Mehr Wettbewerb durch die Öffnung des Zugangs zu den Kundenkonten, mehr Sicherheit durch eine verschärfte Authentifizierung bei diversen Zahlvorgängen. Fehlanzeige, zumindest zum Stichtag 14. September. Stattdessen: Nachsitzen für alle Beteiligten.

Ab 14. September gilt im Rahmen der Zweiten Zahlungsdienstrichtlinie(PSD2) die Zwei-Faktor-Authentifizierung (2FA). Vorbereitet scheinen darauf wenige. Die Bafin hat nun signalisiert, dass sie Verlängerung einräumt.

Darum geht’s: Die zweite Zahlungsdienstrichtlinie (PSD2) bringt zwei wesentliche Änderungen mit sich. Sie soll anderen Banken und sogenannten Drittanbietern, darunter auch Fintechs, den Zugang zu Kundenkonten öffnen, deren Einverständnis vorausgesetzt.

Dafür müssen technische Voraussetzungen geschaffen werden, wie Schnittstellen (sogenannte API) über die sicher kommuniziert wird. Gleichzeitig wird die 2FA eingeführt, mit dem Ziel, Kunden wie Händler besser vor Betrug zu schützen – und zwar europaweit einheitlich – so der Gedanke.

"Der Handel" berichtete darüber im 'Special Payment' in Ausgabe 7/8. → Jetzt im E-Paper lesen

Diese grundsätzlichen Vorgaben sind seit 2015 bekannt, die Details seit Frühjahr 2018. Tests starteten im April 2019 (sogenannte Sandbox), doch tadellos laufen, will die ganze Geschichte nicht. Die Umsetzung holpert deutlich.

„Das liegt in erster Linie daran, dass die Umsetzung sehr stark ausnahmenbasiert ist“, analysiert Kilian Thalhammer, Vice President Produktmanagement Payment and Risk bei Wirecard. Das erfordere einen erhöhten und vor allem zwischen den einzelnen Teilnehmern abgestimmten Entwicklungsaufwand (Ausnahmen siehe Kasten).

Ein weiterer Grund der Verzögerung: Die genauen Anforderungen seien spät klar gewesen, führt auch das EHI ins Feld. Doch klar wird auch: „Die Umsetzungskomplexität wurde insgesamt von allen Beteiligten etwas unterschätzt“, formuliert Thalhammer.

Wie kommt das Geld am günstigsten zum Händler?
© REDBUL74/fotolia.com
Payment

Die wahren Kosten der Zahlungsverfahren im E-Commerce

Technik greift noch nicht reibungslos ineinander

Grundsätzlich sind Banken beziehungsweise Zahlmittelanbieter in der Pflicht, eine PSD2-konforme Schnittstelle und Spezifikationen anzubieten, die Payment Service Provider dann umsetzen. Da der neue Sicherheitsstandard wie 3DSecure 2.0 mehr Daten erfordert, müssen auch Händler ihre Schnittstelle zum Payment Service Provider erweitern.

An beiden Stellen hapert es. Schnittstellen, die Banken zur Verfügung stellen, sind nicht normiert. „Es gibt zu viele Lösungen oder gar keine oder aber verschiedene ,Dialekte‘“, moniert Ulrich Binnebößel, HDE-Experte für Zahlungssysteme. Andererseits ist die Testwilligkeit offenbar dürftig.

"Große Händler wissen, dass jedes Detail auf der Kundenreise zählt - sie sind vorbereitet."

Ulrich Binnebößel, HDE
Die DZ Bank beispielsweise hat eine eigenständige Schnittstelle geschaffen und ist damit seit Monaten startklar. Doch das Interesse, die Kompatibilität zu prüfen, sei gering. „Bislang hatten wir lediglich einige wenige Testanfragen von Zahlungsauslösedienstleistern, Kontoinformationsdienstleistern und Drittkartenemittenten für die neue PSD2-Schnittstelle“, erklärt Christian Intfeld, Gruppenleiter Kundenapplikationen und DFÜ-Verfahren bei der DZ Bank. Man hatte mit mehr gerechnet.
Ulrich Binnebößel, HDE-Experte für Zahlungssysteme
© HDE
Ulrich Binnebößel, HDE-Experte für Zahlungssysteme

Das EHI fragte in einer Online-Payment-Studie Omnichannel- und reine Onlinehändler zum Thema PSD2 ab. Weniger als ein Viertel (21%) fühlte sich ausreichend informiert, ein ebenso hoher Anteil hatte sich noch gar nicht mit dem Thema beschäftigt – das war im März/April 2019.

„Bei den großen Händlern, kann man davon ausgehen, dass sie interne Payment-Ansprechpartner und Abteilungen haben, die sich mit dem Thema PSD2 beschäftigen. Bei mittelständischen und kleinen Onlinehändler ist allerdings fraglich, in wie weit sie sich bereits mit dem Thema beschäftigt haben und wissen, was auf sie zukommt“, erläutert Caroline Coelsch, Projektleiterin Online- und Mobile-Payment beim EHI Retail Institute.

Kleinere Händler sind auf 2FA nicht vorbereitet.

Ulrich Binnebößel ist überzeugt, dass Service Providern wie großen Händlern der Ernst der Lage klar ist. „Sie wissen, dass jedes Detail auf der Kundenreise zählt und beschäftigen sich damit.“ Auch Visa beobachtet, dass es für kleinere Händler nicht leicht ist, mit dem Tempo Schritt zu halten. Kurz – viele Händler haben sich nicht damit beschäftigt. Es ist mehr als ärgerlich, wenn ein kaufwilliger Kunde im letzten Schritt durch uneindeutige Authentifizierung abgelehnt und der Kaufvorgang womöglich abgebrochen wird. „„Wenn bei Kreditkartenzahlungen ab dem 14. September streng nach den Anforderungen an eine 2FA gehandelt werden müsste, befürchten wir eine starke Einschränkung von E-Commerce-Transaktionen, die über Kreditkarten abgewickelt werden“, ist sich Christian Bartsch sicher, Produktmanager kartenbasierte Bezahlverfahren von der DZ Bank.

Mit deutlichen Umsatzverlusten für den Handel rechnet auch Ulrich Binnebößel, weil eine funktionierende Umsetzung zum 14. September schlicht nicht zu schaffen sei. Deshalb hatte der europäische Handelsverband Euro Commerce einen Aufschub der Einführung gefordert. Die EBA (Europäische Bankenaufsicht) vertrat bislang die Ansicht, dass genug Zeit zur Vorbereitung zur Verfügung stand. Ende Juni hat sie jedoch den nationalen Aufsichtsbehörden freigestellt, begrenzte Übergangsfristen zu gewähren.

"Die Prozesse sollten von allen Beteiligten so implementiert werden, dass Gelerntes und Bekanntes genutzt wird."

Mirko Hüllemann, Heidelpay
Jetzt also gibt es einzelstaatliche Lösungen zu den Terminschwierigkeiten. Die Bafin wird die bisherige nicht PSD2-konforme Praxis über den 14. September hinaus tolerieren. Wie lange ist noch nicht bekannt. Auch andere Länder halten nicht in Reinform an der Umsetzung fest.
Mirko Hüllemann, Gründer und Geschäftsführer von Heidelpay
© heidelpay/studio visuell photography
Mirko Hüllemann, Gründer und Geschäftsführer von Heidelpay

Ob damit Chaos-Entwarnung gegeben werden kann, bleibt abzuwarten. Sicher dürfte sein, dass 2FA-Transaktionen nicht von Anfang an reibungslos verlaufen. Darauf sollten sich Händler einstellen und ihren Mix an Bezahloptionen prüfen, denn nicht alle sind an eine zweifache Authentifizierung gekoppelt.


Um einen Kauf nicht zu verlieren, ist es wichtig, Kunden bei Authentifizierungsproblemen Alternativen bieten zu können – siehe Tabelle. Vielleicht ein Grund, weshalb mancher Händler aktuell Rechnungskauf durchaus attraktiv findet?

Aufklärung der Verbraucher ist noch lückenhaft

Und was sagt der Verbraucher? Da gehen die Meinungen deutlich auseinander. Der HDE vermisst eine Aufklärungskampagne à la IBAN, die DZ Bank hat vor Monaten eine Aufklärungskampagne gestartet und sieht Kunden der Volks- und Raiffeisenbanken gut informiert. „Die Prozesse sollten von allen Beteiligten so implementiert werden, dass Gelerntes und Bekanntes genutzt wird“, wünscht sich Mirko Hüllemann, Gründer und Geschäftsführer des Payment Service Providers Heidelpay. „Es gibt jedoch Themen, über die die Endkunden definitiv nicht gut informiert und vorbereitet sind, dazu gehört zum Beispiel die Ausnahme der ,vertrauenswürdigen Zahlungsempfänger‘“. Doch damit Ausnahmen auch technisch umgesetzt werden können, muss zunächst die Regel implementiert sein.

MEHR ZUM THEMA:

© erhui1979/iStock
Payment

So wird bezahlt


© finanzguru
Payment

Run aufs Konto: Die wilden Ideen der Finanzbranche


Wer mit seinem Gesicht bezahlt, sorgt sich nicht nur um den Datenschutz.
© Ant Financial
Technologie

Warum Mobile Payment in China schon von gestern ist