Zahlungsrichtlinie (PSD2) in Kraft

Die Zahlungsrichtlinie PSD2 betrifft vor allem Online-Händler. Lesen Sie, welche Herausforderungen auf den Handel zukommen und was die Unternehmen tun können.

Starke Kundenauthentifizierung (PSD2)
Was müssen Händler tun?
Wann kann bei elektronischen Zahlungen auf die SKA verzichtet werden?
Kauf auf Rechnung und Vorkasse von SKA ausgenommen
Rechtsgrundlage

Starke Kundenauthentifizierung (PSD2)

Die starke Kundenauthentifizierung (SKA) oder Zwei-Faktor-Authentifizierung verändert den Zahlungsverkehr – besonders im Online-Handel. Grundlage hierfür ist die zweite EU-Zahlungsdiensterichtlinie (Payment Service Directive 2, PSD2). Die PSD2 gilt seit dem 14. September 2019.

SKA bedeutet, dass Zahlungen mit allen elektronischen Zahlungsmitteln außer Lastschrift mit zwei der drei Faktoren bestätigt werden müssen:

etwas, was der Nutzer weiß, z. B. Pin/Passwort
etwas, was der Nutzer besitzt, z. B. Smartphone/App oder Karte/Chip
etwas, das dem Nutzer inne ist, z. B. Fingerabdruck oder Stimme

Was müssen Händler tun?

Die neue Regelung zur SKA betrifft alle elektronischen Zahlungsvorgänge innerhalb der EU. Besonders davon betroffen sind Online-Händler, die auf PSD2-kompatible Zahlungsanbieter setzen müssen, wollen sie weiter elektronische Zahlungsverfahren anbieten. Auch im stationären Handel gilt die SKA, die hier jedoch bereits bekannt ist.

Für die Umsetzung der starken Kundenauthentifizierung sind ggf. technische Anpassungen in den Bezahlprozessen notwendig. Dies hängt vor allem von den angebotenen Zahlungsverfahren ab. Im Falle einer Anpassung sollten Sie diese ausgiebig testen und im Nachgang für die Kunden verständlich darstellen. Zudem kann eine Aktualisierung Ihrer AGB und Datenschutzerklärung notwendig und eine Schulung Ihres Kundensupports sinnvoll sein.

Wenn Sie als Online-Händler Kreditkartenzahlungen akzeptieren, müssen diese – spätestens bei Einführung der starken Kundenauthentifizierung – mit dem Sicherheitsprotokoll 3-D Secure abgesichert werden. Bei Fragen sollten Sie sich an Ihren Payment Service Provider und/oder Kreditkartenacquirer wenden.

Wann kann bei elektronischen Zahlungen auf die SKA verzichtet werden?

Bei Vorliegen folgender Voraussetzungen kann auf die starke Authentifizierung verzichtet werden:

Wiederkehrende Zahlungsvorgänge an dieselben Zahlungsempfänger, wenn diese einmal per SKA autorisiert wurden
Vom Zahler oder seiner Bank als vertrauenswürdig eingestufte Empfänger (Whitelist)
Nach erfolgreicher Prüfung eines Betrugsrisikos (Transaktionsrisikoanalyse)
Kleinbetragszahlungen online bis 30 Euro und stationär bis 50 Euro, maximal fünf Transaktionen ohne SKA, kumulierter Betrag darf 150 Euro nicht überschreiten

Ob eine Ausnahme angewendet oder genutzt werden kann, entscheidet nicht der Händler, sondern der kontoführende Zahlungsdienstleister, also in den meisten Fällen die Bank des Kunden.

Kauf auf Rechnung und Vorkasse von SKA ausgenommen

Die Lastschrift ist von den Anforderungen der SKA ausgenommen. Rechnung, Vorkasse und Nachnahme werden losgelöst von der eigentlichen Bestellung abgewickelt und sind nicht Teil des Bezahlprozesses im Online-Shop. Sollten Sie daher nur diese Zahlverfahren anbieten, müssen Sie keine Anpassungen vornehmen.

Rechtsgrundlage

Die starke Kundenauthentifizierung basiert rechtlich auf der Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt (PSD2) und den ergänzenden regulatorisch-technischen Standards (RTS). Die aufsichtsrechtlichen Bestimmungen finden sich im Zahlungsdiensteaufsichtsgesetz (ZAG) und die zivilrechtlichen Vorgaben im Bürgerlichen Gesetzbuch (BGB) § 675c bis § 676c.