Wichtige Regelung für Online-Händler 04.09.2019, 17:22 Uhr

Handel ist wenig auf starke Kundenauthentifizierung vorbereitet

Am 14. September 2019 treten die neuen Regelungen zur starken Kundenauthentifizierung bei elektronischen Zahlungsverfahren in Kraft. Doch viele Online-Händler haben sich darauf noch nicht vorbereitet.
Die sogenannte starke Kundenauthentifizierung schwebt wie ein Damoklesschwert über dem Haupt so manches Händlers, der seine Ware online vertreibt und dabei Bezahlmöglichkeiten wie Bezahlung via Kreditkarte oder PayPal anbietet. Und einige wissen noch nicht einmal etwas von den neuen Regelungen, die am 14. September wirksam werden. Zum Schutz vor Betrug hat die Europäische Kommission Ende November 2017 technische Regulierungsstandards für elektronische Zahlungstransaktionen verabschiedet. Die dazu gehörende starke Kundenauthentifizierung bedeutet, dass grundsätzlich alle elektronischen Zahlungen – mit Ausnahme der Lastschrift – mit mindestens zwei der drei folgenden Elemente bestätigt werden müssen:
  • Wissen (der Nutzer kennt ein festgelegtes Passwort oder eine PIN)
  • Besitz (der Nutzer besitzt eine Karte, einen Chip oder auch ein Smartphone oder eine App, die zur Verifizierung eingesetzt werden können)
  • Inhärenz (ein Merkmal des Nutzers wie seine Stimme oder sein Fingerabdruck)
Damit diese Zwei-Faktoren-Authentifizierung möglich ist, müssen die meisten Online-Händler ihre Shops entsprechend aufrüsten beziehungsweise über ihre Zahlungsanbieter die notwendigen Konfigurationen und Updates vornehmen lassen.

Händler sind zu wenig informiert

Das Forschungsinstitut Ibi Research (Regensburg) hat eine aktuelle Studie veröffentlicht, die Im Zeitraum von Juli bis August 2019 untersucht hat, inwieweit sich deutsche Online-Händler auf die starke Kundenauthentifizierung vorbereitet haben. Unter anderem hat diese Untersuchung ergeben, dass sich 28 Prozent der befragten Online-Händler (n = 247; 13 Prozent der befragten Händler bieten Sportartikel an) noch gar nicht mit den neuen gesetzlichen Bestimmungen beschäftigt haben, lediglich 19 Prozent der Händler haben die Prozesse in ihrem Online-Shop bereits angepasst.
Während die Lastschrift, bei der sich durch die neuen Regularien keine Änderungen ergeben, nur von 36 Prozent der befragten Online-Händler genutzt wird, bietet der Handel am häufigsten Bezahlung per PayPal (77 Prozent), Vorkasse per Überweisung (60 Prozent) und Kartenzahlung (60 Prozent) an. Wie bei der Lastschrift finden die neuen Regularien auch bei Vorkasse via Überweisung keine Anwendung. Hinsichtlich Kartenzahlung im Online-Handel hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 21. August bereits bekannt gegeben, dass Kreditkartenzahlungen im Internet auch über den 14. September hinaus ohne starke Kundenauthentifizierung ausgeführt werden dürfen, da die Zahlungsempfänger und Banken aktuell nicht ausreichend darauf vorbereitet sind. Dabei handelt es sich allerdings nur um einen zeitlich begrenzten Aufschub.
Quelle: Ibi Research, 2019
Die Studie des Ibi Research ergab, dass 28 Prozent der befragten Online-Händler vor der Umfrage nicht wussten, dass die starke Kundenauthentifizierung zum 14. September 2019 verpflichtend umzusetzen ist. Weitere 32 Prozent hatten bereits von den neuen Regularien gehört, sich aber noch nicht näher damit beschäftigt. Lediglich 19 Prozent der Händler haben ihre Bezahlprozesse hinsichtlich der neuen Bestimmungen bereits angepasst. Von den Händlern, die bislang noch keine Maßnahmen ergriffen haben wollen 68 Prozent auch in Zukunft keine Änderungen vornehmen. Die Gründe dafür sind vielfältig. Etwa ein Drittel ist der Ansicht, dass sie nur Zahlungsverfahren anbieten, bei denen keine starke Kundenauthentifizierung notwendig ist. Allerdings zeigte die Untersuchung von Ibi Research auch auf, dass 40 Prozent dieser Händler Kartenzahlung und/oder Bezahlung via PayPal in ihren Online-Shops anbieten, also Bezahlverfahren, welche die Zwei-Faktoren-Authentifizierung ab dem 14. September oder spätestens nach einer Übergangsfrist erfordern.

Ausnahmen von der starken Kundenauthentifizierung

Ebenso wie über die neuen Bestimmungen sind Online-Händler auch über deren Ausnahmen zu wenig informiert. Im Durchschnitt sind diese jedem dritten Händler nicht bekannt. Insgesamt vier Ausnahmen, in denen die starke Kundenauthentifizierung nicht notwendig ist, sehen die Regulierungen vor:
  • Vertrauenswürdige Empfänger: Kunden können Händler, denen sie vertrauen, auf eine sogenannte Whitelist setzen lassen. Diese Liste wird von der Bank des Kunden geführt. Whitelist-Händler sind von der Zwei-Faktoren-Authentifizierung ausgenommen.
  • Kleinbetragzahlungen: Wenn der Einzelbetrag der Online-Zahlung 30 Euro nicht überschreitet, die Summe der Online-Zahlungen seit der letzten starken Kundenauthentifizierung nicht höher ist als 100 Euro oder wenn es nicht mehr als fünf aufeinanderfolgende Zahlungen seit der letzten starken Kundenauthentifizierung gab, kann auf die Zwei-Faktoren-Authentifizierung verzichtet werden.
  • Wiederkehrende Zahlungsvorgänge: Für die Erstellung einer Serie von wiederkehrenden Zahlungen. Bei denen Betrag und Empfänger gleich bleiben, zum Beispiel bei Daueraufträgen, ist zwar eine starke Kundenauthentifizierung notwendig. Diese entfällt aber bei sich wiederholenden Zahlungen der Serie.
  • Transaktionsrisikoanalyse: Bei dieser – für Händler wahrscheinlich interessantesten Ausnahme – wird jede Zahlung untersucht, um das Betrugsrisiko festzustellen. Ist das Risiko gering und bleibt der Zahlungsdienstleister unter einer festgelegten Betrugsrate, die abhängig ist vom Zahlungsverfahren und dem jeweiligen Betrag, dann kann der Zahlungsdienstleister auf eine starke Kundenauthentifizierung bei Zahlungen bis maximal 500 Euro verzichten.
Quelle: Ibi Research, 2019
Wichtig bei all diesen Ausnahmen ist allerdings, dass nie der Händler entscheidet, ob diese zur Anwendung kommen, sondern immer der kontoführende Zahlungsdienstleister, also in der Regel die Bank des Kunden. Relevanz haben dennoch all diese Ausnahmen, da im Durchschnitt jeder fünfte Kunde den Kauf während des Bezahlprozesses abbricht. Die meisten Online-Händler befürchten, dass diese Quote durch die starke Kundenauthentifizierung steigen könnte. Dem kann durch die Ausnahmen der Regulierung möglicherweise entgegengewirkt werden.
Händler, die ihre Produkte unter anderem online anbieten und sich noch nicht auf die neuen Bezahlprozesse vorbereitet haben, sollten sich umgehend informieren und entsprechende Maßnahmen ergreifen. Dies gilt auch für Händler, die davon ausgehen, dass eigentlich keine Veränderungen notwendig sind, da im Handel noch große Unklarheit zu herrschen scheint. Auch wenn die Kartenzahlung aktuell noch von der neuen Regelung ausgenommen ist, sollten Händler ihre Online-Shops jetzt schon entsprechend anpassen. Der Aufschub ist laut BaFin auf jeden Fall zeitlich begrenzt.

... weitere interessante SAZsport Themen