Online-Zahlungen in der EU – Neue Rechtslage ab Januar 2018

Veröffentlicht: 12.12.2017 | Geschrieben von: Yvonne Bachmann | Letzte Aktualisierung: 30.06.2022

Den Begriff „Payment Service Directive“ (Dt.: Zweite Zahlungsdiensterichtlinie, kurz: PSD2) haben bisher nur wenige Händler gehört. 60 Prozent der Teilnehmer einer Händlerbund-Studie müssen sogar einräumen, dass sie von der PSD2 bislang nichts gehört haben und ein Drittel kann zwar mit dem Begriff etwas anfangen, weiß aber nicht genau, worum es geht. Das ist jedoch fatal, denn sie hat Auswirkungen auf alle Zahlungen, insbesondere die im Online-Shop.

PSD2
© gotphotos / Shutterstock.com

Hintergrund: Sichere und innovativere elektronische Zahlungsdienste

In keinem anderen Gebiet können Gesetze und Rechtsprechung so wenig mit der technischen Entwicklung mithalten wie im E-Commerce. Die PSD2 soll die europäischen Zahlungsdienste daher nun „modernisieren und sicherstellen, dass diese mit der rasanten Marktentwicklung Schritt halten können und dass sich der europäische Markt für den elektronischen Handel entfalten kann“. 

Ein wesentliches Ziel der EU-Richtlinie 2015/2366 (PSD2) ist die Erhöhung der Sicherheit und des Vertrauens bei elektronischen Zahlungen. Mit der PSD2 werden die Zahlungsdienstleister unter anderem verpflichtet, eine sog. „starke Kundenauthentifizierung“ zu entwickeln. Die neuen Vorschriften enthalten deshalb Sicherheitsbestimmungen, die den Betrug im Zahlungsverkehr erheblich eindämmen sollen.

Stufe 1: Abschaffung von Zahlungsgebühren – Ab 13.01.2018

Da die PSD2 eine europäische Richtlinie ist, gilt sie nicht unmittelbar in Deutschland, sondern muss erst durch nationales Recht umgesetzt werden. Am 13.01.2018 tritt hierzu das „Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie“ in Kraft. In diesem Gesetz wird das Verbot verankert, Gebühren für die Nutzung der bargeldlosen Zahlungsarten

  • Kreditkarte,
  • Überweisung und
  • Lastschrift

vom Verbraucher zu verlangen.

Die neue Regelung besagt, dass Käufer nicht mehr verpflichtet werden dürfen, ein Entgelt für die Nutzung einer SEPA-Basislastschrift, einer SEPA-Firmenlastschrift, einer SEPA-Überweisung oder einer Zahlungskarte zu entrichten. Obwohl beispielsweise PayPal selbst nicht in der Richtlinie bzw. dem Gesetz erwähnt ist, hat der Anbieter seine AGB schon entsprechend angepasst und ein Verbot für die kostenpflichtige Zahlung über PayPal – und damit letztendlich über Kreditkarte und Lastschrift – eingeführt. 

Die Neuerungen enthalten jedoch noch eine weitere tragende Änderung: Außerdem wurde das Gesetz über die Beaufsichtigung von Zahlungsdiensten (Zahlungsdiensteaufsichtsgesetz, kurz ZAG) nach den Vorgaben der PSD2 überarbeitet. Sie bildet die nächste Umsetzungsstufe.

Stufe 2: Sicherere Autorisierung von Online-Zahlungen notwendig – Ab 2019 

Neben der ersten Stufe – dem Verbot der Entgelte für Zahlungsarten - sieht die PSD2 noch eine weitere wesentliche Änderung vor. Die PSD2 schraubt auch an der Durchführung der Zahlungen selbst. Ein Zahlungsdienstleister ist verpflichtet, eine sog. „starke Kundenauthentifizierung“ zu verlangen, wenn der Zahlende

  • online auf sein Zahlungskonto zugreift,
  • einen elektronischen Zahlungsvorgang auslöst
  • über einen Fernzugang eine Handlung vornimmt, die ein Betrugs- oder Missbrauchsrisiko beinhaltet.

Künftig ist eine Authentifizierung für den Zugang des Kunden zu seinem Zahlungskonto und für die Zahlung unter Heranziehung von mindestens zwei Elementen der nachfolgenden Kategorien erforderlich:

  • Wissen = etwas, das nur der Nutzer weiß, z. B. Passwort, PIN
  • Besitz = etwas, das nur der Nutzer besitzt, z. B. Mobiltelefon, Kartenlesegerät
  • Inhärenz = etwas, das der Nutzer ist, z. B. Fingerabdruck, Pulsschlag, Stimme

Kombiniert werden kann beispielsweise ein physischer Gegenstand – Karte oder Mobiltelefon – mit einem Passwort oder einem biometrischen Merkmal (z. B. Fingerabdruck). Erst dann kann eine Zahlung erfolgen. Die einfache Eingabe der Angaben auf einer Kreditkarte – wie es bisher in vielen Online-Shops üblich ist - werden in den meisten Fällen nicht mehr ausreichen, um eine Zahlung zu tätigen.

Ziel ist es, das derzeitige Betrugsausmaß bei allen Zahlungsmethoden, insbesondere bei Online-Zahlungen, erheblich zu verringern und die Vertraulichkeit der Finanzdaten der Nutzer zu wahren. Ausnahmen bestehen für kontaktlose Zahlungen und Transaktionen für kleine Beträge. Der letzte Entwurf sieht eine 2-Faktor-Authentifizierung für Zahlungen ab einen Wert von 500 Euro vor. Unterhalb dieser Schwelle könne überprüft und entschieden werden, ob eine starke Kundenauthentifizierung mit der Zwei-Faktor-Authentifizierung erforderlich ist oder nicht. Für Beträge unter 30 Euro sei dies generell nicht erforderlich. 

Firmen aus der E-Commerce-Branche laufen gegen dieses Vorhaben jedoch Sturm. Diese geplante „starke Kundenauthentifizierung“ sei ein Hindernis, besonders in Hinblick auf den Mobile-Commerce. „In diesen Situationen kann jeder zusätzliche Klick, der erforderlich ist, um einen Kauf zu bestätigen, den Konsumenten vom Abschluss der Transaktion abhalten“, so eine Stellungnahme an die EU-Kommission.

Näheres zu den Erfordernissen und dem Verfahren der „starken Kundenauthentifizierung“ regelt das deutsche ZAG noch nicht. Die EU-Kommission hat zusammen mit der Bankenaufsicht stattdessen genaue Richtlinien und Vorschriften erarbeitet, wie diese Anforderungen in der Praxis umgesetzt werden sollen. Zur Pflicht wird die starke Kundenauthentifizierung schließlich 18 Monate nach Inkrafttreten der technischen Regulierungsstandards, d. h. 18 Monate nach der Veröffentlichung der technischen Regulierungsstandards im Amtsblatt der Europäischen Union.

 

Lesetipp: Noch mehr Hintergrundwissen, was Händler im Bereich Payment 2018 bieten und beachten müssen, haben wir in der August-Ausgabe unseres Onlinehändler-Magazins aufbereitet.

Über die Autorin

Yvonne Bachmann
Yvonne Bachmann Expertin für: IT-Recht

Yvonne ist schon seit Beginn ihrer juristischen Laufbahn mit Leib und Seele im IT-Recht unterwegs. Seit Anfang 2013 ist sie als Volljuristin beim Händlerbund tätig und berät dort hilfesuchende Online-Händler in Rechtsfragen rund um ihren Shop. Genausolange berichtet sie bei uns zu Rechtsthemen, welche die E-Commerce-Branche aufwirbeln. 

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Yvonne Bachmann

Kommentare  

#3 c.k. 2019-03-28 16:37
Wir verwalten uns zu Tode.
Alles muss geregelt werden.
Es wird dadurch nicht gerechter. Nur komplizierter.
Das ist in allen Bereichen völlig aus dem Ruder gelaufen, was die Politik in EU und Dt. macht.
Früher hatten Pragraphen ein paar Absätze. Heute gehen sie über Seiten. :|
Keine gute Entwicklung.
Zitieren
#2 H.K. 2017-12-13 19:41
@Thoralf: Wieso Schwachsinn? Die Meldung liest sich komplizierter, als es in der Praxis dann ist. Wenn ich als Kunde heute mit Paypal bezahlen will, wird jetzt schon zuerst mein Paßwort abgefragt und als zweite Sicherheitsstuf e eine Einmal-Pin per SMS gesendet. Wenn eine solche Zwei-Schritt-Au thentifizierung nun auch bei allen anderen Zahlungsanbiete rn Pflicht wird, soll mir das Recht sein.

Für einen Händler, der ja selbst kein Zahlungsanbiete r ist, ändert sich somit genau gar nichts.
Zitieren
#1 Thoralf 2017-12-13 08:20
Als ich den dritten Punkt gelesen habe dachte ich auch nur: "Was ein Schwachsinn..." . Warum nicht gleich noch PostIdent? Ich (persönlich) habe als Kunde genau 0 Interesse, so stark mit einem Händler zu interagieren. Zum einen, weil es nervt und mich vom Bezahlen abhält - zum anderen, weil ich keine Lust habe, dass irgendwelche gesichtslosen Seitenbetreiber noch mehr von mir tracken können (und das wäre im Sinne der DSVGO eben problemlos möglich, gerade mit Hinweis auf diese Richtlinie).

Der andere Fehler ist: Betrüger erzeugen Schäden nicht über große, sondern über kleine Summen. Die fallen oft nicht auf, da meckert keiner so schnell bzw. ist ihm der Aufwand zu hoch. Gerade hier das Ganze auszusetzen...
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.