Geschrieben am 19.09.2019 von:
Sabine Pernikas
Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 0
E-Mail senden
Online Shopping boomt – und ebenso explosionsartig vermehren sich auch die Anbieter von Zahlungsdiensten am Markt. Es wurde also Zeit, dass der Staat bzw. die EU schützend ihre Hände über die Verbraucher halten. Seit dem 14.09.2019 haben Onlinehändler aufgrund einer neuen Regelung diverse Dinge zu beachten, um den Zahlungsverkehr sicherer zu gestalten. Doch ist eine Zahlung per SEPA-Lastschrift tatsächlich verboten worden?
Was ist überhaupt PSD2?
PSD steht für „Payment Service Directive“. Dabei handelt es sich um eine Richtlinie auf EU-Ebene, die zur Regulierung des Marktes für neuartige Zahlungsdienste und deren Anbietern geschaffen wurde. Sie ist aus dem Jahr 2007 und wurde nun durch die „zweite Zahlungsdiensterichtlinie“ ersetzt, kurz PSD2. Hintergrund dieser Neuerung ist, dass der Zahlungsverkehr für Verbraucher noch sicherer und transparenter gestaltet werden soll.
Seit dem 14.09.2019 gilt zudem die „starke Kundenauthentifizierung“, eine Verordnung, die neue technische Standards verpflichtend für den Onlinehandel festlegt. Dadurch sollen insbesondere Betrugsfälle im elektronischen Zahlungsverkehr reduziert bzw. vermieden werden. Doch wie soll das funktionieren?
Die Zwei-Faktor-Authentifizierung
Und hier kommt die herrlich komplizierte und kaum aussprechbare Methode der Zwei-Faktor-Authentifizierung ins Spiel (sprich: Au- t-hen-ti-fi-ziiiiiierung). Zahlungen müssen künftig mehrmals vom Kunden autorisiert werden, wodurch ein sicherer Zahlungstransfer gewährleistet wird. Betrugsfälle sind also nur noch dann möglich, wenn man gleich zwei Hürden überwindet. Bisher war es für eine Zahlung im Online Shop ausreichend, wenn man seine Kreditkartendaten samt Sicherheitscode während des Bestellprozesses eingab oder bei Zahlungen mittels Paypal die dort hinterlegte E-Mail-Adresse und das dazugehörige Passwort zur Initiierung nutzte. Geraten diese Daten in die falschen Hände, ist es ein Kinderspiel für Unbefugte, über diese Zahlungsmittel Bestellvorgänge abzuwickeln.
Um das zu unterbinden ist nun neu, dass künftig im Onlinehandel noch ein zweiter Faktor vom Kunden abzufragen ist. Erst danach wird die Zahlung tatsächlich ausgelöst. Bekannt sein dürfte diese Zwei-Faktor-Authentifizierung bereits aus dem Bereich des Onlinebankings. Wenn Ihnen diese Ausführungen jetzt zu laienhaft sind, können Sie sich gerne zusätzlich mit den technischen Aspekten der Zwei-Faktor-Authentifizierung beschäftigen. TOM erklärt jeden dritten Donnerstag im Monat (am DatenDonnerstag), was es mit solchen Begrifflichkeiten eigentlich so auf sich hat. Und wer TOM noch nicht kennt, sollte ihm erst recht mal einen Besuch abstatten.
Was müssen Onlinehändler nun beachten?
In Zukunft müssen die meisten Zahlungen also zweidimensional erfolgen. Wichtig ist hierbei, dass die Faktoren aus unterschiedlichen Quellen bzw. Kategorien stammen. Der EU-Richtliniengeber hat dafür folgende Gruppierungen vorgesehen.
- Kategorie: Wissen. Hierunter fällt die klassische Eingabe eines Passworts, einer PIN, die Beantwortung einer Frage oder ähnliches.
- Kategorie: Besitz. Hier kann eine Autorisierung u.a. mittels Smartphone, einer Zahlungskarte oder eines Chipgerätes erfolgen.
- Kategorie: Biometrie. Eine Zahlung kann auch durch Fingerabdruck-Scans (wie dies bei den meisten Smartphones heute ja üblich ist), durch Gesichtserkennung oder Iris-Scans verifiziert werden.
Beruhigend dürfte die folgende Nachricht sein: die Vorgaben der PSD2 sind von den Anbietern der Zahlungsdienste selbst umzusetzen und nicht von jedem Onlinehändler selbst. Allerdings sollte man darauf achten, dass die im Online Shop eingebundenen Zahlungsmöglichkeiten auch nur von Anbietern stammen, die die neuen Vorgaben bereits umgesetzt haben. Überprüfen Sie also Ihre Webseite, sprechen Sie mit Ihren Zahlungsdiensteanbietern und setzen Sie gegebenenfalls die noch erforderlichen technischen Implementierungen um. Und was SEPA betrifft: großzügig sein und allen Kunden zur Verfügung stellen oder weg damit.
SEPA-Aus? Noch mehr Neuerungen für den e-Commerce?
Ganz überraschend entschied der Europäische Gerichtshof am 05.09.2019 auch, dass die beliebte Zahlungsmethode des SEPA-Lastschriftverfahrens Onlinehändlern nicht mehr flächendeckend zur Verfügung stehen soll (EuGH, Urteil vom 05.09.2019, Az.: C-28/18).
„SEPA wurde verboten“ oder „SEPA-Aus – Nachruf an eine einst beliebte Zahlmethode“ lauteten die reißerischen Titel im Internet. Ganz so drastisch stellt sich dieses Urteil zwar nicht dar, dennoch sind Onlinehändler zum Handeln aufgefordert. Der EuGH sah ein Problem darin, das SEPA-Lastschriftmandat nur in bestimmten Ländern anzubieten. In der Selektion liegt eine Ungleichbehandlung innerhalb der Europäischen Union, die so nicht gerechtfertigt ist. Unternehmen müssen die Zahlungsmöglichkeit also entweder allen Kunden im europäischen Wirtschaftsraum zur Verfügung stellen oder sie nicht mehr anbieten.
Sie haben noch weitere Fragen rund um Ihren Online-Shop oder zu Ihrer Webseite? Dann schicken Sie uns einfach Ihre Anfrage über das Kontaktformular am Ende der Seite oder rufen Sie uns an. Wir beraten Sie gern.