Blog:

EBA, RTS, SCA, RBA – WTF? Oder: Wie die Europäische Bankenaufsicht beim Thema Sicherheit den Verbraucher aus den Augen verliert

Gedanken zur Zukunft des Payment von Sebastian Schulz

Neben der Schaffung einer europaweit einheitlichen Rechtsgrundlage für Online-Zahlungen und der Gewähr des Zugangs für Zahlungsdienstleistungen Dritter soll die im Januar 2016 in Kraft getretene PSD2 vor allem für eines sorgen: Mehr Sicherheit im Online-Payment. Elektronisch angebotene Zahlungsdienste sollen sicher abgewickelt werden, „wobei Technologien einzusetzen sind, die eine sichere Authentifizierung des Nutzers gewährleisten und das Betrugsrisiko möglichst weitgehend einschränken können.“ Jedenfalls bei den in der Praxis relevanten Vorgängen, etwa dem Zugriff auf ein Zahlungskonto oder der Auslösung eines elektronischen Zahlungsvorgangs, versteht der Richtliniengeber unter einer „sicheren“ stets eine „starke“ Kundenauthentifizierung“(Stichwort: „2 aus 3“). Technische Regulierungsstandards (RTS) zum Leitbild der starken Kundenauthentifizierung (SCA) sollen gemäß Artikel 98 der Richtlinie durch die Europäische Bankenaufsicht (EBA) erarbeitet werden. Im Rahmen dieses delegierten Rechtsaktes sind sowohl die „Erfordernisse des Verfahrens zur starken Kundenauthentifizierung“ als auch „Ausnahmen von der Anwendung“ festzulegen. Wohlgemerkt; das Mandat der EBA erstreckt sich ausdrücklich auch auf die Definition solcher Szenarien, in denen abweichend vom Grundsatz eine starke Kundenauthentifizierung gerade nicht erforderlich ist.

Vor diesem Hintergrund kommt das durch die EBA im August 2016 vorgelegte Consultation Paper – vorsichtig ausgedrückt – etwas eingleisig daher. Anders als durch die PSD2 vorgegeben, finden sich darin ausschließlich Vorgaben zur Implementierung und Umsetzung einer SCA, nicht aber Ausführungen zu Ausnahmen vom Grundsatz (von der Ausnahme für Kleinstbeträge einmal abgesehen). Würden die Vorschläge der Londoner Beamten am Ende tatsächlich Gesetz, bedeutete dies damit nichts Anderes als eine Zäsur im Paymentsektor. Dynamische („targeted“) Authentifizierungsverfahren, orientiert am tatsächlichen Transaktionsrisiko, gehörten der Vergangenheit an. Die Komplexität eines jeden Bezahlprozesses würde signifikant erhöht. Aus Angemessenheit würde Regelversessenheit.

Um zu verstehen, welchen massiven Impact derartige Pläne auf den E-Commerce hätten, muss man sich nur die Relevanz des Themas „Payment“ im Onlinehandel im Allgemeinen vor Augen führen.

Die klassische Handelslehre unterscheidet zwischen drei „Strömen“ im Handel: Dem Informationsstrom, dem Warenstrom und dem Strom der Nominalgüter – dem Geldfluss. „Kassieren“ ist eine Kernkompetenz, wie man an der deutlichen Gewichtung in der Ausbildung der Verkäufer und Kaufleute im Einzelhandel erkennen kann. Auch im E-Commerce gibt es die „Kassenzone“, den Checkout, als wichtigen Bestandteil im Kaufprozess. Im Checkout bleiben viele Warenkörbe stecken. Warum? Der Kunde hat Bedenken. Bedenken über den Preis – denn den Gesamtpreis sieht er hier schon bevor die imaginäre Kassiererin die einzelnen Produkte abgescannt hat. Bedenken wegen des Aufwands, eine Vielzahl von Informationen ein- und von sich Preis geben zu müssen. Und – es geht ums Geld! – freilich auch Bedenken wegen der (Daten-)Sicherheit.

Sicherheit ist dabei aber längst nicht allein ein Bedürfnis auf Kundenseite. Das Anbieten sicherer Zahlungsmethoden ist eine von drei zentralen Herausforderungen, denen sich Onlinehändler tagtäglich stellen müssen. Zum einen besteht die Aufgabe darin, die Zahlung so einfach wie möglich zu machen. Jeder Zwischenschritt an der virtuellen Kasse erhöht nachweislich die Wahrscheinlichkeit, dass der Kunde den Einkauf abbricht. Andererseits muss der Händler aus ureigenen Interessen heraus Zahlverfahren anbieten, die das Risiko des eigenen Zahlungsausfalls minimieren. Neue Dienstleister wie optile.net fungieren hier als intelligente Aggregatoren, die bei jedem einzelnen Kauf aufgrund des Kundenverhaltens und des Warenkorbes passende Zahlverfahren sogar von unterschiedlichen Payment-Dienstleistern vorschlagen. Das Thema Zahlungssicherheit ist Nummer Drei. Unternehmen, die wiederholt Datenklau, Betrug oder Identitätsmissbrauch Tür und Tor öffnen, sind weg vom Fenster. All das unterstreicht: Beim Payment muss der Onlinehändler akribisch arbeiten. Schon eine Umstellung der Reihenfolge von Abfragen im Checkout-Prozess kann zu einer Verbesserung der Conversion oder umgekehrt zum Abschmelzen wertvoller Marktanteile führen.

Studien belegen, was aus Einzelbeispielen lange bekannt ist: Der Kunde belohnt Händler, die ihm das Einkaufen auf jeglichem Kanal so einfach wie möglich machen. Ein bekanntes Modeunternehmen hat in einem Test festgestellt, dass das Angebot nur eines weiteren digitalen Bezahlverfahrens die Zahl der Conversions im Checkout signifikant erhöht hat und in kürzester Zeit bei fast jedem dritten Kauf eingesetzt wurde. Eine Analyse zeigte, dass der Checkout-Prozess sich für den Kunden von über zwei Minuten auf lediglich 30 Sekunden verkürzte. Zeit ist Geld, auch und gerade im E-Commerce.

Umgekehrt haben die Händler mit dem 3D-Secure-Verfahren faktisch ohne Ausnahme überaus negative Erfahrungen gemacht. Die Umleitung auf eine externe Seite mit separater Verifikation über ein weiteres Passwort erhöhte die Kaufabbrüche deutlich. Seit der Einführung 2009 hat sich die negative Auswirkung zwar durch Verfahrensänderungen abmildern lassen. Dennoch haben in der gleichen Zeit die „einfachen sicheren“ Zahlverfahren so deutlich zugelegt, dass im Jahr 2016 erstmals im E-Commerce die Online-Lastschrift sogar den Rechnungskauf überholte und mit 30 Prozent die am häufigsten genutzte Zahlweise war. Während im gleichen Zeitraum nach Erhebung des bevh der Kauf per Kreditkarte von 17 auf 15 % zurückfiel, erhöhte sich der Anteil der digitalen Zahlverfahren von 19 auf 22 %.

Nun mag man einwenden, die hier aufgezeigten wirtschaftlichen Implikationen müssten angesichts des übergeordneten Ziels eines Mehr an Rechtssicherheit zurückstehen. Und noch einmal: Die Bedeutung von größtmöglicher Sicherheit bei Zahlungsvorgängen steht außer Frage. Eine obligatorische starke Kundenauthentifizierung mag auch grundsätzlich als geeignet erscheinen, dieses Ziel zu erreichen. Rechtliche Vorgaben müssen jedoch nicht nur geeignet, sondern vielmehr auch verhältnismäßig sein. Eine Übergewichtung des einen Ziels zulasten anderer, im Zweifel auch kollidierender Ziele, ist zu vermeiden. An dieser Stelle bleiben sowohl EU-Kommission als auch EBA bereits den Nachweis schuldig, dass überhaupt ein vom geltenden Recht abweichendes Regelungsbedürfnis besteht. Freilich verwundert das am Ende nicht, bleibt doch die viel bemühte Fraud-Rate im Verhältnis zu den exponentiell anwachsenden Transaktionsvolumen im E-Commerce vergleichsweise gering. Die Kriterien der durch die EBA (zwingend!) vorzunehmenden Verhältnismäßigkeitsprüfung werden durch die PSD2 übrigens sogar detailliert vorgegeben. So heißt es beispielsweise in den Absätzen 2 und 3 von Artikel 98, dass „benutzerfreundliche, allgemein zugängliche und innovative Zahlungsmittel“ ermöglicht bleiben sollen. Ausnahmen vom Grundsatz einer SCA sollen sich an dem mit der Dienstleistung verbundenen Risikoniveau orientieren. Welcher Raum für Innovationen bleibt aber bei einer sakrosankten Fokussierung auf SCA?

Festzuhalten bleibt: Mit den bislang bekannt gewordenen Vorschlägen für Regulatory Technical Standards und der Abwesenheit von Ausnahmen vom Grundsatz der starken Kundenauthentifizierung verkompliziert die EBA Bezahlverfahren in einer für den E-Commerce inakzeptablen Weise. Mögen einzelne PSPs den gemachten Vorschlägen Positives abgewinnen, im Interesse der Verbraucherinnen und Verbraucher sind diese nicht. Vorzugswürdig ist und bleibt ein risikobasierter Ansatz, im Rahmen dessen Handel und PSP auf Erfahrungswerte und Algorithmen gestützte Sicherheitsabwägungen treffen und so dem Kunden, d.h. uns allen, weiterhin ein gleichermaßen sicheres wie „convenientes“ Einkaufserlebnis ermöglichen können. Dass sich, wie die SZ vergangene Woche bereits wusste, die EBA in den überarbeiteten RTS zumindest für eine signifikante Heraufsetzung der Schwellenwerte (>500 EUR), ab denen eine SCA vorgenommen werden muss, ausgesprochen hat, ist ein positives Signal. Richtig und besser wäre es freilich, wenn die EBA das bestehende System einer risikoorientierten Prüfung vollständig beibehalten und sich stattdessen den sicher drängenderen finanzpolitischen Fragen dieser Zeit widmen würde. Die Vorlage der finalen RTS der EBA sind für diese Woche angekündigt. Es bleibt spannend.