Mehr Wettbewerb durch die Öffnung des Zugangs zu den Kundenkonten, mehr Sicherheit durch eine verschärfte Authentifizierung bei diversen Zahlvorgängen. Fehlanzeige, zumindest zum Stichtag 14. September. Stattdessen: Nachsitzen für alle Beteiligten.
Darum geht’s: Die zweite Zahlungsdienstrichtlinie (PSD2) bringt zwei wesentliche Änderungen mit sich. Sie soll anderen Banken und sogenannten Drittanbietern, darunter auch Fintechs, den Zugang zu Kundenkonten öffnen, deren Einverständnis vorausgesetzt.
Dafür müssen technische Voraussetzungen geschaffen werden, wie Schnittstellen (sogenannte API) über die sicher kommuniziert wird. Gleichzeitig wird die 2FA eingeführt, mit dem Ziel, Kunden wie Händler besser vor Betrug zu schützen – und zwar europaweit einheitlich – so der Gedanke.
"Der Handel" berichtete darüber im 'Special Payment' in Ausgabe 7/8. → Jetzt im E-Paper lesen
Diese grundsätzlichen Vorgaben sind seit 2015 bekannt, die Details seit Frühjahr 2018. Tests starteten im April 2019 (sogenannte Sandbox), doch tadellos laufen, will die ganze Geschichte nicht. Die Umsetzung holpert deutlich.
„Das liegt in erster Linie daran, dass die Umsetzung sehr stark ausnahmenbasiert ist“, analysiert Kilian Thalhammer, Vice President Produktmanagement Payment and Risk bei Wirecard. Das erfordere einen erhöhten und vor allem zwischen den einzelnen Teilnehmern abgestimmten Entwicklungsaufwand (Ausnahmen siehe Kasten).
Ein weiterer Grund der Verzögerung: Die genauen Anforderungen seien spät klar gewesen, führt auch das EHI ins Feld. Doch klar wird auch: „Die Umsetzungskomplexität wurde insgesamt von allen Beteiligten etwas unterschätzt“, formuliert Thalhammer.
Technik greift noch nicht reibungslos ineinander
Grundsätzlich sind Banken beziehungsweise Zahlmittelanbieter in der Pflicht, eine PSD2-konforme Schnittstelle und Spezifikationen anzubieten, die Payment Service Provider dann umsetzen. Da der neue Sicherheitsstandard wie 3DSecure 2.0 mehr Daten erfordert, müssen auch Händler ihre Schnittstelle zum Payment Service Provider erweitern.An beiden Stellen hapert es. Schnittstellen, die Banken zur Verfügung stellen, sind nicht normiert. „Es gibt zu viele Lösungen oder gar keine oder aber verschiedene ,Dialekte‘“, moniert Ulrich Binnebößel, HDE-Experte für Zahlungssysteme. Andererseits ist die Testwilligkeit offenbar dürftig.
Die DZ Bank beispielsweise hat eine eigenständige Schnittstelle geschaffen und ist damit seit Monaten startklar. Doch das Interesse, die Kompatibilität zu prüfen, sei gering. „Bislang hatten wir lediglich einige wenige Testanfragen von Zahlungsauslösedienstleistern, Kontoinformationsdienstleistern und Drittkartenemittenten für die neue PSD2-Schnittstelle“, erklärt Christian Intfeld, Gruppenleiter Kundenapplikationen und DFÜ-Verfahren bei der DZ Bank. Man hatte mit mehr gerechnet."Große Händler wissen, dass jedes Detail auf der Kundenreise zählt - sie sind vorbereitet."

Das EHI fragte in einer Online-Payment-Studie Omnichannel- und reine Onlinehändler zum Thema PSD2 ab. Weniger als ein Viertel (21%) fühlte sich ausreichend informiert, ein ebenso hoher Anteil hatte sich noch gar nicht mit dem Thema beschäftigt – das war im März/April 2019.
„Bei den großen Händlern, kann man davon ausgehen, dass sie interne Payment-Ansprechpartner und Abteilungen haben, die sich mit dem Thema PSD2 beschäftigen. Bei mittelständischen und kleinen Onlinehändler ist allerdings fraglich, in wie weit sie sich bereits mit dem Thema beschäftigt haben und wissen, was auf sie zukommt“, erläutert Caroline Coelsch, Projektleiterin Online- und Mobile-Payment beim EHI Retail Institute.
Kleinere Händler sind auf 2FA nicht vorbereitet.
Ulrich Binnebößel ist überzeugt, dass Service Providern wie großen Händlern der Ernst der Lage klar ist. „Sie wissen, dass jedes Detail auf der Kundenreise zählt und beschäftigen sich damit.“ Auch Visa beobachtet, dass es für kleinere Händler nicht leicht ist, mit dem Tempo Schritt zu halten. Kurz – viele Händler haben sich nicht damit beschäftigt.
Mit deutlichen Umsatzverlusten für den Handel rechnet auch Ulrich Binnebößel, weil eine funktionierende Umsetzung zum 14. September schlicht nicht zu schaffen sei. Deshalb hatte der europäische Handelsverband Euro Commerce einen Aufschub der Einführung gefordert. Die EBA (Europäische Bankenaufsicht) vertrat bislang die Ansicht, dass genug Zeit zur Vorbereitung zur Verfügung stand. Ende Juni hat sie jedoch den nationalen Aufsichtsbehörden freigestellt, begrenzte Übergangsfristen zu gewähren.
Jetzt also gibt es einzelstaatliche Lösungen zu den Terminschwierigkeiten. Die Bafin wird die bisherige nicht PSD2-konforme Praxis über den 14. September hinaus tolerieren. Wie lange ist noch nicht bekannt. Auch andere Länder halten nicht in Reinform an der Umsetzung fest."Die Prozesse sollten von allen Beteiligten so implementiert werden, dass Gelerntes und Bekanntes genutzt wird."

Ob damit Chaos-Entwarnung gegeben werden kann, bleibt abzuwarten. Sicher dürfte sein, dass 2FA-Transaktionen nicht von Anfang an reibungslos verlaufen. Darauf sollten sich Händler einstellen und ihren Mix an Bezahloptionen prüfen, denn nicht alle sind an eine zweifache Authentifizierung gekoppelt.
Um einen Kauf nicht zu verlieren, ist es wichtig, Kunden bei Authentifizierungsproblemen Alternativen bieten zu können – siehe Tabelle. Vielleicht ein Grund, weshalb mancher Händler aktuell Rechnungskauf durchaus attraktiv findet?