Suchen

E-Commerce Was Onlinehändler über die PSD2 wissen müssen

| Autor / Redakteur: Mirko Hüllemann* / Julia Krause

Seit dem 14. September 2019 greift die neue Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2). Das Gesetz soll die Partizipation von Nicht-Banken in der Payment- und Finanz-Branche erleichtern und den Wettbewerb anheizen. Was sich für Händler, „Dritte“ und Verbraucher ändert, erklärt Heidelpay-Gründer Mirko Hüllemann.

Firmen zum Thema

Die Payment Services Directive 2 (PSD2) soll unter anderem den Zugang von Nicht-Banken in die Payment- und Finanz-Branche erleichtern und so kontinentalen Wettbewerb anheizen.
Die Payment Services Directive 2 (PSD2) soll unter anderem den Zugang von Nicht-Banken in die Payment- und Finanz-Branche erleichtern und so kontinentalen Wettbewerb anheizen.
(Bild: gemeinfrei / Pexels )

Die Payment Services Directive 2 – bereits im Januar 2018 in nationales Recht umgesetzt und seit dem 14. September 2019 schließlich geltendes Recht – ist eine Richtlinie der Europäischen Kommission zur Regulierung von (klassischen) Finanzinstituten und den sogenannten Third Party Providers (TPPs). Das Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie soll unter anderem den Zugang beziehungsweise die Partizipation von Nicht-Banken in der Payment- und Finanz-Branche erleichtern und so den kontinentalen Wettbewerb anheizen. Zudem soll die PSD2 mehr Sicherheit im europaweiten Zahlungsverkehr garantieren, für einen umfangreichen Verbraucherschutz Sorge tragen sowie die Förderung und (Weiter-)Entwicklung von Innovationen unterstützen.

Was ändert sich grundsätzlich?

Die PSD2 ist eine Weiterentwicklung der 2007er Richtlinie für Zahlungsdienste. Retail-Banken stehen erstmals nicht mehr nur mit anderen Finanzinstituten in Konkurrenz, sondern quasi auch mit jedem beliebigen Unternehmen. Theoretisch also auch gegen die übermächtige GAFAM-Gruppe (Google, Apple, Facebook, Amazon und Microsoft). Banken verlieren somit ihr Datenmonopol.

Open Banking

Und hier ist genau das eingetreten, was Branchenexperten aus der Fintech-Welt vorausgesagt hatten: Die Banken haben ihren Job nicht erledigt. Ursprünglich vorgesehen ist nämlich, dass Banken den Drittdienstleistern (Kontoinformationsdienste und Zahlungsauslösedienste) einen kontrollierten und diskriminierungsfreien Zugang zu Kontoinformationen geben müssen, wenn der Kunde dies ausdrücklich wünscht.

Mit der Einführung dieser neuen Schnittstellen hätten die Banken die alten „Fallback“-Lösungen zum Stichtag abschalten können. Da die von den Banken bereitgestellten, neuen Schnittstellen aber nun in keiner Weise den Anforderungen entsprachen, griff die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) im August hart durch: Banken dürfen die Fallback-Lösungen, wie HBCI/FinTS oder Screen Scraping eben nicht mit dem 14. September abstellen. Bis November fordert die Aufsichtsbehörde „einen erkennbaren Fortschritt“. Dieser Prozess ist daher nicht als „Aufschub“ für die Banken zu werten: Sie werden auf der einen Seite gezwungen, die Fallback-Lösungen für Drittdienstleister länger bereitzustellen und auf der anderen Seite müssen sie mit Hochdruck daran arbeiten, der BaFin performante PSD2-Schnittstellen im November zu präsentieren.

Drittanbieter sind natürlich vollumfänglich an die DSGVO gebunden und müssen zur Gewährleistung der Datensicherheit die technischen Regulierungsstandards der Europäischen Bankenaufsichtsbehörde (EBA) einhalten. Der Verbraucher entscheidet selbst, wer Zugriff beziehungsweise Einsicht auf seine Daten bekommt – dafür brauchen Drittdienstleister die Zustimmung des Kontoinhabers: Das Agreement erlischt dann nach 90 Tagen.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist Teil der neuen „Strong Customer Authentification“ (SCA) für Online-Zahlungen. Online-Zahlungen müssen grundsätzlich durch zwei autonome Attribute aus den Kategorien Wissen (PIN, Passwort), Inhärenz (Fingerabdruck, Gesichtserkennung) und Besitz (Smartphone, Karte, TAN-Generator) autorisiert werden. Geschäfte bis 30 Euro müssen nicht extra bestätigt werden. Selbst Transaktionen zwischen 30 Euro und 500 Euro sollen von einer Authentifizierung befreit sein, wenn das jeweilige Zahlungsmittel definierte Betrugsquoten nicht übersteigt.

Auch wiederkehrende Zahlungen wie beispielsweise das SEPA-Verfahren und Abonnementzahlungen bleiben von der neuen EU-Richtlinie PSD2 „verschont“. Bei Online-Kreditkartenzahlungen gibt es eine zeitlich befristete Ausnahmeregelung: Issuer dürfen aktuell Kreditkartenzahlungen nicht ablehnen, wenn sie ohne SCA durchgeführt wurde. Das bedeutet, Zahlungen, die online über Kreditkarte abgewickelt werden, können durch eine Zwei-Faktor-Authentifizierung gesichert werden, müssen es aber zunächst nicht zwingend – die BaFin wird dies erst einmal nicht beanstanden.

Andere elektronische Zahlungsauslösungen sind nicht von dieser Besonderheit betroffen. Das Log-in-Verfahren für Onlinebanking oder Zahlungen via ZAD müssen seit dem 14. September zusätzlich zum Passwort mit einer TAN, SMS oder per Fingerabdruck respektive Gesichtserkennung verifiziert werden. Auch Online-Überweisungen werden nur mit einem weiteren Sicherheitsfaktor angestoßen.

Was sind Drittdienstleister?

Oft genannt, nie erklärt. Was sind Drittdienstleister? „Payment Initiation Service Provider“ (PISP) bieten Zahlungsauslösedienste (ZAD) an. Sie werden vom Kontoinhaber beauftragt, Zahlungen als Kundenauftrag beim kontoführenden Finanzinstitut (in der Regel das eigene Girokonto bei einer Bank) zu initiieren. „Account Information Service Provider“ (AISP) sind Kontoinformationsdienste (KID) beziehungsweise Aggregatoren, die Kundendaten und Kontoinformationen im Namen des Kontoinhabers elektronisch beim kontoführenden Finanzinstitut einholen. Die Daten, auch von unterschiedlichen Zahlungskonten, werden konsolidiert und dem Kunden als holistische Finanzübersicht bereitgestellt.

Was ändert sich für Onlinehändler?

Durch die Öffnung der Kontoschnittstellen für „Dritte“ können Onlinehändler ihren Kunden ganz neue, innovative Payment-Optionen und Bezahlverfahren anbieten. Allerdings könnte die bereits erwähnte Zwei-Faktor-Authentifizierung Händler ebenso schwer belasten. Denn grundsätzlich strapaziert PSD2 die Kunden-Toleranz gegenüber komplizierten Payment-Prozessen und provoziert Kaufabbrüche. Experten prognostizieren dem europäischen E-Commerce sogar Mindereinnahmen in Höhe von 57 Milliarden Euro.

Shopbetreiber sollten ihr Payment-Setup womöglich upgraden und alternative Bezahlverfahren anbieten. Der Rechnungskauf zum Beispiel zählt ohnehin zu den populärsten Zahlungsarten in Deutschland. Aus Händlersicht vielleicht und verständlicherweise nicht immer das favorisierte Zahlungsmittel der Wahl. Doch gibt es den Rechnungskauf auch als abgesicherte Variante. Der Payment-Service-Provider übernimmt dann neben der reinen Anbindung und Abwicklung der Zahlungsverfahren auch das Risiko- und Forderungsmanagement.

Die PSD2 erlaubt Onlineshoppern jedoch die Erstellung einer sogenannten Whitelist für (Online-)Händler. Diese Whitelist ist eine TAN-freie IBAN-Liste, über die eingerichtete und autorisierte Zahlungsaufträge schnell und ohne Transaktionsnummer (TAN) abgewickelt werden können. In der Praxis dürften aber wohl nur die großen Unternehmen und Big Player der Szene davon profitieren. Stichwort Customer Loyalty. Schon seit Januar 2018 gilt das „Surcharge-Verbot“ für bargeldlose Transaktionen. Auf Kartenzahlungen, Überweisungen oder Lastschriften dürfen von Händlerseite keine Extra-Gebühren mehr erhoben werden.

* Mirko Hüllemann ist Gründer und Geschäftsführer von heidelpay.

(ID:46144956)