Die starke Kundenauthentifizierung für Kreditkarten kommt – was es jetzt zu tun gibt

Seit dem 14. September 2019 ist die starke Kundenauthentifizierung für elektronische Zahlungen EU-weit Pflicht. Aber für die Kreditkarte im Internet gibt es eine Übergangsfrist bis Ende 2020. Jetzt gilt es rechtzeitig zu handeln.

Seit dem 14. September 2019 gilt die Ende 2015 verabschiedete zweite Zahlungsdiensterichtlinie (Payment Service Directive 2, PSD2). Sie hat das Ziel, den EU-Binnenmarkt zu stärken und bargeldlose Zahlungen – stationär wie online – sicherer zu machen. Eine Regelung der Richtlinie betrifft die sogenannte starke Kundenauthentifizierung (SKA bzw. SCA) bei elektronischen Zahlungen. Da sich die Umsetzung der neuen Anforderungen bei Online-Kreditkartenzahlungen schwerer als erwartet darstellte, hat die Finanzaufsicht BaFin bis Ende 2020 für diesen Fall eine Übergangsfrist mit einfacheren Sicherheitsbestimmungen gewährt. Jetzt gilt es allerdings, die Kartenzahlung im Online-Shop mit dem Sicherheitsverfahren 3-D Secure aufzurüsten, um noch genug Zeit zum Testen und zur Einführung zu haben, bevor die Frist abläuft.

Was ist die starke Kundenauthentifizierung?

Bei der starken Kundenauthentifizierung weisen Zahlende ihre Identität mit mindestens zwei der folgenden drei Faktoren nach:

  • Wissen, z. B. Pin oder Passwort
  • Besitz, z. B. Smartphone oder Chip-Karte
  • Inhärenz/Biometrie, z. B. Fingerabdruck oder Stimme

Welche Zahlungen sind davon betroffen?

Diese Regelung betrifft elektronische Zahlungen innerhalb der EU, sowohl im stationären Bereich auch im Online-Handel.

Stationär ist die starke Kundenauthentifizierung aber gar nicht neu. Die Bezahlung mit girocard oder Kreditkarte wurde bereits vor dem 14. September 2019 durch zwei Faktoren gesichert. Hier wurden/werden durch die physische Karte das Merkmal Besitz und durch die Eingabe der PIN das Merkmal Wissen nachgewiesen.

Bei Zahlung im Internet änderte sich durch die neue Regelung aber vieles. Bisher wurde bei der Zahlung mit Kreditkarte nur das Merkmal Besitz geprüft, indem beim Checkout im Online-Shop nur die Daten der der Karte (Kreditkartennummer, Ablaufdatum und Prüfnummer) anzugeben waren. Betrachtet man elektronische Zahlverfahren, wie PayPal, dann wurde hier nur das Merkmal Wissen (Benutzername und Passwort) abgefragt, um eine Zahlung erfolgreich abzuschließen. Dies reichte nach den neuen gesetzlichen Bestimmungen nicht mehr aus. Allerdings gab es bei der technischen Erfüllung der Anforderungen, ein zweites Merkmal mit abzuprüfen, Probleme. Daher hat die BaFin für Zahlungen per Kreditkarte im Internet eine Übergangsfrist bis 31.12.2020 gewährt. Bis zu diesem Datum dürfen Online-Zahlungen per Kreditkarte noch ohne starke Kundenauthentifizierung, mit nur einem Merkmal ausgeführt werden. In der Zeit muss das Sicherheitsverfahren 3-D Secure eingeführt werden, das ein zweites Merkmal, neben Besitz (Kartennummer, Ablaufdatum und Prüfnummer) auch beispielsweise Wissen (Pin oder Passwort) abfragen, um eine Zahlung rechtssicher durchzuführen.

Gibt es hiervon Ausnahmen?

Es ist im Gesetz klar geregelt, dass grundsätzlich jeder elektronische Zahlungsvorgang mit einer starken Kundenauthentifizierung durchzuführen ist. Allerdings gibt es hiervon auch Ausnahmen. Ob diese zum Tragen kommen oder nicht, entscheidet nicht der Händler, sondern der jeweils kontoführende Zahlungsdienstleister, also in den meisten Fällen die Bank des Kunden. Ausnahmen von der starken Kundenauthentifizierung sind in folgenden Fällen möglich:

  • Vertrauenswürdige Empfänger

Kunden können bei ihrem Zahlungsdienstleister Händler und andere auf eine sogenannte Whitelist, eine Liste von vertrauenswürdigen Zahlungsempfängern, setzen. Die Whitelist-Händler sind in der Regel von der starken Kundenauthentifizierung ausgenommen.

  • Zahlungen von Kleinbeträgen

Auf eine starke Kundenauthentifizierung kann verzichtet werden, wenn der Einzelbetrag einer Online-Zahlung nicht größer als 30 € und der einer stationären kontaktlosen Kartenzahlung nicht größer als 50 € ist. Zudem gilt aber, dass seit der letzten starken Kundenauthentifizierung insgesamt online nicht mehr als 100 € und stationär kontaktlos nicht mehr als 150 € mit diesem Zahlungsmittel bezahlt wurden bzw. die Anzahl der aufeinanderfolgenden (Online-)Zahlungen nicht größer als fünf ist. Dann wird wieder eine starke Kundenauthentifizierung durchgeführt und die Ausnahmeregel gilt erneut, bis die gerade genannten Schwellenwerte erreicht wurden.

  • Wiederkehrende Zahlungsvorgänge

Bei der Erstellung, Auslösung und Änderung von wiederkehrender Zahlungen, sprich Daueraufträgen, ist eine starke Kundenauthentifizierung erforderlich. Bei den weiteren Zahlungen innerhalb einer solchen Serie ist dies nicht mehr der Fall.

  • Transaktionsrisikoanalyse

Bei jeder Überweisung und Kartenzahlungen wird vom Zahlungsdienstleister untersucht, ob hier ein Betrugsrisiko vorliegt. Ist das Risiko dafür gering und überschreitet der Zahlungsdienstleister eine vom Betrag und Zahlungsverfahren abhängige bestimmte Betrugsrate nicht, dann kann er auf eine starke Kundenauthentifizierung bei Zahlungen bis maximal 500 € verzichten.

Was gilt es jetzt zu tun?

Die meisten Händler haben sich bereits für den Stichtag 14. September 2019 mit den neuen gesetzlichen Vorgaben vertraut gemacht. Als Hauptansprechpartner gelten Payment Service Provider bzw. Anbieter von Zahlungsverfahren und Zahlungsdienstleister. Die technisch notwendigen Anpassungen hängen vor allem von den angebotenen Zahlungsverfahren ab. Dabei ist die Lastschrift von den Anforderungen der starken Kundenauthentifizierung ausgenommen. Die Zahlungsverfahren Rechnung und Vorkasse werden losgelöst von der eigentlichen Bestellung abgewickelt und sind nicht Teil des Bezahlprozesses im Online-Shop. Nutzt der Kunde eines dieser beiden Verfahren, führt er eine Überweisung aus. Die Anforderungen der starken Kundenauthentifizierung müssen daher von der Bank des Kunden sichergestellt werden. Wenn Sie als Online-Händler aber Kreditkartenzahlungen akzeptieren, müssen diese bis zum 31. Dezember 2020 mit dem Sicherheitsverfahren 3-D Secure abgesichert werden. Hierfür sollten Sie sich an Ihren Payment Service Provider und/oder Kreditkartenacquirer wenden. Nachdem die technischen Anpassungen erfolgt sind, ist es wichtig, alle Prozesse und Funktionen ausführlich zu testen und die Kunden über die Änderungen zu informieren. Auch der Kundensupport sollte die neuen Bezahlprozesse kennen, um bei Nachfragen der Kunden entsprechend vorbereitet zu sein. Zu guter Letzt sollten noch die AGB und die Datenschutzerklärungen geprüft werden, ob es hier noch Anpassungen braucht.

Die starke Kundenauthentifizierung verändert den Zahlungsverkehr, besonders im Online-Handel. Die Prozesse werden für die Kunden vielleicht komplizierter, aber auch deutlich sicherer. Hierbei ist es für die Händler besonders wichtig, sich intensiv mit dem Thema zu befassen, um ihren Kunden auch langfristig ein angenehmes Einkaufserlebnis bieten zu können.

Hier finden Sie unsere Informationsveranstaltungen zu unserem Schwerpunkt Finanzen 4.0