Beachten Sie: Die folgenden Informationen stellen Hinweise dar, die keinesfalls eine rechtliche Beratung ersetzen. Es wird kein Anspruch auf Vollständigkeit und Richtigkeit erhoben!

Betrifft mich als Shop-Betreiber die neue PSD2 Richtlinie zur starken Kundenauthentifizierung?

Die neuen technischen Regulierungsstandards der Zahlungsdiensterichtlinie PSD2 (Payment Service Directive 2) wurden von der Europäischen Bankenaufsicht definiert und alle europäischen Shop-Betreiber sind verpflichtet, für eine verbesserte Kundenauthentifizierung beim Online-Einkauf zu sorgen.

Die Anforderungen an die starke Kundenauthentifizierung (englisch: Strong-Customer-Authentification, SCA) sollen die Sicherheit der elektronischen Zahlungen erhöhen und so vor Betrug beim Online-Einkauf schützen.

Sie sind betroffen, sollten Sie Zahlungsmethoden anbieten die eine Kreditkarte, Debitkarte oder Giro/EC-Karte nutzen. Dies können auch sogenannte Zahlungsauslösedienste wie PayPal, Amazon Pay, etc. sein, die als Zahlungsbasis bspw. die Kreditkarte des Kunden hinterlegt haben.
Nicht betroffen sind Zahlungen per Lastschrift, Rechnung oder per Vorkasse, Überweisung.

Wann tritt die neue Richtlinie in Kraft?

Offizieller Start für das Inkrafttreten der neuen PSD2 Richtlinie ist der 14. September 2019. Allerdings hat die Finanzaufsicht Bafin für Deutschland eine noch nicht definierte Übergangszeit eingeräumt. Dies lässt vermuten, dass nach und nach auf die starke Kundenauthentifizierung umgestellt wird.

Was muss ich als Shop-Betreiber eines IONOS E-Shops oder eines MyWebsite Shops jetzt tun?

Ihre Pflicht ist es sicherzustellen, dass die von Ihnen genutzten Zahlungsmethoden PSD2 konform sind, die starke Kundenauthentifizierung unterstützen und Sie keine zusätzlichen Entgelte für Zahlungen verlangen.

Sie müssennichts in Ihrem Online-Shop anpassen, sollten Sie folgende Zahlungsmethoden Ihren Kunden anbieten und keine zusätzlichen Entgelte für Zahlungen verlangen:

  • PayPal
  • Mollie
  • Stripe
  • Square
  • Amazon Pay
  • Skrill
  • Ingenico

Sollten Sie iPayment nutzen, lesen Sie sich bitte folgenden Hinweis durch: Hilfe-Center Artikel "Hinweise zu neuen Anforderungen bei Online-Zahlungen mit Kreditkarte und „starker“ Authentifikation" aufrufen.

Als Shop-Betreiber sollten Sie aber auf jeden Fall die von Ihnen bereitgestellten Zahlarten prüfen.  Wenn Sie andere Zahlungsmethoden anbieten, um bspw. Kreditkartenzahlungen oder online Banküberweisungen zu akzeptieren (bspw. authorize.net, 2checkout), wenden Sie sich bitte direkt an den jeweiligen Support des Anbieters um die Einhaltung der starken Kundenauthentifizierung sicherzustellen. Es kann sein, dass Sie hier Anpassungen am Payment Gateway vornehmen müssen.

Sie dürfen keine zusätzlichen Kosten bei Zahlung erheben. Im Rahmen der PSD2 Regelung ist es nicht mehr erlaubt zusätzliche Kosten für eine Zahlung (Aufpreise, Zuschläge, zusätzliche Entgelte) zu erheben. Dies gilt für Visa und Mastercard (Ausnahme sind gewerbliche Karten und Unternehmenskarten) sowie für Standard-Überweisung und Lastschrift. Dies ist unabhängig der gewählten Zahlungsmethode. Bitte prüfen Sie, ob Sie zusätzliche Kosten für eine Zahlungsmethode erheben.

Was ändert sich für meine Kunden?

Sollten Kunden Zahlungsmethoden beim Einkauf im Internet nutzen, die eine starke Kundenauthentifizierung erfordern, müssen Sie ab Inkrafttreten der starken Kundenauthentifizierung beim Einkauf im Internet eine Kombination aus mindestens zwei unabhängigen Authentifizierungsarten wählen. Dies war bisher nicht zwingend nötig, oftmals hat nur das jeweilige Passwort oder die PIN genügt um eine Online-Zahlung zu tätigen.

Die Zwei-Faktor-Authentifizierung ist kein neues Verfahren an sich – neu ist, dass Ihr Einsatz im Zuge der Neuregelung erstmals bei allen elektronischen Zahlungen verpflichtend ist. Beispielsweise werden heute schon teilweise Zahlungen per PayPal via Smartphone mit dem hinterlegten Fingerabdruck bestätigt (Smartphone = Besitz und Fingerabdruck = Inhärenz).

Ihre Kunden werden nun im Rahmen des Zahlungsprozesses vom genutzten Zahlungsanbieter (Zahlungsauslösedienst) aufgefordert die starke Kundenauthentifizierung vorzunehmen. Dies passiert auf einer vom Zahlungsanbieter verwalteten Oberfläche (bspw. Website oder auch Pop-Up, etc.). Da die starke Kundenauthentifizierung EU-weit gilt, werden sich die Kunden entsprechend schnell an die neuen Anforderungen gewöhnen.

Wie funktioniert PSD2/SCA?

Im Rahmen eines Kaufes beauftragt der Kunde einen Zahlungsanbieter (Zahlungsauslösedienst, z.B. PayPal) zulasten seines bei einem anderen Zahlungsinstitut (z.B. Kreditinstitut, Bank, Sparkasse) geführten Zahlungskontos eine Überweisung auszulösen.

Die starke Kundenauthentifizierung überprüft dann anhand von zwei Faktoren, ob der Käufer auch der Inhaber der Zahlungsart ist (bspw. der Kreditkarteninhaber). Diese Faktoren sind in drei Kategorien eingeteilt. Grundsätzlich gilt: Die zwei verwendeten Faktoren müssen aus unterschiedlichen Kategorien stammen.

Die derzeit üblichen Kategorien sind:

  • Wissen: Dazu zählen Passwörter oder eine PIN
  • Besitz: Beispielsweise eine Kreditkarte oder ein Smartphone
  • Inhärenz (Eigenschaften oder Verhalten): Dazu gehören Fingerabdrücke, Gesichtserkennung oder Bewegungen bzw. Bewegungsmuster

Die genutzten Kategorien und die Methode hängen vom Bankinstitut des Kunden ab. Dies kann nicht durch den Shop-Betreiber beeinflusst werden.

Ein Beispiel: Das früher oft verwendete Verfahren die Kreditkartennummer mit dem Sicherheitscode auf der Rückseite der Karte abzusichern, entspricht nicht der Vorgabe der starken Authentifizierung. Denn sowohl Kreditkartennummer als auch Prüfziffer zählen zur Kategorie Besitz. Die Folge ist: Zusätzlich zur Kreditkartennummer muss nun zusätzlich ein Passwort, eine PIN oder TAN bzw. ein Fingerabdruck verwendet werden, da diese Faktoren in der Kategorie Wissen bzw. Inhärenz stehen.

Gibt es Ausnahmen?

Es gibt diverse Ausnahmen, wo auf eine starke Kundenauthentifizierung verzichtet werden kann. Die wichtigsten und wahrscheinlichsten Ausnahmen sind die folgenden:

Kaufbetrag bleibt unter 30 Euro

Das Zahlungsinstitut des Kunden muss die Authentifizierung nicht verlangen, kann dies aber. Sollten sich mehrere Käufe in kurzer Zeit über geringfügige Beträge auf über 150 Euro summieren, so entfällt diese Ausnahme und die starke Kundenauthentifizierung ist wieder erforderlich.

Zudem muss die Prüfung auch nach fünfmaligem Kauf ohne starke Authentifizierung stattfinden, bspw. wenn ein Kunde mehrfach zu Kleinbeträgen einkauft.

Risikoeinstufung durch Zahlungsinstitut

Aufgrund des Zahlverhaltens über die Zeit kann das Zahlungsinstitut des Kunden das Risikopotential abschätzen und so eine Transaktion als risikolos einstufen. Dann kann das Zahlungsinstitut auch auf die starke Kundenauthentifizierung verzichten.

Regelmäßigen Zahlungen und Abos

Sind Abos abgeschlossen oder werden regelmäßige Zahlungen getätigt, kann das Zahlungsinstitut auch hier auf weitere starke Authentifizierung verzichten, sobald die erste Zahlung mit starker Kundenauthentifizierung erfolgt ist.

Manuelle Einstufung des Online-Shops als vertrauenswürdig

Zahlungsinstitute können den Kunden anbieten bestimmte Online-Shops und Händler als vertrauenswürdig einzustufen. So kann der Kunde eine Liste mit Online-Shops bei seinem Zahlungsinstitut hinterlegen lassen, für den er keine starke Kundenauthentifizierung benötigt. Dies ist keine verpflichtende Regelung und so wird nicht jedes Zahlungsinstitut eine solche Liste anbieten.