Hamburg. Neue EU-Richtline PSD2 soll die Sicherheit bei Zahlungen im Internet erhöhen. Vorerst sorgt sie bei Kunden und Firmen für Verwirrung.
Gut 250.000 Hamburger Kunden von Moia erhielten am vorigen Freitag von dem Fahrdienst eine E-Mail mit dem Betreff „3D Secure bei Bezahlung mit Kreditkarte“. Darin wies Moia darauf hin, dass am 14. September eine gesetzliche Änderung zu einem neuen Sicherheitsstandard für Onlinezahlungen in Kraft tritt, „der auch den Buchungsprozess in der Moia-App beeinflussen kann“. Auf eine Beschreibung der verschiedenen Möglichkeiten, wie der Kunde seine Identität per Internet bestätigen kann, folgen die nicht unbedingt beruhigenden Sätze: „Wenn die Verifizierung nicht erfolgt, kann auch keine Buchung erfolgen. Aber dann kannst Du es einfach noch einmal versuchen.“
Für erhebliche Beunruhigung hat die neue EU-weit geltende Richtlinie mit der Bezeichnung „Payment Service Directive 2“, kurz PSD2, im Vorfeld des 14. Septembers jedenfalls im Einzelhandel gesorgt. Denn der neue Sicherheitsstandard gilt auch für Onlineshops – und nach Angaben des Handelsforschungsinstituts EHI zahlen mehr als 30 Prozent ihrer Kunden entweder mit Kreditkarte oder mit PayPal. Für beide Zahlungsarten gilt die PSD2-Richtlinie.
59 Prozent der Deutschen wissen nicht, was PSD2 ist
„Sie macht den Kaufvorgang im Internet komplizierter“, sagt Brigitte Nolte, Geschäftsführerin des Handelsverbands Nord in Hamburg. „Wenn Verbraucher verunsichert werden, brechen sie den Kauf ab – das ist die große Gefahr, die wir sehen.“ Gerade kleinere Händler, die einen Internetshop betreiben, hätten womöglich nicht die Möglichkeit, ihre Kunden gut über das neue Verfahren zu informieren. Der Hamburger Otto-Konzern hatte jedoch nach eigenen Angaben keine Probleme: „Wir waren mit den Vorbereitungen schon weit vor dem Stichtag fertig.“
Doch hatten – einer repräsentativen Umfrage im Auftrag des Hamburger Wirtschaftsauskunftei Crif Bürgel zufolge –im August, also nur wenige Wochen vor dem Inkrafttreten der EU-Richtlinie, immerhin 59 Prozent der Bundesbürger von PSD2 noch nichts gehört. Nur sieben Prozent der Befragten wussten nach eigenen Angaben „relativ genau“, was sich dahinter verbirgt.
Bisheriges Verfahren im Hinblick auf Cyber-Kriminalität nicht sicher genug
Darum geht es bei PSD2 konkret: Wer mit der Kreditkarte im Internet bezahlt, musste bisher nur die Kartennummer und die Prüfziffer von der Rückseite der Karte eingeben. Das soll künftig nicht mehr reichen. Nach Auffassung der EU-Kommission ist das Verfahren im Hinblick auf Cyber-Kriminalität nicht sicher genug. Darum muss zur Identifikation künftig ein Merkmal genutzt werden, das möglichst nur der rechtmäßige Eigentümer der Karte parat hat.
Zur Authentifizierung sind nun zwei Faktoren erforderlich, die aus zwei von drei unterschiedlichen Bereichen stammen: etwas, das man weiß (wie etwa eine PIN), etwas, das man besitzt (etwa das Smartphone), sowie etwas, das den Nutzer selbst auszeichnet (etwa der Fingerabdruck). Nach der Eingabe der Kreditkartendaten wird also zum Beispiel noch ein vorher eingestelltes Passwort abgefragt, oder der Kunde muss den Finger auf den Scanner seines Smartphones legen, bevor die Zahlung freigegeben wird.
Keine Veränderung beim Bezahlen an der Ladenkasse
Für Käufe mittels einer EC- oder Kreditkarte oder beim mobilen Bezahlen an einer Ladenkasse bringt die Einführung von PSD2 keine Veränderung, denn dort ist – zumindest wenn es um größere Beträge als 25 Euro geht – die Forderung nach den zwei Authentifizierungsfaktoren aus unterschiedlichen Bereichen ohnehin erfüllt: Die Karte oder das Smartphone ist vorhanden, außerdem muss eine PIN am Ladenterminal eingetippt werden. Eine Kartenzahlung mit Unterschrift ist von der PSD2-Richtlinie gar nicht berührt, denn bei diesem Verfahren kann vom Käufer kein elektronischer Zahlvorgang direkt ausgelöst werden.
Wie die Neuregelung, die in einem 21 Seiten umfassenden Dokument detailliert beschrieben ist, im Hinblick auf Onlinetransaktionen mit Kreditkarten in die Praxis umgesetzt wird, hängt allerdings von den Banken ab, die die Karten ausgegeben haben. Den Geldhäusern stehen verschiedene Möglichkeiten offen, wie sie die Bestimmungen erfüllen können. So senden manche Banken ihren Kunden bei deren Online-Einkäufen stets eine neue Einmal-TAN auf das Smartphone.
Ausnahmen bei der Zwei-Faktoren-Authentifizierung
Zudem gibt es eine ganze Reihe von Ausnahmen, bei denen die Zwei-Faktoren-Forderung nicht greift. So ist unter anderem bei Daueraufträgen nur einmal eine doppelte Authentifizierung erforderlich. Verbraucher können bei ihrer Bank auch eine Liste von Onlinehändlern einrichten, bei denen die Zwei-Faktoren-Methode wegfallen darf. Ebenso ist diese bei geringen Einzelbeträgen von weniger als 30 Euro nicht vorgeschrieben. Allerdings liegt es an der jeweiligen Bank, ob sie alle der beispielhaft genannten Ausnahmen zulässt oder nicht.
Wohl nicht zuletzt die Fülle der Wahlmöglichkeiten hat dazu geführt, dass zum Stichtag 14. September viele Onlinehändler technisch noch nicht auf die Umsetzung der Richtlinie vorbereitet waren. „Es hätte Verbrauchern also passieren können, dass sie nicht mehr im Internet hätten bezahlen können“, sagte dazu Jens Obermöller, Leiter des Bereichs Cybersicherheit bei der Bankenaufsichtsbehörde BaFin: „Das Chaos wäre groß gewesen.“
Erhöhte Abbruchrate bei Kaufvorgängen erwartet
Daher entschied die BaFin am 21. August, sie werde „zunächst nicht beanstanden“, wenn Kreditkartenzahlungen im Internet weiter ohne die doppelte Kundenauthentifizierung erfolgen. Diese „Erleichterung“ sei zeitlich befristet, hieß es. Eine solche Möglichkeit hatte die Europäische Bankenaufsichtsbehörde den nationalen Aufsehern eingeräumt. „Das war die einzig richtige Entscheidung“, sagte Ulrich Binnebößel, Zahlungsexperte beim Handelsverband Deutschland (HDE), dem Abendblatt zum Vorgehen der BaFin.
Eine Mitte Juli veröffentlichte Umfrage des EHI unter Onlinehändlern hatte ergeben, dass 82 Prozent von ihnen eine erhöhte Abbruchrate von Kaufvorgängen durch die Einführung von PSD2 erwarten – und das Onlinegeschäft machte 2018 immerhin rund zehn Prozent der Umsätze des deutschen Einzelhandels aus.
Fahrdienst Moia möchte von Übergangsfrist Gebrauch machen
„Wir haben bei der BaFin eine Übergangsfrist von 18 Monaten bis zur uneingeschränkten Umsetzung der Richtlinie beantragt“, sagte Binnebößel. Wie lang die Frist tatsächlich ist, werde sich aber wohl erst gegen Jahresende erweisen.
Auch der Fahrdienst Moia hat sich – trotz der Hinweis-E-Mail – entschlossen, von der Übergangsfrist Gebrauch zu machen. „Wir haben die technischen Voraussetzungen für die Anwendung von PSD2 zwar geschaffen“, sagte ein Firmensprecher dem Abendblatt, „wir haben das aber noch nicht live geschaltet.“