Am 29. Dezember habe ich folgende E-Mail von Sony bekommen:
„Hallo Miriam! Ein paar neue Zahlungsdienstvorschriften treten in Kraft, die dich in den nächsten Monaten beim Einkaufen von digitalen Inhalten betreffen können. (...) Während diese Änderungen angepasst werden, kommt es unglücklicherweise zu Authentifizierungsfehlern bei 3DS, die zur Folge haben, dass Bezahlungen abgelehnt werden. Wir befürchten, dass dieses Problem die Zahlung mit Kredit- und EC-Karten mehr als PayPal und andere unserer Zahlungsmethoden betrifft.“
„Unglücklicherweise“, „Fehler“, „befürchten“: Anscheinend ist irgendwas Schlimmes passiert. Irgendwelche Probleme können auftreten. Um die Lösung muss ich mich selbst kümmern.
Zwei Tage später wollte ich etwas im App Store kaufen; im Zahlungsprozess poppte die Meldung auf: „Die europäische Gesetzgebung erfordert, dass Banken bestimmte Transaktionen authentifizieren.“ Die EU hindert mich daran, eine neue App zu installieren? Und meine Bank hat damit auch irgendwas zu tun?
Vor was werde ich hier gewarnt?
Wahrscheinlich haben auch Sie rund um den Jahreswechsel die ein oder andere Nachricht erhalten, die Sie auf Änderungen beim Online-Bezahlen hingewiesen hat. Denn ab dem 1. Januar 2021 sind, wie der Händler oben es schreibt, „ein paar neue Zahlungsdienstvorschriften“ in Kraft getreten. Genauer gesagt, eine Vorschrift:
Seit Beginn des Jahres müssen Kunden bei Kartenzahlungen im Internet über zwei verschiedene Faktoren belegen, dass sie wirklich der Besitzer ihrer Kreditkarte sind. Ab jetzt reicht es nicht mehr, Kreditkartennummer und Prüfziffer einzugeben, sondern es wird ein weiteres Sicherheitsmerkmal abgefragt, wie zum Beispiel eine PIN, eine TAN oder ein biometrisches Merkmal wie Touch- oder Face-ID. Das Ganze nennt sich „2-Faktor-Authentifizierung“ oder auch „Starke Kundenauthentifizierung“.
Hat der böse Gesetzgeber das erfunden, um uns das Leben schwerer zu machen? Nein. Die EU möchte uns Bürger vor Datenbetrug schützen und Online-Shopping, insbesondere am Smartphone, bequemer und sicherer machen – was ja gerade von europäischen Verbrauchern oft eingefordert wird.
Warum klingt das alles so kompliziert und problematisch?
Ich habe mich letzte Woche mit Robert Hoffmann, CEO Merchant Services des Zahlungsdienstleisters Nets, darüber unterhalten, warum der Endverbraucher über das neue Gesetz entweder gar nicht oder extrem kryptisch informiert wurde. Wir waren uns einig, dass sich die Kommunikation in solchen Fällen dringend ändern muss, damit der Kunde versteht, was passiert, und dadurch in die Lage versetzt wird, eigene Entscheidungen zu treffen. Robert erzählte: „Die meisten, die nicht in unserer Branche arbeiten, haben keine Ahnung, was da gerade umgestellt wurde. Weder meine Frau noch meine Kinder noch meine Mutter wissen, was PSD2 oder SCA oder 3DS sind, und das ist auch total normal. Aber da sie auch im Internet mit der Kreditkarte bezahlen, sollten sie natürlich mitbekommen, wenn sich etwas Grundsätzliches ändert.“
Warum war die Umsetzung der Starken Kundenauthentifizierung so komplex?
Robert sagte: „Das neue Gesetz hat im Zahlungsverkehr für den größten Umbruch der letzten zehn Jahre gesorgt. Ich halte die Umstellung für absolut notwendig. Aber sie war auch extrem komplex.“
Die Herausforderungen rund um die Starke Kundenauthentifizierung bei Online-Zahlungen:
1. Noch nie waren bei einer Umstellung so viele verschiedene Parteien beteiligt: Der Kunde, die Bank des Kunden, die Bank des Händlers, der Online-Händler, der Zahlungsdienstleister des Händlers, die Kreditkartenunternehmen, der Gesetzgeber.
2. Die Bank des Kunden legt fest, wie sich ihr Kunde im Zahlungsprozess authentifiziert. Und da gibt es in der Praxis unzählige verschiedene Wege: Eine meiner Banken schickt mir zur Freigabe einer Zahlung eine TAN per SMS und danach noch eine PIN. Bei einer anderen Bank läuft der ganze Prozess in einer speziellen App, die ich mir extra runtergeladen habe. Und das sind nur zwei der vielen Wege, wie Banken die Starke Kundenauthentifizierung technisch umgesetzt haben.
3. Ebenso vielfältig und unterschiedlich sind die Bezahlprozesse bei den Online-Händlern.
