PSD2 – Das ist der aktuelle Stand für E-Commerce Unternehmen

Quelle: Unsplash

Am 14. September treten die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (second Payment Services Directive, kurz PSD2), und somit die Starke Kundenauthentifizierung (strong customer authentification, kurz SCA) in Kraft. Diese soll Zahlungsvorgänge im Internet sicherer machen. Doch die Umstellung für Unternehmen ist kompliziert. Laut einer Studie von Stripe könnte es zu Mindereinnahmen von bis zu 57 Milliarden Euro kommen. Besonders kleine Unternehmen sind nicht auf die Änderungen vorbereitet. Darauf hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jetzt reagiert. Das ist der aktuelle Stand. 

Online Kartenzahlung in Deutschland bleibt vorerst auch ohne Starke Kundenauthentifizierung möglich

Die BaFin hat hierzu jetzt bekannt gegeben, dass Zahlungsleister in Deutschland vorerst auch ohne SCA Kartenzahlungen im Internet durchführen dürfen. Nach Einschätzung der BaFin besteht bei Unternehmen in Deutschland, die Kreditkartenzahlung im Internet als Zahlungsempfänger nutzen, noch hoher Anpassungsbedarf. Damit diesen Unternehmen keine Nachteile entstehen, wird die BaFin vorerst keine Maßnahmen gegen Transaktionen ohne SCA erheben.

Die Sonderregelung ist jedoch zeitlich begrenzt. Die BaFin will zunächst mit den MarktteilnehmerInnen sprechen und sich mit der Europäische Bankenaufsichtsbehörde (EBA) und den nationalen europäischen Aufsichtsbehörden abstimmen, bevor sie entscheidet, wann PSD2 auch für deutsche Unternehmen gänzlich in Kraft tritt.

Was genau ist PSD2 und SCA?

Bei der Starken Kundenauthentifizierung (SCA) werden zwei voneinander unabhängige Elemente zur Identifizierung der KundInnen beim online Zahlungs-Prozess verwendet. Diese müssen aus zwei von drei Kategorien bestehen:

  1. etwas, das das Kunde weiß, wie ein Passwort
  2. etwas, das der Kunde besitzt, also Beispielsweise sein Smartphone
  3. und etwas, das der Kunde ist, also eine Inhärenz wie ein Fingerabdruck oder Gesichtserkennung

Nur wenn zwei der drei Kriterien erfüllt sind, gilt der Zahlungsvorgang nach Anforderungen der PSD2 als sicher. Während das Kreditinstitut der KundInnen die nötigen Anpassungen für diese vornimmt, müssen Unternehmen ihren Zahlungsvorgang selbst dementsprechend anpassen.

Viele E-Commerce Unternehmen verwenden sogenannte Payment Service Provider um ihre Zahlungsvorgänge im Internet zu regeln. Das sind Firmen die sich auf dieses Thema spezialisiert haben und besonders für Startups interessant sind, da diese häufig nicht die nötigen Kenntnisse in diesem Bereich besitzen. Im Fall der Änderungen bezüglich der PSD2, kümmern sich die Payment Service Provider um die nötigen Anpassungen.

Schwierig wird es für kleine Unternehmen oder Startups, die keinen solchen Dienstleister beschäftigen. Generell bedeuten spontane Änderungen der Rechtslage wie diese für die meisten Startups, dass sie sich plötzlich zwingend mit einem Thema auseinander setzen müssen, in dem sie keine ExpertInnen haben. Stephan Schleuss, Geschäftsführer des Leipziger E-Commerce Startup Wundercurves ging es da ähnlich:

„Wir haben Glück dass unser Payment Service Provider uns über die Änderungen Informiert hat, und uns dabei unterstützt alles umzustellen. Aber für alle Startups, die bei dieser Aufgabe auf sich allein gestellt sind, wird die Übergangsphase sicherlich eine schwierige Zeit.“

Stripe prognostiziert finanzielle Schäden im Milliarden Bereich auf Seiten der Unternehmen

Der Zahlungsdienstleister Stripe hatte bereits Ende Juli eine Studie herausgebracht und Mindereinnahmen von 57 Milliarden Euro prognostiziert. Die HerausgeberInnen der Studie befragten 500 qualifizierte ZahlungsexpertInnen aus Online-Unternehmen und 1.000 VerbraucherInnen in Großbritannien, Frankreich, Deutschland, den Niederlanden und Spanien. Grund dafür seien in erster Linie zusätzlich abgebrochene Zahlungsvorgänge auf Seiten der KundInnen, aufgrund von schwierigen Bezahlprozessen.

„Drei von fünf Unternehmen mit weniger als 100 MitarbeiterInnen sind entweder mit SCA nicht vertraut, planen nicht, vor September regelkonform zu arbeiten, oder sind unsicher, wann sie so weit sein werden.“, heißt es in der Studie.

Viele von ihnen setzen auf die Ausnahmeregelungen für bestimmte Zahlungsvorgänge, wie z.B. Transaktionen unter 30 Euro. Stripe befürchtet hier jedoch, dass die Unternehmen den Prozess unterschätzen. Denn letztendlich entscheidet die Bank der KarteninhaberInnen darüber, ob die Ausnahme akzeptiert wird.

SCA wird ein strategischer Erfolgsfaktor für Internetunternehmen. Die Dringlichkeit, sich darauf einzustellen, kann nicht genug betont werden“ so Guillaume Princen, Head of Continental Europe bei Stripe.

Stephan Schleuss sieht noch eine andere Gefahr, nämlich die von hohen Geldstrafen, falls die Änderungen nicht korrekt umgesetzt werden, und das in erster Linie aus Unwissenheit. Hier können zumindest deutsche E-Commerce Unternehmen jetzt aber erstmal aufatmen. Bis die BaFin Maßnahmen erheben wird, wird wohl noch ein wenig Zeit vergehen. Wir halten euch auf dem Laufenden.

Hier geht es zu der Pressemitteilung der BaFin, und hier zu der Studie von Stripe.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*