Strenge Bezahlregeln erleichtert: Kein Aufatmen für Onlinehändler
Für Onlinehändler, Payment-Service-Provider, Banken und Kunden sollen ab dem 14. September neue strenge Bezahlregeln gelten. Eine Folge: Onlinehändler müssen ab diesem Zeitpunkt Kreditkartenzahlungen mit Zwei-Faktor-Authentifizierungen ermöglichen. Die Bafin hat jetzt mitgeteilt, dass sie es nicht beanstanden wird, wenn die Zahlungsdienstleister der Onlinehändler diese zusätzliche Authentifizierung bei der Kreditkartenzahlung vorerst nicht einführen. Dieser ungewisse Aufschub sorgt jedoch nicht für Entwarnung, nur für einen zeitlichen Aufschub.
Einführung der starken Kundenauthentifizierung indirekt verschoben
Die EU-Richtlinie PSD2 enthält eine Regelung zu starken Kundenauthentifizierung (SCA), die unter anderem bedeutet, dass alle Onlinehändler in der Lage sein müssen, ein Zwei-Faktor-Authentifizierungsverfahren bei Kreditkartenzahlungen abzuwickeln. Kunden müssen eine Onlinezahlung dann mit einem zweiten Faktor bestätigen, zum Beispiel einer SMS-Tan oder einem Fingerabdruck in der App ihrer Bank beziehungsweise ihres Kartenanbieters.
Ausschließlich für Abwicklung dieser Kreditkartenzahlungen räumt die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) jetzt indirekt einen Aufschub ein. Der Starttermin für die Umsetzung der Richtlinie wurde nicht verschoben, aber die Bafin wird Verstöße zunächst nicht ahnden: „Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne starke Kundenauthentifizierung ausführen.“ Die Bafin verschiebt den Termin damit nicht, sondern wird einen Verstoß gegen die Richtlinie bloß „zunächst nicht beanstanden.“
Damit haben Zahlungsdienstleister und Onlinehändler etwas mehr Zeit gewonnen. Wie lange, ist aber unklar. Die Bafin wird einen Zeitpunkt nach Absprache mit der Europäischen Aufsichtsbehörde und weiteren nationalen Aufsichtsbehörden erst noch festlegen. Bis dahin erwartet die Bafin, „dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen.“
Keine Grund zum Aufatmen
„Es gibt keinen Grund zum Aufatmen!“, erklärt Mirko Hüllemann, Gründer und CEO der Heidelpay Group. „Die Fristverlängerung bezieht sich erstmal nur auf Kreditkartenzahlungen. Und hier zeigen Studien, dass im vergangenen Jahr nur etwa jeder zehnte Einkauf per Kreditkarte bezahlt worden ist – deutsche Online-Shopper lieben eben ihren Rechnungskauf. Dieser ist dazu von der 2-Faktoren-Authentifizierung der PSD2 nicht betroffen. Verhältnisse wie am Berliner Flughafen wird es trotzdem nicht geben; denn die PSD2 wird mit ihrem Co-Pilot, der 2-Faktoren-Authentifizierung, in jedem Fall abheben.“
Hüllemann schätzt weiter, dass die Abstimmung der Bafin mit Verbänden, anderen Behörden und der Europäischen Bankenaufsicht mindestens 6 Monate dauern wird. Der Experten sieht aber unverändert dringlichen Handlungsbedarf: „Für jeden Online-Händler ist es ein letzter Weckruf, die Hausaufgaben zu machen und den Payment-Mix im eigenen Online-Shop auf die PSD2 einzustellen.“
Welche Zahlungsverfahren betroffen sind und welche nicht
Betroffen sind:
- Online-Kartenzahlungen jeglicher Art: Kreditkarten oder Debitkarten
- Sofort-Überweisung, Giropay, Paydirekt (indirekt über die Bank)
- Die Anbieter von Zahlungskonten wie Paypal, Amazon Pay, Klarna (nur Kartenzahlungen, keine Rechnung, Lastschrift oder Teilzahlung)
Bei Sofort-Überweisung, Giropay und Paydirekt wird die Zwei-Faktor-Authentifizierung schon jetzt über die Bank des Kunden abgewickelt, hier sind keine Maßnahmen erforderlich. Zahlungskonten wie Paypal oder Amazon Pay werden voraussichtlich eine starke Kundenauthentifizierung fordern, sobald Kreditkarten als Standardzahlungsmethode beim Kunden hinterlegt sind. Wie das genau geregelt und abgewickelt wird, ist noch nicht klar.
Nicht betroffen sind:
- Lastschrift
- Rechnung
- Vorkasse
- Beträge unter 30 Euro sind generell ausgenommen
Was Onlinehändler tun können
Der erste Ansprechpartner ist der Zahlungsdienstleister des Onlinehändlers: Payment-Service-Provider, oder die direkten Anbieter der Zahlungsmethoden, falls der Händler die Zahlungsarten selbst angebunden hat.
Gegebenenfalls müssen die selbst erstellten Integrationen überarbeitet, zur Verfügung gestellte Module oder Plugins für Onlineshops aktualisiert, neue Payment-Gateways eingebunden oder Konfigurationen im Backend der Zahlungsdienstleister verändert werden. Ziel ist die Unterstützung der neuen, starken Kundenauthentifizierung.
Passend zum Thema
- DSGVO-ähnliche Ausmaße: Was Onlinehändler zur SCA-Umsetzung wissen müssen
- So klappt die PSD2-Umsetzung – eine Anleitung in 5 Schritten
- Neue Regeln fürs Bezahlen beim Online-Einkauf – droht bald Chaos?