Diese Website verwendet Cookies. Wenn Sie unsere Seiten nutzen, erklären Sie sich hiermit einverstanden. Weitere Informationen

Die wichtigsten Informationen

  • Online-Händler müssen bis spätestens Ende des Jahres die starke Kundenauthentifizierung bei Kreditkartenzahlungen umsetzen.
  • VR Payment steht den Online-Händlern sowie den Volksbanken und Raiffeisenbanken beim Umstellungsprozess zur Seite und hilft mit Downloads, Tutorials und Integrationsbeschreibungen.

Kreditkartenzahlungen im Internet sind nur noch bis spätestens 31. Dezember 2020 ohne eine sogenannte starke Kundenauthentifizierung möglich. Was ändert sich anschließend bei Einkäufen im Internet für Online-Händler und Kunden?

Kunden bestätigen ihre Kreditkartenzahlungen online künftig nicht mehr nur mit einem, sondern mit zwei Faktoren. Händler müssen diese sogenannte starke Kundenauthentifizierung (auch Zwei-Faktor-Authentifizierung genannt) ermöglichen. Ansonsten riskieren sie, dass Kreditkartenzahlungen in ihren Onlineshops nicht mehr genehmigt werden.
 

Was genau ist die starke Kundenauthentifizierung und welche Vorteile bietet sie?

Die starke Kundenauthentifizierung ist Teil der zweiten europäischen Zahlungsdiensterichtlinie (Payment Service Directive 2, kurz: PSD2). Dabei wird die Identität eines Käufers aus einer Kombination von zwei unabhängigen Faktoren aus den Bereichen Wissen, Besitz oder Biometrie überprüft. So können beispielsweise ein Passwort oder eine PIN abgefragt werden (Wissen), ein sogenannter Security-Token, eine Giro- oder Kreditkarte oder ein Mobiltelefon zum Einsatz kommen (Besitz) oder aber ein Kauf per Fingerabdruck oder Gesichtserkennung bestätigt werden (Biometrie/Inhärenz). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt auf seiner Webseite ausführlich, wie die Zwei-Faktor-Authentifizierung funktioniert.

Dieses Verfahren bietet einen klaren Vorteil: mehr Sicherheit. Durch die Erfassung mehrerer unabhängiger Faktoren werden sowohl Händler als auch Kunden stärker vor Kreditkartenbetrug geschützt. Dank der Einbindung moderner biometrischer Verfahren wird der Zahlungsprozess für Kunden zudem komfortabler – lange und komplexe Passwörter braucht es nicht mehr. Somit wird die Gefahr von Zahlungsabbrüchen erheblich reduziert. Händler hingegen profitieren von einer Haftungsumkehr: Kommt es zu Rückbelastungen durch Kunden oder zu Schäden durch Kreditkartenbetrug, steht die kartenherausgebende Bank für den Schaden ein. Das bewahrt Händler vor einem Zahlungsausfall.
 

In welchen Fällen gibt es Ausnahmeregeln für die starke Kundenauthentifizierung?

Der Gesetzgeber hat eine Reihe von Ausnahmen für die starke Kundenauthentifizierung im Internet definiert:

  • Zahlungen bis 30 Euro bedürfen keiner starken Kundenauthentifizierung. Dennoch muss zum Schutz vor Kreditkartenbetrug bei jeder sechsten Transaktion oder wenn der Gesamtbetrag von 100 Euro überschritten wird, eine Zwei-Faktor-Authentifizierung erfolgen.
  • Transaktionen mit geringem Risiko zwischen 30 und 500 Euro sind ebenfalls von der starken Kundenauthentifizierung ausgenommen. Ob eine Zahlung als risikoarm eingestuft wird, richtet sich nach der durchschnittlichen Brutto-Betrugsrate des Kartenherausgebers und des Zahlungsdienstleisters (Acquirers), der die Zahlungen prüft und abwickelt.
  • Abonnements oder wiederkehrende Zahlungen mit gleichem Betrag und Zahlungsempfänger sind ab der zweiten Transaktion ausgenommen. Einen Sonderfall stellen händlerinitiierte Zahlungen dar, bei denen der Kunde nicht anwesend ist. Da der Kunde die Zahlung nicht selbst auslöst, wird die starke Kundenauthentifizierung in solchen Fällen nicht angewendet.
  • Vom Kunden als vertrauenswürdig eingestufte Händler („Whitelisting“) können auf die Abfrage eines zweiten Faktors zur Zahlungsbestätigung verzichten. Eine solche Whitelist können Kunden bei ihrer Bank anlegen, sofern diese es erlaubt.

Durch diese Regelungen bleibt der Zahlungsprozess für Konsumenten trotz höchster Sicherheitsbestimmungen so bequem wie möglich. Dabei ist zu beachten: Ob eine Ausnahme umgesetzt wird, obliegt dem Kartenherausgeber – denn er trifft immer die finale Entscheidung über die Durchführung einer Transaktion.
 

Was müssen Händler tun, um die starke Kundenauthentifizierung umzusetzen?

Für Händler gilt, ihre Onlineshops bis zum 31. Dezember 2020 anzupassen und ein neues Sicherheitsprotokoll zu integrieren. Denn für die Authentifizierung der Kunden mit zwei Faktoren müssen künftig mehr Informationen abgefragt und mit den Kartenherausgebern ausgetauscht werden. Der technische Hebel dahinter ist das neue Sicherheitsprotokoll 3D Secure 2 – eine Weiterentwicklung des bereits bekannten Protokolls EMV 3D Secure (3DS) von Mastercard und Visa.

Welche technischen Anpassungen müssen Onlineshop-Besitzer konkret vornehmen?

Was Händler konkret tun müssen, hängt von der Art der Anbindung der Zahlungslösung in ihrem Onlineshop ab. Nutzen Händler ein vorkonfiguriertes Onlineshop-Modul, ist lediglich die Installation eines neuen Plugins nötig. Die jeweiligen Zahlungsdienstleister bieten diese in der Regel zum Download an. Die Anpassung der Schnittstellen und die Aktivierung von 3D Secure 2 erfolgt dann automatisch. Ist der Webshop hingegen direkt über eine Programmierschnittstelle (Application Programming Interface, API) an die Payment-Plattform des Zahlungsdienstleisters angebunden, müssen Händler ihre Schnittstelle selbst um die neuen Pflichtwerte des Protokolls erweitern. Ganz gleich, wie die Zahlungslösung angebunden ist: Der Zahlungsdienstleister ist bei allen Fragen der erste Ansprechpartner und hilft weiter.
 

Wie sieht es mit den Datenschutzhinweisen aus?

Ein wichtiger Punkt: Die Datenschutzhinweise müssen bei Einführung der Zwei-Faktor-Authentifizierung aktualisiert werden, da mehr Informationen an den Kartenherausgeber übermittelt werden als bisher. Daher müssen Händler die Erhebung und Weitergabe von Kundendaten entsprechend der Datenschutzgrundverordnung (DSGVO) in ihren Vertragsbedingungen vermerken.
 

Wie unterstützt VR Payment bei der Umstellung?

VR Payment steht den bei ihr angebundenen Händlern sowie den Volksbanken und Raiffeisenbanken bei dem Umstellungsprozess zur Seite und geht in den direkten Austausch mit Onlineshop-Betreibern. Um die Integration so einfach wie möglich zu gestalten, stellt der genossenschaftliche Bezahldienstleister alle nötigen Plugins zum Download bereit. Für Händler, die das Payment über eine Programmierschnittstelle (API) an ihren Onlineshop angebunden haben, bietet VR Payment verschiedene Tutorials und detaillierte Integrationsbeschreibungen.

Aber auch bei allen weiteren Fragen berät und unterstützt VR Payment. Hilfreiche Tipps zur Integration des neuen Sicherheitsprotokolls und eine Zusammenfassung der wichtigsten Infos gibt es auf der Webseite.
 

Die Antworten stellte VR Payment zur Verfügung.

Artikel lesen
Rat