Die Zahlungsrichtlinie im Webshop umsetzen

Wie viel weisst du über die neue Zahlungsrichtlinie „Payment Service Directive 2“ und die darin enthaltene „Strong Customer Authentifikation“? Während Privatverbraucher von ihren Banken alle nötigen Informationen erhalten, stehen Betreiber von Webshops grösstenteils leer da. Und obwohl das neue Gesetz längst in Kraft ist, läuft die Frist zu dessen Umsetzung noch — allerdings nicht mehr allzu lange.

Die Zahlungsrichtlinie PSD2

Die neue EU-Zahlungsrichtlinie „Payment Service Directive“, Teil 2, trat am 14.09.2019 in Kraft. Die Richtlinie betrifft letztlich alle — vom Endkunden bis hin zum Dienstleister, egal welcher Art. Die massgebliche Änderung bezieht sich auf das bargeldlose Bezahlen. Davon sind sowohl Online-Shops als auch stationäre Händler betroffen.

Sämtliche Zahlungsdienste müssen mit der PSD2-Zahlungsrichtlinie konform sein. Die Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin, vergibt und verwaltet die entsprechenden Lizenzen.

Als Webshop-Betreiber hat das zur Folge, dass du bei der Bereitstellung von bargeldlosen Bezahlverfahren künftig einige Dinge beachten musst.

PSD2 enthält Verpflichtung zur Anwendung von SCA

In der Welt der gesetzlichen Abkürzungen kommt schon mal Verwirrung auf. Die besagte Zahlungsrichtlinie enthält — neben vielen anderen Aspekten — die Pflicht zur Anwendung einer sogenannten Strong Customer Authentifikation (SCA).

Akzeptierst du als Online-Händler bargeldlose Zahlungen, müssen sich deine Kunden vorab über eine Zwei-Faktor-Authentifizierung identifizieren. Diese Authentifizierung erfolgt über die Bestätigung von mindestens zwei der drei folgenden Kategorien:

1. Wissen: etwas, das nur der Kunde selbst weiss. Paradebeispiele sind Passwort oder PIN.
2. Besitz: der Kunde hat etwas in seinem persönlichen Besitz, mit dem er seine Identität bestätigt — vorzugsweise EC- oder Kreditkarte. Mittlerweile erfüllen auch das eigene Smartphone oder separate TAN-Generatoren diese Funktion.
3. Inhärenz: ein nicht übertragbarer Zustand oder eine Eigenschaft. Beispiele sind Fingerabdruck, Gesichts- oder Stimmerkennung sowie der Iris-Scan.

Die Zahlungsrichtlinie für Ihren Webshop umsetzen

Die erforderliche SCA ist vermutlich bereits schwer genug in der Umsetzung. Wo früher ein Passwort genügte, müsstest du heute theoretisch zusätzlich einen Fingerabdruck deiner Kunden anfordern.

Glücklicherweise reicht es als Webshop-Betreiber aus, mit einem verifizierten Zahlungsdienstleister zusammenzuarbeiten. Dieser übernimmt dann alle gesetzlichen Erfordernisse der Zahlungsrichtlinie. Die BaFin hat hierzu bereits Hilfe parat: Zumindest für in Deutschland ansässige Firmen findest du in der Auswahl der ZAG-Institute alle nach aktuellem Stand verifizierten Dienstleister.

Leider enthält diese Datenbank nur Anbieter, die unter Aufsicht der deutschen Behörde stehen. Bei namhaften internationalen Dienstleistern musst du dir aber keine Sorgen machen. Mobile Zahlmethoden wie Apple Pay oder Google Pay erfüllen ebenso die Zahlungsrichtlinie, da sie die nötige SCA bereits enthalten.

Ausnahmen der Zahlungsrichtlinie nutzen!

Bevor du dir den Aufwand machst, deinen Kunden separate Mittel zur SCA bereitzustellen, lohnt es sich herauszufinden, ob du die Ausnahmen der Zahlungsrichtlinie für dich nutzen kannst.

1. Kleinbeträge sind eine Ausnahme innerhalb der SCA. Die Grenze liegt bei 30 Euro.
   1. Mit einer Einschränkung: Sobald die fünfte Zahlung mit derselben EC-/Kreditkarte erfolgt, verlangt die Zahlungsrichtlinie wieder die SCA.
2. Beim Zahlungsweg Kauf auf Rechnung bist du grundsätzlich fein raus.
3. Auch die Zahlung per Lastschrift ist als Händler optimal, da die Bank des Kunden die erforderliche Authentifizierung übernimmt.
4. Für Stammkunden lohnt sich die sogenannte Whitelist. Deine Kunden teilen ihrer Bank damit mit, dass Zahlungen an dich grundsätzlich legitim sind. Zu beachten: Nicht jedes Bankinstitut unterstützt solche Whitelists.