Ratgeber

Die DSGVO war komplex? Dann wartet mal SCA ab!

(Foto: Shutterstock)

Unser Gastautor erklärt, warum sich Unternehmen schon jetzt auf SCA vorbereiten sollten. Die Vorgaben werden ab Herbst für alle Online-Zahlungen in Europa gelten.

Europa steht vor einem großen Umbruch in der Abwicklung von Online-Zahlungen, der weitreichende Auswirkungen auf alle europäischen Unternehmen haben wird. Ähnlich wie die DSGVO unseren Umgang mit personenbezogenen Daten nachhaltig beeinflusst hat, wird auch die starke Kundenauthentifizierung, kurz SCA (Strong-Customer-Authentication), folgenreich sein – für jeden europäischen Online-Konsumenten, besonders aber für Unternehmen. Mit Inkrafttreten der neuen europaweiten Verordnung am 14. September dieses Jahres wird sich die Art und Weise, wie Online-Transaktionen abgewickelt werden, drastisch verändern.

SCA verlangt eine zusätzliche Authentifizierungsstufe bei Online-Zahlungen. Wo früher die Kreditkartennummer ausreichte, werden Konsumenten nun mindestens zwei von drei Faktoren parat haben müssen, um zum Beispiel eine Reise zu buchen oder Musik-Streaming zu nutzen: etwas, das sie wissen (wie ein Passwort oder eine Pin), etwas, das sie besitzen (wie ein Token oder ein Smartphone), oder etwas, das sie selbst sind (also biometrische Eigenschaften wie ein Fingerabdruck oder Gesichtsmerkmale).

Warum ist das nötig?

Die neuen Vorschriften sollen den europäischen Verbraucher vor Online-Betrug in Milliardenhöhe schützen. So wie der weltweite Onlinehandel bis 2022 voraussichtlich die Billionen-Dollar-Grenze durchbrechen wird, steigt auch die Betrugsgefahr: Allein der Kreditkartenbetrug beläuft sich schon heute auf eine Summe von 1,3 Milliarden Euro, schätzt die Europäische Zentralbank. Eine effektive Betrugsbekämpfung ist daher notwendig und begrüßenswert.

Allerdings könnte SCA europäische Online-Unternehmen eine Menge Geld kosten. Für Unternehmen, die nicht ausreichend vorbereitet sind, könnten sich fehlgeschlagene Transaktionen und zusätzliche Reibungsverluste stark negativ auf Conversion-Raten und damit den Umsatz auswirken. Als 2014 eine ähnliche Regulierung in Indien durchgesetzt wurde, vermeldeten einige Unternehmen über Nacht einen Umsatzrückgang von mehr als 25 Prozent. Für die europäische Online-Wirtschaft mit ihrem Volumen von 600 Milliarden Euro würde das einen Schaden in Höhe von 150 Milliarden Euro bedeuten.

Wie können sich Unternehmen vorbereiten?

Je früher wir alle mit der Vorbereitung anfangen, desto besser: Aktuell sind nur 25 Prozent der europäischen Online-Unternehmen überhaupt über die anstehenden Änderungen im Bilde. Kurz vor dem Stichtag am 14. September könnte es sehr hektisch werden, ähnlich wie kurz vor dem Inkrafttreten der DSGVO im letzten Jahr.

Und die starke Kundenauthentifizierung ist sicherlich nicht weniger komplex als die DSGVO: Die übergreifende EU-Verordnung wird von den nationalen Regulierungsbehörden unterschiedlich ausgelegt, Kartennetze und Banken haben darüber hinaus ihre eigenen Regeln und Richtlinien aufgestellt. Außerdem gibt es wichtige Ausnahmen zu beachten, denn nicht immer ist SCA erforderlich. Für viele Unternehmen ist diese Ausgangslage verwirrend. Es gibt jedoch einige allgemeingültige Prinzipien, die bei der Vorbereitung auf die SCA helfen.

Zunächst einmal sollten Unternehmen den Kaufprozess für Kunden so anpassen und vereinfachen, dass möglichst wenige Probleme bei der Zahlung entstehen. Es gibt verschiedene Möglichkeiten, wie Unternehmen ihren Kunden eine SCA-konforme Bezahlung ermöglichen können: von biometrischer Sicherheit in mobilen Wallets über regionale kartenlose Zahlungsmethoden bis hin zu 3D Secure 2. Für unterschiedliche Geschäftsmodelle eignen sich verschiedene Zahlungsmethoden, und die Präferenzen der Kunden können je nach Standort und Beziehung zum Unternehmen variieren. Daher ist es gut, wenn Unternehmen möglichst viele Bezahloptionen in ihren Checkout-Bereich integrieren. Je nach Kontext kann die relevanteste und einfachste Zahlungsmethode dynamisch als erste vorgeschlagen werden.

Zudem ist es wichtig, zu differenzieren, wann genau SCA nötig ist und wann nicht. Denn SCA ist nicht für jede Online-Transaktion verpflichtend. Für wiederkehrende Einkäufe und Zahlungen unter 30 Euro gibt es beispielsweise Ausnahmen. Daher sollten Unternehmen genau überlegen, in welchen Situationen eine verstärkte Authentifizierung abgefragt werden muss. Kunden haben auch die Möglichkeit, Unternehmen bei ihrer Bank auf eine Whitelist zu setzen, damit sie sich bei zukünftigen Einkäufen nicht mehr authentifizieren müssen. Das ist besonders für Unternehmen mit vielen Stammkunden von Bedeutung. Tatsächlich entscheiden allerdings die Banken der Kunden darüber, ob eine Ausnahme gestattet wird oder nicht. Wenn Unternehmen diese Ausnahmen selbst managen wollen, müssen sie direkt mit den lokalen Banken zusammenarbeiten – und davon gibt es in Europa mehr als 6.000 Stück.

Man kann argumentieren, dass die neue Verordnung mehr Rücksicht auf heutige komplexe Online-Geschäftsmodelle (wie etwa On-Demand-Dienste) hätte nehmen und mehr Raum für moderne, auf maschinellem Lernen basierende Betrugsrisikoanalysen hätte schaffen können. Doch egal, wie man zur starken Kundenauthentifizierung steht – sie wird kommen, und unzureichend vorbereiteten Unternehmen drohen schwerwiegende Folgen. Daher ist es umso wichtiger, dass Online-Unternehmen bereits jetzt damit anfangen, Reibungsverluste und bevorstehende Auswirkungen auf den Umsatz aufzufangen.

Wie wird sich der Onlinehandel in Europa durch SCA verändern?

Wo es Risiken gibt, ergeben sich auch immer Chancen. Die strengere Regulierung eröffnet denjenigen Unternehmen einen entscheidenden Wettbewerbsvorteil, denen es gelingt, ihren Kunden reibungslose Zahlungsmöglichkeiten zu bieten und SCA-Ausnahmen intelligent zu managen. Das wird technologie-affinen Unternehmen zugute kommen, die sich schon jetzt im Kampf um die beste Nutzererfahrung behaupten müssen (im Gegensatz zu traditionelleren Unternehmen, die sich noch im Übertritt von der Offline- in die Online-Welt befinden). Besonders im mobilen Onlinehandel könnte SCA zu einer stärkeren Akzeptanz biometrischer Identifizierung in Wallets wie Apple Pay und Google Pay beitragen. Schließlich könnte sie sogar eine Innovationswelle bei biometrischen Verfahren und mobilen Zahlungstechnologien in Europa bewirken, wenn Gründer und neue Startups anfangen, Marktlücken für eine sicherere und benutzerfreundlichere Authentifizierung zu schließen.

Daher sollten wir optimistisch bleiben: Es ist schließlich nicht das erste Mal, dass in Europa neue Standards für den Zahlungsverkehr eingeführt werden, die Sicherheit und Komfort in Einklang bringen sollen. Als zum Beispiel vor mehr als einem Jahrzehnt EMV-Standards in Europa eingeführt wurden, machte das die Bezahlung mit Chip und Pin auf dem gesamten Kontinent schnell zum Standard. Die USA hinken diesbezüglich noch immer hinter den Europäern her. Diese Geschichte könnte sich nun mit der Einführung von SCA wiederholen. Denn so oder so wird der Rest der Welt früher oder später vermutlich nachziehen: In Australien und in anderen Märkten sollen schon bald ähnliche Standards eingeführt werden.

Letztendlich ist es für das langfristige Wachstum der Online-Wirtschaft wesentlich, die Sicherheit im Zahlungsverkehr zu erhöhen. Mit dem steigenden Vertrauen der Verbraucher erhöhen sich auch ihre Online-Ausgaben. Zwar wird SCA die europäische Online-Wirtschaft zunächst vor große Herausforderungen stellen. Langfristig aber könnte sich die neue Verordnung als Meilenstein erweisen: auf dem Weg zur einer stärkeren Online-Wirtschaft in Europa, zur Vollendung des digitalen Binnenmarkts und zur Steigerung des weltweiten Wirtschaftsleistung des Internets.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

9 Kommentare
Philipp

Wichtige Ergänzung: Lastschriften fallen nicht unter die Regelung!

Antworten
Bernd
Bernd

Bin gespannt, wie das mit der DSGVO kombiniert wird, wenn man nicht überall seine Handynummer oder Fingerabdrücke in die Welt hinaus schicken möchte.

Antworten
Martin
Martin

Ja, interessant, aber was gibt es nun konkret zu tun?

Antworten
Paul
Paul

und bist du nicht willig, so brauch ich gewalt.
so sammelt man biometrische daten von menschen, die sich bisher verweigert haben…
ein schelm, der arges dabei denkt.

Antworten
Stefan
Stefan

1984 Georg Orwells Überwachungsstaat läßt grüßen.

Wenn ich online nur kaufen kann, wenn ich mich biometrisch identifizieren muss, kauf ich wieder lokal ein.

Discounter, Bauer, Baumarkt, kleinanzeigen.

Es gibt nichts was ich unbegingt brauche, was ich nicht auch im stationären Handel erwerben kann. Leistet Widerstand gegen die totale Überwachung.
Zahlt wo immer möglich bar!

Stimmt mit Eurem Verhalten gegen die totale Überwachung und die daraus resultierende Versklavung.

Aufhalten werden wir das nicht mehr können. Dazu haben wir schon zuviel unserer Macht abegeben. Aber Sand können wir schon noch ins Getriebe schütten.
Tut es, wo Ihr könnt!

Der Revoluzer

Antworten
kalle
kalle

bestelle nur in shops bei denen man auf rechnung bezahlen kann….erst die ware, dann das geld…..wenn es nicht gefällt geht es zurück und ich muss nicht darauf achten, ob ich mein geld zurück bekommen habe ;)

Antworten
J
J

Erstaunlich, wieder einmal nur keifende Trolle hier unterwegs.

Antworten
Denkender Mensch
Denkender Mensch

Wen meinst Du denn, die Kommentar sind ja durchaus unterschiedlich?

Antworten
A. Hofmann
A. Hofmann

Offensichtlich ist es nicht möglich hier fundierte Kritik anzuweden. Eine tolle Kommentarfunktion ist das hier…

Diesen Kommentar habe ich mehrmals versucht zu veröffentlichen:

TL;DR: Als Händler kann man nichts an SCA rütteln und am eigenen Shop braucht man auch nichts ändern, es sind ja nur die Zahlungsdienstleister betroffen. Ärgerlich wird es trotzdem, da vorraussichtlich die Conversions runtergehen werden.

Dieser Artikel ist reißerisch geschrieben und nicht sonderlich hilfreich. Der Vergleich zur DSGVO ist völlig unangebracht, da Händler so gut wie nichts mit SCA zu tun haben, während die Umstellung zur DSGVO sehr aufwendig und teuer war. Wesentlich verständlicher und fundiertere Informationen findet man überall im Internet, einfach mal nach „strong customer authentication deutsch“ suchen.

Bei mir hat dieser Artikel dazu geführt, dass ich keine so hohe Meinung mehr vom Unternehmen Stripe habe. Vielleicht sollte sich Herr Princen überlegen ob es so eine gute Strategie ist FUD (Fear, Uncertainty and Doubt) im Namen seines Unternehmens zu verbreiten.

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.