Haben Sie sich schon mit der starken Kundenauthentifizierung beschäftigt? Die Zeit drängt. Bis zum 14.09.2019 müssen Sie alle Änderungen im Shop umgesetzt haben. Betroffen sind insbesondere AGB und Datenschutzerklärung. Wie Sie sich gut vorbereiten können, erfahren Sie in meinen 7 Tipps.
Die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) kommt mit neuen Anforderungen, die im bereits seit 13.01.2018 gültigen Gesetz zur Umsetzung der 2. Zahlungsdiensterichtlinie ihren Platz fanden. Open Banking, „Aus“ der SMS-TAN und starke Kundenauthentifizierung: Die Neuerungen sollen mit der Öffnung zu Datenzugängen Wettbewerb fördern und den Zahlungsverkehr sicherer machen. Bereits seit 2018 gilt die Vorgabe der PSD2, wonach keine Gebühren mehr für bestimmte Zahlarten verlangt werden dürfen (Surcharging-Verbot).
Umsatzrückgänge durch PSD2 befürchtet
Während es bei Open Banking um die Öffnung des Bankensystems durch Zugriff auf die Kontodaten für Drittanbieter über Schnittstellen geht („Access to Account“ oder XS2A), die SMS-TAN mit ihrem nachvollziehbaren Tod neue Herausforderungen für den Verbraucher bringt, ist die starke Kundenauthentifizierung oder auch Zwei-Faktor Authentifizierung ein Thema, das der Handel fürchtet.
Nach einer Studie des EHI fühlen sich vier von fünf Händlern nicht ausreichend informiert und befürchten Umsatzrückgänge, Implementierungskosten und mehr Serviceaufkommen. Grund sind die vermehrten Kaufabbrüche, die bei der starken Kundenauthentifizierung mit komplexeren Datenangaben einhergehen können. Schon das bisherige 3D-Secure-Verfahren für Kartenzahlungen (die weiter verwendet werden können) signalisierte mehr Aufwand und Abbrüche.
Dabei sind nicht die Händler die Adressaten der neuen Verpflichtungen, sondern die Zahlungsdienstleister. Die müssen ab dem 14.09.2019 die starke Kundenauthentifizierung („Strong Customer Authentication“) umsetzen. Zu den Zahlungsdienstleistern gehören auch Zahlungsauslösedienstleister.
Eingaben zur Kundenauthentifizierung
Bei der starken Kundenauthentifizierung muss zur Benutzerkennung und Passwort (= Wissenskategorie) ein weiteres Merkmal aus der Kategorie Besitz (Karte, Smartphone) oder Inhärenz (Fingerabdruck, Stimme) treten, welches die Authentifizierung unterstützt. Meist ist dies ein weiterer Code.
Der wird dann meist über Apps, wie Google Authenticator oder spezifische Banking-Apps erzeugt, denn vorgedruckte Listen (TAN-Listen) sind nicht mehr erlaubt. Einfach die Kreditkarten einzugeben oder über PayPal per Kennung und Passwort die Zahlung anzustoßen, reicht dann nicht mehr. Natürlich fürchtet der Handel Performanceverluste, denn jeder zusätzliche Klick stört die Konversion.
Die Implementierung benötigt Zeit und Ressourcen. Daher sahen die technischen Regulierungsstandards für eine starke Kundenauthentifizierung (Regulatory Technical Standard „RTS“) eine längere Umsetzungsfrist vor, die aber eben im September abläuft. Selbst die Zahlungsdienstleister können zu Zeit noch nicht alle sagen, wie sie die Vorgaben umsetzen. Schon werden Stimmen nach Fristverlängerung laut.
PayPal gehört wie Amazon Pay, paydirekt und Klarna zu den Anbietern, die noch keine konkreten Angaben machen. Realisiert werden kann die Authentifizierung durch Schaffung einer TAN Pflicht, über die auch heute schon der Kontenzugang abgesichert werden kann.
Aber auch die PayPal-App bietet Möglichkeiten bis hin zur Implementierung einer Gesichtserkennung. Hier kann es aber auch Unterschiede je nach hinterlegter tatsächlicher Zahlart geben. Denn Einzugsermächtigungen müssen anders als Kreditkartenzahlungen nicht gesondert abgesichert werden. Die Händler sollen dabei nicht weiter belastet werden. Klarna sieht Rechnungs- und Ratenkauf als nicht betroffen an.
Ausnahmen von der starken Kundenauthentifizierung
Weitere Ausnahmen von der Pflicht zur starken Kundenauthentifizierung betreffen neben vom Zahler als vertrauenswürdig eingestufte Empfänger (Whitelist), wiederkehrende Zahlungen und auch Kleinbetragszahlungen mit Transaktionen bis zu 30 Euro. Die Summe der Beträge darf seit der letzten starken Authentifizierung allerdings 100 Euro nicht übersteigen. Zudem ist diese Ausnahme auf maximal 5 Zahlungsvorgänge beschränkt.
Ab der sechsten Zahlung wird also auch bei Kleinbeträgen wieder eine starke Authentifizierung erforderlich. Händler dürften Schwierigkeiten haben, hierzu Feststellungen zu treffen. Aufwändig kann auch das Whitelisting werden, denn der Kunde muss das verstehen und der Händler muss die Zahlungsdienstleister dazu informieren. Auch die Transaktionsanalyse kann Erleichterungen bringen, denn Finanzdienstleister dürften auf die 2Faktor-Authentifizierung verzichten, wenn das Risiko für einen Betrug gering ist. Hierauf gründen noch große Hoffnungen, da möglicherweise eine Vielzahl von Zahlungsvorgängen hierüber als unkritisch eingestuft werden kann.
Informationen in den AGB
Der Händler ist verpflichtet, nach § 312d Abs. 1 BGB, Art. 246a § 1 Abs. 1 Nr. 7 EGBGB Informationen zur Zahlung zu erteilen (Informationen über: „die Zahlungs-, Liefer- und Leistungsbedingungen, …“). Das bedeutet, dass – meist in den AGB – Ergänzungen zur starken Kundenauthentifizierung aufzunehmen sind. Je nach Zahlungsdienstleister dürften mehr Daten im Transfer vom Händler zum Zahlungsdienstleister anfallen. Hier sind die Informationspflichten nach der DSGVO berührt. Händler müssen deshalb ggf. ihre Datenschutzhinweise ergänzen und aufführen, welche (weiteren) Daten sie übermitteln.
Informationen in der Datenschutzerklärung
Unsicherheit besteht zudem noch, wie diese Datentransfers rechtlich legitimiert sein können. Neben interessenbasierten Grundlagen (Art. 6 Abs. 1 lit. f DSGVO) nennen Zahlungsdienstleister Auftragsverarbeitung (Art. 28 DSGVO) als Grundlage. In Betracht kommt schließlich noch eine Datenerhebung und Verarbeitung auf der Basis einer gemeinsamen Verantwortung nach Art. 26 DSGVO. Auftragsverarbeitung und Datenaustausch in gemeinsamer Verantwortung setzen wieder gesonderte vertragliche Abreden voraus, die zwischen Händler und Zahlungsdienstleister getroffen werden müssen.
Welche Basis letztlich in den Datenschutzbedingungen genannt werden muss, hängt von dem Datenaustausch und seiner Organisation ab. Die wiederum verlangt eventuell nicht unerheblichen Implementierungsaufwand. Es wird also höchste Zeit für Händler, sich mit dem Thema zu beschäftigen.
7 Tipps für Ihre Vorbereitung
Die Händler sind zwar nicht direkt, aber indirekt doch betroffen. Zahlungsanbieter mauern noch, weil sie selbst noch an Lösungen basteln. Sie sollten sich dennoch jetzt bereits vorbereiten.
- Planen Sie die Ergänzung der AGB; schalten Sie spezialisierte Anwälte ein.
- Planen Sie, wie Sie an Whitelist-Einträge Ihrer Kunden kommen und wie diese an Zahlungsdienstleister weitergeleitet werden
- Klären Sie, welche Daten Ihr Zahlungsdienstleister braucht und prüfen Sie, ob die Rechtsgrundlagen die Übermittlung hergeben
- Ergänzen Sie Ihre Datenschutzerklärung dazu; schalten Sie spezialisierte Anwälte ein
- Erfragen Sie, wie viele Zahlungen bei Ihren Zahlungsdienstleistern betroffen sind (Quote nach Transaktionsanalyse)
- Schaffen Sie weitere unkritische Zahlarten (Lastschrift, Sofort-Überweisung, Vorkasse, Rechnungskauf)
- Entwickeln Sie Informationen für Ihre Kunden
Wie kann ich Ihnen helfen?
Nehmen Sie gerne Kontakt auf:
Tel.: +49 6131 30290460
Mail: mraetze@tcilaw.com
www.tcilaw.de
- Neue Produktsicherheitsverordnung: Was kommt auf Händler zu? - 19. April 2024
- Der Widerrufsbutton kommt - 27. März 2024
- Darf die Abfrage des Geburtsdatums im Online-Shop verpflichtend sein? - 26. Februar 2024