Die EU-Zahlungsdiensterichtlinie PSD II
Der ideale europäische Zahlungsverkehrsmarkt gestaltet sich einfach, effektiv und kostengünstig. Die Voraussetzungen dafür hat die EU 2007 mit der Payment Service Directive (PSD) geschaffen. Inzwischen sind mehrere Jahre vergangen. Zeit, ein paar Schrauben der Zahlungsdiensterichtlinie (ZDR) neu zu justieren. Der erste Vorschlag für die PSD II wurde 2013 vorgelegt. Die Freude darüber hielt sich in Grenzen. Auch die mittlerweile überarbeitete Fassung trifft nicht gerade den Nerv von Banken und Datenschützern.
Aktueller Stand
Neue Frist durch BaFin bzgl. Umstellung von Kartenzahlungen im Internet
Die BaFin hat eine neue Frist für die Umstellung von Kartenzahlungen im Internet gesetzt. Bis zum 31. Dezember 2020 dürfen Zahlungsdienstleister mit Sitz in Deutschland weiterhin Kartenzahlungen im Internet auch ohne starke Kundenauthentifizierung ausführen.
Ausschlaggebend für diese neue Frist ist eine Stellungnahme der Europäischen Bankenaufsichtsbehörde (EBA) vom 16. Oktober 2019. In dieser empfiehlt die EBA den nationalen Aufsichtsbehörden die genannte Frist und legt zudem Meilensteine für die beteiligten Zahlungsdienstleister fest. In einem Meilenstein sind zu meldende Daten definiert, anhand derer die Aufsicht den Fortschritt kontrollieren kann, solange bis alle Auflagen der PSD II Richtlinie vollständig umgesetzt wurden.
Im August wurden durch die BaFin bereits einige Erleichterungen bzgl. der starken Kundenauthentifizierung veröffentlicht. Diese Vereinfachungen gelten auch für Online-Zahllungen mit Prepaid- oder Debitkarten.
Außerdem heißt es, dass Zahlungsdienstleister die ihren Kunden bereits eine PSD II konforme Authentifizierungsmethode anzubieten haben, diese nicht wieder abstellen sollen.
Ziel der PSD II: Innovationen fördern
Die Novelle zielt darauf ab, die »Sicherheit zu verbessern, Wahlmöglichkeiten für Verbraucher zu erweitern und mit der Innovation Schritt zu halten«. Dafür wurden mehrere Aspekte der Zahlungsdiensterichtlinie neu gefasst.
Vorgesehen ist u. a. eine geringere Haftungsgrenze für Verbraucher im Falle nicht autorisierter Kartenzahlungen. Bislang mussten 150 Euro aus eigener Tasche gezahlt werden. Künftig sollen es nur noch 50 Euro sein. Zudem sollen die Rechte der Kunden bei Überweisungen und Finanztransfers außerhalb Europas gestärkt werden. Bis zu diesem Punkt dürfte sich kaum Widerstand regen.
Anders sieht es bei der Idee aus, neue Anbieter und die Entwicklung innovativer Mobiltelefon- und Internetzahlungen zu fördern. Dazu gehören auch sogenannte Zahlungsdiensteauslöser – Dienste, die sich zwischen Händler und Bank anordnen. Sie wurden zwar in die PSD II aufgenommen. Die Rahmenbedingungen, die von der EU formuliert wurden, sind aus Sicht der Bankenbranche allerdings nicht ausreichend. Laut Bundesverband deutscher Banken fehlt es weiter »an einem fairen Ausgleich der Interessen von Drittdiensten und herkömmlichen Zahlungsdienstleistern«.
Was ändert sich für den Kunden?
Die Umstellungen aufgrund der PSD2-Richtlinie werden uns spätestens Mitte September erreichen. Doch nicht nur den Händler treffen die Änderungen, auch der Verbraucher muss sich auf Einiges gefasst machen. Vor allem beim Online-Banking und Online-Shopping lauern die Neuerungen.
Die Deutsche Bank hat Ihre Kunden bereits informiert, dass für den Login ab dem 11. September neben den Kontodaten und der PIN nun auch eine zusätzliche Absicherung durch eine Transaktionsnummer (TAN) erfolgt.
Bei Online-Kartenzahlungen ist zudem auch eine TAN aus dem 3D-Secure-Verfahren notwendig. Voraussetzung dafür ist, dass für jede einzelne Karte eine Mobilnummer hinterlegt ist.
Außerdem werden TAN und iTAN-Verfahren komplett eingestellt und auf photoTAN umgestellt.
Drittanbieter in der PSD II
Um die Kritik nachvollziehen zu können, bedarf es eines näheren Blicks auf die Drittdienste. Sie sollen, so die Europäische Kommission, »kostengünstige und effiziente elektronische Zahlungen ohne Kreditkarte ermöglichen«. Hier geht es gleich um zwei Interessen:
- die der Händler, die eine umgehende Bezahlung ihrer Ware wünschen und
- die der Kunden, die ihre Bestellung so schnell wie möglich in Händen halten wollen.
Um das zu erreichen, klinken sich die Drittanbieter zwischen Händler und Bank in den Zahlvorgang ein. Das Prozedere erklärt die Sparkassen-Finanzgruppe: »Internet-Zahlungsdienste sollen dazu berechtigt werden, Kontozugangsdaten wie PIN und TAN von Bankkunden abzufragen und damit Überweisungen vom Bankkonto eines Käufers auf ein Konto eines Verkäufers auszulösen.« D. h. der Kunde gibt dem Drittanbieter seine Zugangsdaten, damit er in seinem Namen eine Überweisung tätigt.
Die EU will das Rechtsvakuum beseitigen
Da es sich bei der Persönlichen Identifikationsnummer (PIN) und den Transaktionsnummern (TAN) um äußerst sensible Daten handelt, braucht es Rechtssicherheit. Die war bislang nicht oder nur bedingt gegeben. Die EU-Kommission sah hier ein »Rechtsvakuum für bestimmte neue Anbieter von Internetdienstleistungen«. Auf der anderen Seite erkennt die EU in den Drittanbietern eine »gangbare und häufig preisgünstigere Alternative zu Kartenzahlungen, die auch für jene Verbraucher attraktiv ist, die keine Karten besitzen«.
Ziel der PSD II ist es, das Rechtsvakuum zu beseitigen, das aus Sicht der EU sowohl Innovationen als auch die Schaffung angemessener Marktzugangsbedingungen gefährdet. Im Rahmen der Novellierung wurden daher neue Zahlungsdienstleistungen eingeführt, auch solche, die für Kunden auf bestehende Zahlungsinfrastrukturen – also die vorhandene Bankverbindung – zugreifen.
Zulassungspflicht für Drittanbieter
Die Rechte und Pflichten der Drittanbieter regeln unter anderem die Artikel 58 und 59 der PSD II. Demnach müssen sich dritte Zahlungsdienstleister eindeutig gegenüber der Bank des Kunden authentifizieren und dafür Sorge tragen, dass die personalisierten Sicherheitsmerkmale des Nutzers keinen anderen Parteien zugänglich sind. Darüber hinaus ist es den Anbietern verboten, Zahlungs- oder Sicherheitsdaten zu speichern. Entscheidend aber ist: Die Drittanbieter unterliegen mit Umsetzung der Richtlinie – geplant für Anfang 2016 – der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Ausnahmen, die bislang bestehen, sind dann aller Wahrscheinlichkeit nach hinfällig, wodurch viele Anbieter zulassungspflichtig werden. (siehe BaFin, 2. Juni 2014)
In die Pflicht genommen werden auch die Banken. Erteilt der Kunde einem Drittanbieter die Zustimmung zu einer Zahlung, muss die Bank Informationen zur Verfügbarkeit ausreichender Geldbeträge bereitstellen und den Auftrag wie einen persönlich übermittelten Zahlungsauftrag behandeln. Aufgaben, die mit Arbeit und Kosten verbunden sind. »Für die Banken bedeutet die Umsetzung der komplexen und umfangreichen Richtlinie zunächst einen hohen Aufwand«, so die Pressestelle der Postbank. Auch das Bankmagazin (vgl. Bankmagazin 10/2015, Seite 18) betont die Mehrarbeit: »Um die Richtlinie umsetzen zu können, müssen sie [die Banken] jetzt in eine eigene Schnittstelle investieren, über die der Datenzugriff Dritter erfolgen soll.«
PIN-Eingabe beim kontaktlosen Bezahlen
Bisher lag der Betrag zum kontaktlosen Bezahlen (NFC) bei 25 Euro, das heißt bis zu dieser Summe wurde keine Eingabe der PIN gefordert. VISA erhöhte dieses Limit von 25 Euro auf 50 Euro und entsprach auch damit noch den PSD2 Leitlinien.
Neues 2-Zähler-System auf jeder Karte
Auf jeder Karte muss es von nun an zwei Zähler geben. Zähler 1 misst die Anzahl der kontaktlosen Transaktionen (Transaktionszähler) und Zähler 2 steht für die kumulierte Summe aller kontaktlosen Transaktionen, seit der letzten Transaktion mit einer PIN-Eingabe.
Das heißt, wenn der Transaktionszähler den Schwellwert erreicht hat, wird man auch bei Beträgen unter 25 Euro aufgefordert eine PIN einzugeben, auch wenn es sich hierbei um wiederkehrende Zahlungen unter 25 Euro handelt. Erst wenn die Karte einen richtigen „Kontakt“ zum Terminal hatte, d.h. die Karte wurde gesteckt und es erfolgte eine PIN-Eingabe, verschwindet die Aufforderung bei Kleinstbeträgen wieder.
Als „Kontakt zum Terminal“ kann sowohl eine kontaktbehaftete Zahlung, als auch ein Kontakt mit dem Geldautomaten ausreichen. Dies ist von Karte zu Karte unterschiedlich. Voraussetzung bleibt jedoch immer, dass die PIN eingegeben wird und/oder die Karte ins Kartenlesegerät gesteckt werden muss.
Beispiel für das Zähler-System
- Zähler 1: maximal 5 kontaktlose Transaktionen in Folge
- Zähler 2: kumuliert maximal 150 Euro in Summe
A geht täglich in der Kantine Mittagessen und bezahlt dort kontaktlos. Bei seinem 6. Zahlungsversuch muss er für das 3,75 Euro teure Mittagessen seine PIN eingeben, um bezahlen zu können. Bei manchen Kreditkarten ist sogar zusätzlich das Stecken der Karte notwendig.
Außerdem ist der zweite Zähler in diesem Fall unsinnig, da bei einem Betrag von 25 Euro und einer Maximalanzahl von 5 die Summe bei 125 Euro (5×25 Euro) liegt und man somit die 150 Euro nie erreichen kann.
Aktueller Stand der Umsetzung
Bei vielen der herausgebenden Kreditinstitute mangelt es noch an der Umsetzung, was die Vorgabe an die kontaktlosen Kreditkarten betrifft. Auch die BaFin, als Aufsichtsorgan scheint sich nicht sonderlich für die Realisierung der Bedingungen zu interessieren.
Technischer Hintergrund
Was unlogisch erscheint ist, dass bei einer kontaktlosen Transaktion mit PIN-Eingabe der Transaktionszähler nicht zurückgesetzt wird. Problem hierbei ist, dass der Zähler auf dem Chip der Karte und nicht im Backend der Bank verankert ist. Somit kann der Zähler nur erfolgreich genullt werden, wenn eine stabile Verbindung zum Terminal besteht. Zahlt der Nutzer allerdings kontaktlos, wird die Karte nur kurz an das Gerät gehalten und im Anschluss wird eine PIN eingegeben (Online PIN Autorisierung).
Kritik der Banken an der PSD II
Kein Wunder, dass Banken der PSD II eher skeptisch gegenüberstehen – obwohl Rat und Parlament den Kommissionsvorschlag hinsichtlich der Sicherheit, der aufsichtsrechtlichen Anforderungen und des Datenschutzes verbessert haben. Einen Aspekt, der den Banken sauer aufstößt, nennt die Presseinformation der Deutschen Kreditwirtschaft vom 27. Februar 2015:
»Deutschland hat einen der sichersten und leistungsfähigsten Zahlungsverkehrsmärkte weltweit. Daher darf der von der EU-Kommission geförderte Wettbewerb durch die Öffnung der Kunde-Bank-Schnittstelle zugunsten von Zahlungsauslöse- und Konto-Informationsdiensten nicht zu einer Qualitätsverschlechterung und Risikoerhöhung im Zahlungsverkehr führen.«
Schon am 2. Dezember 2013 hat die Deutsche Kreditwirtschaft eine 15-seitige Stellungnahme zum Vorschlag der Europäischen Kommission zur Änderung der EU-Zahlungsdiensterichtlinie veröffentlicht. Hierin macht die Branche sowohl auf die »Gefährdung der Integrität der technischen Infrastruktur der Zahlungsdienstleister« aufmerksam, als auch auf den Umstand, dass der Kunde kein alleiniges Verfügungsrecht hat, die Schnittstelle für Dritte zu öffnen. Die Deutsche Kreditwirtschaft fordert daher: »Aus Sicherheitsgründen und zur Wahrung des Bankgeheimnisses sollte der Drittdienst keinen Zugriff auf die personalisierten Sicherheitsmerkmale des Zahlers (z.B. Online-PIN/TAN) haben.«
Noch weniger Verständnis haben die Banken dafür, dass Sie den Drittdiensten ihre Online-Banking-Infrastruktur unentgeltlich zur Verfügung stellen müssen. Auch diesbezüglich ist die Forderung der Deutschen Kreditwirtschaft unmissverständlich: »Da der Drittdienst mit der von ihm abgerufenen Bankauskunft selber einen wirtschaftlichen Vorteil generiert, […] müsste in der Vorschrift die Möglichkeit vorgesehen werden, dass der Auskunft gebende Zahlungsdienstleister vom Auskunftsnutznießer (=Drittdienst) ein angemessenes Entgelt erheben darf.«
Welche Vorteile ergeben sich aus der Richtlinie und wem nützen sie?
Lässt man die Bedenken der Banken völlig außen vor, bietet die überarbeitete Richtlinie durchaus Vorteile. Sie verschafft Nutzern von Drittanbieter deutlich mehr Rechtssicherheit. Dafür sorgt alleine schon die Zulassungspflicht durch die BaFin. Zwar bewegen sich die Dienste derzeit nicht im komplett rechtsfreien Raum, allerdings unterliegen nur wenige der Bundesanstalt für Finanzdienstleistungsaufsicht. Das ändert sich – und damit erhalten Anbieter, die sich an die Regeln halten, ein neues Qualitätsmerkmal.
Verbraucher
Verbraucher profitieren künftig zudem von einer größeren Auswahl an Zahlungsoptionen. Ob sie auch aktiv genutzt werden, lässt sich heute nicht vorhersagen. Ausschlaggebend wird sein, wie einfach die Handhabung der Dienste ist und welchen Service sie bieten.
Handel
Das gilt gleichermaßen für Händler. Sie können ihren Kunden mehr Alternativen zur schnellen und unkomplizierten Bezahlung im Online-Geschäft anbieten. Auch hier gilt: Über den Erfolg respektive die Akzeptanz der Dienste entscheiden deren Rahmenbedingungen. Dazu gehören dann zweifelsohne auch die Gebühren für den Zahlungsvorgang. Bieten Drittanbieter ihren Service günstiger an als herkömmliche Zahlungsdienste, steigen die Chancen, sich am Markt zu etablieren.
FinTech
Nicht zu vergessen, die Anbieter selbst. Die Tatsache, dass die BaFin einen genauen Blick auf das Geschäftsmodell wirft, stellt ganz klar eine neue – für einige vielleicht zu hohe – Hürde dar. Letztlich kann es aber nur im Interesse der FinTech-Branche sein, die eigenen Standards so hoch wie möglich anzusetzen, denn das Vertrauen der Kunden müssen sie sich im Gegensatz zu den Banken oder Kreditkartengesellschaften erst noch verdienen.
Banken
Chancen birgt die novellierte Zahlungsdiensterichtlinie durchaus auch für Banken. Sie könnten selbst aktiv werden und sich die neuen Zahlungswege zunutze machen. Darauf weist die Pressestelle der Postbank hin. »Andererseits ergeben sich auch für Banken neue Möglichkeiten, mit den Kunden in Kontakt zu treten, indem beispielsweise der Bankzugang mit Angeboten von Händlern direkt verknüpft und das Einkaufen für den Kunden erleichtert wird.«
Welche Bedenken hinsichtlich des Datenschutzes bestehen?
Schnellere und einfachere Bezahlmöglichkeiten dürfen jedoch nicht zulasten des Datenschutzes gehen. Sowohl der Bundesverband deutscher Banken als auch die Deutsche Kreditwirtschaft weisen explizit auf diesen Punkt hin. Ebenso die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Voßhoff. In einer Pressemitteilung vom 27. Februar 2015 schreibt sie: »Gegen die beabsichtigte Ausgestaltung bestehen datenschutzrechtlich erhebliche Bedenken, insbesondere weil ein Dritter – der Dienstleister – umfassenden Einblick in die Kunden-Kontoinformationen erhält. Hierbei handelt es sich um besonders sensible Finanzdaten, die auch zur Erstellung von Persönlichkeitsprofilen genutzt werden könnten.« Es müsse daher sichergestellt werden, dass hinreichende datenschutzrechtliche und datensicherheitsrechtliche Vorkehrungen getroffen werden. Dahingehend sieht Andrea Voßhoff noch »erhebliche Defizite«.
Bestmöglichen Schutz fordert auch die Sparkassen-Finanzgruppe. Sie schildert sehr anschaulich, was Verbraucher zu den neuen Zahlungsdiensten wissen müssen.
»Das gesamte Zahlungsverhalten der Kunden kann […] analysiert werden, woraus sich Rückschlüsse ziehen lassen auf persönliche Lebens- und Kaufgewohnheiten, aber auch auf sensible personenbezogene Merkmale wie Einkommen, Parteizugehörigkeit, Religion und vieles mehr. Verfügt ein Drittanbieter einmal über die gültige PIN zu einem Konto, ist ihm die ständige Abfrage aller Kontoumsätze über einen Zeitraum von mehreren Monaten oder gar Jahren möglich.“
97 Prozent der Bundesbürger lehnen daher, so eine Studie des Deutschen Sparkassen- und Giroverbandes aus dem zweiten Quartal 2013, einen Zugriff von Drittanbietern auf die Kontodaten ab.
Die schöne neue Bezahlwelt
Aus dieser Ablehnung Prognosen für die Zukunftsfähigkeit neuer FinTech-Anbieter abzuleiten, wäre verführt. Sie treffen den Nerv einer Generation, die Bankgeschäfte schnell und ohne Umwege abwickeln möchte – angefangen bei einfachen Zahlungen im Onlinegeschäft. Auch der Handel ist interessiert daran, Geldtransfers schnell und möglichst preiswert zu realisieren. Von daher zielt die Payment Services Directive II voll ins Schwarze.
Das heißt nicht, dass die Bedenken der Banken zur PSD II keine Grundlage hätten. Im Gegenteil: Die aktuellen Infrastrukturen mussten ebenso wie das Vertrauensverhältnis zum Kunden über Jahre hinweg aufgebaut werden. Neue Marktteilnehmer künftig kostenfrei an diesem Pfund teilhaben lassen zu müssen, ist extrem viel verlangt. Hier kollidieren der Wunsch nach Innovation auf EU-Ebene und das verständliche Interesse der Banken, die eigenen Bemühungen entlohnt zu sehen.
Dieser Konflikt steht ebenso im Raum wie die Bauchschmerzen beim Datenschutz. Hier müsste die EU noch ein wenig feilen. Wohin die Reise geht, in die schöne neue Bezahlwelt oder hin zu bekannten Ufern, entscheidet dann letztlich der Verbraucher.
Chancen, Risiken und Aufgaben für den Handel
Die Europäische Union hat mit der zweiten Payment Services Directive (PSD2), hierzulande besser als zweite Zahlungsdiensterichtlinie bekannt, die Sicherheit bei Online-Käufen in den Vordergrund gerückt. Verbraucher wünschen sich darüber hinaus vor allem Komfort. Beides unter einen Hut zu bringen, wird Aufgaben des Handels sein. Gewiss keine leichte Herausforderung. Der Rahmen steht zwar, doch er füllt sich nur langsam mit Leben. Spätestens ab September 2019 muss es dann rund laufen.
Die Vorgaben der Zahlungsdiensterichtlinie
Für den Handel, konkret den E-Commerce, sind vor allem zwei Bausteine der PSD2 von Belang: die starke Kundenauthentifizierung und das sogenannte Open Banking, das Drittanbietern den Zugriff auf die Bankdaten von Verbrauchern erlaubt. Hinzu gesellt sich das vielfach schon umgesetzte Verbot, Extra-Gebühren für bestimmte Zahlungsweisen zu berechnen.
Während die erste Facette, die Kundenauthentifizierung, zumindest im Bereich Kreditkartenzahlungen bereits bekannt ist, kommen durch das Open Banking neue Mitspieler auf den Markt. Sie werden in Zukunft wichtige Partner von Handelsunternehmen sein, die online verkaufen.
Die starke Kundenauthentifizierung
Die starke Kundenauthentifizierung oder auch Zwei-Faktor-Authentifizierung (2FA) zielt auf die Sicherheit bei Finanztransaktionen im Internet. Statt zum Beispiel nur die Kreditkartendaten oder die Kontonummer zu hinterlegen muss künftig ein zweites Sicherheitsmerkmal genutzt werden. Dabei wird nach drei Kategorien unterschieden:
- Wissen: Umfasst alles, was nur der Konto- oder Karteninhaber wissen kann, etwa die persönliche Identifikationsnummer (PIN) oder das Passwort.
- Besitz: Alles, was der Verbraucher in der Hand hat. Das kann die Bankkarte sein oder aber das Smartphone, auf dem die Daten hinterlegt sind.
- Inhärenz: Hierunter fallen biometrische Daten wie der Fingerabdruck, die Stimme oder die Gesichtserkennung.
Die EU schreibt vor, dass künftig zwei der drei Sicherheitsmerkmale miteinander kombiniert werden müssen.
Beispiel: Der Kunde gibt im Zahlungsprozess seine Kreditkartendaten ein (Besitz) und bestätigt sie mit der PIN (Wissen) oder aber via Fingerabdrucksensor des Smartphones (Inhärenz).
Das deckt sich mit dem, was MasterCard und Co. über die 3-D Secure-Verfahren schon seit Jahren anbieten – meist auf Basis einer Transaktionsnummer (TAN), die auf das Handy bzw. Smartphone übermittelt wird, oder per Passwort.
Ausnahmen
Auf die starke Kundenauthentifizierung kann verzichtet werden, wenn es sich um geringe Beträge handelt. Das gilt für Onlinekäufe unter 30 Euro. Allerdings nur bis kumulativ maximal 100 Euro bzw. fünf Zahlungen in Folge. Außerdem kann der Kunde jeden Händler, dem er vertraut, auf eine White-List setzen. Dann gilt: Transaktionen, die sich an ein als vertrauenswürdig eingestuftes Unternehmen richten, erfolgen ohne 2FA. Wem Verbraucher ihr Vertrauen schenken, wird individuell entschieden, dürfte aber vor allem großen Unternehmen in die Karten spielen. Dazu später mehr.
Open Banking
Die zweite große Veränderung öffnet neuen Marktteilnehmern die Türen und versalzt vor allem Banken die Suppe. Denn Kreditinstitute bzw. Dienstleister, die Zahlungskonten für Kunden unterhalten – also vornehmlich Banken, die im Rahmen von PSD2 als Account Servicing Payment Service Provider (ASPSP) oder Account Servicing Payment Services (ASPS) bezeichnet werden – müssen Dritten Zugang zu den Kundendaten gewähren. Immer vorausgesetzt, der Verbraucher stimmt zu.
Neu im Spiel sind AISPs (Account Information Service Providers – Kontoinformationsdienste) und PISPs (Payment Integration Service Providers – Zahlungsauslösedienste):
- ASIP: Verschaffen Verbrauchern einen besseren Überblick über die Finanzen, indem sie die Daten mehrerer Banken zusammenfassen und zum Beispiel auf einer gemeinsamen Plattform aufbereiten – etwa per Applikation auf dem Smartphone. Sinnvoll ist dies für alle, die bei mehr als einer Bank Kunde sind.
- PSIP: Diese Zahlungsdienste greifen auf das Konto zu, um eine Zahlung auszulösen. Das heißt, sie verfügen über alle nötigen Informationen, um im Auftrag des Kunden eine Transaktion bzw. Überweisung auf das Konto etwa des Händlers zu tätigen.
Bargeldloses Bezahlen hätte so einfach sein können – Kritik an der neuen Zahlungsdiensterichtlinie
Gut gemeint ist nicht immer gut. Bereits bei der Gestaltung von PSD II spielte jeder gegen jeden, bei der Umsetzung wird es trotz Kooperationen nicht anders sein
Am meisten werden die Bankkunden durch PSD II beim alltäglichen Onlinebanking eingeschränkt. Sollte der bargeldlose Zahlungsverkehr doch eigentlich immer einfacher werden, Geld versenden per SMS oder E-Mail, erreicht PSD II leider das Gegenteil. Es wird komplizierter.
- PSD II verlangt stärkere Authentifizierung bei bargeldlosen Bezahlprozessen.
- Banken schaffen ab September TAN-Listen und SMS-TANs ab.
- Die Umsetzung von PSD II für Kreditkartenzahlungen im Internet ist noch nicht geklärt.
- Der Zwei-Faktor-Authentifizierung wird eigentlich bei vielen Zahlvorgängen schon Rechnung getragen.
Händler-Kritik an der PSD2
Dass diese Neuerungen nicht mit Jubel begrüßt werden, war abzusehen. Neben den Banken melden auch die Handelsverbände Bedenken an. Sie sehen vor allem eine Gefahr: Kunden werden durch die Zwei-Faktor-Authentifizierung abgeschreckt. Denn jeder Klick mehr geht mit dem Risiko eines Kaufabbruchs einher. Laut MasterCard beträgt die Abbruchquote beim Check-out bereits jetzt 39 Prozent und „ist damit der sensibelste Abschnitt beim Online-Kauf“.
27 Verbände und Unternehmen haben sich daher schriftlich an die EU gewandt, unter anderem der Händlerbund. Moniert wird vor allem die zusätzliche Hürde beim Bezahlvorgang. „Reibungslose Online-Zahlungen sind besonders wichtig für einige Typen von Verbrauchern wie solchen, die zunehmend über Mobiltelefone shoppen, nicht sonderlich vertraut sind mit digitaler Technik oder Käufer mit Behinderungen“, heißt es in dem Schreiben. In dieser Situation könne jeder zusätzliche Klick, der für einen Kauf erforderlich ist, den Konsumenten vom Abschluss der Transaktion abhalten – etwa, wenn die Eingabe einer Transaktionsnummer oder der PIN nötig ist. Sicherheit sei natürlich wichtig, aber nicht mittels unnötiger Hürden.
Konzerne im Vorteil
Befürchtet wird darüber hinaus, dass die Vorgaben der PSD2 vor allem den Großen am Markt nützen. Das gilt hauptsächlich mit Blick auf die White-List-Lösung, mit der sich vertrauenswürdige Händler für einen unkomplizierteren Zahlungsabschluss definieren lassen.
Händler, bei denen man oft kauft – und das sind in der Regel die Global Player – sind damit im Vorteil. Hier sind Verbraucher deutlich eher bereit, Ausnahmen zu machen und werden, so die Befürchtung, nur noch dort bestellen. Kleinere Onlinehändler haben es dann deutlich schwerer, Kunden zu gewinnen und zu halten. Denn Verbraucher haben ganz klare Vorstellungen davon, wie das „Einkaufserlebnis“ im Netz aussehen soll.
ELASTIC
Zusammenfassen lassen sich die Wünsche mit dem Akronym „ELASTIC“. Jeder der Buchstaben steht für eine Eigenschaft, die Verbraucher sich wünschen.
- E – Ease of use: Benutzerfreundlichkeit im Sinne eines reibungslosen Zahlungserlebnisses.
- L – Liquidity: Die Option, Waren auch dann zu erhalten, selbst wenn man keine unmittelbaren Mittel dafür zur Verfügung hat.
- A – Availability: Jederzeit und überall bezahlen können.
- S – Safety: Sicherheit der Zahlung und der eigenen Identität.
- T – Transparency: Transparenz, um sofort zu wissen, was der Kauf bewirkt.
- I – Instant Result: Sofortige Ergebnisse durch Zahlungen in Echtzeit.
- C – Convergence: Mehrwerte schaffen – etwa durch Treueprogramme oder Servicemodelle.
Als Händler selbst zum PISP werden
Ein weiterer Punkt, der vor allem großen Unternehmen zugutekommen dürfte: Sie haben die Option, sich selbst als PISP lizenzieren zu lassen. Damit hätte man als Händler alles in der Hand, inklusive der Zahlung. Die Voraussetzungen dafür sind umfassend und für kleine Marktteilnehmer daher kaum realisierbar. Beispiel: Um EU-weit agieren zu können, muss für jedes Land eine gesonderte Erlaubnis vorliegen. Zudem muss die Sicherheit der Transaktion jederzeit gewährleistet sein.
Chancen für den Handel
Bislang handelt es sich bei der Kritik an der PSD2 durch den Handel lediglich um Mutmaßungen, die auf Hochrechnungen und bisherigen Erfahrungen beruhen. Bisweilen sind es auch eher Unkenrufe. Da es nahezu unmöglich ist, das exakte Kundenverhalten vorherzusagen, wird man abwarten müssen, welche Auswirkungen die Zahlungsdiensterichtlinie hat. Dass es sich dabei auch um positive Aspekte handeln kann, zeigen die Chancen, die mit der PSD2 einhergehen.
Kosten sparen
Dadurch, dass neue Marktteilnehmer in Erscheinung treten, die schnelle und einfache Zahlungen ermöglichen, könnte die Kostenstruktur sich spürbar zugunsten des Handels verbessern. Warum? Weil es sehr wahrscheinlich ist, dass neue Anbieter mit günstigeren Konditionen aufwarten werden, günstiger als Kreditkartenzahlungen, PayPal oder Sofort(überweisung). Hier gilt es, die Augen offenzuhalten, wie sich die Gebühren für Transaktionen entwickeln.
Schnellere und sichere Zahlungen
Positiv für Handel und Verbraucher sind die schnelleren Zahlungswege, wenn moderne PISP zwischengeschaltet werden. Sie lösen die Zahlung beim Kunden aus und dirigieren das Geld direkt auf das Konto des Händlers. Es werden keine weiteren Zahlungsdienstleister benötigt, was den Vorgang entzerrt. Zudem ist das Geld direkt auf dem Händlerkonto. Das ist bei Lastschriften nicht automatisch der Fall. Denn hier drohen im schlimmsten Fall Rücklastschriften, die bei den neuen Optionen entfallen. Das bedeutet für den Händler mehr finanzielle Sicherheit.
Aufgaben für den Handel
Um von der PSD2 profitieren zu können, ist der Handel in der Pflicht, selbst aktiv zu werden. Und das so früh wie eben möglich. Punkt eins auf der Prioritätenliste sollte die Suche nach einem Zahlungsdienstleister sein, der die PSD2-Vorgaben erfüllt und gleichzeitig den eigenen Ansprüchen gerecht wird. Als ideal gelten Dienste, die eine möglichst breite Palette an Zahlungsoptionen bieten und diese entsprechend dem Kunden filtern. Das heißt, jedem Verbraucher werden ganz individuell andere Zahlungsmöglichkeiten angeboten.
Berücksichtigt werden sollte darüber hinaus der Gebührenkatalog. Konkret: Was kosten einzelne Transaktionen? Das ist eine Frage, die künftig vermehrt von Belang sein wird. Noch ist der Markt einigermaßen überschaubar. Das könnte sich binnen kürzester Zeit ändern. Denn schon jetzt stehen einige Unternehmen in den Startlöchern, um den bewährten Zahlungsdienstleistern das Fürchten zu lehren.
Kundenbindung und Kundenwünsche
Besonderes Augenmerk muss der Handel auch darauf haben, was der Kunde sich wünscht. Dazu raten Experten, erst einmal genau zu beobachten, für welche Zahlungslösungen Verbraucher sich entscheiden und wie hoch die Abbruchrate ist. Daraus lässt sich ableiten, welche Optionen dauerhaft angeboten werden sollten – und das ist bisweilen von Anbieter zu Anbieter unterschiedlich.
Sicher ist schon jetzt, dass klassische Authentifizierungslösungen wie die Transaktionsnummer oder das Passwort immer weiter in den Hintergrund rücken. Sie sind aus Sicht moderner Kunden mit einem zu hohen Aufwand verbunden. Statt erst Zahlen bzw. Daten eingeben zu müssen, empfinden Verbraucher es als deutlich komfortabler, einfach den Fingerabdrucksensor oder die Gesichtserkennung zu nutzen. Das hat unter anderem auch MasterCard erkannt und setzt inzwischen vor allem auf „innovative biometrische Authentifizierungsverfahren“. Denn, wie bereits erwähnt: Jeder Klick mehr schreckt Kunden ab.
Fazit: Der PDS2 aktiv entgegenlaufen
Der Handel ist gut beraten, die PSD2 nicht einfach auf sich zukommen zu lassen, sondern ihr aktiv entgegenzugehen. Das heißt vor allem, die neuen Herausforderungen und Chancen so früh wie möglich in Angriff zu nehmen – und sei es nur, um wichtige Erfahrungswerte zu sammeln.
Sicherlich birgt die Zahlungsdiensterichtlinie Hürden und verkompliziert an sich einfache Vorgänge. Doch die zusätzliche Sicherheit schafft auch Vertrauen. Das gilt es für sich zu nutzen, um Verbraucher zu überzeugen, zum Kauf zu motivieren, als Kunden zu gewinnen und als treuen Kunden zu behalten. Leicht wird es nicht. Doch man hat es selbst in der Hand.
[girokontorechner_top5_big apikey=“5dc8c15b4a548ff4eebb8b9cf0b4510c“ linktype=“detail“ limit=“5″]
Weiterführende Informationen
- Vorschriften für Zahlungsdienste zum Nutzen von Verbrauchern und Einzelhändlern
- BaFin-Lizenz
- Zahlungsdienste
- Zweite Zahlungsdiensterichtlinie (PSD 2)
- Umsetzungsgesetz zur Zweiten Zahlungsdiensterichtlinie (ZAG)
- Merkblatt zum ZAG
- Technische Regulierungsstandards zu Mitteilungen im Rahmen des Europäischen Passes
- Entwurf für Technische Regulierungsstandards zu Zentralen Kontaktstellen
- Entwurf für Technische Regulierungs- und Durchführungsstandards zum EBA-Register
- Kommissionsentwurf Technischer Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation
- EBA-Leitlinien zur Authorisierung von Zahlungsinstituten
- EBA-Leitlinien zur Berufshaftpflichtversicherung
- EBA-Leitlinien zur Meldepflicht schwerwiegender Sicherheitsvorfälle
- EBA-Leitlinien zu Sicherheitsmaßnahmen
- EBA-Leitlinien zum Beschwerdeverfahren
- PSD2 und das kontaktlose Bezahlen
- MasterCard: Digital Commerce: Worauf es beim Bezahlen ankommt.
- Management-Circle.de: PSD2: Mögliche Folgen für Banking und E-Commerce
- Moneytoday.ch: PISP.
- Nets.eu: PSD2 Consumer Solution.
- Deloitte.com: Richtlinie über Zahlungsdienste (PSD2) – ein strategischer Wendepunkt?
- HSBC: Zahlungsdiensterichtlinie II (PSD2)
- Cio.de: Das bedeutet die „PSD2“-Richtlinie für Verbraucher und Handel
- Onlinehändler-News: Die PSD2: Der dicke Brocken kommt erst noch.
- Onlinehändler-News: Payment-Studie des Händlerbundes: PayPal ist das Maß der Dinge.
- Onlinehändler-News: Verschärfung der Online-Zahlungen: Proteste aus dem E-Commerce.
- Heise-RegioConcept: PSD2: Zwei-Faktor-Authentifizierung bringt Online-Händler auf die sichere Seite.
- Concardis.com: Neue Zahlungsdiensterichtlinie PSD2: Veränderungen und Knackpunkte für das Onlinegeschäft.
- Isico-Datenschutz.de: PSD2 – Zahlungsverkehr 2.0 – Welche Chancen und Risiken gibt es?
- Channelpartner.de: Das bedeutet die „PSD2“-Richtlinie für Verbraucher und Handel.
- T3N.de: PSD2: Neues EU-Gesetz bevorzugt große Online-Händler.
- Stores-shops.de: PSD2: Chancen und Herausforderungen.
- Handelsblatt.de: Die zweite EU-Richtlinie zu Zahlungsdiensten hat eine Revolution im Verborgenen ausgelöst.
Bildnachweise:
© Fotolia.com: VRD, Denis Junker, Torbz
© iStock: urbancow