PSD2 verpflich­tet zur Zwei-Fak­tor-Au­then­ti­fi­zierung

Ab 14. September greifen weitere Neuerungen durch die EU-Zahlungsdiensterichtlinie PSD2. Im Januar 2018 war die erste Stufe der Payment Services Directive in Kraft getreten. Sie betraf vor allem Finanzinstitute und brachte beispielsweise Verbesserungen beim Verbraucherschutz in Form niedrigerer verschuldensunabhängiger Haftungsobergrenzen bei missbräuchlichen Kartenverfügungen. Darum verschickten die Banken massenhaft überarbeitete AGBs. Aber von den Neuerungen konnten auch Händler profitieren: Die PSD2 ermöglichte es ihnen, in Kooperation mit digitalgetriebenen Finanzdienstleistern maßgeschneiderte Finanzierungen anzubieten und Kunden so die Kaufentscheidung zu erleichtern. Diese Fintechs entwickelten auf Basis der PSD2 neue Angebote. Von den bevorstehenden Veränderungen sind jedoch alle Nutzer von Zahlungsdienstleistungen betroffen, Unternehmer ebenso wie Privatleute. Es geht um die sogenannte starke Kundenauthentifizierung. Sie ist im Onlinehandel ein Muss, kommt aber auch bei Abfragen des Kontostands zum Tragen. Zudem müssen sich Firmenchefs, die betriebliche Software mit Homebanking Computer Interface (HBCI) nutzen, auf Neuerungen einstellen. Das gilt etwa für Buchführungsprogramme mit Zahlungsverkehr-Funktionen.

PSD2 ver­pflich­tet zur Zwei-Fak­tor-Au­then­ti­fi­zierung

Wer Onlinebanking nutzt oder im Internet einkauft, hat es künftig mit der sogenannten Zwei-Faktor-Authentifizierung (2FA) zu tun. Sie soll Onlinebetrug erschweren, indem sie für Finanztransaktionen ein mindestens zweistufiges Freigabeverfahren vorschreibt. Teilweise ist die Zwei-Faktor-Authentifizierung bereits im Einsatz, beispielsweise beim Onlinebanking. Erster Faktor ist eine PIN, zweiter eine TAN. Damit sich Authentifizierungsdaten nicht abgreifen lassen, sind die Faktoren auf getrennten Kanälen zu übermitteln. Und sie müssen künftig aus unterschiedlichen Authentifizierungsmöglichkeiten stammen – Wissen, Besitz und Inhärenz. Wissen ist etwas, das nur der Nutzer weiß, wie etwa eine PIN. Besitz ist etwas, das nur der Nutzer besitzt, wie eine SmartCard. Inhärenz ist etwas, das den Nutzer persönlich unverwechselbar macht, wie sein Fingerabdruck. Die erhöhte Sicherheit geht jedoch auf Kosten der Bequemlichkeit. Onlinezahlungen werden künftig komplizierter, weil zusätzliche Faktoren einzugeben oder zusätzliche Kanäle zu nutzen sind – eine App alleine reicht nicht. Noch ist bei vielen Zahlungsdienstleistern unklar, wie sie welche Faktoren kombinieren wollen.

Onlinehänd­ler soll­ten neue Zah­lungs­ver­fah­ren erklären

Wer online ordert oder seinen Kontostand checkt, muss sich an neue Verfahren gewöhnen. Wer zudem einen Onlineshop betreibt und darüber Zahlungen abwickelt, sollte mehr tun – und sich informieren, wie sein Zahlungsdienstleister die PSD2 umsetzen will. Im Schnitt bieten Onlineshops laut dem Blog „Handelskraft“ 6,6 verschiedene Zahlungsverfahren an. Die Abwicklung von Onlinezahlungen überlassen sie ihrem Payment Service Provider (PSP). Er sollte einfache Prozesse liefern und in der Regel für die Einhaltung der PSD2-Vorgaben verantwortlich sein. Aber es schadet nicht, sich bei so einem wichtigen Thema den Stand der Umsetzung erläutern zu lassen. Zudem wäre es sinnvoll, Kunden auf der Webseite zu erklären, dass sich die Zahlungsabwicklung ändert. So könnte sich vermeiden lassen, dass überraschte Käufer den Bezahlvorgang abbrechen, weil er ihnen ungewohnt vorkommt. Dann wechseln sie womöglich nicht den Zahlungsweg, sondern verwerfen die Order gleich ganz. Der Onlinehändler Zalando etwa zeigt Kunden in einem Video auf der Homepage sein neues Verfahren.

PSD2 wirkt sich auf AGB und Da­ten­schutz­er­klä­rung aus

Auch abseits der konkreten Onlinezahlung sollten Firmenchefs auf die PSD2 reagieren und Rücksprache mit einem Anwalt zu einigen Punkten halten. Laut Magazin „impulse“ ist bei Nennung der Zahlungsoptionen in den AGB der Text anzupassen. Und: „Sofern die Firma durch die PSD2 andere Daten an die Zahlungsdienstleister weitergibt als bisher, muss sie auch die Datenschutzerklärung anpassen.“ Unternehmer können überlegen, ob sie als Alternative für skeptische Kunden verstärkt Zahlung per Rechnung oder Nachnahme bewerben. Dies fällt nicht unter die Richtlinie, da kein Onlinemissbrauch droht. Natürlich ist stets der Gesamtaufwand für die Transaktionen zu betrachten. Zudem greift die PSD2-Vorgabe der Zwei-Faktor-Authentifizierung nicht für jede Onlinezahlung. Ausgenommen sind

• Käufe für unter 30 Euro bei bis zu fünf Transaktionen in Folge oder einem Wert von 100 Euro;
• Abonnements;
• Kunden auf seiner sogenannten Whitelist, die vertrauenswürdige Käufer enthält, etwa zuverlässige Stammkunden;
• Kunden, die aufgrund einer so genannten Transaktions-Risikoanalyse als unbedenklich befunden werden.

Es dürfte kaum ei­ne län­ge­re Über­gangs­frist geben

Unternehmer haben also auch bei Stufe zwei der PSD2 durchaus Spielraum. Um ihn nutzen zu können, müssen sie allerdings die Optionen kennen und sich am besten mit Anwalt und Steuerberater austauschen. Darauf, dass die Politik einer Forderung des Handelsverbands Euro Commerce folgt und eine längere Übergangsfrist beschließt, sollten sie nicht bauen.