Die im Januar 2016 in Kraft getretene Payment Services Direktive 2 (PSD2) soll eine europaweit einheitliche Rechtsgrundlage für Online-Zahlungen schaffen, unabhängigen Zahlungsdienstleistern den Zugang zu Informationen sichern, die für die sichere Abwicklung der Zahlung notwendig sind, und mehr Sicherheit im Online- Payment ermöglichen. Mit Stichtag 14. September 2019 müssen Onlinehändler die PSD2 durch Einführung der sogenannten Starken Kundenauthentifizierung (strong customer authentication, SCA) im E-Commerce-Vertriebskanal umsetzen. Der bevh informiert über die Umsetzungsmöglichkeiten.
Update vom 04.01.2021:
Besser spät als nie entschied sich die BaFin im Dezember doch noch zu einer Verlautbarung hinsichtlich der Umsetzung der Starken Kundenauthentifizierung für kartenbasierte Fernzahlungen.
Bereits der 14. September 2019 galt als Stichtag für die Umsetzung der Richtlinie zur Zweiten Payment Service Directive, der jedoch aufgrund verschiedener technischer Schwierigkeiten nicht gehalten werden konnte. Marktakteure, bestehend aus Handelsorganisationen, Zahlungsdienstleistern und Banken, haben seitdem Frühjahr 2019 um eine einvernehmliche und vernünftige Lösung für alle gerungen.
Ende gut, alles gut? Zum Ende des 1. Quartals 2021 werden Händler darüber Bilanz ziehen können, wie sich die SCA auf die Conversion Rate bei Kreditkartenzahlungen im E-Commerce ausgewirkt hat.
Die Zwei-Faktor-Authentifizierung zum 01.01.2021
Mit E-Mail vom 3. Dezember 2020 informierte uns die BaFin darüber, dass sie zur Kenntnis genommen hat, dass die Zahlungsdienstleister ihre Implementierungsprozesse zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Aus der E-Mail:
Aus Sicht der BaFin gilt es nun, die Nutzung der implementierten Verfahren der Starken Kundenauthentifizierung bei Kartenzahlungen im Internet möglichst reibungslos zu gestalten und die Stabilität des elektronischen Zahlungsverkehrs weiterhin sicherzustellen.
Eine Herausforderung bei der Nutzung der neuen Verfahren besteht darin, dass aktuell die Starke Kundenauthentifizierung in Deutschland in der Praxis des Internethandels nur eingeschränkt verlangt wird. Das muss sich ab dem nächsten Jahr ändern.
Zahlungsdienstleister sollten daher ihre Kommunikation in Richtung ihrer Kunden (insbesondere Internethändler und Verbraucher) weiter fortführen und ggf. noch intensivieren, um diese schon jetzt über die Vorgaben der Starken Kundenauthentifizierung weiter zu informieren.
Die BaFin wird mögliche Herausforderungen für die reibungslose Abwicklung des elektronischen Zahlungsverkehrs bei Kartenzahlungen im Internet ab dem 01.01.2021 im Rahmen ihres aufsichtsrechtlichen Ermessens berücksichtigen und allen Beteiligten ein sicheres Hochfahren ihrer neu implementierten Systeme ermöglichen. Die BaFin wird allerdings von ihren aufsichtsrechtlichen Möglichkeiten ab 2021 sukzessive verstärkt Gebrauch machen, wenn Zahlungsdienstleister kartengebundene elektronische Fernzahlungen, ohne die erforderliche Starke Kundenauthentifizierung durchführen, ohne von einem gesetzlichen Ausnahmetatbestand erfasst zu sein. Im Einzelnen gilt dies für Kartenzahlungen im Internet mit einem Betrag über 250 Euro ab dem 15.01.2021, mit einem Betrag über 150 Euro ab dem 15.02.2021 und unabhängig vom Betrag ab dem 15.03.2021.
Die BaFin weist in diesem Zusammenhang darauf hin, dass es im Rahmen des Risikomanagements zulässig ist, die Ablehnung von Zahlungen ohne erforderliche Starke Kundenauthentifizierung als sogenannten „soft decline“ auszugestalten; bei dieser Art von Ablehnung wird dem Händler signalisiert, dass die Transaktion nicht endgültig gescheitert ist, sondern ein erneuter Versuch – im vorliegenden Kontext mit Starker Kundenauthentifizierung – erfolgreich sein könnte.
Das beschriebene Vorgehen gibt den kartenausgebenden Zahlungsdienstleistern im Rahmen ihres Risikomanagements die Möglichkeit, anfangs noch auftretende Schwierigkeiten beim Durchführen der Starken Kundenauthentifizierung, die dann auf einen geringen Teil der Zahlungen begrenzt wären, effektiv zu beheben sowie die Performanz der Zahlungsverkehrssysteme unter schrittweise ansteigender Last ständig zu beobachten und bei auftretenden Herausforderungen effektiv gegenzusteuern. Ziel dieses Vorgehens ist es nicht, den individuellen Marktbeteiligten zusätzliche Zeit für die technische Umsetzung der neuen Anforderungen zu geben.
Update vom 21.08.2019:
Die BaFin hat uns heute darüber informiert, dass die zum 14.09.2019 geplante Einführung der SCA zwar weiterhin gültig ist, aber keine Beanstandung erfolgt, „wenn deutsche Zahlungsanbieter kartenbasierte Fernzahlungsvorgänge auch ohne Starke Kundenauthentifizierung ausführen“.
Die aktuelle Pressemitteilung der BaFin kann hier aufgerufen werden.
Die BaFin hatte bereits in der letzten Woche in einem Rundschreiben an die Deutsche Kreditwirtschaft, den Verband der Auslandsbanken, die Institute i.S.d. ZAG, die Zahlungsauslöse- und Kontoinformationsdienste erbringen, den Bundesverband der Zahlungs- und E-Geld-Institute und diverse Unternehmen mitgeteilt, dass die erheblichen Mängel an den derzeitigen technischen Umsetzungen zur PSD2 dazu führen, dass der Stichtag 14. September nicht eingehalten werden kann.
Welche konkreten Schlussfolgerungen sind dem aktuellen Schreiben zu entnehmen?
- Kartenzahlungen im Internet können auch nach dem 14. September ohne Starke Kundenauthentifizierung ausgeführt werden.
- Von der Starken Kundenauthentifizierung sind nur Kartenzahlungen über den 14. September hinaus ausgenommen.
- Shop-Betreiber oder Payment Service Provider, die bereits das alte Authentifizierungsverfahren 3D Secure 1.0 anbieten, müssen dies auf die PSD2-konforme Version 3D Secure 2.x aktualisieren.
- Der Payment Bereich muss schnellstmöglich angepasst werden, um Starke Kundenauthentifizierung anzubieten.