Zwei-Faktoren-Authentifizierung wird Pflicht: Das müssen Onlinehändler:innen jetzt tun!

Im Onlinehandel wird gerne mal die Kreditkarte gezückt, um die Ware zu bezahlen. Das haben auch Kriminelle erkannt und so häuften sich die Fälle von Betrugsversuchen in Webshops. Mit der neuen Zahlungsdienste-Richtlinie PSD2 soll sich das ändern. Wir verraten Ihnen, was die Richtlinie für Onlinehändler:innen bedeutet, welche Risiken die neuen Regelungen bergen und wie Sie sich schon jetzt optimal darauf vorbereiten können.

Update: PSD2 wird ab 15.01. stufenweise eingeführt

Onlinehändler:innen erhalten noch einmal eine Schonfrist: Eigentlich sollten ab 01.01. die neuen Regeln für die Zwei-Faktoren-Authentifizierung in Onlineshops gelten, jetzt gibt es noch etwas Aufschub. Ab 15.01. geht es stufenweise los:

Ab 15.01. müssen Zahlungen ab 250 Euro mit zwei voneinander unabhängigen Faktoren freigegeben werden.
Ab 15.02. ab 150 Euro
Ab 15.03. gilt sie dann für alle Zahlungen.

Begründet wird der erneute Aufschub mit technischen Lücken, die Onlineshops derzeit noch schließen müssen. Was Sie als Händler:in tun müssen, erfahren Sie hier:

Update: Zwei-Faktoren-Authentifizierung im Onlinehandel auf den 31. Dezember 2020 verschoben

Zum Stichtag am 14. September 2019 sollte die Zahlungsdiensterichtlinie PSD2 im Onlinehandel Pflicht werden. Zahlungen mit Kreditkarte oder PayPal sollten in Onlineshops nur noch mit der Zwei-Faktor-Authentifizierung möglich sein. Doch nun wurde die PSD2-Pflicht für den Onlinehandel auf den 31. Dezember 2020 verschoben. Das heißt, Onlinehändler können sich mit der Umsetzung Zeit lassen.

Hintergrund: Der europäische Handels-Spitzenverband EuroCommerce hatte die europäische Bankenaufsicht (EBA) um einen europaweiten Aufschub gebeten. Viele Kunden seien nicht ausreichend über die Neuerungen informiert worden. Außerdem seien viele kleine Onlinehändler schlecht vorbereitet und es drohen abgelehnte Zahlungen und Kaufabbrüche, so EuroCommerce. Mehrere nationale Finanzaufsichtsbehörden, darunter auch die deutsche BaFin, haben die Deadline zur Durchsetzung der PSD2 daraufhin auf unbestimmte Zeit ausgesetzt. Die europäische Bankenaufsicht EBA gab nun eine Stellungnahme ab und schlug den 31. Dezember 2020 als neue Deadline für die "starke Authentifizierung" im Onlinehandel vor. Auf Anfrage von heise online teilte die Bafin mit, der Entscheidung der EBA zu folgen. Onlinehändlern bleibt also etwas mehr als ein Jahr Zeit, sich um die starke Kundenauthentifizierung nach Vorgaben der PSD2 zu kümmern.

Was es mit der PSD2 auf sich hat, können Sie in diesem Artikel nachlesen:

Was bedeutet die Richtlinie PSD2?

Die Richtlinie (EU) 2015/2366, kurz PSD2 (Payment Services Directive 2), soll elektronische Zahlungen für Verbraucher in der EU sicherer und bequemer machen. Dabei verfolgt sie drei Hauptziele:

Strengere Sicherheitsanforderungen für die Verarbeitung von elektronischen Zahlungen zum Schutz der Verbraucher
Die Öffnung von Bankkonten für Drittanbieter (Für den Zugriff auf die Kontodaten wird die Bank nicht mehr benötigt)
Das Erheben von Gebühren für bestimmte Zahlungsmittel wird untersagt

Der letzte Punkt bedeutet, dass Onlinehändler für bestimmte Zahlungsmittel, nämlich für SEPA-Überweisung, SEPA-Lastschrift, Kreditkarte und EC-Karte keine zusätzlichen Gebühren verlangen dürfen.

Achtung:

Der Bezahldienst PayPal hat über seine AGB zum 9. Januar 2018 eingeführt, dass Händler vom Käufer keine Gebühren verlangen dürfen, wenn sie PayPal als Zahlungsart anbieten.

Unklarheit herrscht derzeit noch beim Thema „Bezahlung per Nachnahme“. Bis es hierzu eine Regelung gibt, sollten Onlinehändler auch auf diese Zahlungen keine Gebühren verlangen, da besonders kleinliche Wettbewerber dies zum Anlass für Abmahnungen nehmen könnten.

Zwei-Faktoren-Authentifizierung: Ab 14.09.2019 Pflicht für Onlinehändler!

Ab dem 14. September 2019 wird es für Onlinehändler spannend! Denn ab diesem Zeitpunkt müssen sie bei elektronischen Zahlungen, wie beispielsweise Online-Kartenzahlungen, bei Kontozugriffen und allen Aktivitäten, die ein hohes Betrugsrisiko mit sich bringen, die Zwei-Faktoren-Authentifizierung einsetzen. Damit soll die Sicherheit bei Onlinezahlungen deutlich erhöht werden. Das Prinzip dieser sicheren Zahlungslegitimation ist es, dass der Zahlende zwei von drei Elementen aus diesen drei Bereichen vorweisen muss:

Wissen: Etwas, das nur der Nutzer weiß (beispielsweise ein Passwort oder eine PIN)
Besitz: Etwas, das der Nutzer besitzt (etwa eine Chip-Karte, Kreditkarte oder ein Smartphone)
Inhärenz: Ein persönliches Merkmal des Nutzers (zum Beispiel Fingerabdruck, Iris-Scan, Stimme oder Gesichtserkennung)

Ein Beispiel:

Würde ein Kunde online ein Buch kaufen und sein Passwort eingeben, dann müsste er anschließend noch die Zahlung per Fingerabdruck-Scan auf seinem Smartphone bestätigen.

Instant-Payment: Chance für Onlinehändler?

Experten sehen in der Richtlinie eine Chance, dass viele neue Zahlungsmöglichkeiten am Markt entstehen könnten. Denn Drittanbieter haben dann direkten Zugriff auf Bankkonten und brauchen das Bankinstitut nicht mehr zur Abwicklung der Bezahlung.

Für den Onlinehandel ist dieses sogenannte Instant-Payment (sofortige Bezahlung) besonders interessant. Wenn die Ware sofort bezahlt und der Bezahlvorgang sofort authentifiziert werden kann, dann wird die Bestellung schneller bearbeitet und die Ware landet schneller beim Kunden. Ein Aspekt ist besonders vorteilhaft: Bezahlungen mit einem Instant-Payment-Service können nicht einfach rückgängig gemacht werden, wie es zum Beispiel bei einer üblichen Überweisung oder PayPal der Fall ist. Dadurch reduziert sich das Risiko von zurückgezogenen Zahlungen und Onlinehändler können besser planen. Onlinehändler sollten Ihren Kunden daher die Möglichkeit anbieten, ihre Produkte mit Instant-Payment zu bezahlen. Voraussichtlich wird es bald sehr viele Anbieter für diese Zahlungsmöglichkeit geben. Daher sollten Sie sich frühzeitig darum kümmern, den passenden für Ihren Shop auszuwählen und die Technik zu testen, damit zum Stichtag alles reibungslos klappt.

Wichtig:

Informieren Sie Ihre Kunden frühzeitig, klären Sie sie über die neuen Sicherheitsstandards auf und seien Sie für Fragen und Probleme im Rahmen der Umstellung immer erreichbar.

Das ändert sich durch Instant Payment bei der Zahlung:

Überweisung mit Online-Banking

Onlinezahlung mit Giropay

Bezahlvorgang beim Instant Payment

Onlinehändler aufgepasst: Der frühe Shopbetreiber fängt den Kunden

Auch wenn die Zwei-Faktor-Authentifizierung erst ab dem 14. September 2019 Pflicht wird, sollten sich Onlinehändler schon jetzt damit beschäftigen.

Banken und Zahlungsdienstanbieter befinden sich schon in der Testphase. Bis zum 14. März 2019 müssen sie den so genannten Drittanbietern (Third Party Providers) eine Testumgebung (Sandbox) und die dazugehörige technische Dokumentation der Schnittstelle zur Verfügung stellen. Als Drittanbieter im Sinne der Richtlinie gelten Zahlungsauslösedienste, Kontoinformationsdienste sowie Herausgeber von Zahlungsinstrumenten (beispielsweise Kreditkartenemittenten). Auch die großen Herausgeber von Kreditkarten (Visa und Mastercard) stellen bereits frühzeitig auf das neue System um. Mastercard führt den neuen Branchenstandard ab April 2019 flächendeckend ein. Je früher sich die Onlinehändler mit dem neuen System vertraut machen und die Testphase nutzen, desto größer ist die Chance, dass zum Starttermin alles reibungslos funktioniert. Dies kann gegenüber Wettbewerbern, die die Testphase nicht nutzen, zum Vorteil werden.

Die „White List“: Fluch oder Segen für Onlinehändler?

Durch eine Ausnahmeregelung in der PSD2 wird für Onlinehändler die Kundenbindung bald noch wichtiger. Denn Kunden können Onlinehändler, denen sie vertrauen, bei ihrer Bank auf eine sogenannte „White List“ setzen lassen. Dadurch kann der Kunde künftig bei diesem Onlineshop bezahlen, ohne dass er die Zwei-Faktoren-Authentifizierung bei jedem Bezahlvorgang erneut durchführen muss.

Zum einen bietet das für alle Onlineshops eine Chance, die viele Stammkunden haben und sich das Vertrauen ihrer Kunden erarbeitet haben. Zum anderen können aber auch Versandriesen wie Amazon oder Otto ihre Marktmacht weiter ausbauen, denn diese werden viele Kunden sicher schon aus praktischen Gründen auf die „White List“ setzen, weil sie dort oft einkaufen. Ob die „White List“ somit ein Vorteil oder ein Nachteil von Onlinehändler ist, hängt vom Einzelfall ab.

Kostet die Zwei-Faktor-Authentifizierung Onlinehändler Kunden?

Ein Nachteil der neuen Regelung ist jedenfalls der damit verbundene Mehraufwand für die Kunden, wenn diese eine Onlinezahlung abschließen möchten. Onlinehändler könnten durch die zusätzliche Authentifizierung Kunden verlieren. Der Kunde benötigt nun weitere Geräte, Passwörter oder Karten, um eine Zahlung abzuschließen. Dadurch verlängert sich der Bezahlprozess und die Gefahr steigt, dass Kunden abspringen, bevor sie den Kauf beenden. Je mehr Systeme untereinander agieren müssen, desto höher ist außerdem die Anfälligkeit für technische Fehler und dadurch auch die Anzahl gescheiterter Zahlvorgänge. Dieses „Risiko“ sollten Onlinehändler auf dem Schirm haben.

Checkliste für Onlinehändler: Das sollten Sie jetzt tun!

Bis zum 14. September bleibt noch etwas Zeit. Allerdings vergeht diese oft schneller als gedacht. Mit der folgenden Checkliste können Sie sich auf den Stichtag vorbereiten:

Machen Sie sich mit den Vorgaben der neuen Richtlinie vertraut. Nur wenn Sie wissen, was auf Sie zukommt, können Sie Fehler vermeiden
Informieren Sie sich über neue Zahlungsdienstanbieter und wählen Sie die Passenden für Ihren Webshop aus
Kontaktieren Sie den Zahlungsdienstanbieter und besprechen Sie, wie die Zwei-Faktoren-Authentifizierung in Ihren Webshop eingebaut werden kann und testen Sie anschließend ausgiebig, ob alles funktioniert
Informieren Sie die Kunden über die Zwei-Faktoren-Authentifizierung und stellen Sie ihm eine Anleitung für den Bezahlprozess zur Verfügung
Versuchen Sie auf die „White List“ Ihrer Kunden zu gelangen. Überlegen Sie sich, wie Sie das schaffen können und informieren Sie Ihre Kunden frühzeitig darüber, dass es die „White List“ gibt und was es damit auf sich hat
Testen Sie die Neuerungen in Ihrem Webshop ausgiebig und lassen Sie alle Änderungen von einem Datenschutzbeauftragten überprüfen, um eventuelle Datenschutzlücken aufzudecken

Vorbereitung ist alles: Jetzt den Webshop umfassend absichern!

Mit der PSD2 und der Zwei-Faktoren-Authentifizierung kommen weitere Unsicherheiten auf den Onlinehandel zu. Ob die Banken ihre Schnittstellen zum Stichtag bereitstellen können, ob Sie die passenden Zahlungsdienstanbieter auswählen, ob Sie es auf die „White List“ Ihrer Kunden schaffen oder ob das neue Authentifizierungsverfahren reibungslos funktioniert, all das können Sie nicht wissen. Aber Sie können sich bestmöglich vorbereiten und Ihr Risiko kalkulierbarer machen. Und auch wenn die Umstellung erst einmal Zeit und Geld kostet, am Ende gewinnt die Sicherheit und Betrügern wird der Zugang zu Ihrem Webshop deutlich erschwert.

Zu einem guten Risikomanagement gehört auch die passende Absicherung für Ihren Onlineshop. Mit der Webshop-Versicherung über exali.de sichern Sie Ihr eBusiness umfangreich gegen die häufigsten Risiken ab. Wenn es beispielsweise bei der Umsetzung der Zahlungsdienste-Richtlinie zu Fehlern oder Versehen kommt, könnten Verbraucherverbände oder Wettbewerber Sie abmahnen. Die Webshop-Versicherung über exali.de bietet Schutz bei diesen und anderen Abmahnungen und Rechtsverletzungen, inklusive einer Rechtsschutzfunktion (sogenannter passiver Rechtsschutz) sowie frei wählbarer Zusatzbausteine wie die Produkthaftpflicht-Versicherung. Wenn Sie Fragen haben, rufen Sie uns gerne jederzeit an! Bei exali.de haben Sie immer einen persönlichen Ansprechpartner, denn bei uns gibt es weder Callcenter noch Warteschleife.