Sie gilt als die einschneidenste Reform im Zahlungsverkehrssektor seit den frühen 00er-Jahren, als man in Europa grenzüberschreitende Bezahlsysteme einführte: Die Verordnung über die starke Kundenauthentifizierung („Strong Customer Authentication“, kurz SCA), die vor wenigen Tagen in Kraft trat. Das wichtigste Ziel der SCA ist es, die Sicherheit von Online-Zahlungen für Privatpersonen und Unternehmen zu erhöhen. Doch noch etwas anderes steigt: die Komplexität des Bezahlvorgangs – mit möglicherweise fatalen Auswirkungen auf die europäische Online-Wirtschaft.
Lange stand die Einführung der 2-Faktor-Authentifizierung bei Online-Zahlungen fest, seit dem 14. September ist sie Realität. Den gesetzlichen Rahmen bildet die zweite Zahlungsdiensterichtlinie (PSD2) der EU. Die SCA betrifft alle Unternehmen, die über das Internet Zugriff auf europäische Zahlungskonten ermöglichen oder vom Konsumenten ausgelöste, elektronische Zahlungen anbieten.
Der europäische Gesetzgeber verfolgt mit der SCA vor allem die Ziele,
- die Sicherheit von Online-Zahlungen zu erhöhen
- den Betrug entscheidend einzudämmen und damit
- den Verbraucherschutz allgemein zu stärken
Und das alles, ohne den Bezahlprozess für den Kunden nachhaltig zu erschweren und zu verkomplizieren. So die Theorie. Die starke Authentifizierung wird vom Kunden unter anderem dann verlangt, wenn er seine Online-Käufe mit Karte zahlt. Doch auch wenn er lediglich auf sein Zahlungskonto zugreift, also beim Login, kann dies künftig auf die Verbraucher zukommen. Dann sind zusätzliche Authentifizierungsstufen erforderlich, um die eigene Identität zu bestätigen. Ein simples Passwort genügt nicht mehr.
Und bei Kreditkartenzahlungen ist die Angabe der Kredit-kartennummer, des Ablaufdatums sowie der Prüfziffern nicht mehr ausreichend.
Unzureichende Vorbereitung
Die starke Authentifizierung beruht auf etwas, das dem Kunden gehört („Besitz“), das nur er weiß („Wissen“) und das ihm persönlich oder körperlich zu Eigen ist („Inhärenz“). Für Millionen europäischer Verbraucher und Kunden von Online-Shops wird sich die Art und Weise, wie online eingekauft wird, dadurch wesentlich verändern. Und die Umstellung auf die neuen, ungewohnten Anforderungen und den komplexeren Zahlungsvorgang vor allem eines benötigen: Zeit.
Weitaus gravierender könnten die Folgen der 2-Faktor-Authentifizierung jedoch für die andere Seite ausfallen: die Online-Händler. Dann nämlich, wenn durch die SCA die Abbruchraten steigen, sicher geglaubte Einnahmen als Folge jener Kaufabbrüche ausbleiben und – als letztliche Konsequenz – für einige Shops und E-Commerce-HändleräHöödd damit sogar das wirtschaftliche Überleben bedroht ist. Nicht zuletzt weil viele Kunden längst nicht ausreichend über die Neuerungen aufgeklärt sind und eine hohe Anzahl an (gerade kleineren) Shops nach Ansicht des europäischen Handels-Spitzenverband EuroCommerce nicht adäquat auf die SCA vorbereitet war.[1] Im Sommer bat der Verband, ebenso wie viele weitere Einzelhändler und Banken, die Europäische Bankenaufsicht (EBA) gar um eine Verschiebung der Deadline – erfolglos.
Schonfrist in Ausnahmefällen
Immerhin: Ende August gab die Bundesanstalt für Finanzdienst-leistungsaufsicht (BaFin) bekannt, dass Erleichterungen bei Online-Zahlungen mit Kreditkarte ermöglicht werden.[2] Demnach sind Kreditkartenzahlungen in bestimmten Ausnahmefällen vorerst auch ohne SCA erlaubt. Vorausgesetzt, der Zahlungsdienstleister hat seinen Sitz in Deutschland.
Zuvor hatte die EBA ihr Einverständnis für die Schonfrist bei der 2-Faktor-Kundenauthentifizierung gegeben. Allerdings nur für „einzelne Unternehmen“ und in „begrenztem Maße“. Dem Wunsch (oder vielmehr: den Forderungen) vieler Händler und Verbände, die allgemeine Einführung zu verschieben, kamen die obersten Bankenaufseher damit zwar nicht nach. Dennoch gewinnen die Unternehmen dadurch immerhin Zeit um
- sich auf die Anforderungen der neuen, sicheren Standards vollends einzustellen und
- nötige Anpassungen der SCA-Implementierung vorzunehmen sowie (technische) Fehler zu korrigieren
Die EBA begründete ihre Entscheidung unter anderem mit der Vielschichtigkeit des europäischen Zahlungsmarktes, auf dem unzählige Player mitmischen: (regulierte) Banken und elektronische Zahlungsdienstleister ebenso wie E-Commerce-Händler. Deshalb sei es wichtig, unbeabsichtigte, negative Folgen vom Kunden abzuwenden.[3]
Der Kunde will es einfach und bequem
Erhebliche negative Konsequenzen könnten Unternehmen und E-Commerce-Händlern drohen, die die neuen Standards auch auf die lange Sicht nicht einhalten.
Die Gefahr massiver Einbußen und Verlustgeschäfte droht. Schließlich strebt der digitale Konsument nach einem einfachen, bequemen Einkaufserlebnis. Als selbst-verständlichen Teil dessen betrachtet er den reibungslosen, „störungsfrei“ ablaufenden Online-Bezahlvorgang: Mit wenigen Klicks das Produkt kaufen und in nur wenigen Sekunden den daran anschließenden Zahlungsprozess abschließen können.
„Der Konsument strebt nach einem reibungslosen, ’störungsfreien‘ Online-Bezahlvorgang.“
Ist dies durch Probleme bei der SCA nicht mehr gegeben und kann der Konsument seine Zahlung online folglich nicht mehr abwickeln, sind Kaufabbrüche vorprogrammiert. Die Gefahr besteht auch, wenn sich der Bezahlprozess für den Käufer als zu undurchsichtig und „starr“ (zum Beispiel bei einer SCA für alle Zahlungen) erweist. Branchenexperten zufolge könnten die Umsätze in solchen Fällen an einem Tag um rund zehn bis 15 Prozent sinken.[4]
E-Commerce-Handel von Milliardenverlusten bedroht
Düstere Aussichten und weitere – erschreckende – Zahlen prognostizierte zudem eine SCA-Studie, welche die Payment- und Technologie-Plattform Stripe zusammen mit 451 Research Anfang Juni veröffentlichte. 500 Zahlungsexperten aus Online-Unternehmen und 1.000 Verbraucher in unterschiedlichen Ländern (darunter Großbritannien, Frankreich und Deutschland) wurden hierzu befragt.
Das Ergebnis der Studie: Für den europäischen Online-Handel rechnen die Befragten mit einem Verlust in Höhe von 57 Milliarden Euro – als unmittelbare Folge abgebrochener Zahlungsvorgänge. Und das nur im ersten Jahr nach Inkrafttreten der starken Kundenauthentifizierung. Die Hauptursache dafür: Bei der Umsetzung der nötigen Maßnahmen sowie der Erfüllung der Anforderungen hinken zu viele Händler hinterher.
Vor allem die Kleinen. Im Schnitt drei von fünf Unternehmen mit weniger als 100 Beschäftigten vermeldeten laut der Stripe-Studie noch im Sommer (rund drei Monate vor Start der SCA) erhebliche Unsicherheiten hinsichtlich der SCA-Implementierung oder dass sie mit den neuen Regeln zur veränderten Authentifizierung nicht vertraut seien.
Auch wenn es Ausnahmeregelungen gibt, bei denen eine 2-Faktor-Authentizierung durch den Käufer nicht nötig ist (etwa bei Kleinstbeträgen bzw. Transaktionen mit geringem Wert unter 30 Euro und bei Abos/wiederkehrenden Zahlungen), raten die Stripe-Experten dringend dazu, die Vorgaben umzusetzen und „regelkonform zu arbeiten.“ Guillaume Princen, Head of Continental Europe bei Stripe: „SCA wird ein strategischer Erfolgsfaktor für Internetunternehmen. Die Dringlichkeit, sich darauf einzustellen, kann nicht genug betont werden.“
[1] https://www.heise.de/ct/artikel/Neue-Bezahlregeln-im-E-Commerce-greifen-spaeter-4506868.html
[2] https://www.handelsblatt.com/finanzen/banken-versicherungen/starke-kundenauthentifizierung-bankenaufsicht-gibt-gruenes-licht-fuer-uebergangsfrist-im-zahlungsverkehr/24480786.html?ticket=ST-6921931-GbJGSgNq3J0g46nDBcgQ-ap5
[3] https://www.handelsblatt.com/finanzen/banken-versicherungen/starke-kundenauthentifizierung-bankenaufsicht-gibt-gruenes-licht-fuer-uebergangsfrist-im-zahlungsverkehr/24480786.html?ticket=ST-6921931-GbJGSgNq3J0g46nDBcgQ-ap5
[4] https://www.internetworld.de/technik/online-handel/so-bereiten-online-haendler-optimal-sca-1712223.html