56 Millionen Deutsche kaufen einer Studie von Bitkom zufolge online ein – Tendenz: steigend. Durch die Coronakrise zogen die Online-Umsätze allein im Juni um rund 30 Prozent an. Die neue EU-Richtlinie soll nun den Käuferschutz im Internet stärken. Doch was steckt dahinter und wie setzen Händler die Vorgaben technisch am besten um?
Der Sinn der neuen Richtlinie ist es, Onlineshopper besser vor Betrügern zu schützen. Gerade im Hinblick auf die steigenden Online-Umsätze ist dieser Schritt sicherlich sinnvoll. Die zweite Stufe der Richtlinie trat bereits am 14. September 2019 in Kraft. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hatte zunächst aber davon abgesehen, Verstöße zu ahnden. Im Oktober 2019 gab die Bundesanstalt dann bekannt, ab dem 1. Januar 2021 Konsequenzen ziehen zu wollen. Die Schonfrist läuft also ab. Wer keine Strafen zahlen möchte, muss die Regelungen für Online-Kartenzahlungen bis zu dieser Deadline umsetzen.
Wie funktioniert die starke Kundenauthentifizierung?
Die starke Kundenauthentifizierung oder Strong Customer Authentication, kurz SCA, soll die Sicherheit der Kunden erhöhen. Die Identität des Kunden wird bei dieser Methode anhand von zwei unabhängigen Sicherheitsfaktoren festgestellt. Dazu zählen zwei der drei Kategorien Wissen (ein Passwort oder PIN), Besitz (ein Mobiltelefon) oder Inhärenz (Gesichtserkennung oder ein Fingerabdruck). Die starke Kundenauthentifizierung sieht also vor, dass Kunden zunächst beispielsweise ihr Passwort eingeben und im Anschluss eine TAN auf ihr Smartphone erhalten, um den Kauf zu bestätigen. Diese Zwei-Faktor-Authentifizierung macht Betrügern das Leben schwer. Doch viele Onlinehändler stehen jetzt vor der Herausforderung, genau diese Richtlinie pünktlich zum Stichtag technisch umzusetzen.
Welche Herausforderungen kommen auf Onlinehändler zu?
Zeit ist Geld, das gilt auch im Internet. Erfahrungsgemäß steigt die Absprungrate bei langen Wartezeiten oder umständlichen Prozessen. Die Geduld der Kunden ist nicht grenzenlos. Viele Shopbesitzer befürchten nun Umsatzeinbrüche, schließlich erscheint die starke Kundenauthentifizierung auf den ersten Blick kompliziert. Tatsächlich haben die Händler die Kundenerfahrung jedoch selbst in der Hand. Wer rechtzeitig technisch aufrüstet, kann Kaufabbrüche vermeiden. Die Umrüstung lohnt sich doppelt: Einerseits stärken Händler damit die Sicherheit ihrer Kunden. Andererseits wird mit den neuen Zahlverfahren der Zwei-Faktor-Authentifizierung die Haftung auf die Bank übertragen. Bei einem Betrugsfall wird dann die Bank, nicht der Händler, zur Kasse gebeten.
Welche Ausnahmen gibt es?
Der Gesetzgeber erlaubt weiterhin Ausnahmen in bestimmten Fällen. Handelt es sich etwa um eine Zahlung mit geringem Betrugsrisiko oder um Kleinstbeträge unter 30 Euro, kann eine Ausnahmeregelung greifen. Doch aufgepasst: Auch wenn der Verbraucher ausschließlich Beträge unter 30 Euro online per Karte bezahlt, wird spätestens bei der sechsten Zahlung oder nach einem Gesamtumsatz von 150 Euro eine starke Kundenauthentifizierung abgefragt.
Bei wiederkehrenden Zahlungen wie etwa für Abonnements bei Netflix oder Spotify kommen Kunden um eine Zwei-Faktor-Authentifizierung herum. Gleiches gilt für Einkäufe bei Händlern, die der Kunde selbst als vertrauenswürdig einstuft.
Was ist das 3D-Secure 2-Verfahren?
Um die neue Richtlinie in Onlineshops umzusetzen, kommt bei Kreditkartenzahlungen im Internet das weiterentwickelte 3D-Secure 2-Verfahren zum Einsatz. Dabei handelt es sich um den neuesten Standard zur Absicherung von Kartenzahlungen. Branchengrößen wie Visa, Mastercard, Discover, American Express, JCB und UnionPay ziehen bei diesem Thema an einem Strang.
Das 3D-Secure 2-Verfahren können Kunden sowohl auf Webseiten als auch mobil und über Apps nutzen. Wird ein zweiter Faktor abgefragt, können Kunden bei diesem Verfahren ganz einfach die Möglichkeiten ihres Smartphones nutzen. Fingerabdruck oder Gesichtserkennung lassen sich so leicht abfragen. Laut Anbieterangaben verspricht dieses Verfahren niedrigste Abbruchquoten. Den Daten zufolge brachen Kunden im August 2020 mit dem 3D-Secure 2-Verfahren weniger Käufe ab als bei ungesicherten Zahlungen oder bei Käufen mit der 3D-Secure 1-Lösung. Das Verfahren bietet einerseits die Möglichkeit, die Ausnahmen für Kartenzahlungen einfach umzusetzen. Andererseits nutzen die Kartenherausgeber auch gemeinsame Daten, die eine detailliertere und schnellere Risikoanalyse ermöglichen. Dies reduziert Betrugsfälle und es steigt die Sicherheit der Kunden, ohne dass der Zahlungsprozess unnötig komplizierter wird.
Was ist der nächste Schritt für Onlinehändler?
In jedem Fall sollten Händler, die ihre Zahlungsabwicklung nicht über Novalnet laufen lassen, prüfen, ob ihr Zahlungsdienstleister die PSD2-Richtlinie schon implementiert hat. Bei Problemen oder Wechselwünschen hilft betroffenen Händlern das Support-Team der Novalnet. Darüber hinaus kann es sein, dass manche Onlinehändler auch ihre AGB und Datenschutzerklärung aktualisieren müssen. Branchenexperten empfehlen außerdem, die Kunden aktiv über die Änderungen zu informieren, um Verwirrungen zu vermeiden. So klappt der Übergang reibungslos und sorgt für mehr Sicherheit für Kunden – aber auch für Händler.