SCA die neue EU-Richtlinie PSD II – werde aktiv!

Ab dem 14. September 2019 sind alle europäischen OnlinehändlerInnen verpflichtet, für eine verbesserte Kundenauthentifizierung beim Online-Einkauf zu sorgen. Per Strong-Customer-Authentication (SCA) soll dann die Sicherheit elektronischer Zahlungen erhöht werden, um Kunden und Kundinnen vor Betrug beim Online-Shopping zu schützen.

Ähnlich der DSGVO bedeutet das eine große Umstellung für den Onlinehandel. Unternehmen sollten sich daher schon jetzt informieren und auf die neue EU-Regelung vorbereiten.

Wir haben für dich zusammengefasst, was SCA beinhaltet und welche nächsten Schritte notwendig sind. Am Ende des Beitrags kannst du dir auch ein Merkblatt mit den wichtigsten Informationen herunterladen.

Was bedeutet SCA?

Die „starke Kundenauthentifizierung“ wird also in wenigen Monaten für alle europäischen Unternehmen verpflichtend, die online Zugriff auf Zahlungskonten gewähren. Geregelt ist dies in der zweiten europäischen Zahlungsdiensterichtlinie PSD II, die im Dezember 2015 verabschiedet wurde. Sie löst die EU-Richtlinie PSD I ab und legt einen stärkeren Fokus auf den Datenschutz und die Sicherheit neuer Bezahlsysteme.

Der Onlinehandel wird in den nächsten Jahren immer mehr an Bedeutung gewinnen. Selbst im sonst eher zögerlichen Deutschland konnte er 2018 ein Umsatzplus von rund zehn Prozent verbuchen, und bis 2022 könnte weltweit die Billionen-Dollar-Grenze durchbrochen werden. Für das langfristige Wachstum des Onlinehandels ist es daher wichtig, die Sicherheit im Zahlungsverkehr weiter zu erhöhen.

Voraussichtlich wird die Umstellung auf SCA viele Online-Unternehmen zunächst vor Herausforderungen stellen. Vergleichbar mit der Einführung der DSGVO im Jahr 2018, dürfte die Umsetzung ein relativ aufwändiger Prozess werden. Wenn Onlinenshops nicht rechtzeitig reagieren, könnte ihnen das Konversionsverluste bescheren und sich negativ auf den Umsatz auswirken.

Aus diesen Gründen sollten sich Unternehmen bereits jetzt informieren und auf die Neuerungen vorbereiten.

Lesetipp: Sehr umfangreiche Informationen zum Thema hat die Bundesanstalt für Finanzdienstleistungsaufsicht in dem Beitrag „Starke Kundenauthentifizierung: Neue Pflicht wirkt sich auf Online-Banking und Bezahlen im Internet aus“ zusammengestellt.

sca-die-neue-eu-richtlinie-psd-ii-bild-1

Die Website des BaFin

Wie funktioniert die starke Kundenauthentifizierung?

Das SCA-Verfahren soll sicherstellen, dass es sich bei den NutzerInnen tatsächlich um berechtigte Kunden und Kundinnen handelt, also um die InhaberInnen der betreffenden Zahlungskonten. Dadurch können Anmeldungen mit geklauten Anmeldeinformationen in Zukunft besser als bisher unterbunden werden. Vor allem sind davon Kartenzahlungen betroffen, die online getätigt werden.

Authentifizierung in zwei Schritten

SCA wird immer dann erforderlich, wenn der Kunde bzw. die Kundin online auf sein oder ihr Zahlungskonto zugreift oder eine elektronische Zahlung vornimmt. Die sichere Authentifizierung des Benutzers oder der Benutzerin gelingt mit der Zwei-Faktor-Authentifizierung (2FA). Dafür müssen zwei von drei der folgenden Faktoren stimmen, mit denen sich der bzw. die Nutzende verifiziert:

Wissen: Authentifizierung durch etwas, das der Kunde oder die Kundin weiß (z. B. Passwort oder PIN)

Besitz: Authentifizierung durch etwas, das er oder sie besitzt (z. B. Token, Girocard oder Smartphone)

Inhärenz: Authentifizierung durch etwas, das ihn oder sie auszeichnet (z. B. biometrische Eigenschaften wie Fingerabdruck, Scan der Iris oder Gesichtsmerkmale)

Die Zwei-Faktor-Authentifizierung ist kein neues Verfahren, vielen ist sie sicher bereits bekannt. Allerdings ist ihr Einsatz im Zuge von PSD II erstmals bei allen elektronischen Zahlungen verpflichtend.

Auf der Seite Two Factor Auth List des Software-Technikers Josh Davis kann eingesehen werden, welche Websites 2FA bereits anbieten. Insbesondere beim Banking, Login für soziale Netzwerke oder eigenen Google-Konto kann der Nutzer oder die Nutzerin bereits 2FA einstellen, um seine bzw. ihre Daten zu schützen. Oftmals erfolgt die Authentifizierung über PIN und TAN, den Fingerabdruckscanner des Smartphones oder die Zusendung eines Codes per SMS.

sca-die-neue-eu-richtlinie-psd-ii-bild-2-scaled

Die 2FA mithilfe von Fingerabdrücken wird immer häufiger akzeptiert

Zusätzlich gibt es Authenticator Apps, mit denen man 2FA auch dann nutzen kann, wenn das Smartphone offline ist.

Onlineshops nutzen das Verfahren bisher nur in geringem Umfang, da sich jeder zusätzliche Schritt im Checkout-Bereich auf die Conversion auswirken kann. Zu Websites aus dem Retailbereich, die 2FA bereits anbieten, gehören Apple, Digitec, Ebay, Etsy, Samsung, Shopify und einige andere mehr. Nun sind aber auch alle anderen zum Handeln aufgefordert.

Fakt ist: Einkaufen mit nur einem einzigen Klick gehört mit SCA bald der Vergangenheit an, sofern keine Ausnahme greift. Mehr dazu im folgenden Abschnitt.

Ausnahmen von SCA

Die EU-weite Verordnung PSD II wird von den Regulierungsbehörden der verschiedenen Länder unterschiedlich interpretiert. Darüber hinaus gelten für Kartennetze und Banken eigene Vorgaben.

Es gibt unter anderem folgende Ausnahmen für SCA:

SCA ist nicht notwendig bei Transaktionen mit geringem Wert: Das betrifft Transaktionen unter 30 Euro ebenso wie den Fall, dass Transaktionen ohne SCA in den vergangenen 24 Stunden zusammen 100 Euro nicht überschreiten. Außerdem wird für jede fünfte Transaktion SCA notwendig.

SCA ist nicht notwendig bei Transaktion mit geringem Risiko: Zahlungsdienstleister können eine sogenannte Transaktionsrisikoanalyse durchführen. Dabei werden eingehende Zahlungen auf ihr Betrugsrisiko hin gecheckt. Fällt dieses gering aus, ist SCA nicht erforderlich.

SCA ist nicht notwendig bei B2B-Transaktionen: Bei Zahlungsvorgängen zwischen Unternehmen kann eine Befreiung auf Basis der Transaktionsrisikoanalyse erfolgen, solange diese eine Zahlungsmethode nutzen, die für solche B2B-Zahlungen bestimmt ist.

SCA ist nur einmalig notwendig bei Abonnements oder wiederkehrenden Zahlungen: Das ist vor allem für AnbieterInnen von Abonnements relevant. Bei wiederkehrenden Einkäufen ist SCA nur einmalig notwendig, wenn der Beitrag gleich bleibt. Auch beim Anlegen eines Dauerauftrags ist SCA nur einmal erforderlich.

SCA ist nur einmalig notwendig bei vertrauenswürdigen Zahlungsempfängern: Nutzer und Nutzerinnen können bei ihrer Bank eine Whitelist erstellen, auf der sie vertrauenswürdige Empfänger hinterlegen. Zahlungen müssen dann nur einmal authentifiziert werden.

sca-die-neue-eu-richtlinie-psd-ii-bild-3-scaled

Es gibt diverse Ausnahmen: Kleinbeträge sind beispielsweise ausgenommen

Alle Angaben sind ohne Gewähr und erheben keinerlei Anspruch auf Vollständigkeit. Detaillierte Informationen findest du in der offiziellen EU-Richtlinie 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 (PDF).

Was ist jetzt zu tun?

Bis September sind es zwar noch einige Monate. Allerdings ist es sinnvoll, sich schon frühzeitig auf die neue EU-Richtlinie vorzubereiten. Dadurch kann der Übergang erheblich erleichtert werden.

Um die Vorgaben fristgerecht umzusetzen und idealerweise Reibungsverluste zu vermeiden, sollten sich Betreiber und Betreiberinnen von Onlineshops daher umgehend informieren. Zu prüfen ist beispielsweise, ob und in welchen Fällen SCA für sie notwendig wird und an welchen Punkten eventuelle Ausnahmen greifen. HändlerInnen sind außerdem gut beraten, die Kaufabwicklung in ihrem Shop zeitnah so zu optimieren, dass keine Probleme beim Bezahl-Schritt auftreten. Wichtig ist, dass die positive Nutzererfahrung erhalten bleibt! Dabei sollte auch Transparenz eine große Rolle spielen: Den Kunden bzw. der Kundin gilt es schlüssig zu vermitteln, warum in einigen Fällen die Zwei-Faktor-Authentifizierung nötig ist und in anderen nicht – so lässt sich Unzufriedenheit und Frustration vorbeugen.

SCA kann auf verschiedenen Wegen beim Bezahlvorgang stattfinden: über biometrische Daten, 3D Secure 2.0 und andere. Es empfiehlt sich, den KundInnen möglichst viele Bezahlmöglichkeiten im Checkout-Bereich anzubieten. Dazu können alternativ auch „SCA-freie“ Zahlungsarten wie Rechnung oder Lastschrift gehören. Je nach Art des Shops und der Kundenbedürfnisse kann dies alles in der Praxis höchst unterschiedlich aussehen.

Ferner sollten OnlinehändlerInnen in Erfahrung bringen, was ihre Zahlungsdienstleister konkret vorbereitet haben, um dem Handel einen leichten Übergang zu ermöglichen. Die meisten Banken bieten hierzu auf ihren Websites umfangreiche Informationen an. Im Zweifelsfall helfen persönliche Beratungsgespräche mit der Hausbank sowie die Hinzuziehung externer SCA-Experten oder SCA-Expertinnen weiter, um entscheiden zu können, ob der bisherige Finanzdienstleister bzw. die Dienstleisterin auch in Zukunft noch der bzw. die richtige PartnerIn ist.

Fazit

SCA bedeutet einschneidende Veränderungen für den Onlinehandel, die sich jedoch langfristig positiv auf die Sicherheit im Netz und das Wachstum auswirken dürften. Wenn Unternehmen die neuen Erfordernisse erfüllen und ihren KundInnen weiterhin eine gute Nutzererfahrung bieten, können sich für sie daraus klare Vorteile gegenüber ihren MitbewerberInnen ergeben. Umso wichtiger ist es, dass Onlinehändler und Händlerinnen bestens auf die neue EU-Richtlinie vorbereitet sind.