Was Sie jetzt wissen und umsetzen sollten
Online bestellen, überweisen, einen bevorzugten Zahlungsanbieter auswählen – was für viele Kunden mittlerweile selbstverständlich ist, birgt eine Vielzahl von Risiken. Hinzu kommt, dass die bisherigen Abläufe im Online Zahlungsverkehr es verhindern, dass Payment Service Provider wie Banken ein direkter Zugang zu Kundenkonten ermöglicht wird. Mit der neuen Zahlungsdiensterichtlinie PSD 2, die am 14.09.2019 in Kraft tritt, kommt Bewegung und viel Neues in die bislang übliche Abläufe. Wir stellen Ihnen die wichtigsten Änderungen vor und erklären, worauf vor allem Onlinehändler nun achten müssen.
Wichtige Änderungen im Onlinehandel
Für Onlinehändler sind drei Änderungen, die sich aus der Zahlungsdiensterichtlinie ergeben, bedeutsam:
- Die Verpflichtung, eine Zwei-Faktor-Authentifizierung anbieten zu müssen.
- Die Verpflichtung, dass Banken eine sichere Schnittstelle für andere Dienstleister im Online Zahlungsverkehr einrichten müssen.
- Das Verbot, Surcharge-Gebühren für bestimmte Zahlungsarten zu erheben.
Die technologische Umsetzung der starken Kundenauthentifizierung und der Schnittstelleneinrichtung obliegt also den Banken selbst. Online-Händler müssen aber sicherstellen, dass sie diese fristgerecht nutzen können, außerdem sind ggf. Anpassungen auf der eigenen Website erforderlich. Die Bezeichnung Zwei-Faktor-Authentifizierung beinhaltet den Zweck der Richtlinie: Bei Onlinezahlungen müssen zukünftig mindestens zwei Faktoren die Identität des Bestellers garantieren. Diese müssen so ergänzt werden, dass ein Datendiebstahl erheblich erschwert wird. So können beispielsweise eine Passwortabfrage und die Zusendung eines Codes per SMS miteinander kombiniert werden.
Weitere mögliche Verfahren bestehen beispielsweise darin,
- einen Code mit der Bekanntgabe von biometrischen Daten zu kombinieren.
- ein One-Time-Password zu generieren (Soft Token).
- einen QR-Code auslesen zu lassen.
Grundsätzlich entscheiden die Anbieter der Zahlungsdienstleister darüber, welche System sie implantieren wollen. Händler, die zugleich selbst als Zahlungsdienstleister auftreten, oder Marktplätze, die für den Zahlungstransfer ein Subunternehmen beauftragen, müssen sich durch die Bundesanstalt für Finanzierungsdienstleistungen (BaFin) lizenzieren lassen.
Das Surcharge- Verbot betrifft alle Händler, die entsprechende Klauseln aus ihren AGB entfernen müssen.
Die neue EU-Zahlungsdiensterichtlinie: PSD II
In vier Schritten die wichtigsten Änderungen der PSD-Richtlinie umsetzen
Zu den beliebtesten Zahlungsarten im Netz gehören Kreditkarten. Anbieter wie Visa, Mastercard und Europay International haben daher bereits ein eigenes Verfahren entwickelt, mit dem die Zwei-Faktoren-Authentifizierung umgesetzt wird. Dieses EMV 3-D-Secure 2.0-Verfahren ermöglicht es, dynamische Passwörter einzusetzen oder biometrische Daten abzufragen, ohne dass eine Unterbrechung des Bezahlvorgangs erforderlich ist – was den Vorteil hat, dass die Absprungrate nicht unnötig erhöht wird. Eine Vereinfachung besteht für den Kunden zudem darin, dass er seine Kreditkartennummer nicht mehr eingeben muss.
Surcharge-Gebühren überprüfen
Für Onlinehändler, die sich mit der Materie noch nicht befasst haben, ist es höchste Zeit dies nachzuholen. Damit Kunden nicht verunsichert sind, ist es erforderlich, diese auf der eigenen Website über die Änderungen zu informieren. Darüber hinaus drohen für alle, die weiterhin Surcharge-Gebühren berechnen, Abmahnungen. Hier ist also dringend Änderung erforderlich.
Selbst zum Payment Service Provider werden
Wer es sich zutraut, entsprechende Umsätze generiert und eine BaFin-Lizenz erhält, kann seinen Kunden den Bezahlvorgang zukünftig auch dadurch erleichtern, dass er selbst zum Payment Service Provider wird. In jedem Fall sollten Onlinehändler sich aber darauf besinnen, ein breites Bündel an Bezahldiensten ins Programm aufzunehmen, unter denen natürlich auch häufig gewählte Dienstleister wie PayPal sein sollten. Wer die Umstellung ganz umgehen möchte, kann als einzige Bezahlart die Überweisung nach Rechnungseingang wählen, empfehlenswert ist diese Selbstbeschränkung aber nicht.
Bezahlvorgänge in Absprache mit den Zahlungsdienstleistern vereinfachen
Schließlich wurde die Zahlungsdiensterichtlinie PSD II nicht ersonnen, um Händlern Steine in den Weg zu legen, sondern um den Wettbewerb anzukurbeln und eine Tür für neue kreative Lösungen zu öffnen. Denn Untersuchungen zeigen auch: Ein Großteil der Abbrüche von Onlinekäufen erfolgt in Zusammenhang mit dem Bezahlvorgang – dann beispielsweise, wenn die vom Kunden gewünschte Bezahlvariante nicht angeboten wird. Daher die Empfehlung, sich nicht auf eine Varianten zu begrenzen und zusätzlich darauf zu achten, dass der Bezahlvorgang ohne große Unterbrechungen oder zusätzliche Klicks durchgeführt werden kann.
Dies bedeutet mit Blick auf die PSD 2 vor allem, dass Sie sich mit den für Ihren Shop relevanten Zahlungsdienstleistern in Verbindung setzen und sich umfassend informieren, welche Updates oder Plug-ins erforderlich sind, damit das gewählte Authentifizierungsverfahren über Ihre Website durchführbar ist.
Ausnahmen berücksichtigen und nutzen
Auch mit den Ausnahmen, die die PSD-Richtlinie vorsieht, sollten Sie sich gründlich befassen. Dazu gehören Onlineeinkäufe, deren Warenwert weniger als 30 € beträgt sowie Zahlungen, denen eine Transaktionsanalyse (Transaction Risk Analysis, kurz TRA) bescheinigt, dass sie von geringem Risiko sind. Für beide Bezahlvorgänge ist eine starke Kundenauthentifizierung nicht erforderlich.
Damit Sie die Vorteile der sogenannten White-List nutzen können, sollten Sie zumindest Ihre Stammkunden rechtzeitig darüber informieren und Sie bitten, Ihren Shop dieser Liste hinzuzufügen. Die White-List-Lösung sieht vor, dass Kunden bei ihrem Kreditinstitut selbst eine Liste vertrauenswürdiger Shops anlegen können, für die eine Zwei-Faktoren-Authentifizierung nicht erforderlich ist.