PSD2: Kurz-Info zur Payment Services Directive 2

Ab dem 14.09.2019 müssen Zahlungsdienstleister wie Paypal oder Klarna, die Online-Bezahlmöglichkeiten anbieten, für eine stärkere Kundenauthentifizierung sorgen. Es geht also um die Technik und die Prozesse, die während des Bezahlens eingesetzt werden. Für Onlinehändler selbst, die solche Zahlungsmöglichkeiten von Zahlungsdienstleistern in ihren Shop integriert haben, ändert sich dagegen nichts. Es sind in der Regel auch keine Änderungen an den Allgemeinen Geschäftsbedingungen oder der Datenschutzinformation erforderlich.

Was ist Inhalt der PSD2 Richtlinie?

Die PSD2 ist die zweite Zahlungsdiensterichtlinie (EU) 2015/2366 der Europäischen Union (EU), die die bisherige Zahlungsdiensterichtlinie 2007/64/EG ablöst. Sie beinhaltet verschiedene Regelungen, die Zahlungsdienstleister zukünftig erfüllen müssen. Dazu gehört insbesondere die Strong Customer Authentication (SCA), wonach jeder, der ein Onlineverfahren zur Bezahlung nutzt, sich doppelt authentifizieren muss. Damit muss zukünftig im Bezahlprozess eine Kombination aus mindestens zwei der folgenden drei Authentifikationsmöglichkeiten zur Verfügung gestellt werden:

Wissen: Dies sind Informationen, die nur der Kunde kennt, wie beispielsweise ein Passwort oder ein Pin.
Besitz: Ist ein Gegenstand, den nur der Kunde im Besitz hat, wie zum Beispiel eine Karte, ein Smartphone oder eine Smartwatch.
Inhärenz:Darunter sind Eigenschaften zu verstehen die dem Kunden anhaften und die durch eine biometrische Authentifizierung, wie einen Iris-Scan, einen Fingerabdrucks-Scan oder eine Gesichtserkennung, eine Identifikation des Kunden ermöglichen.

Wer muss die PSD2 Richtlinie umsetzen?

Händler in B2C-, B2B-, eBay-, oder Amazon-Shops sind von der Richtlinie rechtlich gesehen nicht betroffen, da Zahlungsdienste nach § 1 des Gesetzes über die Beaufsichtigung von Zahlungsdiensten (Zahlungsdiensteaufsichtsgesetz – ZAG), wie beispielsweise PayPal oder Klarna für die rechtliche Umsetzung der Richtlinie zuständig sind.

Welche Zahlungsarten sind überhaupt betroffen und erfordern eine starke Kundenauthentifizierung?

Betroffen sind jegliche Vorgänge, bei denen der Kunde online auf sein Zahlungskonto zugreift oder eine Zahlung auslöst, also hauptsächlich online getätigte Kartenzahlungen, Sofort-Überweisung, Paypal usw.

Welche Ausnahmen gibt es von der Pflicht zur starken Kundenauthentifizierung?

Zahlungen unter einer Höhe von 30 Euro
Bei Zahlungen unter einer Höhe von 500 Euro können Ausnahmen gemacht werden, wenn die Transaktion als risikoarm einzustufen ist, was sich nach der durchschnittlichen Betrugsrate des entsprechenden Zahlungsdienstleisters richtet.
Kunden können Unternehmen auf eine „Whitelist“ setzen und es somit als vertrauenswürdigen Zahlungsempfänger angeben.
Wiederkehrende Transaktionen (abonnementmäßige Zahlungen)

Müssen Onlinehändler ihre Allgemeinen Geschäftsbedingungen oder Datenschutzerklärungen ändern?

Im Normalfall nicht. Die PSD2 betrifft den technischen Vorgang des Bezahlens, wie etwa die Schnittstelle zwischen dem Zahlungsdienstleister und den Banken. Es werden aber keine anderen Dienstleister eingebunden oder andere Daten hin- und hergeschickt.

UPDATE vom 19.08.2019:

Wie die Internet World BUSINESS berichtet, sind die Zahlungsdienstleister offenbar nicht alle PSD2-ready, so dass die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) den Banken jetzt einen Aufschub gewährt haben soll.