Die EU-Richtlinie 2015/2366 wurde von der Europäischen Kommission im Oktober 2015 beschlossen und soll im Januar 2018 wirksam werden. Die PSD2 regelt den Bereich der Kundenauthentifizierung bei Zahlungen im Onlinehandel neu. Im Idealfall sollen für den Endkunden dadurch Sicherheit und Komfort steigen. Man darf aber davon ausgehen, dass für alle Bezahlverfahren die Komplexität bis zu einem gewissen Maß steigt.

Gerade für Onlinehändler und Zahlungsdienstleister bieten sich durch die strengeren Bestimmungen aber auch neue Möglichkeiten. PSD2 eröffnet für alle Marktteilnehmer die Chance, sich durch neue Services im Bereich Onlinezahlung Wettbewerbsvorteile zu verschaffen. Mehr Komfort könnte somit auch mehr Kunden bedeuten.

Ein wichtiger Effekt der neuen Regelungen: Sie schaffen eine Waffengleichheit für alle Beteiligten. So öffnet PSD2 für Payment Service Providers (PSP) die bislang für Drittanbieter verschlossene Bankenwelt. Die Zahlungsdienstleiter profitieren von der Öffnung, und auch die Banken können sich mit neuen, komfortablen Services für ihre Kunden neu positionieren. Last but not least werden sich in Zukunft auch Onlinehändler im Wettbewerb noch stärker dadurch profilieren können, welche Zahlungsmöglichkeiten sie ihren Kunden bieten – und wie komfortabel die Kundenauthentifizierung bei ihnen abläuft. Für Zahlungsdienstleister entsteht durch die begrenzte, aber direkte Kommunikation mit der Bankenwelt die Möglichkeit, bei Kundenauthentifizierungsvorgängen im Onlinehandel innovative Services zu bieten.

Wenn sich der Kunde im Onlinebezahlvorgang etwa mit seiner EC-Karte und per Chip-TAN authentifizieren möchte, kann ein Zahlungsinstitut diese Authentifizierung in Zukunft sofort prüfen. So werden auch ganz neue Instant-Payment-Optionen möglich. Von einem derart engen Zusammenspiel von PSPs und Finanzinstituten profitieren am Ende alle: der Onlinehändler, der seine Conversion erhöht, sein Kunde, der schneller und einfacher bezahlt, sowie das Zahlungsinstitut und die Bank.

Bei gewissen Zahlungsverfahren macht PSD2 neue Kundenauthentifizierungsmethoden notwendig. So dürfte etwa beim Mobile Payment eine SMS-TAN auf das Smartphone nicht mehr zulässig sein. Denn in Artikel 97 schreibt die PSD2 eine sogenannte starke Kundenauthentifizierung vor, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind: das Wissen, etwas, das nur der Nutzer weiß (wie ein Passwort); der Besitz, etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte) und die Inhärenz: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (beispielsweise ein Fingerabdruck).

Schon die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte in ihren „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) aus November 2015 einen Schwerpunkt auf eine starke Authentifizierung. Auch die einschlägigen Verfahren der Kreditkartenfirmen – wie der 3D Secure Code bei Visa oder der SecureCode bei MasterCard – sollen das Sicherheitsniveau erhöhen. Wobei manche Institute diese Verfahren noch um Elemente wie Push-TANs, Smartphone-Apps oder Kartenlesegeräte ergänzen, um die Sicherheit bei der Kartenzahlung im Internet weiter zu erhöhen.

Verfahren wie das bisherige 3D Secure haben allerdings einen gravierenden Nachteil: Für den Kunden sind sie vergleichsweise umständlich anzuwenden. Entsprechend ungern bieten Onlinehändler sie an. Denn fast immer ziehen diese Verfahren niedrigere Konversionsraten nach sich – die Gefahr von Abbrüchen steigt. Der Nachteil für einen Händler, der sich solch einem starken Kundenauthentifizierungsverfahren verweigert, ist allerdings schon jetzt, dass er dann selbst das komplette finanzielle Risiko etwaiger Rückbelastungen trägt.

In Zukunft wird die PSD2 bei einer Online-Kartenzahlung also eine starke Authentifizierung fordern. Allerdings gibt es auch Ausnahmen: Wenn es um kleine Beträge von weniger als 30 Euro geht, wird ausdrücklich keine Zwei-Faktoren-Authentifizierung verlangt. Und selbst bei Transaktionssummen im Bereich zwischen 30 und 500 Euro soll die starke Kundenauthentifizierung dann verzichtbar sein, wenn das jeweilige Zahlungsmittel definierte Betrugsquoten nicht überschreitet. Welche Konsequenzen das für welches Zahlungsmittel haben wird, ist allerdings noch nicht klar absehbar. Was der PSD2 auch ein wenig den Schrecken nimmt: Für eine starke Zwei-Faktoren-Authentifizierung lassen sich ganz neue und innovative Methoden entwickeln, die komfortabler als das umständliche 3D Secure sein sollen. Vorstellbar sind etwa besonders schnelle Verfahren wie ein Iris-Scan oder eine Videoauthentifizierung einfach per Smartphone des Kunden. Den Kombinationsmöglichkeiten zwischen den Faktoren Wissen, Besitz und Inhärenz setzt die PSD2 keine Grenzen.

Durch PSD2 werden die Karten also neu gemischt. Dass in Zukunft in sehr vielen Fällen eine starke Zwei-Faktoren-Authentifizierung nötig wird, dürfte den Markt der Zahlungsverfahren und der Zahlungsdienstleister schon ein wenig durchrütteln. Der bisherige Komfortvorteil eines Dienstes wie Paypal beispielsweise wird dadurch erst einmal hinfällig. Auch die Sofortüberweisung wird sich zumindest technisch ändern – in Zukunft benötigt der Zahlungsdienstleister eine sichere, dedizierte Schnittstelle zur Bank. Und auch um Lastschriftmandate einzuholen, braucht es in Zukunft einen Zahlungsdienstleister, der die elektronische Zwei-Faktoren-Authentifizierung übernimmt.

Die PSD2 reduziert das Betrugsrisiko beim Onlinekauf, aber eine obligatorische Zwei-Faktoren-Authentifizierung erhöht zugleich die Komplexität der Bezahlprozesse. Im Wettbewerb könnte es darum immer wichtiger werden, wie bequem das Authentifizierungsverfahren ist, das der Zahlungsdienstleister anbietet. Onlinehändler werden sich darum in Zukunft noch genauer ansehen müssen, welchen Mix an Zahlungsoptionen ihr Payment Service Provider offeriert – und wie komfortabel sein Angebot gerade für die Zielgruppe ist, die der Händler im Blick hat. Aber selbst, wenn Varianten wie Sofortüberweisung und Lastschrift in ihrer klassischen Form hinfällig werden, könnten doch neue, intelligentere Verfahren an ihre Stelle treten – eben weil ein Zahlungsdienstleister per Zugriff auf die Daten der kontoführenden Bank den Authentifizierungsprozess selbst durchführen kann.

Es ist auch nicht ausgeschlossen, dass PSD2 bis zu einem gewissen Grad die Marktmacht der E-Commerce-Riesen stärken wird, die die Kunden gerne und oft frequentieren. Denn die Direktive eröffnet für Endkunden die Möglichkeit, individuell ausgewählte Onlinehändler auf eine White List zu setzen und sie als grundsätzlich vertrauenswürdige Zahlungsempfänger zu deklarieren. So spart sich der Endkunde die Zwei-Faktoren-Authentifizierung für jeden einzelnen Kaufvorgang.

Onlinehändler sollten sich deswegen in Zukunft noch stärker um Kundenbindung bemühen und es ihren Kunden so einfach wie möglich machen, sie zu sie auf die White List zu setzen. So oder so: Es gilt, sich jetzt mit den Konsequenzen der EU-Direktive auseinanderzusetzen, sich den neuen Anforderungen anzupassen und die Wettbewerbschancen zu nutzen, die sich eröffnen. In jedem Fall sorgt PSD2 dafür, dass die nächsten Jahre spannend bleiben – für Onlinehändler und für Zahlungsdienstleister.