Die „Starke Kundenauthentifizierung“ und ihre Folgen für den Handel


Seit etwa drei Monaten ist die sogenannte starke Kundenauthentifizierung verbindlich – so wurde es in der Ende 2015 erlassenen „Payment Service Directive 2“ (PSD2) festgelegt. Das Bezahlen im Internet soll dadurch sicherer werden. Aber was bedeutet das für mich als Händler?


Viele Banken haben ihre Systeme mittlerweile an die neuen Regeln der Zweiten Zahlungsdiensterichtlinie (PSD2) angepasst. Doch auch das Ein- und Verkaufen wird komplizierter, denn die EU-Richtlinie betrifft ebenso die Zahlungsabwicklung im stationären wie im Online-Handel. Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist ein Teil davon.

Starke Kundenauthentifizierung – Was bedeutet das?

Jeder, der eine elektronische Zahlung auslösen will, muss diese nun mit mindestens zwei der folgenden drei Faktoren bestätigen:

  1. Wissen (z. B. PIN oder Passwort)

  2. Besitz (z. B. ein bestimmtes Smartphone, App oder Karte)

  3. Inhärenz (z. B. der Fingerabdruck oder die Stimme des Nutzers)

Dadurch soll sichergestellt werden, dass es sich bei dem Benutzer tatsächlich um den Berechtigten handelt. Ob stationär am Point of Sale oder online bezahlt werden soll, ist dabei unerheblich. Was entscheidend ist, ist die Tatsache, dass es sich um eine elektronische Zahlung innerhalb der Europäischen Union handelt. Bisher war es ausreichend, wenn man die Daten der Kreditkarte eingegeben hat, wenn man damit in einem Online-Shop bezahlen wollte. Seit 14. September sieht, zumindest laut Gesetz, die Situation anders aus.

Wann ist die starke Kundenauthentifizierung verpflichtend?

Die starke Kundenauthentifizierung ist grundsätzlich für jede elektronische Zahlung obligatorisch, unter bestimmten Voraussetzungen sind aber Ausnahmen möglich. Zwar entscheidet darüber der kontoführende Zahlungsdienstleister, dennoch ist es wichtig, dass ein Händler die Ausnahmen kennt, etwa um den Kunden zu informieren. Das ist aktuell oft nicht der Fall. Weil auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) noch Nachholbedarf bei den Zahlungsempfängern sieht, wurde die Frist für Kartenzahlungen im Internet auf 31. Dezember 2020 verlängert.


Welche Ausnahmen gibt es?


  • Whitelisting (vertrauenswürdige Empfänger)
    Kunden können Händler auf eine sogenannte Whitelist, also eine Positivliste von vertrauenswürdigen Zahlungsempfängern, setzen. Damit sind die diese Händler von der SCA ausgenommen – sofern der Kartenherausgeber keine Notwendigkeit wegen besonderer Risikofaktoren sieht.

  • Transaktionen mit kleinen Beträgen
    Wenn der Einzelbetrag der Online-Zahlung unter 30 Euro bleibt, kann auf die starke Kundenauthentifizierung verzichtet werden. Bei stationären kontaktlosen Kartenzahlungen liegt die Grenze bei 50 Euro. Allerdings fallen hier auch die Anzahl der Transaktionen und der kumulierte Einkaufswert ins Gewicht, so dass ab einer bestimmten Summe (online ab 100 Euro seit der letzten SCA, stationär kontaktlos ab 150 Euro) erneut eine Zwei-Faktor-Authentifizierung gefordert wird.

  • Wiederkehrende Zahlungen
    Wiederkehrende Zahlungen wie etwa Daueraufträge erfordern nur beim Erstellen, Ändern und erstmaligem Auslösen eine Zwei-Faktor-Authentifizierung. Bei allen weiteren Transaktionen entfällt sie.

  • Transaktionsrisikoanalyse
    Für jede Zahlung (Überweisungen, Kartenzahlungen) wird untersucht, ob ein Betrugsrisiko vorliegt. Ist das Risiko gering und überschreitet der Zahlungsdienstleister eine bestimmte Betrugsrate nicht (abhängig von Betrag und Zahlungsverfahren), kann der Zahlungsdienstleister auf eine SCA bei Zahlungen bis maximal 500 Euro verzichten.


Was müssen Händler jetzt also tun?

Machen Sie sich mit den neuen gesetzlichen Vorgaben vertraut und kontaktieren Sie dafür auch Ihren Payment Service Provider und/oder die Anbieter Ihrer Zahlungsverfahren. Oftmals können diese Ihnen geeignetes Infomaterial zur Verfügung stellen.

Prüfen Sie, zusammen mit Ihren Zahlungsdienstleistern, welche technischen Anpassungen gegebenenfalls nötig sind. Falls Sie nur Lastschrift, Rechnung, Vorkasse und Nachnahme anbieten, sind Sie nicht betroffen und es gibt keinen Handlungsbedarf.

Wenn Ihre Kunden bei Ihnen mit Kreditkarte zahlen können, müssen diese Zahlungen mit dem Sicherheitsprotokoll 3-D-Secure abgesichert werden – zumindest spätestens ab dem 31. Dezember 2020.

Sobald Sie dann einen Schritt weiter sind und erste Anpassungen erfolgt sind, geht es in die Testphase. Prüfen Sie alle geänderten Funktionen ausgiebig. Außerdem sollten Sie Ihre Kunden darüber informieren, was neu ist und – unter Umständen – eine Anleitung für die neuen Bezahlprozesse bereitstellen. Auch der Kundensupport sollte die neuen Prozesse kennen, um bei etwaigen Anfragen adäquat reagieren zu können.

Zu guter Letzt schauen Sie sich Ihre AGB und Datenschutzerklärung an. Möglicherweise sind Anpassungen auch hier notwendig.

Die starke Kundenauthentifizierung bedeutet einige Veränderungen in der Welt des Zahlungsverkehrs, nicht nur im Online-Handel. Wichtig ist, dass man sich als Händler intensiv mit der Thematik beschäftigt, um den Kunden so ein angenehmes Einkaufserlebnis garantieren zu können.

Dieser Beitrag erschien zuerst auf dem Blog des Mittelstand 4.0-Kompetenzzentrums Handel.


21.01.2020
Carina Freundl