PSD2, SCA und 2FA – Klarheit für dein WooCommerce!

psd2 sca woocommerce

PSD2, SCA und 2FA? Kein Grund zur Sorge!

In der Ruhe liegt die Kraft. In diesem Beitrag findest du alles was du als Shopbetreiber wissen musst. PSD2 ist der Name der EU-Richtlinie, die inzwischen in nationalen Gesetzen verankert ist und steht schlicht für Payment-Services-Direktive-two (dt.: zweite Zahlungsdiensterichtlinie). Am 14.09.2019 treten diese gesetzlichen Bestimmungen nach einer Übergangsfrist nun schließlich vollständig inkraft. Fortan gilt für Online-Handel und Zahlungsdienstleister im europäischen Wirtschaftsraum die Notwendigkeit einer Strong Customer Authentication  SCA (dt.: starke Kundenauthentifizierung). Und damit eine Kunde stark authentifiziert werden kann, muss er sich über zwei unabhängige Faktoren ausweisen, womit wir schließlich beim Begriff der 2-Faktor-Authentifizierung (2FA) angelangt wären.
woocommerce hilfeWas das genau bedeutet, schauen wir uns gleich nochmal an. Um die Gesamtsituation vorab bereits ein wenig zu entspannen, sei erwähnt, dass diese Sicherheitsanforderungen bereits vielfach erfüllt werden. Im Wesentlichen betrifft es aktuell Authentifizierungen via iTAN-Listen sowie Kreditkartenzahlungen ohne weitere Authentifizierungsmaßnahme wie 3D-S. Diese sind nach dem Stichtag nicht mehr zulässig. Die hierzulande beliebte SEPA-Lastschrift fällt im Allgemeinen nicht unter die PSD2-Regelung, da die Zahlung hier vom Zahlungsempfänger angewiesen wird. Für übliche Überweisungen aber erfüllen die geläufigen TAN-Generatoren, mobileTAN und dergleichen bereits die Anforderungen der SCA bzw. der 2FA. Die häufig verwendeten Zahlungsmethoden Lastschrift und Rechnung sind also kaum von der Neuerung betroffen. Erfüllt eine Zahlungsanweisung zukünftig allerdings nicht die Voraussetzungen der SCA bzw. 2FA, können Banken diese Zahlung schlicht ablehnen.
Zahlungsanweisungen müssen also entweder der SCA genügen, oder unter gewisse Ausnahmen fallen, welche wir abschließend noch einmal auflisten werden. Jetzt schauen wir uns aber erst einmal an, was 2FA denn eigentlich bedeutet.

SCA verlangt 2FA – Wie funktioniert eigentlich diese 2-Faktor-Authentifizierung?

SCA und zwei-faktor-authentifizierung, psd2
2FA-Erläuterung [Quelle: Bundesbank]

Was bedeutet Zwei-Faktor-Authentifizierung / 2FA?

Damit du selbst eine Ahnung bekommst, ob eine Zahlweise diesen Standard erfüllt, erklären wir dir kurz, worauf es dabei ankommt. Zum Authentifizieren sind wie der Name schon sagt künftig zwei Faktoren nötig, um die eigene Identität zu bestätigen. Es werden drei Kategorien unterschieden, aus denen ein solcher Faktor entstammen kann. Wer eine Zahlung anweist, muss sich über mindestens zwei Faktoren aus jeweils verschiedenen Kategorien ausweisen. Geschieht dies nicht, können Zahlungsanweisungen entsprechend von der Bank abgelehnt werden. Gemäß der Gesetzeslage liegt die Haftung auf Seiten der Bank, insbesondere auch, wenn sie selbst keinen 2FA-Service anbieten kann. Die drei Kategorien sind:

                                • Wissen      →   bspw.  Passwörter oder PINs
                                • Besitz        →   bspw. EC-Karten oder Smartphones
                                • Inhärenz   →   bspw. Fingerabdruck, Gesicht oder Iris

 

Dieser Standard befindet sich bspw. bei mobileTAN, appTAN, photoTAN bereits in vollem Einsatz. Schauen wir uns das mobileTAN-Verfahren an, so braucht ein Nutzer einerseits sein Passwort (Wissen) zum Login beim Zahlungsdienstleister und darüber hinaus sein Smartphone (Besitz), mit dem er einen dynamisch generierten und zeitlich befristeten Token erhält. Durch Kombination zweier solcher Faktoren wird es Betrügern zunehmends erschwert, unautorisierte Zahlungen anzuweisen.

Wann genau sind SCA / 2FA notwendig und welche Ausnahmen gibt es?

Zunächst mal gilt die Regelung für den gesamten Zahlungsverkehr innerhalb des Europäischen Wirtschaftsraums (EWR). Im Allgemeinen gelten die Vorschriften der PSD2 aber genauso für Zahlungen, die lediglich aus dem EWR angewiesen werden. Dazu gehört bspw. das Szenario, dass ein Händler aus den USA an einen Kunden innerhalb des EWR verkauft. Auch hier gelten folglich die Bestimmungen der PSD2. Sinnvollerweise gibt es hierbei auch einige Ausnahmen und Sonderfälle. Erwähnenswerte Sonderfälle sind:

      • Geringfügigkeit: Bei Online-Käufen < 30€ ist die strenge Authentifizierung nicht zwingend erforderlich. Für eine Kredit- oder EC-Karte gilt allerdings, dass nach fünf Zahlungen, oder wenn in der Summe bereits mehr als 100€ angewiesen worden sind, zwischendurch wieder eine 2FA vonnöten. (Für Bargeldlose Offline-Zahlungen gelten entsprechend 50€ / 150€)
      • Vertrauensgrundlage: Auch ist es Konsumenten grundsätzlich möglich, bei ihrem Kreditinstitut einzelne Unternehmen in eine sogenannte Whitelist eintragen zu lassen, sodass Zahlungen an diese in der Folge auch ohne 2FA durchgeführt werden können.
        statista onlinehandel, psd2, 2fa, strong customer authentication
        Anteil Nutzung Zahlungsmittel in Deutschland 2018 [Quelle: statista.de]
      • Kategorisch ausgenommen: von der Verpflichtung sind bspw. das in Deutschland häufig genutzte Lastschriftverfahren, da der Zahlungsempfänger hier die Zahlung initiiert sowie Zahlungen für Parkgebühren bzw. Personen-beförderungen.
      • Zahlungsdienste wie PayPal (per zusätzlichem SMS-Code oder auch per OTP-App), Stripe, Amazon Pay  oder Global Payments Gateway (ehemals Realex) sind bereits PSD2-konform.

 

PSD2, SCA, 2FA — unsere Tipps für WooCommerce und andere Online-Shops.

Um sicherzustellen, dass du für deine individuelle Situation gewappnet bist, haben wir hier noch eine kleine Checkliste für WooCommercler und sonstige Shopbetreiber:

  • Händler sollten prüfen, ob die Onlinemarktplätze und Zahlungsdienstleister, mit denen sie zusammenarbeiten, PSD2-konform sind. Die Zahlungsdienstleister müssen sich darum kümmern, dass der zweite Sicherheitsschritt hinzugefügt wird. In der Regel muss der Onlinehändler nur ein Software-Update durchführen, damit die Schnittstelle zwischen Onlineshop und dem Zahlungsdienstleister reibungslos funktioniert.
  • Sollte ein Unternehmen in seinen AGB Zahlungsoptionen nennen, muss es diesen Text ändern. Sofern die Firma durch die PSD2 andere Daten an die Zahlungsdienstleister weitergibt als bisher, muss sie auch die Datenschutzerklärung anpassen.
  • Tipp: Händler sollten ihre Kunden über die kommenden Änderungen informieren – so wundern sich die Kunden nicht, wenn es für sie ab Mitte September aufwändiger wird, Waren bargeldlos zu bezahlen.
  • Und noch ein Tipp: Hier findest du unseren beliebten Beitrag zu den Top 5 WooCommerce Themes 2019 und auch die besten WooCommerce-Erweiterungen haben wir für euch zusammengetragen.

 

Außerdem möchten wir noch einmal klarstellen, dass diese Veröffentlichung nicht als rechtliche Beratung missverstanden wird, sondern bloß dem allgemeinen Verständnis der Situation dienen soll. Bei rechtlichen Fragen bitten wir dich, einen Juristen zu konsultieren.

 

Die beiden wichtigsten Ziele der Gesetzesinitiative PSD2:

Mehr Sicherheit, weniger Betrug durch SCA und 2FA

  • Harmonisierung und Digitalisierung des Marktes europäischen Zahlungsverkehrs.
  • Verbesserung und Vereinheitlichung der Zahlungssicherheit bei bargeldlosen Zahlungen.
  • Laut EZB beziffert man die Summe aus Betrugsfällen im Rahmen bargeldloser Zahlungen im EWR 2016 auf 1,8 Mrd. Euro.
  • Allerdings gibt es auch eine Kehrseite. Einer Studie von Stripe und 451 Research zufolge könnte dem europäischen Onlinehandel allein im ersten Jahr nach Einsetzen der SCA-Pflicht ein Verlust von etwa 57 Mrd. € entstehen. Wie gravierend die Auswirkungen letztlich sein werden bleibt aber abzuwarten.

 

Wettbewerb unter Zahlungsdienstleistern und Innovation:

  • Durch das Öffnen der Kontoschnittstellen (wurde hier nicht weiter erläutert) soll der Markt für weitere Zahlungsdienstleister eröffnet werden. Dementsprechend kann der diesbezügliche Wettbewerb und die technische Innovation durch mehr Chancengleichheit gefördert werden.
  • Soll den Verbraucherschutz und die Rechtssicherheit verbessern.

Timeline um SCA und 2FA

  • 11 / 2015 — Richtlinie zu Zahlungsdiensten von EU-Rat und -Parlament → EU
  • 7 / 2017 — Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie → Umsetzung in Dtld.
  • 1 / 2018 — Teilweises Inkrafttreten der PSD2 (bspw. Verbot der Erhebung von Zahlungsgebühren); Frist für Umsetzung  in jeweils nationales Recht endet → erneute Frist von 18 Monaten bis zur vollständigen Verbindlichkeit
  • 4 / 2019 — Kann eine Bank auf Anfrage eines Unternehmens keine 2FA anbieten, verschiebt sich die Haftung zu ihren Ungunsten
  • 9 / 2019 — volle Verbindlichkeit tritt ein → SCA verpflichtend