Die neuen Regeln der PSD2-Zahlungsdiensterichtlinie
Die PSD2 - Payment Services Directive 2nd Edition (zu deutsch Zahlungsdiensterichtlinie in überarbeiteter Fassung) enthält 3 maßgebliche Inhalte:
- Verbot des Surcharging („Gebührenaufschlag“) für bestimmte Zahlungsmodi bereits seit Januar 2018 in Kraft
- Verpflichtung zur Einführung einer starken Kundenauthentifizierung (Strong Customer Authentication, SCA) für elektronische Zahlungen ab dem 14. September 2019 (Verbraucherschutz)
- Banken müssen Drittanbietern Zugang zu Konten gewährleisten (Marktliberalisierung)
Das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie wurde bereits im Juli 2017 verabschiedet und ist anschließend zum 13. Januar 2018 teilweise in Kraft getreten. Durch eine Änderung des Bürgerlichen Gesetzbuches hat der Gesetzgeber zunächst die Praxis des Surcharging verboten.
Zahlungsdienstleister und Händler dürfen seitdem keine Gebühren für bestimmte Zahlungsweisen mehr erheben, um etwaige Kosten auf den Kunden umzulagern. Dazu zählen die Zahlungsmodi SEPA-Überweisung, SEPA-Lastschrift und Zahlkarten (Kreditkarten, EC-Karten). Der Zahlungsdienstleister PayPal hat über seine AGB zum 9. Januar 2018 ebenfalls eingeführt, dass Händler vom Käufer keine Gebühren verlangen dürfen, wenn sie PayPal als Zahlungsart anbieten.
Zum Thema Zahlung via Nachnahme findet sich im Gesetz selbst keine explizite Aussage und es bestehen Auslegungsmöglichkeiten für diesen Fall (z.B. der Kunde ist nicht zuhause und zahlt im Paketshop mit einer dann doch vom Verbot des Surcharging eingeschlossenen Zahlungsmethode). Händler sollten einstweilen auch hier keine Gebühren verlangen.
Teil 2 der PSD2 tritt zum 14. September 2019 EU-weit in Kraft. Durch die ab diesem Zeitpunkt verpflichtende starke Kundenauthentifizierung (Strong Customer Authentication, SCA) im elektronischen Zahlungsverkehr soll Betrügern vorgebeugt und die Sicherheit im Zahlungsverkehr im Allgemeinen verbessert werden. (vgl. PSD2 §55, S.29 PDF-Dokument)
Die überarbeitete Richtlinie richtet sich explizit auch an neue innovative Zahlungsdienste auf dem Markt, z.B. FinTech-Unternehmen. Diese Akteure bezeichnet die EU-Kommission als „third party payment services providers (TPPs), als dritte Zahlungsdienstleister. Dazu zählen u.a.:
- Zahlungsauslösedienstleister (PISP), die Zahlungen im Namen des Kunden auslösen. Sie geben den Einzelhändlern die Gewähr, dass das Geld unterwegs ist.
- Aggregatoren und Kontoinformationsdienstleister (AISP), die ihren Kunden eine Übersicht über die verfügbaren Konten und Kontostände verschaffen.
PSD2 steht für Payment Services Directive, zu deutsch Zahlungsdiensterichtlinie in veränderter Fassung. Als wichtiger Bestandteil der PSD2 gilt die Einführung der starken Kundenauthentifizierung zum 14. September 2019 nach folgendem Prinzip:
Um Online-Zahlungen tätigen zu können, müssen Nutzer nach Willen des Gesetzgebers ihre Identität durch mindestens zwei der drei folgenden, voneinander unabhängigen Elemente nachweisen:
- Wissen: durch etwas, das ihnen bekannt ist (ein Passwort oder einen PIN-Code),
- Besitz: durch etwas, das in ihrem Besitz ist (eine Karte, ein Mobiltelefon) und
- Inhärenz: durch etwas, das sie ausmacht (biometrische Merkmale wie Fingerabdrücke oder Iriserkennung).
Bsp. einer Kombination aus mindestens zwei der genannten Faktoren u.a. PIN-Code (Bereich Wissen) kombiniert mit Fingerabdruck (Bereich Inhärenz)
Die EU-Kommission verpflichtet die Zahlungsdienstleister, eine starke Kundenauthentifizierung immer dann zu verlangen, „wenn der Zahler
- online auf sein Zahlungskonto zugreift,
- einen elektronischen Zahlungsvorgang auslöst oder
- über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.“ (vgl. §55, S.29)
Die aktuell maßgeblichen Neuerungen der PSD2 und damit ganz konkret die Verpflichtung zur Zwei-Faktor-Authentifizierung gilt bei Online-Einkäufen ab dem 14. September 2019.
- Weiterentwicklung des europäischen Binnenmarktes für unbare Zahlungen (Pro FinTech)
- Förderung des Wettbewerbs und gleicher Ausgangsbedingungen für alle Marktteilnehmer
- Gewährleistung des Verbraucherschutzes (Vertraulichkeit der Finanzdaten wahren)
- Erhöhung von Sicherheit und Vertrauen im Online-Zahlungsverkehr (Betrugseindämmung)
„Banken und andere Zahlungsdienstleister werden die für die starke Kundenauthentifizierung erforderliche Infrastruktur bereitstellen und darüber hinaus die Betrugsbekämpfung verbessern müssen. Verbraucher und Händler müssen ausgerüstet und im Umgang mit der starken Kundenauthentifizierung geschult werden.“
(Wortlaut der Pressemitteilung der EU-Kommission)
Die technische Umsetzung der PSD2 betrifft also vor allem die Zahlungsdienstleister und Banken. Sie sind in erster Linie dafür verantwortlich, dass sie eine SCA-konforme Infrastruktur bereitstellen. Um im Online-Handel SCA-konforme Transaktionen einzuleiten, kann z.B. die neuste Version von 3D Secure angewendet werden.
Banken müssen in der Zusammenarbeit mit TPPs offene Schnittstellen für die Drittanbieter einrichten, damit diese in Echtzeit auf Kundenkonten zugreifen können.
Händler müssen für SCA-konforme Transaktionen u.U. ein Update ihrer Zahlungssoftware vornehmen. Die technologische Umsetzung liegt jedoch nach Maßgabe der EU-Kommission prinzipiell bei den Zahlungsdienstleistern:
„Sowohl die PSD2 als auch die heutigen technischen Regulierungsstandards richten sich ausschließlich an Zahlungsdienstleister, zu denen unter anderem die Banken der Verbraucher und die Banken der Händler zählen. Die Händler selbst fallen nicht in den Anwendungsbereich der technischen Regulierungsstandards. Die Händler und ihre Zahlungsdienstleister werden gemeinsam überlegen müssen, wie sich Betrugshandlungen eindämmen lassen.“
Kleine Händler könnten allerdings im Zuge der Richtlinie mit Wettbewerbsnachteilen gegenüber großen Handelsplattformen zu kämpfen haben. Dies liegt einerseits an ihnen selbst, wie eine im Mai 2019 veröffentlichte Studie von 451 Research im Auftrag des Zahlungsdienstleisters Stripe offenlegt. 500 Zahlungsexperten aus Online-Unternehmen und 1.000 Verbraucher in Großbritannien, Frankreich, Deutschland, den Niederlanden und Spanien wurden zur starken Kundenauthentifizierung und ihren möglichen Auswirkungen befragt. Im Zuge dessen offenbarten sich alarmierende Kennzahlen für Händler im Zusammenspiel mit ihren Kunden:
- Nur jedes zweite Unternehmen glaubte, zum 14. September 2019 SCA-konform arbeiten zu können.
- Drei von fünf Unternehmen mit weniger als 100 Mitarbeitern waren entweder mit SCA nicht vertraut, planten nicht, vor September regelkonform zu arbeiten, oder waren sich unsicher, wann dies der Fall sein werde.
- Unternehmen mit mehr als 5.000 Mitarbeitern zeigten sich besser vorbereitet. Nur einer von 25 Zahlungsexperten gab an, nicht mit PSD2 vertraut zu sein.
Auf Kundenseite muss besonderes Augenmerk auf die User Experience gelegt werden, um Kaufabbrüche im Zuge der SCA zu vermeiden:
- Nur 47 Prozent der europäischen Verbraucher sind der Meinung, dass Online-Kaufprozesse "sehr einfach" sind.
- 74 Prozent der "Generation Z"-Käufer haben in den letzten sechs Monaten aufgrund eines unbefriedigenden Kaufprozesses einen Online-Kauf abgebrochen
- Mehr als die Hälfte der Online-Käufer (52 Prozent), die einen Kauf abbrechen, schließen die Transaktion später bei einem anderen Händler ab
Die hohe Zahl von 73 Prozent der Käufer, die sich ebenfalls noch nicht im Klaren sind über die anstehenden Veränderungen, könnte die Zahl der Kaufabbrüche durch "lästige" zusätzliche Authentifizierungsmaßnahmen weiter erhöhen.
451 Research prognostiziert sogar, dass Online-Händler in den ersten zwölf Monaten nach Inkrafttreten der SCA durch zusätzlich abgebrochene Zahlungsvorgänge mit Verlusten bis zu 57 Milliarden EUR rechnen müssen.
Kleine Händler müssen im Rahmen ihrer Kundenbindung ganz stark auf 2 Faktoren setzen:
- Gründliche Kenntnis aller Zahlungsanbieter (inklusive Drittanbieter TPPs) und Aufstellung eines breiten Zahlungsportfolios für Kunden; Informationen über SCA auch an den Kunden weitergeben: eine Übersicht der von der BaFin zugelassenen Drittanbieter finden sie auf der Homepage der Aufsichtsbehörde.
- Unbedingt Kunden über die Whitelist-Option informieren: Kunden können SCA-Authentifizierung teilweise umgehen durch Angabe vertrauenswürdiger Händler, die sie oft nutzen
- Pflicht zur "Strong Customer Authentication" (SCA) oder "2-Faktor-Authentifizierung" gilt bei größeren Transaktionen; SCA-befreit sind Verbraucher bei kleineren Einkaufsbeträgen unter 30 EUR (teilweise bis 50 EUR in der Praxis). Häufen sich diese bis kumulativ 100 EUR bzw. über fünf Zahlungen in Folge, wird auch hier SCA abgefragt
- Mehr Schutz und Kontrolle über eigene Daten
- Effizientere Verwaltung persönlicher Finanzen durch Drittanbieter-Banken-Schnittstellen
- Erhöhter Eingabeaufwand bei Online-Käufen, der durch das Prinzip der Whitelist jedoch umgangen werden kann
Die EU-Kommission sieht die Änderungen der PSD2 für Verbraucher mit zahlreichen Vorteilen verknüpft:
„Die Verbraucher werden bei der Bezahlung von online erworbenen Waren und Dienstleistungen von einem breiteren Angebot an Zahlungslösungen und einem stärkeren Wettbewerb profitieren. Sie werden zudem in der Lage sein, ihre persönlichen Finanzen effizienter über Anwendungen zu verwalten, über die Informationen von ihren bei verschiedenen Banken unterhaltenen Konten zusammengefasst werden.“
Im alltäglichen B2B-Geschäft von Unternehmen kann unter Vorlage bestimmter Voraussetzungen von einer Pflicht zur "2-Faktor-Authentifizierung" abgesehen werden. Die EU-Kommission äußert sich hierzu wie folgt:
„Die technischen Regulierungsstandards behandeln auch die Sicherheit von Zahlungen, die nicht einzeln, sondern in Sätzen vorgenommen werden, wie es bei den meisten Unternehmen der Fall ist. Gegenstand der neuen Vorschriften ist ferner die Host-to-Host-Maschinen-Kommunikation, bei der das IT-System eines Unternehmens zum Beispiel mit dem IT-System einer Bank kommuniziert, um Nachrichten hinsichtlich der Begleichung von Rechnungen zu übermitteln. Die bei dieser Art von Kommunikationssystemen zur Anwendung kommenden Sicherheitsmechanismen können ebenso wirksam sein wie die starke Kundenauthentifizierung. Daher können sie mit Genehmigung der nationalen Aufsichtsbehörden von der starken Kundenauthentifizierung freigestellt werden.“
Banken müssen Drtittanbietern (Third Party Providers TTPs) einen freien Zugang zum Account des jeweiligen Kunden sicherstellen durch:
- Neue dezidierte Schnittstellen oder
- die Anpassung ihrer im Rahmen des Online-Banking bereits verwendeten Kundenschnittstellen.
„Banken müssen einen Kommunikationskanal einrichten, der dritten Zahlungsdienstleistern den Zugriff auf die von ihnen benötigten Daten ermöglicht. Dieser Kommunikationskanal wird Banken und dritte Zahlungsdienstleister auch in die Lage versetzen, einander zu identifizieren, wenn sie auf Kundendaten zugreifen, und jederzeit eine sichere Übermittlung zu gewährleisten. Banken können diesen Kommunikationskanal durch Anpassung ihrer im Rahmen des Online-Banking verwendeten Kundenschnittstelle einrichten. Sie können aber auch eine neue dezidierte Schnittstelle einrichten, über die alle vom Zahlungsdienstleister benötigten Informationen bereitgestellt werden.“
(EU-Kommission)
Von der PSD2-Richtlinie und der SCA-Regel unberührt bleiben
- Kontaktloses Bezahlen und Transaktionen für kleine Beträge (*Hinweis: Kumulationsregeln beachten!),
- Beförderungsleistungen (Bahn, Taxi),
- Parkgebühren sowie
- „vertrauenswürdige“ Whitelist-Vertreter.
Zu den Ausnahmen von der SCA-Regel äußert sich die EU-Kommission in ihrer Pressemitteilung ausführlich:
„In den Vorschriften wird jedoch auch anerkannt, dass ein akzeptables Zahlungssicherheitsniveau in einigen Fällen auf andere Weise erreicht werden kann, als durch die Verwendung der beiden für die starke Kundenauthentifizierung erforderlichen unabhängigen Elemente. So können Zahlungsdienstleister hiervon befreit werden, wenn sie Wege zur Bewertung der Risiken von Transaktionen entwickelt haben und betrügerische Transaktionen erkennen können. Ausnahmen bestehen auch für kontaktlose Zahlungen und Transaktionen für kleine Beträge sowie für bestimmte Arten von Zahlungen, beispielsweise für Beförderungsleistungen im Stadtverkehr oder Parkgebühren. Dank dieser Ausnahmen können Zahlungsdienstleister eine bequeme Zahlung ohne Gefährdung der Zahlungssicherheit gewährleisten.“
Die EU-Datenschutzgrundverordnung greift die EU-Kommission ebenfalls auf. In §59 heißt es dazu wie folgt:
(1) Betreiber von Zahlungssystemen und Zahlungsdienstleister dürfen personenbezogene Daten verarbeiten, soweit das zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist.
(2) Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Einwilligung des Zahlungsdienstnutzers abrufen, verarbeiten und speichern.
(3) Die datenschutzrechtlichen Vorschriften über die Verarbeitung personenbezogener Daten sind zu beachten.
(Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie - §59, S.30f PDF-Dokument)
Sowohl Händler als auch Verbraucher sind laut Umfrage von 451 Research ungenügend vorbereitet auf die zum 14. September eintretenden Änderungen. Um hohe Verluste durch Kaufabbrüche zu vermeiden, müssen besonders kleine Händler gegenüber Handelsplattformen an Know-how und Marketing aufholen. Die Rolle der Banken wird gegenüber neuen Zahlungsanbietern auf Wunsch des Kunden ebenbürtig sein. Verbraucher erhalten mehr Spielraum in der Wahl der Anbieter bei gleichzeitig mehr Schutz vor Online-Betrügern.
Bild-Urheber:
iStock.com/manfeiyang