Die wichtigsten Fragen zur PSD2

Online Zahlungen sollen sicherer werden – deswegen müssen elektronische Zahlungen seit 31. Dezember 2020 durch eine sogenannte Zwei-Faktor-Authentifizierung oder auch Strong Customer Authentication (SCA) abgesichert werden. Dabei sind zur Freigabe einer Bezahlung mindestens zwei unabhängige Faktoren aus den drei Kategorien

• Wissen (z.B. Passwort, PIN),
• Besitz (z.B. Bezahlkarte, Smartphone) oder
• Inhärenz (z.B. Fingerabdruck, Gesichtserkennung)

notwendig.

Die SCA soll sicherstellen, dass es sich beim bezahlenden Nutzer auch tatsächlich um den Kontoinhaber handelt. Ziel ist die Reduktion von Kreditkartenbetrug.

Von der PSD2 sind alle „elektronischen Zahlungsvorgänge unter Einbeziehung des Karteninhabers“ betroffen. Die Definition umfasst neben den Kreditkartenzahlungen nach dem 3D Secure-Verfahren unter anderem auch die Zahlungsarten PayPal oder Sofortüberweisung. Die Regelungen zur starken Kundenauthentifizierung betreffen damit primär Online Zahlungen.
 
Der Missbrauch bei Kartenzahlungen soll durch diese Maßnahmen sinken. Zahlungen, die durch eine SCA gesichert sind, können nicht mehr ohne Weiteres zurückgerufen werden und dadurch sollten die Charge Backs zurückgehen.

Bei Vor-Ort-Zahlungen (card present) wird sich nichts ändern, da Karten mit PIN Verifikation bzw. Karten mit Unterschrift-Verifikation die Anforderungen der starken Kundenauthentifizierung erfüllen. Ebenso nicht betroffen von den neuen Vorgaben ist das SEPA-Lastschriftverfahren.

Um Sicherheit und Bequemlichkeit im Einkaufserlebnis in ein angemessenes Verhältnis zu setzen, gibt es Ausnahmen von der Pflicht zur starken Kundenauthentifizierung. Sie ist für folgende Zahlungssituationen gelockert bzw. gänzlich aufgehoben:

• Geringer Wert: Zahlungen bis 30 Euro müssen grundsätzlich nicht durch SCA-Verfahren abgesichert werden. Falls jedoch innerhalb von 24 Stunden ein kumulierter Betrag von 100 Euro oder mehr als fünf Transaktionen über dasselbe Zahlungsmittel verarbeitet werden, ist eine SCA einzubinden.
• Whitelist-Empfänger: Kunden können zukünftig eine sogenannte Whitelist mit vertrauenswürdigen Empfängern bei ihrer Bank erstellen. Für Bezahlvorgänge bei derartig gelisteten Händlern besteht keine Pflicht zur starken Kundenauthentifizierung.
• Telefon & Mail Orders (MOTO): Transaktionen via Telefon oder Mail stellen eine Form der Card-Not-Present-Transaktionen dar, gelten laut Definition der PSD2 nicht als elektronische Zahlungen und sind daher von der starken Kundenauthentifizierung ausgenommen.
• Globale Transaktionen: Sobald entweder die kartenausgebende Bank (Issuer) oder die kartenakzeptierende Bank (Acquirer) nicht im europäischen Wirtschaftsraum ansässig sind, fällt die Zahlung nicht unter die Regelungen der PSD2.
• Händler initiierte Zahlungen (Merchant initiated transactions, MIT): Darunter fallen No Show-Zahlungsabwicklungen sowie auch wiederkehrende Zahlungen (für die Hotellerie jedoch eher nicht anwendbar). Hier ist zu beachten, dass nur die erste/ initiale Transaktion eine Strong Customer Authentication (SCA) erfordert.

Die Probleme mit No Show-Abbuchungen sind seit Jahren bekannt und liegen darin, dass Hotels nachweisen müssten, dass der Gast über die Stornobedingungen informiert wurde und einer Abbuchung zugestimmt hat - andernfalls kann der Karteninhaber diese Transaktion zurückrufen. Gerade bei Reservierungen über Buchungsplattformen gibt es Fälle, bei denen der Nachweis oft nicht gelingt oder die Stornobedingungen nicht den Vorgaben der Kreditkartenorganisationen entsprechen und so Reklamationen zu Ungunsten des Betriebes ausfallen.
 

Anzahlungen, „Reservierungen von Geldbeträgen“ bzw. Vorabautorisierungen PSD2-konform abwickeln:

Experten empfehlen, analog zur Zahlung sollte auch bei Reservierungen bzw. garantierten Buchungen eine starke Authentifizierung veranlasst werden. So geht man sicher, dass eine Abbuchung später möglich ist. Via 3D Secure und der Abwicklung über Payment Links, bestehen hier bereits interessante Optionen.
 

Nachverrechnung offener Posten (z.B.  Mini-Bar etc.):

Nachverrechnungen bleiben weiterhin möglich, sofern der Gesamtbetrag vorher mit Authentifizierung auch autorisiert wurde. Wird die Zahlung nicht persönlich beim Check-out vorgenommen – hier handelt es sich dann um eine persönliche Zahlung, die nicht unter die PSD2 fällt – sondern erfolgt nach Abreise der Gäste, ist dies auch elektronisch unter dem Transaktionstyp „Merchant initiated transaction“ ohne nochmalige Authentifizierung möglich, sofern die erste Transaktion mit SCA abgesichert war.

Es liegt grundsätzlich im Verantwortungsbereich von Zahlungsdienstleistern, die neuen Regelungen der starken Kundenauthentifizierung umzusetzen – sie müssen die Auslieferung und Verarbeitung der technischen Daten für die korrekte Abbildung der starken Kundenauthentifizierungs-Anforderungen sicherstellen! Da die Anbindungen von Buchungsstrecken meist über technische Schnittstellen realisiert werden, besteht der Aufwand vor allem in der Erweiterung dieser Schnittstellen.
 

Am besten Sie nehmen diesbezüglich umgehend Kontakt mit Ihren Dienstleistern für die Online-Buchung und Kreditkartenabrechnung auf!

Der richtige Umgang mit telefonischen und/oder schriftlichen Reservierungen (MOTO):  

Um derartige Reservierungen entgegen zu nehmen und z.B. Anzahlungen abrechnen zu können, benötigen Sie eine Zusatzvereinbarung für Fernabsatzgeschäfte (Gast ist nicht vor Ort) mit Ihrem Acquirer. Eine Voraussetzung dafür wird ein virtuelles Terminal, mit dem die Kartendaten verarbeitet werden können, denn die manuelle Zahlungsabwicklung über das stationäre Kartenterminal durch die eigenhändige Eingabe der Zahlungsdaten wird künftig nicht mehr so leicht möglich sein bzw. sind hier die PCI DSS -Vorgaben zu beachten. Bei diesem Zahlungsmodul übermittelt der Kunde Ihnen telefonisch oder über alternative PCI-konforme Kommunikationswege seine Daten, Sie können die Zahlung über eine sichere sowie zertifizierte Webseite abwickeln. Ihr Acquirer liefert Ihnen dazu die passenden Angebote.
 
Wichtig ist auch, dass auf technischer Ebene der Name des Hotelbetriebes konsistent einheitlich lautet, um Probleme bei technischen Abgleichprozessen vorzubeugen (PSD2/RTS Vorgabe zu „dynamic linking“).

Eine Auswirkung könnte sein, dass bestimmte Transaktionen nicht abgewickelt werden können, beziehungsweise dass es auf Stufe der Acquirer oder Issuer (Banken, die Karten an Kunden ausgeben) zu Ablehnungen kommen kann.
Wie hart die PSD2-Richtlinie ab 1.1.2021 umgesetzt wird, kann momentan nicht beantwortet werden. Wir empfehlen, sich möglichst gut auf dieses Datum vorzubereiten und die notwendigen Vorkehrungen mit den eigenen Zahlungsdienstleistern zu treffen. An- Und Vorauszhalungen können sicher abgewickelt werden und man kann die Rechtmäßigkeit des Zahlers gewährleisten und verhindert damit Rückbelastungen aufgrund missbräuchlich verwendeter Kartendaten (Fraud).

Einer der ersten und wichtigsten Schritte in der Vorbereitung auf das Inkrafttreten der letzten Phase der  PSD2, ist die detaillierte und transparente Betrachtung der eigenen Prozesse, um die betroffenen Punkte zu identifizieren und klar herauszuarbeiten, wo die Dienstleister ansetzen können und sollen, oder wo es schlichtweg zu Prozesskorrekturen kommen muss.
 
Strafzahlungen sind nur für säumige Finanzinstitute und nicht für Händler/Hotels vorgesehen.

Die erste Ansprechadresse für Hotelbetriebe ist der Acquirer. Auch der Payment Service Provider (PSP), der sich um die Anbindung von Online-Bezahlmethoden bei den Online-Auftritten Ihres Hotels kümmert, ist ein wichtiger Servicepartner und sollte umgehend kontaktiert werden.