EU-Richtlinie für sicheren Zahlungsverkehr

Shopbetreiber müssen PSD2-konforme Zahlungsarten sicherstellen

Eine starke Kundenauthentifizierung soll die Verbrauchersicherheit beim Online-Bezahlvorgang stärken – so sieht es die Europäische Union mit ihrer PSD2-Richtlinie vor. Fehlt die PSD2-konforme Umsetzung der Zahlungsarten, drohen Abmahnungen und Bußgelder. Das müssen Shopbetreiber jetzt beachten.

Das Bezahlen in Online-Shops soll sicherer werden. Dieses Ziel verfolgt die Europäische Union seit Inkrafttreten einer EU-Richtlinie aus dem Jahr 2007, die nicht nur die Abschaffung aller Binnengrenzen in der EU zum Ziel hatte, sondern auch die verschiedenen Zahlungsverkehrsmärkte der EU-Mitgliedstaaten harmonisieren sollte. Diese fußten zuvor auf unterschiedlichen nationalen Rechtssystemen, was den freien Verkehr von Waren, Dienstleistungen und Kapital erschwerte. Die Richtlinie sollte außerdem Nichtbanken wie Klarna oder Paypal die Teilnahme am europaweiten Wettbewerb der Zahlungsdienstleister unter gleichen Wettbewerbsbedingungen ermöglichen sowie die Rechte für Kunden in Hinblick auf Auskünfte, Autorisierung und Durchführung von Transaktionen, Erstattungen von Zahlungen und Haftungen im Falle von unautorisierten Zahlungen stärken.

Anzeige

Die Payment Services Directive 2 (PSD2)-Richtlinie, die zweistufig im Januar 2018 und September 2019 in Kraft getreten ist, entwickelt dieses Konzept eines integrierten Binnenmarktes für sichere elektronische Zahlungen weiter. Die Weiterentwicklung ist entscheidend für die Unterstützung des Wirtschaftswachstums der Union und um sicherzustellen, dass Verbraucher, Händler und Unternehmen durch Wahlmöglichkeit und Transparenz bei Zahlungsdiensten in den vollen Genuss der Vorteile des Binnenmarktes kommen.

Mehr Transparenz erfordert mehr Sicherheit für Verbraucher

Die PSD2-Richtlinie soll also vor allem den digitalen Binnenmarkt beim Online- und Mobile-Payment deregulieren und neuen Marktteilnehmern – sogenannten FinTechs – den Markteintritt erleichtern. Banken werden dadurch verpflichtet, ihre Schnittstellen zu Konten und Zahlungssystemen im Sinne des Open Banking zu öffnen. Damit will das EU-Parlament den Zugang für neue innovative Zahlungsdienstleister erleichtern. Das führt mit steigender Anzahl an Schnittstellen und Marktteilnehmern auf der anderen Seite aber zu höheren Sicherheitsrisiken. Vor diesem Hintergrund wurde die starke Kundenauthentifizierung SCA (Strong Customer Authentification) eingeführt. Diese gilt insbesondere für Kredit- und Debitkarten und soll den Verbraucher bei elektronischen Zahlungen über Zahlungsdienstleister stärken und angemessen schützen.

Banken und Kartenaussteller sollen durch einen zusätzlichen Verifikationsmechanismus sicherstellen, dass eine online veranlasste Zahlung auch wirklich legitim ist. Anwendung findet die SCA immer dann, wenn die Bank – welche die Karte herausgegeben hat – oder der Karteninhaber sich in der EWR-Region befindet. Somit gilt die SCA eigentlich für nahezu alle Online-Kartenzahlungen in der EU.

Anzeige

Die SCA konforme Verifikation setzt eine Nutzerauthentifizierung voraus, wenn online auf ein Zahlungskonto zugegriffen wird oder ein elektronischer Zahlungsvorgang ausgelöst wird.

Dabei müssen zwei von drei der folgenden Faktoren verwendet werden:

  • Etwas, was nur der Kunde weiß, bspw. ein Passwort
  • Etwas, was nur der Kunde besitzt, bspw. ein Token oder ein registriertes Handy
  • Etwas, was den Kunden eindeutig identifiziert, wie bspw. ein Finger- oder Gesichtsabdruck

Jede Bank und jeder Zahlungsdienstleister kann individuell festlegen, welche zwei Kombinationen Verwendung finden. Die Herausforderung liegt hier allerdings darin, dass mit jedem zusätzlichen Schritt innerhalb des Checkouts beim Bezahlvorgang auch die Abbruchraten steigen und somit Umsatz verloren gehen kann.

2-Faktor-Authentifizierung im Online-Shop integrieren

Shopbetreiber müssen sich diesen neuen Gegebenheiten stellen und die sichere 2-Faktor-Authentifizierung in ihren Bezahlsystemen integrieren bzw. überprüfen, ob die Zahlungsarten PSD2-konform sind. Wenn bspw. der Check-Out Prozess im Webshop diese Authentifizierungskriterien nicht abbildet, so kann und muss eine Bank die Kartenbelastung ablehnen. Das wiederum sorgt für Ärger auf Seiten der Verbraucher, wenn das Einkaufserlebnis nicht wie gewünscht abgeschlossen werden kann und Bestellungen aufgrund von abgelehnten Kartenzahlungen storniert werden müssen. Und: Betreiber eines modernen E-Commerce sollten die zweifache Kundenauthentifizierung auch sicherstellen, um späteren Abmahnungen und Strafzahlungen zu entgehen.

Shopbetreiber, die nicht selbst Zahlungsanbieter sind und auf einen Payment-Service-Provider als Dienstleister zurückgreifen, haben es einfach: Sie müssen meist nur ein Extension-Update für den Bezahlvorgang nachrüsten. Dies trifft auf die Standard-Shops wie Magento oder Shopware und die Standard-Payment-Provider wie Wirecard oder PayOne zu. In diesem Fall müssen die Vorgaben einer SCA vom Zahlungsanbieter selbst umgesetzt werden. Um PSD2-Konformität in ihrem Online-Shop sicherzustellen, müssen Shopbetreiber für die neuen Plugins also Kontakt mit ihrem Payment-Service-Provider aufnehmen. Alternativ können natürlich auch andere bereits SCA-zertifizierte Online-Zahlungsmittel angeboten werden. Diese sind bereits etabliert und bieten relativ einfache Umstiegsszenarien an.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Online-Shop optimieren, um Kaufabbrüche zu verhindern

Um dem Nutzer zusätzlich ein attraktives Einkaufserlebnis zu ermöglichen und Kaufabbrüche zu minimieren, bietet es sich an, den Online-Shop im Zuge der Umstellung auf PSD2-konforme Zahlungsverfahren systematisch zu optimieren. Im Mittelpunkt aller Maßnahmen sollte immer der Kunde mit seinen individuellen Nutzererfahrungen stehen. Insbesondere eigenentwickelte Webshops sollten vor der Umstellung auf PSD2-konfome Zahlungsarten überlegen, welche zusätzlichen Optimierungen im Online-Shop möglich sind und notwendige Workflows skizzieren. Wichtig dabei: Die Nutzer-Convenience sollte stets im Auge behalten und das Ganze vor allem für Mobile Devices gedacht werden. Da das Thema sehr komplex werden kann und eigenentwickelte Shops eine individuelle Einbindung PSD2-konformer Zahlungsarten benötigen, ist es ratsam, den Relaunch des Online-Shops mit externer Unterstützung durchzuführen.

Sicher ist: Der Countdown für die PSD2-konforme Umstellung der Online-Bezahlung ist eingeleitet. Zwar hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Umsetzung der PSD2-Richtlinie einen zeitlichen Aufschub bis 31. Dezember 2020 gewährt und Erleichterungen geplant. Doch wer sich jetzt nicht auf den Weg macht, wird ab 2021 massiv an Umsätzen verlieren.

Hendrik

Herms

Leiter Consulting

Löwenstark Online-Marketing GmbH

Hendrik verantwortet den Geschäftsbereich Consulting der Löwenstark Online-Marketing GmbH. Er befasst sich mit komplexen Kundenproblemen im Bereich E-Business und entwickelt hierfür maßgeschneiderte digitale Lösungen und Strategien. Dabei greift er auf eine langjährige Erfahrung als Digitalverantwortlicher in verschiedenen Medienhäusern, wie der Bauer Media Group, der Heise Mediengruppe, der Braunschweiger Zeitung
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.