PSD2 in Kraft – Was ist seit dem 14.09.2019 nun neu?

Seit dem 14.09.2019 ist die „Payment Service Directive 2“-Richtlinie (kurz: PSD2) von den Banken und Zahlungsdienstleistern voll umzusetzen. Durch technische Vorkehrungen sollen elektronische Zahlungen insbesondere sicherer werden. Was ist nun neu für Händler und Kunden im Onlinehandel?

Worum geht es?

Mit Umsetzung der PSD2 soll der elektronische Zahlungsverkehr sicherer und transparenter werden und dadurch der faire Wettbewerb gestärkt sowie die Einstiegshürden für Zahlungsdiensteanbieter gesenkt werden. Zur Erhöhung der Sicherheit von elektronischen Zahlungen wurden zudem technische Standards vereinbart.

Für den Onlinehandel wirkt sich die PSD2 primär dadurch aus, dass für bestimmte elektronische Zahlungsarten künftig eine sogenannte starke Kundenauthentifizierung greifen muss, um Missbrauch vorzubeugen.

Die Legitimation für den Kunden gegenüber dem Paymentanbieter wird dadurch komplexer, so dass ein Missbrauch erschwert wird.

Hier richten sich die Vorgaben jedoch an die Zahlungsdiensteanbieter, also an Dienstleister wie etwa Klarna oder Paypal, die der Onlinehändler selbst nutzt, um Kundenzahlungen abzuwickeln.

Stichtag für die Umsetzung der neuen Vorgaben war der 14.09.2019

Doch wie man aus der Praxis vernimmt, haben längst nicht alle Paymentanbieter auch ihre Hausaufgaben gemacht. Hier wurde bei manchem Anbieter wohl die Frist 14.09.2019 verschlafen, so dass den Händlern nicht von allen Anbietern bereits PSD2-konforme Zahlungsverfahren zur Verfügung gestellt werden können.

Selbst die Bundesanstalt für Finanzdienstleistungsaufsicht sah sich bereits veranlasst, den Anbietern von Kreditkartenzahlungen eine „Aufbrauchfrist“ einzuräumen, binnen derer für eine nicht PSD-konforme Kreditkartenzahlungsabwicklung keine Strafen drohen.

Was bedeutet dies nun für den Onlinehandel und die Kunden?

Onlinehändler sitzen „zwischen den Stühlen“

Dadurch stehen etliche Onlinehändler nun vor der Situation, dass seit dem 14.09.2019 die PSD2 voll greift, aber viele Zahlungsarten von deren Anbietern technisch noch gar nicht PSD2-konform ausgestaltet worden sind.

Ohne entsprechende technische Umsetzung seitens der Paymentanbieter sind Händlern, die deren Zahlungsdienste einsetzen, die Hände gebunden.

Diese Situation ist für Händler sicherlich unbefriedigend, da die Paymentanbieter von den Händlern schließlich für ihre Dienste bezahlt werden, so dass eine gesetzeskonforme Ausgestaltung der Prozesse erwartet werden darf.

Da die Vorgaben der PSD2 jedoch nicht direkt an die Onlinehändler gerichtet sind, dürfte der Einsatz einer nicht PSD2-konformen Zahlungsart die über einen Drittanbieter wie ein Kreditkartenunternehmen oder Paypal realisiert wird für den Händler keine wettbewerbsrechtlichen Konsequenzen bedeuten.

Wer kann mich als Onlinehändler unterstützen?

Wenn Sie als Onlinehändler fragen zu PSD2 bzw. zu den technischen Abläufen haben, ist Ihr Ansprechpartner der Anbieter der von Ihnen im Shop zur Verfügung gestellten Zahlungsarten (z.B. VISA oder Paypal).

Leider ist hier in der Praxis zu beobachten, dass viele Paymentanbieter das Thema PSD2 „verschlafen“ haben.

Dennoch empfiehlt es sich, durch entsprechende Supportanfragen auf den Anbieter hinzuwirken, damit dieser die Umstellung wenigstens zeitnah vornimmt.

Aus Kundensicht ist Ansprechpartner bei Fragen zu PSD2 die kontoführende Bank bzw. der jeweils vom Kunden bei der Zahlung genutzte Paymentanbieter.

Knackpunkt „starke Kundenauthentifizierung“ (SCA)

Mit der PSD2 wurden neben rechtlichen Vorgaben auch neue technische Standards für eine verpflichtende starke Kundenauthentifizierung festgelegt.

Hierzu wurde am 13.03.2018 die Delegierte Verordnung (EU) 2018/389 zur starken Kundenauthentifizierung und für sichere offene Standards für die Kommunikation im Amtsblatt der Europäischen Union veröffentlicht. Diese Verordnung gilt ab dem 14.09.2019.Die starke Kundenauthentifizierung musste folglich bis zum 14.09.2019 umgesetzt werden.

Kurz gesagt bedeutet SCA im Onlinehandel, dass elektronische Zahlungen bei bestimmten Zahlungsarten ab dem 14.09.2019 nur mehr bei Vorliegen einer Zwei-Faktor-Authentifizierung ausgelöst werden dürfen.

Wo bislang ein Faktor zur Auslösung der elektronischen Zahlung ausreichend war (z.B. bei Zahlung per Kreditkarte der Faktor „Wissen“ hinsichtlich der Kreditkartennummer und des Sicherheitscodes, schreibt das Gesetz ab dem 14.09.2019 vor, dass ein zweiter Faktor hinzutreten muss, damit die Zahlung erfolgreich ausgelöst werden kann.

Im Beispiel wäre dies etwa der Faktor „Besitz“, indem der Kreditkartennutzer für die Ausführung der Zahlung diese erst mittels einer TAN, die ihm auf seine Smartphone-App gepusht wird, bestätigen muss.

Hiermit soll sichergestellt werden, dass die Person, die sich bei der Einleitung des Zahlungsvorgangs als autorisierte Person ausgibt auch tatsächlich diese autorisierte Person ist. Damit wird ein Missbrauch (im Beispiel bisher durch alleinigen Besitz der Kreditkarte, auf welcher Kartennummer und Sicherheitscode aufgedruckt sind), deutlich erschwert.

Details zu SCA können Sie gerne hier nachlesen.

Welche Zahlungsarten sind von SCA betroffen?

Von der SCA-Pflicht sind grundsätzlich alle elektronisch veranlassten Zahlungen betroffen, d.h. dann, wenn der Kunde online auf sein Zahlungskonto zugreift oder online die Zahlung auslöst.

Dies bedeutet, die neuen Regeln zur Zwei-Faktor-Authentifizierung gelten für Zahlungen mit

• Kreditkarten
• Debitkarten
• Girokarten / EC-Karten
• Paymentdienstleistern, die ihrerseits dann beim Kunden mittels Kreditkarte abrechnen lassen (z.B. Paypal)

Nicht betroffen von der SCA-Pflicht sind dagegen Zahlungen per

• Überweisung
• Lastschrift
• Rechnung
• Nachnahme

Ausnahmen von SCA

SCA bedeutet deutlichen Mehraufwand für Zahlungsdienstleister und Kunden.

Aus diesem Grund sehen die neuen gesetzlichen Vorgaben aus Ausnahmen von der SCA-Pflicht vor, insbesondere für Zahlungsvorgänge mit nur geringen Beträgen oder solche, die als risikoarm eingestuft werden.

Folgende Ausnahmen bestehen etwa:

• Keine SCA ist erforderlich für Zahlungen von Geldbeträgen unter 30,-- Euro
• Ausnahmen sind möglich bei Zahlungen für Abonnements / wiederkehrende Zahlungen
• Ausnahmen sind möglich im B2B-Bereich
• Ausnahmen sind möglich, wenn der Zahlbetrag unter 500,-- Euro liegt und die Transaktion als risikoarm eingestuft wird
• Möglichkeit des Whitelistings, d.h. Kunden können bei ihrer Bank ein Unternehmen / einen Händler als vertrauenswürdigen Zahlungsempfänger angeben, so dass in diesem Verhältnis dann keine SCA erforderlich ist

Aufschub durch die BaFin

Auch die Bundesanstalt für Finanzdienstleistungsaufsicht hat die Praxisprobleme erkannt und räumt den Zahlungsanbietern für die Umsetzung der SCA bei Kreditkartenzahlungen eine „Schonfrist“ ein.

Die IT-Recht Kanzlei hat dazu bereits hier informiert.

Was sollten Händler nun tun?

Auch wenn die Vorgaben der PSD2 den klassischen Onlinehändler (der nicht zugleich Zahlungsdiensteanbieter ist) gar nicht adressieren, also nicht in die Pflicht nehmen, sollten Händler hier aus praktischen Gründen am Ball bleiben.

Im Interesse einer reibungslosen Zahlungsabwicklung und Vermeidung möglicher Rückforderungen sollten Händler jedoch darauf achten, dass von der PSD2 erfasste Zahlungsarten ab dem 14.09.2019 an „PSD2-konform“ abgewickelt werden.

Dies bedeutet meist technische Anpassungen. Das „Material“ hierfür muss der jeweilige Paymentanbieter zur Verfügung stellen.

Onlinehändler sollten im Zweifel daher Kontakt mit ihren Paymentdienstleistern aufnehmen und Updates der Payment-Plugins zeitnah im eigenen Shop umsetzen.

Andernfalls könnten höhere Abbruchraten im Shop drohen, wenn die Kunden bestimmte Zahlungsdienste nicht mehr (reibungslos) nutzen können. Dies bedeutet unter Umständen empfindliche Umsatzverluste für den Händler.

Was gilt für die Kunden?

Auch onlineaffine Kunden sind gehalten, die Schreiben / Emails ihrer Bank bzw. genutzten Paymentdienstleister aus den vergangenen Wochen nicht ungelesen zu lassen. Darin könnten wichtige Informationen zur Implementierung der PSD2 stehen, so dass andernfalls möglicherweise keine Nutzung des Onlinebankings bzw. der Kreditkarte ab dem 14.09.2019 mehr möglich ist bzw. Einschränkungen bei der Autorisierung von Zahlungen bestehen. Ferner sollten auch Kunden z.B. Bankingapps aktualisieren, so dass eine PSD2-konforme Nutzung möglich ist.

Wer hier nicht auf dem aktuellen Stand ist, könnte durchaus Probleme bei seiner nächsten Zahlung im Ecommerce bekommen.

Fazit

PSD2 ist ein Thema, dass Onlinehändler kaum in rechtlicher, sondern primär praktischer Hinsicht betrifft.

Anpassungsbedarf ergibt sich insbesondere bei Zahlungen bei Kreditkarte und Paypal. Da sich viele Paymentanbieter mit der Umsetzung der PSD2-Vorgaben enorm Zeit lassen, bleibt Händlern hier nur, entweder einen nicht PSD2-konformen Paymentanbieter (vorübergehend) von den möglichen Zahlungsarten zu streichen oder beim Support Druck zu machen.

Von den Paymentanbietern zur Verfügung gestellte Updates sollten von den Händlern zeitnah eingespielt werden. Andernfalls drohen Kaufabbrüche, läuft die Zahlung nicht problemlos durch.

Weiter Hintergründe finden Sie hier.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.