bg

PSD2 - Inhalte, Umsetzung und Fristen

Die Abkürzung PSD2 beschreibt die neue EU-Zahlungsdienstrichtlinie, welche am 14. September 2019 in Kraft getreten ist. Die neuen Regelungen sollen vor Allem mehr Sicherheit für Händler und Endkunden im Online-Zahlungsverkehr gewährleisten. Doch wie sieht es nun genau mit der Umsetzung und der Übergangsfrist für diese Bestimmungen aus?

PSD2 und online Zahlungen

Payment Services Directive 2, kurz PSD2 ist ein Update der 2007 festgelegten Zahlungsrichtlinien der Europäischen Union. Der wohl relevanteste Teil der neuen Regelungen ist die Änderung für elektronische Bezahlungen. Mit der Einführung der Strong Customer Authentication (SCA), also der starken Kundenauthentifizierung, müssen von nun an alle Zahlungen, die online stattfinden, doppelt authentifiziert werden. Dies bedeutet, dass eine Freigabe der Transaktion durch den Kunden anhand von zwei der drei folgenden Faktoren notwendig ist, um somit mehr Sicherheit für Online-Zahlungen zu garantieren.

Diese Faktoren setzen sich zusammen aus: 

Etwas, das man weiß

Passwort, PIN

Etwas, das man besitzt

Smartphone, Kredit/EC-Karte, Wearable

Etwas, was man ist

Fingerabdruck, Gesichtserkennung, Spracherkennung

 

Um eine elektronische Transaktion durchführen zu können, müssen nun also zwei der drei genannten Faktoren erfolgreich erfüllt sein.

Die zwei-Faktoren Authentifizierung ist vielen von Ihnen bereits wohlbekannt. So verwenden Sie zum Beispiel bereits beim Einstieg in das online-Banking oder bei der Bezahlung mit Kreditkarte mittels der 3D Secure-Abfrage eine doppelte Authentifizierung.

 

Ausnahmen

Komplett ausgenommen für die 2-Faktor-Authentifizierung sind Zahlungen per Lastschrift sowie Überweisungen.

Kleine Transaktionen unter einem Wert von € 30,00 (außer die Summe der geleisteten Zahlungen innerhalb von 24 Stunden ohne SCA beträgt mehr als € 100,00 oder überschreitet 4 Transaktionen) sind ebenso ohne 2-Fach Authentifizierung durchführbar. Zudem ist es möglich, eine Whitelist mit vertrauenswürdigen Zahlungsempfängern zu erstellen und so die SCA bei diesen hinterlegten Unternehmen zu vermeiden. Auch Zahlungen zwischen Unternehmen oder in Form von Abonnements (MIT) fallen, unter bestimmten Voraussetzungen, nicht unter die Regelung. Daueraufträge werden nur bei der Einrichtung 2-Fach authentifiziert, danach sind diese davon freigestellt. Mail Orders und Telephone Orders (MOTO) werden bei der Verwendung eines speziellen MOTO Terminals nicht als elektronische Zahlungen definiert und sind somit von der Regelung ausgeschlossen.

 

Hotellerie

Auch für die Hotellerie bringt die Strong Customer Authentication bzw. die PSD2 einige Herausforderungen mit sich.

Da es sich bei online Buchungen auf der Hotel-Website auch um Online Transaktionen handelt, sind diese selbstverständlich ebenso von der neuen Regelung der PSD2 betroffen. Um sicherzustellen, dass online Buchungen auf der eigenen Hotel-Website weiterhin reibungslos getätigt werden können, sollte mit dem Payment Provider bzw. dem Anbieter der Web-Booking-Engine Rücksprache gehalten werden. 

Größere Herausforderungen im Zusammenhang mit der Strong Customer Authentication, werden sich für Hoteliers vor allem in Zusammenhang mit manuellen Zahlungsabwicklungen ergeben

So war das gängige Vorgehen bisher, dass Kreditkartendaten zur Sicherstellung der Reservierung oder zur Abbuchung einer Anzahlung verlangt wurden (sei es über das Hotel direkt oder durch Drittanbieter). Daraufhin wurde die vereinbarte Anzahlung oder die Autorisierung händisch am Kreditkartenterminal abgebucht. Da es sich bei diesem Vorgehen lediglich um eine einfache Authentifizierung (dem Besitzen der Kreditkarte) handelt, gilt die Sicherheitsprüfung als ungültig und die Transaktion als nicht erfolgreich. 

Wird bei einer Reservierung also die Kreditkarte als Sicherheit oder zur Abbuchung einer Anzahlung verlangt (sei es über das Hotel direkt oder durch Drittanbieter), verliert diese Sicherheit in Zukunft ihren Wert. Auch bei Nachbuchungen nach dem Aufenthalt, wie z.B. bei zusätzlichen Minibarkonsumationen am Abreisetag hilft die Kreditkarte allein nicht mehr weiter. 

Bei No-Shows und Stornierungen wird es für den Hotelier in Zukunft somit noch schwieriger werden, die vereinbarten Gebühren einzuheben. Vor allem bei Buchungen über OTAs, die eine hohe Stornierungsquote  nachweisen, kann dies zu einem Problem für Hoteliers führen. Beim Vertrieb über OTAs wie z.B. Booking.com gibt es die Möglichkeit, Zahlungen direkt über virtuelle Kreditkarten abwickeln zu lassen und somit die manuelle Anzahlung zu umgehen. Doch auch hierbei ist Achtung geboten (erfahren Sie wieso)!

Werden Anzahlungen bei Buchungen über OTAs nicht direkt über virtuelle Kreditkarten abgewickelt, müssen die Kreditkartendaten des Gastes wie bisher manuell in das hoteleigene Terminal eingegeben und abgebucht werden. Dies wird jedoch voraussichtlich in Zukunft durch die Richtlinien der SCA nicht mehr möglich sein.

Wir sind gespannt, wie genau die Online Travel Agencies diese Herausforderung lösen werden. 

 

Frist

Mit 14. September 2019 ist die neue EU-Regelung bereits in Kraft getreten. Somit ist eigentlich für jede Zahlung im Internet eine Strong Customer Authentication Pflicht. Die Europäische Bankaufsichtsbehörde (EBA) hat jedoch den nationalen Aufsichtsbehörden die Möglichkeit zur Gewährung eines befristeten Aufschubs für betroffene Dienstleister eingeräumt, europaweit gibt es aber momentan keine einheitliche Lösung. 

Da einige Anbieter Probleme mit der Umsetzung der SCA haben, gewähren manche nationale Aufsichtsbehörden einen Aufschub der Frist. Dies heißt jedoch nicht, dass die Regelung nicht in Kraft tritt, sondern bedeutet nur, dass die Durchführung der Zahlungen ohne 2-Faktoren Authentifizierung “nicht beanstandet” wird.

Die deutsche Finanzaufsichtsbehörde Bafin erklärte somit, dass bis 31.12.2020 Zahlungen von Zahlungsdienstleistern mit Sitz in Deutschland auch ohne die verschärften SCA-Regelungen noch erlaubt sind. Auch die österreichische Finanzmarktaufsichtsbehörde FMA gewährt nun Aufschub auf die Umsetzungsfrist der starken Kundenauthentifizierung bis zum 31.12.2020. Ebenso kommen die Behörden in Italien, Irland und der Niederlande ihren Händlern mit einer Aufschubfrist entgegen.

 

Bleiben Sie immer uptodate und melden Sie sich jetzt für unseren monatlichen Newsletter an.

SHARE
bg

Subscribe To Our Newsletter

Sign up now and receive monthly hotel and revenue management insights.

Subscribe to newsletter