Nur noch rund drei Monate, dann ist es so weit: Die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) tritt am 14. September 2019 in Kraft und mit ihr die Regelungen zu der sogenannten Zwei-Faktor-Authentifizierung. Wir haben zusammengetragen, was Händler zum Thema Zwei-Faktor-Authentifizierung wissen müssen. 

Größere Veränderungen stehen durch die Pflicht zur Zwei-Faktor-Authentifizierung bei Kreditkartenzahlungen an. Bereits vor einigen Jahren haben Kreditkartenunternehmen unter Bezeichnungen wie „Verified by Visa“ und „Mastercard Secure Code“ den 3D-Secure1-Standard eingeführt. Das Verfahren sollte Kreditkartenzahlungen durch einen vom Verbraucher hinterlegten PIN-Code als zusätzliches Identitätsmerkmal sicherer machen. Das bislang freiwillige Verfahren gilt aber als sehr unkomfortabel und hat sich daher nicht durchgesetzt. 

Mit der EU-Zahlungsdiensterichtlinie PSD2 wird nun auch für Kreditkartenzahlungen die Zwei-Faktor-Authentifizierung vorgeschrieben. Daher haben sich die ­beteiligten Akteure auf den neuen 3D-Secure2.0-Standard geeinigt. Er soll die Umsetzung der starken Authentifizierung erleichtern, indem biometrische Methoden wie etwa der Fingerabdruck oder per SMS oder E-Mail verschickte Einmal-TANs zur Sicherung leichter eingesetzt werden können. Außerdem ermöglicht der neue Standard das Erfassen von bis zu 100 Daten zum Käufer und dem Kaufprozess. Dazu zählen etwa die Anzahl der Transaktionen, die Warenkorbgröße, die Wiederkaufsrate, die IP-Adresse des Käufers, die verwendete Browser-Version und Ähnliches.

Diese dienen als Basis für die ­sogenannte Transaktionsrisikoanalyse. Eine solche Transaktionsrisikoanalyse können Finanzdienstleister durchführen, um das Risiko einer betrügerischen Zahlung einzuschätzen. Unterschreitet der Risikowert die vorgeschriebenen Grenzwerte, darf die Zahlung ohne Zwei-Faktor-Authentifizierung abgeschlossen werden. Je mehr Daten zur Verfügung stehen, desto leichter ist die ­Risikoanalyse und desto seltener ist eine starke Authentifizierung nötig. 

Allerdings kann die Transaktionsrisikoanalyse nicht auf einen einzelnen Händler bezogen durchgeführt werden. Basis ist immer die Gesamtheit aller Zahlungen mit einer Zahlart. Dennoch gehen einige Payment-Dienstleister davon aus, dass aufgrund der Transaktionsrisikoanalyse künftig bis zu 95 Prozent der Kreditkartenzahlungen ohne Zwei-Faktor-Authentifizierung durchgeführt werden könnten.

Dementsprechend groß ist das Interesse der Kreditkartenunternehmen und der Payment Service Provider (PSP), den 3D-Secure2.0-Standard zu etablieren. Denn wenn der Zwang zum zweiten Faktor aufgrund der Risikoanalyse wegfällt, steigt die Wahrscheinlichkeit, dass der Kunde auch weiterhin mit der Kreditkarte bezahlen will. Es steht also für die Kreditkartenunternehmen und die Payment Service Provider, die ja oftmals die Kreditkartenzahlungen für die Online-Händler abwickeln und daher an jeder Transaktion mitverdienen, viel Geld auf dem Spiel. 

Für den Händler heißt das konkret: Er muss prinzipiell ab September für Kreditkartenzahlungen ein 3DSecure-Verfahren integrieren. Das kann aber auch noch der alte 3DSecure1-Standard sein, der um ­einen zweiten Faktor ergänzt wird. Ein Zwang, auf das neue Verfahren umzusteigen, besteht nicht. De facto werden die Händler aber gut beraten sein, den neuen Standard einzusetzen, da er einen deutlich höheren Bedienkomfort für die Online-Shopper und dadurch eine geringere Kaufabbruchquote verspricht. 

Die Transaktionsrisikoanalyse ist eine der Ausnahmeregelungen in der PSD2 bei der Zwei-Faktor-Authentifizierung. Sie gilt im Übrigen nicht nur für Kreditkarten, sondern auch für andere Zahlungsdienstleister. Auch Paypal könnte nach Einschätzung von Experten über die Grundgesamtheit seiner Zahlungen eine Transaktionsrisikoanalyse durchführen, um die starke Authentifizierung in möglichst vielen Fällen zu umgehen. Ob Paypal das tun wird, ist nicht bekannt. 

Daneben hat der Gesetzgeber weitere Ausnahmen geregelt, bei denen die Pflicht zum zweiten Faktor nicht gilt. Eine dieser Ausnahmen betrifft Kleinbeträge. So ist bei Beträgen unter 30 Euro keine Zwei-Faktor-Authentifizierung nötig. Das gilt allerdings nur, solange der Kunde insgesamt nicht mehr als 100 Euro seit der letzten mit zweitem Faktor abgesicherten Transaktion über dieses Bezahlverfahren ausgegeben oder nicht mehr als fünf Zahlungen mit dieser Zahlart getätigt hat.

Sind die Kriterien nicht erfüllt, ist eine Authentifizierung vorgesehen. Auch wiederkehrende Zahlungen, etwa für Abonnements, sind ausgenommen – selbst wenn es sich dabei um Zahlungen in ­unregelmäßigen Zeitintervallen und mit unterschiedlichen Summen handelt. 

Eine weitere Ausnahme ist das sogenannte Whitelisting. Dies bezeichnet ein Verfahren, bei dem der Online-Shopper vertrauenswürdige Zahlungsempfänger, also auch Shops seines Vertrauens, auf ­einer Liste hinterlegt, sodass bei Zahlungen in diesem Shop keine Authentifizierung nötig ist. Die Whitelists kann aber nur der Verbraucher selbst bei einem Zahlungsdienstleister führen. Das kann seine Bank, könnte aber auch Paypal sein. Es ist jedoch nicht klar, ob alle Banken solche Whitelists anbieten werden und wie gut die Verbraucher verstehen werden, was sie mit einem Eintrag eines Shops auf der Whitelist erreichen. Daher ist umstritten, ob das Whitelisting Online-Händlern ­erkennbar helfen kann, die Zwei-Faktor-Authentifizierung zu umgehen.

Inwieweit ein Händler von den Ausnahmeregelungen profitieren kann, hängt ­zudem vom Einzelfall ab. Shop-Betreiber sollten sich in jedem Fall bewusst sein, dass Umsetzung und Abwicklung der Ausnahmen sehr komplex sein können. So kann der Händler zum Beispiel nicht wissen, wie oft oder wie viel sein Kunde ­bereits ohne Authentifizierung mit dem ausgewählten Verfahren bezahlt hat, ob ­also die Fünfer-Regel oder die 100-Euro-Regel greift oder nicht. Auch die nötige Anbindung an die Banken, um eine Rückmeldung über ein mögliches Whitelisting automatisiert im Shop verarbeiten zu können, ist nicht zu unterschätzen. 

Wie sollten Händler sich nun konkret auf die Zwei-Faktor-Authentifizierung einstellen? Als Erstes sollte sich der Händler seinen Zahlarten-Mix genau ansehen und analysieren, welche Zahlarten seine Kunden am häufigsten nutzen und über welche Zahlarten er den meisten Umsatz ­beziehungsweise Gewinn generiert. 

Sind Kreditkartenzahlungen wichtig für ihn, sollte er sich mit seinem Payment Service Provider in Verbindung setzen. In aller Regel wird dieser zeitnah ein Update bereitstellen, mit dem das 3DSecure2.0-Verfahren integriert wird. Parallel ist zu klären, welche Daten der PSP vom Shop-Betreiber für die Transaktionsrisikoanalyse haben möchte. Hier ist der Händler gefragt, weil sein Shopsystem eventuell nicht alle gewünschten Daten ausweist. Im Zweifelsfall muss er prüfen, ob und inwieweit er seine Systeme anpassen will. Eventuell ist auch ein Wechsel des PSP sinnvoll.

Für Paypal-Zahlungen, die in vielen Shops eine große Rolle spielen, muss der Händler darauf vertrauen, dass Paypal rechtzeitig ­eine komfortable Lösung präsentieren wird. Gleiches gilt, wenn ein Händler Amazon Pay oder Paydirekt im Angebot hat. Bei den Bezahlverfahren Rechnungskauf, Lastschrift, Sofortüberweisung und Giropay sollten ­keine Probleme auftreten.

In jedem Fall sind Händler gut beraten, ihre Kunden über die anstehende Änderung zu informieren. Der Studie „The Impact of SCA“ des Payment Service Providers Stripe zufolge wissen 73 Prozent der Verbraucher nur wenig über die neuen Regelungen. Entsprechend irritiert werden sie reagieren, wenn sie während des Bezahlprozesses unvermittelt mit der Aufforderung zur weiteren Authentifizierung konfrontiert werden. 

Händler sollten sich daher überlegen, in welcher Form und an welcher Stelle im Shop sie ihren Kunden erklären können, warum sich der Bezahlvorgang ändert und wie er künftig aussehen wird. Eventuell sind Hilfestellungen direkt im Umfeld der gewählten Zahlart sinnvoll. Auch der Kundenservice sollte auf entsprechende Anfragen vorbereitet sein. 

Zudem ist es sinnvoll, Bezahlverfahren festzulegen, die als Auffangnetz dienen können, falls eine gewünschte Zahlung wegen der fehlenden Authentifizierung nicht zustande kommt. Als Ersatz kann der Händler etwa eine Zahlung via Lastschrift oder Sofortüberweisung oder auch den Rechnungskauf anbieten. Hat er bislang keine Verfahren im Angebot, die ­keine Zwei-Faktor-Authentifizierung ­benötigen, sollte er überlegen, mindestens eine solche Zahlart einzuführen.

Branchenexperten vermuten, dass Online-Shopper vor allem bei Kreditkartenzahlungen sensibel auf die Zwei-Faktor-Authentifizierung reagieren werden. Insofern rechnen viele damit, dass die Kreditkarte als Zahlungsmittel bei deutschen Käufern an ­Attraktivität verlieren wird. Im Gegenzug könnte die Lastschrift eine Renaissance erleben, da sie auch künftig komplett ohne Zwei-Faktor-Authentifizierung auskommt. Profitieren könnten auch mobile Bezahlverfahren wie Apple Pay und Google Pay. Sie sind nach gängiger Einschätzung von Experten so angelegt, dass die Zwei-Faktor-Authentifizierung gesichert ist. Sie könnten daher nicht nur im stationären, sondern auch im Online-Handel mehr nachgefragt werden. 

Derzeit ist nicht sicher, ob die Regelungen zur Zwei-Faktor-Authentifizierung tatsächlich ab dem 14. September 2019 so gelten werden. Viele Akteure, darunter Payment Service Provider und Händler, sind offensichtlich nicht in der Lage, die Vorgaben zum Stichtag umzusetzen. Daher haben verschiedene Interessengruppen wie der europäische Handelsdachverband Euro Commerce an die europäische Bankenaufsicht European Banking Authority (EBA) appelliert, den Start zu verschieben. 

Die EBA hat nun klargestellt, dass die Regelungen in jedem Fall am 14. September 2019 in Kraft treten werden. Allerdings räumt sie den nationalen Aufsichtsbehörden das Recht ein, in begründeten Ausnahmefällen eine Fristverlängerung zuzulassen. Während dieser Übergangszeit würden Verstöße gegen die Regelungen dann nicht geahndet. 

In Deutschland ist für eine solche Fristverlängerung die Bundes­anstalt für Finanzdienstleistungsaufsicht, kurz Bafin, zuständig. Experten halten es für sehr wahrscheinlich, dass es insbesondere für Kreditkartenzahlungen zu solchen Ausnahmegenehmigungen kommen wird. Klar ist aber, dass die Regelungen in Zukunft in ­jedem Fall gelten – wenn auch vielleicht einige Monate später als ursprünglich vorgesehen. Die Händler sollten sich daher in ­jedem Fall darauf vorbereiten.