PSD2: Schluss mit lustig - warum es zum Jahreswechsel ernst wird!

In der Vergangenheit haben wir Ihnen bereits die wichtigsten Veränderungen vorgestellt, die Sie mit der Umsetzung der EU-Richtlinie PSD2 (Payment Services Directive 2) erwarten werden.

Ab dem 1. Januar 2021 müssen Online-Händlerinnen und -Händler die Anforderungen der PSD2 an die starke Kundenauthentifizierung (Strong Customer Authentication – SCA) in ihren Onlineshops endgültig erfüllen.

Mit diesem Rechtstipp der Woche möchten wir Ihnen die wichtigsten Anforderungen erneut aufzeigen, damit Sie gut vorbereitet sind, wenn es im neuen Jahr endgültig ernst wird.

 

Die neue Payment Service Directive 2

Die PSD2 ist eine EU-Richtlinie zur Regulierung und Modernisierung von Zahlungsdiensten und Zahlungsdienstleistungsunternehmen. Ihr erklärtes Ziel liegt in der Erhöhung der Sicherheit des Zahlungsverkehrs, der Stärkung des Verbraucherschutzes und der Förderung von Innovationen.

Die Umsetzung der PSD2 in nationales Recht erfolgte zunächst am 13. Januar 2018 durch das Zahlungsdiensteumsetzungsgesetz (ZDUG). Diese Umsetzung hat sich für Sie insbesondere durch die Einführung des „Surcharging“-Verbots nach § 270a BGB bemerkbar gemacht. Seitdem dürfen Sie keine gesonderten Gebühren mehr für SEPA-Überweisungen, Kreditkartenzahlungen und SEPA-Lastschriften erheben.

In einem zweiten Schritt wurde die starke Kundenauthentifizierung bei elektronischen Zahlungen eingeführt. Die neuen Regelungen verpflichtet Zahlungsdienstleistungsunternehmen, eine starke Kundenauthentifizierung durchzuführen, sofern ein elektronischer Zahlungsvorgang innerhalb der Europäischen Union ausgeführt wird. Diese Verpflichtung wirkt sich insbesondere auch auf den Online-Handel aus.

 

BaFIn gewährt Aufschub bis zum 31.12.2020

Eigentlich ist seit dem 14. September 2019 grundsätzlich bei Online-Zahlungen eine starke Kundenauthentifizierung erforderlich, da die wesentlichen Vorgaben der PSD2 bereits in Kraft getreten sind. Es wurde jedoch allen Beteiligten schnell bewusst, dass der Online-Handel mehr Zeit benötigt, um die Systeme umzustellen und einen reibungslosen Übergang zu ermöglichen.

Die Finanzaufsicht BaFin hat sich daher entschieden, bis zum 31. Dezember 2020 nicht zu bestanden, wenn Zahlungsdienstleister mit Sitz in Deutschland Kartenzahlungen im Internet ohne die grundsätzlich erforderliche starke Kundenauthentifizierung durchführen.

Ab dem 1. Januar 2021 müssen Zahlungsdienstleistungsunternehmen daher bei elektronischen Zahlungsvorgängen im Onlineshopping die starke Kundenauthentifizierung beachten und dürfen Zahlungen nicht mehr nach den bisherigen Regelungen abwickeln.

 

Was ist eine starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung verlangt eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei der folgenden drei Elementen besteht:

  • Wissen (etwas, das nur der Nutzer weiß),
  • Besitz (etwas, das nur der Nutzer besitzt),
  • Inhärenz (etwas, das der Nutzer ist).
Beispiele:
  • Wissen (Ausweisen via Passwort, Passphrase, PIN, Zahlenabfolge, Geheimfrage)
  • Besitz (Mobiltelefon, Wearable Gerät, Smartcard, TAN-Generator)
  • Inhärenz (Fingerabdruck, Gesichtszüge, Stimmenerkennung, Iriserkennung, DNA Signatur)

Die starke Kundenauthentifizierung wird auch als Zwei-Faktor-Authentifizierung bezeichnet, weil zwei von drei Faktoren dieser Kategorien vorgewiesen werden müssen.

Kundinnen und Kunden müssen daher bei Kreditkartenzahlungen im Internet beispielsweise neben einer PIN (Wissen) zukünftig auch eine TAN via SMS (Besitz) eingeben. Die elektronische Zahlung wird daher mit einer Kombination der Elemente Wissen und Besitz legitimiert.

Nicht ausreichend ist es daher ab dem 01.01.2021 nur die Kreditkartennummer, Ablaufdatum und Prüfziffern anzugeben, da der erforderliche zweite Faktor fehlt.

 

Ausnahmen von der starke Kundenauthentifizierung

Das Sprichwort „es gibt keine Regel ohne Ausnahme“ gilt auch für die PSD2. Der Gesetzgeber sieht in der Delegierten Verordnung Ausnahmen vor, bei denen die Zahlungsdienstleistungsunternehmen auf starke Kundenauthentifizierung verzichten können.

Die Entscheidung über das Vorliegen einer Ausnahme trifft die jeweiligen Zahlungsdienstleistungsunternehmen. Dies wird in den meisten Fällen die Bank Ihrer Kundin oder Ihres Kunden sein.

 

  • Transaktionen mit geringen Beträgen (Kleinbetragszahlungen)

Eine Online-Zahlungstransaktion unter 30 Euro muss grundsätzlich nicht durch die starke Kundenauthentifizierung abgesichert werden. Sollte der Gesamtbetrag aller Zahlungen seit der letzten starke Kundenauthentifizierung allerdings 100 Euro übersteigen, ist eine starke Kundenauthentifizierung erneut erforderlich. Außerdem wird für jede fünfte Transaktion eine starke Kundenauthentifizierung notwendig.

 

  • Transaktionen mit geringem Risiko

Bei Online-Zahlungen können Zahlungsdienstleistungsunternehmen eine sogenannte Transaktionsrisikoanalyse durchführen. Eingehende Zahlungen werden automatisch auf das Betrugsrisiko überprüft. Ist das Risiko gering, kann auf eine starke Kundenauthentifizierung verzichtet werden.

 

  • Wiederkehrende Zahlungsvorgänge

Wiederkehrende Zahlungsvorgänge mit einem festen Betrag sind ab der zweiten Transaktion von der starken Kundenauthentifizierung ausgenommen. Die erste Transaktion erfordert eine starke Kundenauthentifizierung. Sollte sich der Betrag ändern, ist die Zwei-Faktor-Authentifizierung für jeden neuen Betrag erforderlich.

 

  • Vertrauenswürdige Empfänger

Ihre Kundinnen und Kunden können Ihren Online-Shop bei dem Zahlungsdienstleister auf eine Liste vertrauenswürdige Empfänger setzen. Sofern sich Ihr Online-Shop auf dieser Liste befindet, besteht keine Pflicht zur starken Kundenauthentifizierung.

 

Betroffene Zahlungsarten

Eine starke Kundenauthentifizierung ist im Online-Handel grundsätzlich erforderlich, sofern Ihre Kundin oder Ihr Kunde elektronisch einen Zahlungsvorgang auf dem Zahlungskonto auslöst.

Dies betrifft zunächst eine Zahlung mit der Kreditkarte. Bei einer Zahlung über PayPal, Amazon Pay, Apple Pay, Google Pay, Klarna, Paydirekt u.Ä. hängt es entscheidend davon ab, wie die jeweilige Transaktion durch diese Dienste abgewickelt wird. Greifen die Dienste auf die Kreditkarte zu, ist eine starke Kundenauthentifizierung erforderlich.

Erfolgt die Abwicklung hingegen über Lastschrift, Vorkasse oder Rechnung, ist eine starke Kundenauthentifizierung entbehrlich.

 

Was bedeutet die starke Kundenauthentifizierung für Sie?

Welche Auswirkungen die starke Kundenauthentifizierung für Sie als Online-Händlerin bzw. -Händler hat, hängt entscheidend davon ab, ob Sie als Zahlungsdienstleistungsunternehmen auftreten.

Treten Sie nicht selbst als Zahlungsdienstleistungsunternehmen auf und greifen auf einen Payment-Service-Provider zurück, erfolgt die Implementierung durch ein Update des jeweiligen anbietenden Unternehmen. Die technische Umsetzung der PSD2 betrifft daher vor allem die Zahlungsdienstleistungsunternehmen, die sicherstellen müssen, dass sie Ihnen eine SCA-konforme Infrastruktur bereitstellen.

In den meisten Fällen ist eine Online-Händlerin oder ein -Händler gerade kein Zahlungsdienstleistungsunternehmen und greift vielmehr auf diese angebotsstellenden Unternehmen zurück. Die Änderungen zum 01.01.2021 betreffen Sie daher in diesem Fall nicht direkt.

Sollten Sie hingegen in Ausnahmefällen als Zahlungsdienstleistungsunternehmen auftreten, müssen Sie die starke Kundenauthentifizierung in Ihrem Online-Shop implementieren. Anderenfalls wird die Bank die Kartenbelastung ablehnen und der Bezahlvorgang abgebrochen. Dies führt nicht nur zu unzufriedenen Kundinnen und Kunden, sondern auch zu Umsatzeinbrüchen.

 

Unser Tipp

Was ist bis zum 31.12.2020 zu tun?

Sie sollten sich zunächst mit den neuen gesetzlichen Vorgaben vertraut machen und überprüfen, ob die von Ihnen verwendeten Zahlungsdienstleistungsunternehmen bereits PSD2-konform agieren. Kontaktieren Sie hierzu insbesondere auch Ihren Payment Service Provider und erfragen Sie, ob die erforderlichen Voraussetzungen bereits erfüllt werden.

In der Regel genügt ein einfaches Update des Anbieters, um eine PSD2-konforme Zahlung zu ermöglichen. Hilfestellungen erhalten Sie bei ihrem Zahlungsdienstleistungsunternehmen.

Akzeptieren Sie Kreditkartenzahlungen, müssen Sie darauf achten, dass diese ab dem 1. Januar 2021 mit dem Sicherheitsprotokoll EMV 3D-Secure abgesichert werden. Empfehlenswert ist es daher, sich zeitnah mit dem Zahlungsdienstleistungsunternehmen in Verbindung zu setzen und das neue Sicherheitsprotokoll im Check-out zu integrieren.

Ratsam ist es auch, eine Testphase für die technische Implementierung einzuplanen. Diese stellt sicher, dass auch Ihr Online-Shop sicher in das Jahr 2021 startet.

 

 

Über den Autor


Zieba-Thomas.png

Thomas Josef Zieba ist Legal Consultant bei der Trusted Shops GmbH und Rechtsanwalt der Kanzlei FÖHLISCH. Studium der Rechtswissenschaft an der Universität Münster. Referendariat im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Von Oktober 2017 bis August 2018 Tätigkeit als Rechtsanwalt im Bereich Handels- und Wirtschaftsrecht bei der Kanzlei GRP Rainer Rechtsanwälte, dort unter anderem zuständig für die Betreuung internationaler Mandate. Seit September 2018 Legal Consultant bei der Trusted Shops GmbH und seit Januar 2020 Rechtsanwalt der Kanzlei FÖHLISCH.

19.11.20
Thomas Josef Zieba

Thomas Josef Zieba

Thomas Zieba ist Rechtsanwalt der Kanzlei FÖHLISCH und als Teamlead Legal Key Account Consulting bei Trusted Shops tätig. Er studierte Rechtswissenschaften an der Universität Münster.

Select Country: