungen und müssen die Kriterien erfüllen. Hier sind die Anbieter gefordert, entsprechende Umstellungserfordernisse zu kommunizieren.

Ausgenommen von den Anforderungen der starken Kundenauthentifizierungen sind Zahlungen, die vom Händler initiiert werden. Dazu zählt insbesondere die in Deutschland gebräuchliche Internetlastschrift. Auch der Rechnungskauf ist nicht betroffen, hier erfolgt die Zahlung nachgelagert.  

Zahlungen am POS mit Kreditkarte oder Debitkarte sind zwar betroffen. Hier ist aber davon auszugehen, dass die bisher schon geltenden Sicherheitsfaktoren bereits die neuen europäischen Anforderungen erfüllen. Umstellungsanforderungen bzw. Updates der Terminals sind daher für diesen Bereich nicht zu erwarten.

Wie ist der Umsetzungsstand?

Zunächst müssen Kunden mit den Instrumenten der starken Kundenauthentifizierung umgehen können und diese auch einsetzen wollen. Es ist fraglich, dass bis zum 14. September diese Bereitschaft in der gebotenen Breite besteht.

Aber auch der Handel muss die Verfahren in seine Onlineshops integrieren und dabei auf eine möglichst kundenfreundliche Handhabung achten um Kaufabbrüche zu minimieren. Letztlich ist er allerdings auf die Vorarbeiten der Zahlungsdienstleister angewiesen. Nicht zuletzt wegen offener Detailfragen zur Umsetzung der technischen Standards sind diese allerdings auch spät mit ihren Vorbereitungen fertig geworden und stellen erst kurzfristig die nötigen Schnittstellen und Tools zur Verfügung. Der Onlinehändler muss also seine Dienstleister (sogenannte Payment Service Provider), seine Bankpartner (sogenannte Acquirer) und auch seinen Software-Anbieter (CMS/Shopsoftware-hersteller) koordinieren, was insbesondere für mittelständische Anbieter einen ordentlichen Aufwand erfordert, der durch kurze Fristen noch kritischer zu sehen ist. Händler, die hier nicht rechtzeitig fertig werden, müssen mit Kundenverlusten rechnen.

Der HDE setzt sich daher dafür ein, die kürzlich von der europäischen Bankenaufsicht (EBA) genehmigte Fristverlängerung für die verpflichtende Einführung der starken Kundenauthentifizierung zu nutzen. Die EBA hat es den nationalen Behörden überlassen, für ihr Land eine verlängerte Frist für die Einhaltung der PSD2-Vorgaben zu setzen. Die in Deutschland zuständige BaFin ist nun gefordert, eine praktikable Lösung zu finden.

Werden große Online-Anbieter durch die neuen Regelungen bevorzugt?

Auch kleine Händler können die Anforderungen durchaus erfüllen, der Koordinierungsaufwand mit den Dienstleistungspartnern ist eine einmalige wenn auch herausfordernde Arbeit. Die Bedrohung erfolgt eher aus anderer Richtung als der Umsetzung der Vorgaben: es steht zu befürchten, dass die PSD2 - und hier vor allem die möglichen Ausnahmen von der starken Kundenauthentifizierung - tendenziell große Händler und Plattformen bevorzugt. Beispielsweise ist es grundsätzlich und nach Zustimmung der eigenen Bank möglich, dass ein Kunde einen Händler als vertrauenswürdig einstuft und auf eine Liste bei seiner kartenausgebenden Bank setzt, um in der Folge auf die starke Kundenauthentifizierung verzichten zu können. Diesen Vorgang wird der Kunde eher für große Onlineshops oder Plattformen durchführen, bei denen er häufiger einkauft. Kleine Shops und Shops für Gelegenheitskäufe werden hier eher nicht berücksichtigt. In der Folge wird der Kunde tendenziell lieber dort einkaufen, wo er bereits das vereinfachte Checkout-Verfahren aktiviert hat. Zudem werden sich Banken genau überlegen, welchem Händler sie die Aufnahme auf die sogenannte Whitelist gestatten. Unbekannten Onlineshops werden die Banken eher die Unterstützung verweigern, da sie letztendlich dennoch für Ausfälle haften, auch wenn der Kunde sie als vertrauenswürdig ansieht.

Große Plattformen können zudem sicher besser die Ausnahme nach einer Risikobetrachtung organisieren, so dass Kunden hier tendenziell weniger mit der starken Authentifizierung konfrontiert werden.

Was müssen Online-Händler jetzt tun?

Das Wichtigste: Händler müssen mit Ihren Dienstleistern sprechen und alle notwendigen Schritte abstimmen. Erster Ansprechpartner ist der Payment Service Provider und/oder der Acquirer.
HDE-Mitglieder finden die anstehenden gesetzlichen Änderungen, die notwendigen Schritte und die Hintergründe in Stichworten aufbereitet, als Präsentation im HDE-Intranet.