PSD2: Was ändert sich jetzt für mich?

Es sollte mittlerweile bekannt sein, dass ab Samstag, den 14. September 2019, die erste technische Umsetzung der PSD2-Richtlinie stattfindet. In einer aktuellen Studie zeichnet sich jedoch ein anderes Bild: 28 Prozent der Online-Händler wissen gar nicht, dass die Änderungen passieren werden, mindestens 32 Prozent der Händler sind noch nicht tätig geworden. Die neuen Regeln betreffen natürlich aber nicht nur Online-Händler, sondern auch Verbraucher, Banken und Finanz- und Zahlungsdienstleister. Die wichtigsten Änderungen finden Sie in unserer Übersicht. 

Was ist die PSD2-Richtlinie? 

Die Payment Services Directive 2 (PSD2; deutsch: Zahlungsdiensterichtlinie 2) wurde von der Europäischen Union beschlossen, um in Europa sicheren und innovativen Online-Zahlungsverkehr zu fördern. Einerseits wird Drittanbietern von Finanzdienstleistungen, die keine Banken sind, der Finanzmarkt geöffnet, andererseits werden stärkere Sicherheitsstandards eingeführt. 

Begleitet wurde die PSD2-Richtlinie von einer Verordnung über technische Standards, die die Mitgliedstaaten einheitlich in nationales Recht umsetzen müssen. Die ursprüngliche Deadline läuft nun zum 14. September aus. 

Was ist die Starke Kundenauthentifizierung (SCA)? 

Starke Kundenauthentifizierung ist ein Überbegriff für stärkere Sicherheitsmaßnahmen bei Online-Zahlungen. Bei Online-Überweisungen ist schon längst eine Zwei-Faktor-Authentifizierung notwendig. Das heißt, dass nicht bloß die einfache Eingabe eines Passworts zur Verifizierung ausreicht. Diese Regelung wird auch im Online-Handel verpflichtend, besonders die Kreditkartenzahlung wird davon betroffen sein. Künftig werden einmalig generierte TANs oder eine Authentifizierung durch Gesichtsscan oder Fingerabdruck zusätzlich zum Passwort notwendig sein. 

Was ist 3D-Secure 2.0?

3D-Secure 2.0 ist ein digitales Sicherheitsprotokoll, dass bei Online-Kreditkartenzahlungen die Starke Kundenauthentifizierung gewährleistet. Entwickelt wurde das Programm von den Kreditkartengesellschaften. Das Protokoll muss in Zahlungsprozesse mit Kreditkarte integriert sein, sonst drohen Fehler bei der Zahlungsabwicklung. Viele Zahlungsdienstleister und Banken haben es bereits umgesetzt, allerdings hängen einige Online-Händler noch hinterher.

Was wird am 14. September anders? 

Vor allem das Online-Banking. Regelmäßige zusätzliche Authentifizierungen beim Login ins Online-Banking, schnelleres automatisches Logout und Multibanking-Angebote werden kommen. Drittanbieter kann der Zugriff auf Bankkonten gewährt werden, sodass bei Zahlungen in Online-Shops künftig kein Einloggen ins Bankkonto mehr nötig ist. 

Durch die Fristverschiebung bei der Kreditkartenzahlung und weil Lastschrift- und Rechnungskauf von der Starken Kundenauthentifizierung ausgenommen sind, werden die direkten Änderungen im Online-Handel erstmal begrenzt sein. Das soll aber keine Entwarnung sein: Denn die SCA wird auch für die Kreditkarte kommen. 

Welche Fristen wurden verschoben? 

Damit Drittanbieter (z. B. Zahlungsauslösedienste, Kontoinformationsdienste) in Echtzeit Zugriff auf Bankkonten bekommen können, braucht es wirksame Schnittstellen. Diese müssen von den Banken eingerichtet werden. Die deutsche Bankenaufsichtsbehörde BaFin hat festgestellt, dass dies noch nicht ausreichend erledigt wurde. Das könnte zu langen Wartezeiten führen oder dazu, dass manche Dienste überhaupt nicht funktionieren. Deswegen wurde den Banken mehr Zeit gegeben, um die Schnittstellen zu verbessern. Die Öffnung der Konten für Drittanbieter wird ab 14. September trotzdem in Kraft treten.

Ebenfalls verlängert wurde die Frist für die Umsetzung von SCA bei Kreditkartenzahlungen im Netz. Da die Kreditkartenzahlung am meisten von der Einführung von SCA betroffen sein wird, bedeutet das, dass die Umstellung am 14. September nicht allzu groß sein wird. Doch spätestens in 18 Monaten werden Online-Händler und Kunden dafür bereit sein müssen. 

Was müssen Online-Händler nun tun?

Online-Händler sollten einen kühlen Kopf bewahren, sich mit den Änderungen vertraut machen und ihre Zahlungsdienstleister kontaktieren. Diese können am besten einschätzen, ob und welche Änderungen die Händler selbst im Shop durchführen müssen, beispielsweise bei der Umstellung auf 3D-Secure 2.0. Händler sollten auch ihren Bezahloptionenmix darauf prüfen, dass alle Zahlungsweisen mit der SCA konform sind. Auf gar keinen Fall sollten Online-Händler die Änderungen ignorieren oder darauf vertrauen, dass sich alles von alleine regelt. Nachlässigkeit kann dazu führen, dass zukünftig manche Zahlungsarten im Shop nicht mehr funktionieren oder die Oberfläche für Kunden fehlerhaft ist. Anders gesagt: Nichtstun führt zu Verlusten. 

Was müssen Kunden beachten?

Verbraucher und Kunden von Online-Shops müssen sich erst einmal darauf einstellen, dass der Online-Einkauf künftig mehr Klicks und Eingaben als bisher benötigt. Davon sollte man sich nicht abschrecken lassen: Mehr Sicherheit kommt im Internet nun mal durch einen Mehraufwand zustande. Naiv darf man dabei aber auch nicht sein, warnt das LKA Rheinland-Pfalz, denn aktuell versuchen Kriminelle die Umstellung zur PSD2 für Phishing-Betrüge zu nutzen. 

Je nach Bank und Kreditkartenherausgeber unterscheidet sich auch, ob Kunden für Online-Banking und Online-Shopping künftig neue Apps brauchen oder sich für bestimmte Verfahren registrieren lassen müssen. Die Banken haben dazu größtenteils gut verständliche Informationen auf ihren Websites. Hier sollten sich die Kunden rasch informieren, um nicht ratlos dazustehen, sobald die Änderungen umgesetzt werden.

Wo wird mir geholfen?

Online-Händler werden Hilfe bei ihren Zahlungsdienstleistern finden und bei den Herstellern ihrer Zahlungsangebote. Für die Kunden ist der Kontakt mit der eigenen Bank der schnellste und sicherste Weg zu guten Informationen. 

Der Händlerbund hat eine Infografik zur PSD2 veröffentlicht, dass Online-Händlern und Kunden über die Basics informiert und Tipps gibt, wie man sich auf die Umsetzung der neuen Regeln vorbereitet. 

Gibt es Ausnahmen von der Starken Kundenauthentifizierung? 

Ja. Damit sollten sich Online-Händler und Kunden auseinandersetzen. Transaktionen mit geringen Beträgen und Abonnements oder wiederkehrende Zahlungen sind ausgenommen. Kunden können die Shops ihres Vertrauens bei ihrer Bank auf eine Whitelist setzen, um die SCA zu umgehen. Händler können mit Unterstützung ihrer Acquirer eine Transaktionsrisikoanalyse durchführen, dann muss auch bei Transaktionen mit geringem Risiko keine SCA erfolgen.