PSD2: Die neue EU-Zahlungsrichtlinie

Die EU-Richtlinie (EU) 2015/2366, besser bekannt als Payment Service Directive 2 (PSD2), gilt ab dem 14. September 2019. Diese bringt einige Änderungen im Zahlungsverkehr mit sich.

Betroffen sind Kunden und Händler.

Ziel der PSD2

Die Richtlinie soll die Regelungen zum bargeldlosen Zahlungsverkehr auf den Stand der Dinge hinsichtlich einer immer weiter voranschreitenden Digitalisierung bringen. Zum einen soll der Zahlungsverkehr an sich sicherer werden, zum anderen zielt die EU darauf ab, zukünftig Kundendaten besser zu schützen und deren Übertragung im Internet sicherer zu gestalten.

In Anbetracht der enorm hohen Zahl betrügerischer Aktivitäten und eines dadurch hervorgerufenen Schadens von 1,8 Milliarden EUR allein im Jahr 2016 wird die Notwendigkeit dieser Maßnahmen deutlich.

Änderungen durch die PSD2

Ab September dürfen Unternehmen jegliche Zahlungen nur noch mit Anbietern ausführen, die von der Bundesanstalt für Finanzdienstleistungen (BaFin) beaufsichtigt werden oder der Aufsichtsbehörde eines anderen EU-Landes unterstehen und eine dementsprechende Lizenz besitzen.

Des Weiteren wird die Zwei-Faktor-Authentifizierung für bargeldlose Zahlungen im Internet aber auch im lokalen Handel verpflichtend. Das bedeutet, dass ein Kauf mit jeweils zwei Sicherheitsmerkmalen bestätigt werden muss. Dieses Verfahren gilt als „Strong Customer Authentification“ (SCA). Die einfache Eingabe der Kreditkartennummer, Ablaufdatum und Prüfnummer hingegen ist Teil der schwachen Kundenauthentifizierung und mithin nicht weiter ausreichend.

Die zwei verschiedenen Sicherheitsmerkmale einer SCA müssen zudem aus unterschiedlichen Bereichen stammen. Insgesamt gibt es drei verschiedene.

1. Den wissentlichen Bereich: etwa PIN oder Passwort.
2. Den possessorischen Bereich: Besitz der Kredit- oder EC-Karte, des Handys oder Tan-Generators.
3. Den persönlichen Bereich: Fingerabdruck, Iris, Stimme oder auch Gesichtserkennung.

Das bedeutet, dass beispielsweise ein Passwort und eine PIN nicht mehr ausreichend sind, da beide Merkmale Teil des wissentlichen Bereichs sind. Die stationären Zahlungen an Kassen, bei denen Kreditkarte und PIN verwendet werden, bedürfen jedoch keiner Anpassung. Denn einerseits wird der possessorische Bereich durch die Karte erfasst, andererseits der wissentliche Bereich durch die Eingabe der PIN.

Online-Händler verfügten bisher häufig nur über das Wissenselement (Passwort). Nur eine Kombination mit einem Element der verbleibenden Bereiche stellt ein geeignetes Modell im Sinne der Richtlinie dar.

Allerdings gibt es auch Ausnahmen, bei denen der neue Standard grundsätzlich nicht gelten muss:

• Den Kauf auf Rechnung.
• Die Zahlung per Lastschrift.
• Die Zahlung von Kleinbeträgen (Online bis zu 30 EUR; kontaktlos bis zu 50 EUR).

Maßnahmen und Verstöße

Alle Händler sollten überprüfen, ob die Onlinemarktplätze und Zahlungsdienstleister, mit denen sie zusammenarbeiten, den Anforderungen der PSD2 gerecht werden. Insofern ist häufig auch eine Überarbeitung der AGB notwendig. Dies gilt insbesondere bezüglich der Datenschutzerklärung, falls das Unternehmen zukünftig weitere als die bisherigen Daten der Kunden an die Zahlungsanbieter weitergeben muss. Ebenfalls erscheint es sinnvoll, seine Kunden über die neue Rechtslage zu informieren.

Bei Zuwiderhandlungen oder keiner konformen Anpassung drohen Strafen und Bußgelder. Auch wenn nur die verwendeten Zahlungsanbieter nicht richtlinienkonforme Modelle anbieten, drohen Sanktionen. Außerdem stellt ein weiteres Betreiben der alten Standards ein Verstoß gegen das Wettbewerbsrecht dar. Dementsprechend stehen Abmahnungen der jeweiligen Konkurrenz im Raum.