SCA die neue EU-Richtlinie PSD II – Onlineshops aufgepasst

Das erwartet euch in diesem Beitrag

  • Was bedeutet Strong-Customer-Authentication für Onlinehändler?
  • Wie funktioniert die Zwei-Faktor-Authentifizierung?
  • Was sollten Unternehmen jetzt schon tun?

Ab dem 14. September 2019 sind alle europäischen Onlinehändler verpflichtet, für eine verbesserte Kundenauthentifizierung beim Online-Einkauf zu sorgen. Per Strong-Customer-Authentication (SCA) soll dann die Sicherheit elektronischer Zahlungen erhöht werden, um Kunden vor Betrug beim Online-Shopping zu schützen.

Ähnlich der DSGVO bedeutet das eine große Umstellung für den Onlinehandel. Unternehmen sollten sich daher schon jetzt informieren und auf die neue EU-Regelung vorbereiten.

Wir haben für euch zusammengefasst, was SCA beinhaltet und welche nächsten Schritte notwendig sind. Am Ende des Beitrags kann dazu auch ein Merkblatt mit den wichtigsten Informationen heruntergeladen werden.

Was bedeutet SCA?

Die “starke Kundenauthentifizierung” wird also in wenigen Monaten für alle europäischen Unternehmen verpflichtend, die online Zugriff auf Zahlungskonten gewähren. Geregelt ist dies in der zweiten europäischen Zahlungsdiensterichtlinie PSD II, die im Dezember 2015 verabschiedet wurde. Sie löst die EU-Richtlinie PSD I ab und legt einen stärkeren Fokus auf den Datenschutz und die Sicherheit neuer Bezahlsysteme.

Der Onlinehandel wird in den nächsten Jahren immer mehr an Bedeutung gewinnen. Selbst im sonst eher zögerlichen Deutschland konnte er 2018 ein Umsatzplus von rund zehn Prozent verbuchen, und bis 2022 könnte weltweit die Billionen-Dollar-Grenze durchbrochen werden. Für das langfristige Wachstum des Onlinehandels ist es daher wichtig, die Sicherheit im Zahlungsverkehr weiter zu erhöhen.

Voraussichtlich wird die Umstellung auf SCA viele Online-Unternehmen zunächst vor Herausforderungen stellen. Vergleichbar mit der Einführung der DSGVO im Jahr 2018, dürfte die Umsetzung ein relativ aufwändiger Prozess werden. Wenn Onlinenshops nicht rechtzeitig reagieren, könnte ihnen das Konversionsverluste bescheren und sich negativ auf den Umsatz auswirken.

Aus diesen Gründen sollten sich Unternehmen bereits jetzt informieren und auf die Neuerungen vorbereiten.

Lesetipp: Sehr umfangreiche Informationen zum Thema hat die Bundesanstalt für Finanzdienstleistungsaufsicht in dem Beitrag “Starke Kundenauthentifizierung: Neue Pflicht wirkt sich auf Online-Banking und Bezahlen im Internet aus” zusammengestellt.

Wie funktioniert die starke Kundenauthentifizierung?

Das SCA-Verfahren soll sicherstellen, dass es sich bei den Nutzern tatsächlich um berechtigte Kunden handelt, also um die Inhaber der betreffenden Zahlungskonten. Dadurch können Anmeldungen mit geklauten Anmeldeinformationen in Zukunft besser als bisher unterbunden werden. Vor allem sind davon Kartenzahlungen betroffen, die online getätigt werden.

Authentifizierung in zwei Schritten

SCA wird immer dann erforderlich, wenn der Kunde online auf sein Zahlungskonto zugreift oder eine elektronische Zahlung vornimmt. Die sichere Authentifizierung des Benutzers gelingt mit der Zwei-Faktor-Authentifizierung (2FA). Dafür müssen zwei von drei der folgenden Faktoren stimmen, mit denen sich der Nutzer verifiziert:

  • Wissen: Authentifizierung durch etwas, das der Kunde weiß (z. B. Passwort oder PIN)
  • Besitz: Authentifizierung durch etwas, das er besitzt (z. B. Token, Girocard oder Smartphone)
  • Inhärenz: Authentifizierung durch etwas, das ihn auszeichnet (z. B. biometrische Eigenschaften wie Fingerabdruck, Scan der Iris oder Gesichtsmerkmale)

Die Zwei-Faktor-Authentifizierung ist kein neues Verfahren, vielen ist sie sicher bereits bekannt. Allerdings ist ihr Einsatz im Zuge von PSD II erstmals bei allen elektronischen Zahlungen verpflichtend.

Auf der Seite Two Factor Auth List des Software-Technikers Josh Davis kann eingesehen werden, welche Websites 2FA bereits anbieten. Insbesondere beim Banking, Login für soziale Netzwerke oder eigenen Google-Konto kann der Nutzer bereits 2FA einstellen, um seine Daten zu schützen. Oftmals erfolgt die Authentifizierung über PIN und TAN, den Fingerabdruckscanner des Smartphones oder die Zusendung eines Codes per SMS.

Zusätzlich gibt es Authenticator Apps, mit denen man 2FA auch dann nutzen kann, wenn das Smartphone offline ist.

Onlineshops nutzen das Verfahren bisher nur in geringem Umfang, da sich jeder zusätzliche Schritt im Checkout-Bereich auf die Conversion auswirken kann. Zu Websites aus dem Retailbereich, die 2FA bereits anbieten, gehören Apple, Digitec, Ebay, Etsy, Samsung, Shopify und einige andere mehr. Nun sind aber auch alle anderen zum Handeln aufgefordert.

Fakt ist: Einkaufen mit nur einem einzigen Klick gehört mit SCA bald der Vergangenheit an, sofern keine Ausnahme greift. Mehr dazu im folgenden Abschnitt.

Ausnahmen von SCA

Die EU-weite Verordnung PSD II wird von den Regulierungsbehörden der verschiedenen Länder unterschiedlich interpretiert. Darüber hinaus gelten für Kartennetze und Banken eigene Vorgaben.

Es gibt unter anderem folgende Ausnahmen für SCA:

  • SCA ist nicht notwendig bei Transaktionen mit geringen Wert: Das betrifft Transaktionen unter 30 Euro ebenso wie den Fall, dass Transaktionen ohne SCA in den vergangenen 24 Stunden zusammen 100 Euro nicht überschreiten. Außerdem wird für jede fünfte Transaktion SCA notwendig.
  • SCA ist nicht notwendig bei Transaktion mit geringem Risiko: Zahlungsdienstleister können eine sogenannte Transaktionsrisikoanalyse durchführen. Dabei werden eingehende Zahlungen auf ihr Betrugsrisiko hin gecheckt. Fällt dieses gering aus, ist SCA nicht erforderlich.
  • SCA ist nicht notwendig bei B2B-Transaktionen: Bei Zahlungsvorgängen zwischen Unternehmen kann eine Befreiung auf Basis der Transaktionsrisikoanalyse erfolgen, solange diese eine Zahlungsmethode nutzen, die für solche B2B-Zahlungen bestimmt ist.
  • SCA ist nur einmalig notwendig bei Abonnements oder wiederkehrenden Zahlungen: Das ist vor allem für Anbieter von Abonnements relevant. Bei wiederkehrenden Einkäufen ist SCA nur einmalig notwendig, wenn der Beitrag gleich bleibt. Auch beim Anlegen eines Dauerauftrags ist SCA nur einmal erforderlich.
  • SCA ist nur einmalig notwendig bei vertrauenswürdigen Zahlungsempfängern: Nutzer können bei ihrer Bank eine Whitelist erstellen, auf der sie vertrauenswürdige Empfänger hinterlegen. Zahlungen müssen dann nur einmal authentifiziert werden.

Alle Angaben sind ohne Gewähr und erheben keinerlei Anspruch auf Vollständigkeit. Detaillierte Informationen finden Unternehmen in der offiziellen EU-Richtlinie 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 (PDF-Download).

Was ist jetzt zu tun?

Bis September sind es zwar noch einige Monate. Allerdings ist es sinnvoll, sich schon frühzeitig auf die neue EU-Richtlinie vorzubereiten. Dadurch kann der Übergang erheblich erleichtert werden.

Um die Vorgaben fristgerecht umzusetzen und idealerweise Reibungsverluste zu vermeiden, sollten sich Betreiber von Onlineshops daher umgehend informieren. Zu prüfen ist beispielsweise, ob und in welchen Fällen SCA für sie notwendig wird und an welchen Punkten eventuelle Ausnahmen greifen. Händler sind außerdem gut beraten, die Kaufabwicklung in ihrem Shop zeitnah so zu optimieren, dass keine Probleme beim Bezahl-Schritt auftreten. Wichtig ist, dass die positive Nutzererfahrung erhalten bleibt! Dabei sollte auch Transparenz eine große Rolle spielen: Kunden gilt es schlüssig zu vermitteln, warum in einigen Fällen die Zwei-Faktor-Authentifizierung nötig ist und in anderen nicht – so lässt sich Unzufriedenheit und Frustration vorbeugen.

SCA kann auf verschiedenen Wegen beim Bezahlvorgang stattfinden: über biometrische Daten, 3D Secure 2.0 und andere. Es empfiehlt sich, den Kunden möglichst viele Bezahlmöglichkeiten im Checkout-Bereich anzubieten. Dazu können alternativ auch “SCA-freie” Zahlungsarten wie Rechnung oder Lastschrift gehören. Je nach Art des Shop und der Kundenbedürfnisse kann dies alles in der Praxis höchst unterschiedlich aussehen.

Ferner sollten Onlinehändler in Erfahrung bringen, was ihre Zahlungsdienstleister konkret vorbereitet haben, um dem Handel einen leichten Übergang zu ermöglichen. Die meisten Banken bieten hierzu auf ihren Websites umfangreiche Informationen an. Im Zweifelsfall helfen persönliche Beratungsgespräche mit der Hausbank sowie die Hinzuziehung externer SCA-Experten weiter, um entscheiden zu können, ob der bisherige Finanzdienstleister auch in Zukunft noch der richtige Partner ist.

Fazit

SCA bedeutet einschneidende Veränderungen für den Onlinehandel, die sich jedoch langfristig positiv auf die Sicherheit im Netz und das Wachstum auswirken dürften. Wenn Unternehmen die neuen Erfordernisse erfüllen und ihren Kunden weiterhin eine gute Nutzererfahrung bieten, können sich für sie daraus klare Vorteile gegenüber ihren Mitbewerbern ergeben. Umso wichtiger ist es, dass Onlinehändler bestens auf die neue EU-Richtlinie vorbereitet sind.

Übrigens: LEAP/ hat wichtigsten Infos zur SCA in einem Merkblatt zusammengefasst, das ihr euch gerne herunterladen könnt. Und wenn ihr noch weitere Fragen habt, schreibt uns einfach eine E-Mail mit dem Betreff “SCA” an marketing@leap.de.

Über den Autor

Wiebke Unger

Redakteurin
Seit Februar 2019 bin ich bei LEAP/ im SEO-Consulting Team tätig. Nach meinem geistes- und medienwissenschaftlichen Studium habe ich zunächst 3 Jahre in der Presse- und Öffentlichkeit gearbeitet. Jetzt wende ich mein Wissen in der Suchmaschinenoptimierung und im Online-Marketing an.