Foto: Pixabay/Mediamodifier
31.10.2019 Branche im Blick erstellt von Rolf Becker

Zahlungsverkehr sicherer durch PSD2 machen

Die gar nicht mehr so neue Zahlungsdiensterichtlinie oder auch PSD2 (Payment Services Directive 2) genannt, schlägt momentan Wellen und verunsichert Händler. Wer ist verpflichtet? Was ist zu tun?

Open Banking, „Aus“ der SMS-TAN und starke Kundenauthentifizierung: Die EU-Zahlungsdiensterichtlinie PSD2 hält einige Neuerungen bereit, die im bereits seit 13.01.2018 gültigen Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie verankert sind. Die Neuerungen sollen mit der Öffnung zu Datenzugängen Wettbewerb fördern und den Zahlungsverkehr sicherer machen. Bereits seit 2018 gilt die Vorgabe der PSD2, wonach keine Gebühren mehr für bestimmte Zahlarten verlangt werden dürfen (Surcharging-Verbot).

Starke Kundenauthentifizierung durch PSD2

Während es bei Open Banking um die Öffnung des Bankensystems durch Zugriff auf die Kontodaten für Drittanbieter über Schnittstellen geht („Access to Account“ oder XS2A), die SMS-TAN mit ihrem nachvollziehbaren Tod neue Herausforderungen für den Verbraucher bringt, ist die starke Kundenauthentifizierung oder auch Zwei-Faktor-Authentifizierung ein Thema, das der Handel fürchtet. Dabei sind nicht die Händler die Adressaten der neuen Verpflichtungen, sondern die Zahlungsdienstleister. Die müssen ab dem 14.09.2019 die starke Kundenauthentifizierung („Strong Customer Authentication“) umsetzen. Zu den Zahlungsdienstleistern gehören auch Zahlungsauslösedienstleister.

Zusätzliche Eingaben für Kunden

Bei der starken Kundenauthentifizierung muss zur Benutzerkennung und Passwort (= Wissenskategorie) ein weiteres Merkmal aus der Kategorie Besitz (Karte, Smartphone) oder Inhärenz (Fingerabdruck, Stimme) treten, welches die Authentifizierung unterstützt. Meist ist dies ein weiterer Code. Der wird dann über Apps, wie Google Authenticator oder spezifische Banking-Apps erzeugt, denn vorgedruckte Listen (TAN-Listen) sind nicht mehr erlaubt. Einfach die Kreditkarten einzugeben oder über Pay-Pal per Kennung und Passwort die Zahlung anzustoßen, reicht dann nicht mehr. Natürlich fürchtet der Handel Performanceverluste, denn jeder zusätzliche Klick stört die Konversion.

Die Implementierung benötigt Zeit und Ressourcen. Daher sahen die technischen Regulierungsstandards für eine starke Kundenauthentifizierung (Regulatory Technical Standard „RTS“) eine längere Umsetzungsfrist vor, die aber eben im September abläuft. Selbst die Zahlungsdienstleister können zu Zeit noch nicht alle sagen, wie sie die Vorgaben umsetzen. Schon werden Stimmen nach Fristverlängerung laut.

Pay-Pal gehört wie Amazon Pay, Paydirekt und Klarna zu den Anbietern, die noch keine konkreten Angaben machen. Vermutlich wird die Eingabe einer TAN Pflicht, über die auch heute schon der Kontenzugang abgesichert werden kann. Aber auch die Pay-Pal-App bietet Möglichkeiten bis hin zur Implementierung einer Gesichtserkennung. Hier kann es aber auch Unterschiede je nach hinterlegter tatsächlicher Zahlart geben. Denn Einzugsermächtigungen müssen anders als Kreditkartenzahlungen nicht gesondert abgesichert werden. Die Händler sollen dabei nicht weiter belastet werden. Klarna sieht Rechnungs- und Ratenkauf als nicht betroffen an.

Weitere wichtige Rechtsthemen finden Sie jeden Monat in unserem Fachmagazin „BaustoffMarkt“. Wenn Sie kein Abo haben, dann testen Sie das Heft für zwei Monate als Mini-Abo oder nutzen Sie unser Jubiläums-Angebot und abonnieren Sie das Heft für ein Jahr und bekommen drei weitere Monate dazu geschenkt.

Zum Mini-Abo                                 Zum Jubiläums-Abo

Weitere Ausnahmen von der Pflicht zur starken Kundenauthentifizierung betreffen neben vom Zahler als vertrauenswürdig eingestufte Empfänger (Whitelist), wiederkehrende Zahlungen und auch Kleinbetragszahlungen mit Transaktionen bis zu 30 Euro. Die Summe der Beträge darf seit der letzten starken Authentifizierung allerdings 100 Euro nicht übersteigen. Zudem ist diese Ausnahme auf maximal fünf Zahlungsvorgänge beschränkt. Ab der sechsten Zahlung wird also auch bei Kleinbeträgen wieder eine starke Authentifizierung erforderlich.

Händlerpflichten

Der Händler ist verpflichtet, nach § 312d Abs. 1 BGB, Art. 246a § 1 Abs. 1 Nr. 7 EGBGB Informationen zur Zahlung zu erteilen (Informationen über: „die Zahlungs-, Liefer- und Leistungsbedingungen, …“). Das bedeutet, dass – meist in den AGB – Ergänzungen zur starken Kundenauthentifizierung aufzunehmen sind. Je nach Zahlungsdienstleister dürften mehr Daten im Transfer vom Händler zum Zahlungsdienstleister anfallen. Hier sind die Informationspflichten nach der DSGVO berührt. Händler müssen deshalb gegebenenfalls ihre Datenschutzhinweise ergänzen und aufführen, welche (weiteren) Daten übermittelt werden.

Grundlage der Datenübermittlung

Unsicherheit besteht zudem noch, wie diese Datentransfers rechtlich legitimiert sein können. Neben interessenbasierten Grundlagen (Art. 6 Abs. 1 lit. f DSGVO) nennen Zahlungsdienstleister Auftragsverarbeitung (Art. 28 DSGVO) als Grundlage. Das ist aber dann nicht recht nachvollziehbar, wenn sich der Zahlungsdienstleister als Auftragsverarbeiter des Händlers sieht. Denn die starke Kundenauthentifizierung ist nicht die Pflicht des Händlers, sondern des Zahlungsdienstleisters. In Betracht kommt schließlich noch eine Datenerhebung und Verarbeitung auf der Basis einer gemeinsamen Verantwortung nach Art. 26 DSGVO. Auftragsverarbeitung und Datenaustausch in gemeinsamer Verantwortung setzen wieder gesonderte vertragliche Abreden voraus, die zwischen Händler und Zahlungsdienstleister getroffen werden müssen.

Weitere rechtliche Änderungen für die Branche erfahren Sie im Baustoff-Jahrbuch 2019/2020. Außerdem beinhaltet der Serviceteil Übersichten, Basisdaten und Prognosen zur Bauwirtschaft. Das Buch können Sie über unseren E-Shop erwerben.

Zum Baustoff-Jahrbuch

Welche Basis letztlich in den Datenschutzbedingungen genannt werden muss, hängt von dem Datenaustausch und seiner Organisation ab. Die wiederum verlangt eventuell nicht unerheblichen Implementierungsaufwand. Es wird also höchste Zeit für Händler, sich mit dem Thema zu beschäftigen.

Die Händler sind nicht direkt, aber indirekt betroffen. Zahlungsanbieter mauern noch, weil sie selbst noch an Lösungen basteln. Fakt ist, dass Händler AGB und eventuell auch Datenschutzhinweise ergänzen müssen.

Der Rechtstipp ist auch unter folgender Adresse abrufbar:

https://www.ifhkoeln.de/fileadmin/ECC_Rechtstipp/ECC-Rechtstipp_2019-Nr-168-Juli-2019.pdf

Aktiv Zusatzverkäufe: Darfs ein bisschen mehr sein?

Foto: Pixabay

In der Bäckerei fast schon eine Selbstverständlichkeit: der Zusatzverkauf. Unserem Online-Seminar am 12. August, um 11 Uhr, mit Hans Günter Lemke zeigt auf, mit welchen Fragen und Argumenten der Zusatzverkauf „leichter“ wird. Unterstrichen werden sie mit Praxisbeispielen.

Jetzt anmelden