Titelbild
20.06.2019

Die neuen Regeln der PSD2-Zahlungsdiensterichtlinie zum 14. September 2019

Sie verspricht „mehr Innovation, Wettbewerb und Effizienz“ und ist in Teilen bereits seit Januar 2018 EU-weit in Kraft. Zum 14. September 2019 wird Teil 2 der PSD2-Zahlungsdiensterichtlinie in den Mitgliedsstaaten umgesetzt. Das bedeutet konkret die Einführung einer Zwei-Faktor-Authentifizierung bei elektronischen Zahlungen. Die wichtigsten Informationen im Überblick.

Die PSD2 - Payment Services Directive 2nd Edition (zu deutsch Zahlungsdiensterichtlinie in überarbeiteter Fassung) enthält 3 maßgebliche Inhalte:

  • Verbot des Surcharging („Gebührenaufschlag“) für bestimmte Zahlungsmodi bereits seit Januar 2018 in Kraft
  • Verpflichtung zur Einführung einer starken Kundenauthentifizierung (Strong Customer Authentication, SCA) für elektronische Zahlungen ab dem 14. September 2019 (Verbraucherschutz)
  • Banken müssen Drittanbietern Zugang zu Konten gewährleisten (Marktliberalisierung)

Das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie wurde bereits im Juli 2017 verabschiedet und ist anschließend zum 13. Januar 2018 teilweise in Kraft getreten. Durch eine Änderung des Bürgerlichen Gesetzbuches hat der Gesetzgeber die Praxis des Surcharging verboten. Zahlungsdienstleister und Händler dürfen seitdem keine Gebühren für bestimmte Zahlungsweisen mehr erheben, um etwaige Kosten auf den Kunden umzulagern. Dazu zählen die Zahlungsmodi SEPA-Überweisung, SEPA-Lastschrift und Zahlkarten (Kreditkarten, EC-Karten). Der Zahlungsdienstleister PayPal hat über seine AGB zum 9. Januar 2018 ebenfalls eingeführt, dass Händler vom Käufer keine Gebühren verlangen dürfen, wenn sie PayPal als Zahlungsart anbieten. Zum Thema Zahlung via Nachnahme findet sich im Gesetz selbst keine explizite Aussage und es bestehen Auslegungsmöglichkeiten für diesen Fall (z.B. der Kunde ist nicht zuhause und zahlt im Paketshop mit einer dann doch vom Verbot des Surcharging eingeschlossenen Zahlungsmethode). Händler sollten einstweilen auch hier keine Gebühren verlangen.

Teil 2 der PSD2 tritt nun zum 14. September 2019 EU-weit in Kraft. Durch die dann verpflichtende starke Kundenauthentifizierung (Strong Customer Authentication, SCA) im elektronischen Zahlungsverkehr soll Betrügern vorgebeugt und die Sicherheit im Zahlungsverkehr im Allgemeinen verbessert werden. (vgl. PSD2 §55, S.29 PDF-Dokument)

Die überarbeitete Richtlinie richtet sich explizit auch an neue innovative Zahlungsdienste auf dem Markt, z.B. FinTech-Unternehmen. Diese Akteure bezeichnet die EU-Kommission als „third party payment services providers (TPPs), als dritte Zahlungsdienstleister. Dazu zählen u.a.:

  • Zahlungsauslösedienstleister (PISP), die Zahlungen im Namen des Kunden auslösen. Sie geben den Einzelhändlern die Gewähr, dass das Geld unterwegs ist.
  • Aggregatoren und Kontoinformationsdienstleister (AISP), die ihren Kunden eine Übersicht über die verfügbaren Konten und Kontostände verschaffen.

PSD2 steht für Payment Services Directive, zu deutsch Zahlungsdiensterichtlinie in veränderter Fassung. Als wichtiger Bestandteil der PSD2 gilt die Einführung der starken Kundenauthentifizierung zum 14. September 2019 nach folgendem Prinzip:

Um Online-Zahlungen tätigen zu können, müssen Nutzer dann nach Willen des Gesetzgebers ihre Identität durch mindestens zwei der drei folgenden, voneinander unabhängigen Elemente nachweisen:

  • durch etwas, das ihnen bekannt ist (ein Passwort oder einen PIN-Code),
  • durch etwas, das in ihrem Besitz ist (eine Karte, ein Mobiltelefon) und
  • durch etwas, das sie ausmacht (biometrische Merkmale wie Fingerabdrücke oder Iriserkennung).

Bsp. PIN-Code (Bereich Wissen) kombiniert mit Fingerabdruck (Bereich Inhärenz)

Die EU-Kommission verpflichtet die Zahlungsdienstleister dazu eine starke Kundenauthentifizierung immer dann zu verlangen, „wenn der Zahler

  • online auf sein Zahlungskonto zugreift
  • einen elektronischen Zahlungsvorgang auslöst
  • über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.“ (§55, S.29)

Die aktuell maßgeblichen Neuerungen der PSD2 und damit ganz konkret die Verpflichtung zur Zwei-Faktor-Authentifizierung gilt bei Online-Einkäufen ab dem 14. September 2019.

  • Weiterentwicklung des europäischen Binnenmarktes für unbare Zahlungen (Pro FinTech)
  • Förderung des Wettbewerbs und gleicher Ausgangsbedingungen für alle Marktteilnehmer
  • Gewährleistung des Verbraucherschutzes (Vertraulichkeit der Finanzdaten wahren)
  • Erhöhung von Sicherheit und Vertrauen in Online-Zahlungsverkehr (Betrugseindämmung)

„Banken und andere Zahlungsdienstleister werden die für die starke Kundenauthentifizierung erforderliche Infrastruktur bereitstellen und darüber hinaus die Betrugsbekämpfung verbessern müssen. Verbraucher und Händler müssen ausgerüstet und im Umgang mit der starken Kundenauthentifizierung geschult werden.“ (Wortlaut der Pressemitteilung der EU-Kommission)

Die technische Umsetzung der PSD2 betrifft also vor allem die Zahlungsdienstleister und Banken. Sie müssen sicherstellen, dass sie SCA-konforme Infrastruktur bereitstellen. Um im Online-Handel SCA-konforme Transaktionen einzuleiten, kann z.B. die neuste Version von 3D Secure angewendet werden.

Banken müssen in der Zusammenarbeit mit TPPs offene Schnittstellen für die Drittanbieter einrichten, damit diese in Echtzeit auf Kundenkonten zugreifen können.

Händler müssen für SCA-konforme Transaktionen u.U. ein Update ihrer Zahlungssoftware vornehmen. Die technologische Umsetzung liegt jedoch nach Maßgabe der EU-Kommission prinzipiell bei den Zahlungsdienstleistern:

„Sowohl die PSD2 als auch die heutigen technischen Regulierungsstandards richten sich ausschließlich an Zahlungsdienstleister, zu denen unter anderem die Banken der Verbraucher und die Banken der Händler zählen. Die Händler selbst fallen nicht in den Anwendungsbereich der technischen Regulierungsstandards. Die Händler und ihre Zahlungsdienstleister werden gemeinsam überlegen müssen, wie sich Betrugshandlungen eindämmen lassen.“

Kleine Händler könnten allerdings im Zuge der Richtlinie mit Wettbewerbsnachteilen gegenüber großen Handelsplattformen zu kämpfen haben. Dies liegt einerseits an ihnen selbst, wie eine im Mai 2019 veröffentlichte Studie von 451 Research im Auftrag des Zahlungsdienstleisters Stripe offenlegt. 500 Zahlungsexperten aus Online-Unternehmen und 1.000 Verbraucher in Großbritannien, Frankreich, Deutschland, den Niederlanden und Spanien wurden zur starken Kundenauthentifizierung und ihren möglichen Auswirkungen befragt. Im Zuge dessen offenbarten sich alarmierende Kennzahlen für Händler im Zusammenspiel mit ihren Kunden:

  • nur jedes zweite Unternehmen glaubt zum 14. September SCA-konform arbeiten zu können
  • drei von fünf Unternehmen mit weniger als 100 Mitarbeitern sind entweder mit SCA nicht vertraut, planen nicht, vor September regelkonform zu arbeiten, oder sind unsicher, wann dies der Fall sein wird
  • Unternehmen mit mehr als 5.000 Mitarbeitern sind besser vorbereitet. Nur einer von 25 Zahlungsexperten ist mit PSD2 nicht vertraut

Auf Kundenseite muss besonderes Augenmerk auf die User Experience gelegt werden, um Kaufabbrüche im Zuge der SCA zu vermeiden:

  • nur 47 Prozent der europäischen Verbraucher sind der Meinung, dass Online-Kaufprozesse "sehr einfach" sind.
  • 74 Prozent der "Generation Z"-Käufer haben in den letzten sechs Monaten aufgrund eines unbefriedigenden Kaufprozesses einen Online-Kauf abgebrochen
  • mehr als die Hälfte der Online-Käufer (52 Prozent), die einen Kauf abbrechen, schließen die Transaktion später bei einem anderen Händler ab

Die hohe Zahl von 73 Prozent der Käufer, die sich ebenfalls noch nicht im Klaren sind über die anstehenden Veränderungen, könnte die Zahl der Kaufabbrüche durch`lästige´zusätzliche Authentifizierungsmaßnahmen weiter erhöhen.

451 Research prognostiziert sogar, dass Online-Händler in den ersten zwölf Monaten nach Inkrafttreten der SCA durch zusätzlich abgebrochene Zahlungsvorgänge mit Verlusten bis zu 57 Milliarden EUR rechnen müssen.

Kleine Händler müssen daher im Rahmen der Kundenbindung ganz stark auf 2 Faktoren setzen:

  • gründliche Kenntnis aller Zahlungsanbieter (inklusive Drittanbieter) und Aufstellung eines breiten Zahlungsportfolios für Kunden; Information über SCA auch an den Kunden weitergeben: eine Übersicht der von der BaFin zugelassenen Drittanbieter finden sie auf der Homepage der Aufsichtsbehörde.
  • unbedingt Kunden über die Whitelist-Option informieren: Kunden können SCA-Authentifizierung teilweise umgehen durch Angabe vertrauenswürdiger Händler, die sie oft nutzen
  • SCA-Pflicht gilt bei größeren Transaktionen; SCA-befreit sind Verbraucher bei kleineren Einkaufsbeträgen unter 30 EUR. Häufen sich diese bis kumulativ 100 EUR bzw. über fünf Zahlungen in Folge, wird auch hier SCA abgefragt
  • Mehr Schutz und Kontrolle über eigene Daten
  • Effizientere Verwaltung persönlicher Finanzen durch Drittanbieter-Banken-Schnittstellen
  • Erhöhter Eingabeaufwand bei Online-Käufen, der durch das Prinzip der Whitelist jedoch umgangen werden kann

Die EU-Kommission sieht die Änderungen der PSD2 für Verbraucher mit zahlreichen Vorteilen verknüpft:

„Die Verbraucher werden bei der Bezahlung von online erworbenen Waren und Dienstleistungen von einem breiteren Angebot an Zahlungslösungen und einem stärkeren Wettbewerb profitieren. Sie werden zudem in der Lage sein, ihre persönlichen Finanzen effizienter über Anwendungen zu verwalten, über die Informationen von ihren bei verschiedenen Banken unterhaltenen Konten zusammengefasst werden.“

Im B2B-Geschäft von Unternehmen kann die SCA-Richtlinie ebenfalls Ausnahmen unterliegen. Die EU-Kommission äußert sich hierzu wie folgt:

„Die technischen Regulierungsstandards behandeln auch die Sicherheit von Zahlungen, die nicht einzeln, sondern in Sätzen vorgenommen werden, wie es bei den meisten Unternehmen der Fall ist. Gegenstand der neuen Vorschriften ist ferner die Host-to-Host-Maschinen-Kommunikation, bei der das IT-System eines Unternehmens zum Beispiel mit dem IT-System einer Bank kommuniziert, um Nachrichten hinsichtlich der Begleichung von Rechnungen zu übermitteln. Die bei dieser Art von Kommunikationssystemen zur Anwendung kommenden Sicherheitsmechanismen können ebenso wirksam sein wie die starke Kundenauthentifizierung. Daher können sie mit Genehmigung der nationalen Aufsichtsbehörden von der starken Kundenauthentifizierung freigestellt werden.“

Free Access zum Account des Kunden muss für TPPs sichergestellt werden durch

  1. neue dezidierte Schnittstellen
  2. Anpassung ihrer im Rahmen des Online-Banking bereits verwendeten Kundenschnittstellen

„Banken müssen einen Kommunikationskanal einrichten, der dritten Zahlungsdienstleistern den Zugriff auf die von ihnen benötigten Daten ermöglicht. Dieser Kommunikationskanal wird Banken und dritte Zahlungsdienstleister auch in die Lage versetzen, einander zu identifizieren, wenn sie auf Kundendaten zugreifen, und jederzeit eine sichere Übermittlung zu gewährleisten. Banken können diesen Kommunikationskanal durch Anpassung ihrer im Rahmen des Online-Banking verwendeten Kundenschnittstelle einrichten. Sie können aber auch eine neue dezidierte Schnittstelle einrichten, über die alle vom Zahlungsdienstleister benötigten Informationen bereitgestellt werden.“ (EU-Kommission)

Von der PSD2-Richtlinie unberührt sind

  • Kontaktloses Bezahlen und Transaktionen für kleine Beträge (* Kumulationsregeln beachten!)
  • Beförderungsleistungen (Bahn, Taxi)
  • Parkgebühren
  • „vertrauenswürdige“ Whitelist-Vertreter müssen keine SCA durchführen

Zu den Ausnahmen von der SCA-Regel äußert sich die EU-Kommission in ihrer Pressemitteilung ausführlich:

„In den Vorschriften wird jedoch auch anerkannt, dass ein akzeptables Zahlungssicherheitsniveau in einigen Fällen auf andere Weise erreicht werden kann als durch die Verwendung der beiden für die starke Kundenauthentifizierung erforderlichen unabhängigen Elemente. So können Zahlungsdienstleister hiervon befreit werden, wenn sie Wege zur Bewertung der Risiken von Transaktionen entwickelt haben und betrügerische Transaktionen erkennen können. Ausnahmen bestehen auch für kontaktlose Zahlungen und Transaktionen für kleine Beträge sowie für bestimmte Arten von Zahlungen, beispielsweise für Beförderungsleistungen im Stadtverkehr oder Parkgebühren. Dank dieser Ausnahmen können Zahlungsdienstleister eine bequeme Zahlung ohne Gefährdung der Zahlungssicherheit gewährleisten.“

Die EU-Datenschutzgrundverordnung greift die EU-Kommission ebenfalls auf. In §59 heißt es dazu wie folgt:

(1) Betreiber von Zahlungssystemen und Zahlungsdienstleister dürfen personenbezogene Daten verarbeiten, soweit das zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist.

(2) Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Einwilligung des Zahlungsdienstnutzers abrufen, verarbeiten und speichern.

(3) Die datenschutzrechtlichen Vorschriften über die Verarbeitung personenbezogener Daten sind zu beachten (Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie - §59, S.30f PDF-Dokument)

Sowohl Händler als auch Verbraucher sind aktuell laut Umfrage von 451 Research ungenügend vorbereitet auf die zum 14. September anstehenden Änderungen. Um hohe Verluste durch Kaufabbrüche zu vermeiden, müssen besonders kleine Händler gegenüber Handelsplattformen an Know-how und Marketing aufholen. Die Rolle der Banken wird gegenüber neuen Zahlungsanbietern auf Wunsch des Kunden ebenbürtig sein. Verbraucher erhalten mehr Spielraum in der Wahl der Anbieter bei gleichzeitig mehr Schutz vor Online-Betrügern. 

Der komplette Umfang an technischem und administrativen Einsatz ist aktuell noch nicht zu bewerten.

Diese Themen könnten dich auch interessieren

iStock-1024269370

Ein Jahr DSGVO in Deutschland

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Was ist seit Inkrafttreten der Verordnung passiert? Welche Bußgelder wurden bislang verhängt? Worauf müssen Unternehmen besonders achten? Wir geben einen Überblick zum aktuellen Status Quo.

Online-Handel

E-Commerce

Clevere Geschäftsmodelle, interessante Entwicklungen im Onlinehandel. Wir liefern die wichtigsten News für Unternehmer, Händler und Gründer im E-Commerce.

Crypto

Digitalisierung

Tiefgreifende Veränderungen von Wirtschaft und Gesellschaft durch digitale Technologien - die digitale Transformation ist ein struktureller Veränderungsprozess eines Unternehmens und eine der wichtigsten Führungsaufgaben der kommenden Jahre. Künstliche Intelligenz, Big Data, neue Geschäftsmodelle und Arbeitswelten: Hier erfährst du alles rund um digitale Themen und Potenziale für dein Unternehmen.

Über den Autor
Kathleen Händel

Kathleen Händel

Kathleen schreibt seit 2018 im Magazin von Unternehmenswelt. Neue Ideen und Konzepte, disruptive Technologien und nachhaltiges Unternehmertum bilden ihre Interessenschwerpunkte. Zuvor war Kathleen als Content Creator für die Social StartUp-Szene, verschiedene Stiftungen und Kommunikationsagenturen tätig. Seit 2019 recherchiert die studierte Kulturwissenschaftlerin für dich alle Fakten und Zusammenhänge, die du in deinem Tagesgeschäft brauchst.