PSD2 und Strong Customer Authentication (SCA) – das gilt bei Online-Transaktionen /fileadmin/_processed_/a/c/csm_PSD2_und_Strong_Customer_Authentication_3636bff018.jpg 2019-06-26 Lexware

PSD2 und Strong Customer Authentication (SCA) – das gilt bei Online-Transaktionen

Von Thomas Schirmer
Aktualisiert am: 26.06.2019

Seit dem 14. September 2019 greift die neue PSD2-Richtlinie. Dies hat nicht nur für Banken und andere Zahlungsdienstleister Konsequenzen, sondern betrifft auch Unternehmer, die Online-Handel betreiben. Lesen Sie hier, worum es genau geht, inwieweit Sie als Endkunde oder Händler betroffen sind und was es jetzt zu tun gilt, um auch in Zukunft allen Anforderungen gerecht zu werden.

Was ist die PSD2-Richtlinie?

PSD2 steht für Payment Service Directive 2 und ist eine überarbeitete EU-Zahlungsdiensterichtlinie. Diese wurde im Januar 2018 mit dem Zahlungsdiensteaufsichtsgesetz (ZAG) in Deutschland umgesetzt und hat das Ziel, konkrete neue Anforderungen an Zahlungsdienstleister auf den Weg zu bringen. Die bisherigen Sicherheitsstandards werden damit wesentlich angehoben. Die Konsequenzen sind weitreichend, denn es wird auch der Geltungsbereich erweitert und es werden bisher unregulierte Dienstleister und Zahlungsformen miteinbezogen. Betroffene sind unter anderem kontoführende Zahlungsinstitute und Betreiber von Online-Shops. Die entsprechende Verordnung greift seit dem 14. September 2019.

Doch worum genau geht es der EU mit der neuen Zahlungsdiensterichtlinie? Vier Kernziele werden explizit verfolgt:

  1. Erhöhung der Sicherheit im Zahlungsverkehr
  2. Stärkung des Verbraucherschutzes
  3. Förderung von Innovationen
  4. Steigerung des Wettbewerbs im Markt

Der Sicherheits- und Schutz-Aspekt wird insbesondere durch die Strong Customer Authentication (SCA) erreicht (mehr dazu weiter unten). Die Förderung von Innovation und Wettbewerb findet unter anderem durch die Öffnung von Konto-Schnittstellen statt, was gänzlich neue Bezahllösungen ermöglicht. Ein Beispiel hierfür ist, dass ein Online-Shop auf der eigenen Seite einen Dienst für Online-Überweisungen anbieten kann und der Kunde so die Händlerseite nicht verlassen muss, um das Online-Banking beim jeweiligen Kreditinstitut zu nutzen.

Ein anderes Beispiel für die Förderung von Innovation und Wettbewerb sind die nun möglichen Kontoinformationsdienste, die Informationen sämtlicher Zahlungskonten eines Nutzers aufbereiten, also beispielsweise über diverse Banken hinweg Umsätze und Kontostände anzeigen können. Diese Drittanbieter stehen dann (in Deutschland) unter der Aufsicht und Kontrolle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die BaFin informiert auf ihrer Webseite über bereits zugelassene Drittdienstleister. Für weitere Anbieter im europäischen Ausland sind die Aufsichtsbehörden der jeweiligen Länder zuständig, eine Übersicht findet sich hier.

Was ist Strong Customer Authentication (SCA)?

Ein wesentlicher Bestandteil der PSD2 hinsichtlich der angestrebten Erhöhung der Sicherheit ist die starke Kundenauthentifizierung (SCA). Diese wird ebenfalls im September 2019 eingeführt. Hierbei geht es grundsätzlich um die Authentifizierung von Nutzerkonten und Online-Zahlungen. „Stark“ wird diese durch das Zwei-Faktor-Prinzip. Dadurch soll in erster Linie die Sicherheit erhöht und Betrug eingedämmt, aber auch beispielsweise aktuell genutzte, klassische TAN-Listen abgeschafft werden, wie sie heute teilweise noch von Bankkunden bei Online-Überweisungen genutzt werden. Im Fokus der Anpassungen stehen Transaktionen, die vom Zahler selbst ausgelöst werden, also insbesondere klassische Kartenzahlungen. Den zunehmend etablierten, kundenorientierten Ansatz des „One-Click-Shoppings“ kann es somit ohne Weiteres nicht mehr geben. Ausnahmen hiervon sind unter anderem:

  • Zahlung von Parkgebühren mittels unbeaufsichtigter Automaten oder elektronischer Zahlungen für die Personenbeförderung sowie Zahlungen an eigene Konten
  • Kontaktloses Bezahlen bis 30 Euro sowie weitere Transaktionen mit geringen Beträgen (maximal 30 Euro, kumuliert 100 Euro bzw. fünf Zahlungen seit der letzten SCA)
  • Transaktionen mit geringem Risiko, beispielsweise indem der Händler sich bei Banken auf eine Positivliste (Whitelist) setzen lässt.

Bei Abo-Modellen und anderen wiederkehrenden Zahlungen wird die SCA zumindest beim ersten Einrichten verlangt. Die Authentifizierung muss dann in allen Fällen durch mindestens zwei dieser drei Elemente erfolgen:

  1. Wissen, das nur der Nutzer hat (z. B. ein Passwort)
  2. Besitz, der eindeutig beim Nutzer liegt (z. B. durch Nutzung eines Smartphones)
  3. Inhärenz, also etwas, das dem Nutzer zu eigen ist (z. B. ein Fingerabdruck)

Für weitere Erläuterungen zur Zwei-Faktor-Authentifizierung (2FA) und konkrete Praxis-Tipps empfehlen wir unseren kürzlich erschienenen Artikel. Die Herausforderung besteht vor allem darin, den Spagat zwischen richtlinienkonformer Sicherheit und unterbrechungsfreiem Kundenerlebnis zu schaffen – und dies rechtzeitig.

Themenseite "Datensicherheit"

Wenn Sie nicht mehr auf Geschäftsdaten zugreifen können, wird das schnell sehr teuer. Damit Ihnen das nicht passiert, zeigen wir Ihnen auf der Themenseite "Datensicherheit", wie Sie Ihre Daten effektiv vor Diebstahl, Missbrauch und Verlust schützen.

Was bedeutet die Verpflichtung zur SCA für Betreiber von Online-Shops?

Wie oben bereits angesprochen, sind nun insbesondere auch Betreiber von Online-Shops betroffen und müssen den neuen Anforderungen gerecht werden. Neben etablierten Bezahlmodellen wie den klassischen Kreditkarten, die mittels verbesserter Verfahren (wie beispielsweise 3D-Secure) weiter genutzt werden können, sollen sich nun mit der Öffnung der Konto-Schnittstellen weitere Drittanbieter mit innovativen Lösungen platzieren.

Entsprechend bietet sich mit der nun zwingend (und dringend) erforderlichen Überprüfung der Konformität des eigenen Angebots auch eine gute Gelegenheit zur Modernisierung und Erweiterung der Bezahlmöglichkeiten. Dabei gilt es jedoch zu beachten, dass das sogenannte Surcharge-Verbot gilt, also keinerlei separate Gebühren gegenüber den Kunden erhoben werden dürfen, weder bei Kartenzahlung noch bei Überweisungen oder Lastschriften. Es lohnt sich also eine gründliche Recherche, inwiefern weitere Anbieter für den konkreten Bedarf geeignete Lösungen anbieten.


Bewerten Sie diesen Artikel:
(0)
6 4.5 1 5