Achtung! Neue Vorgaben für Online-Bezahlsysteme ab September 2019

Brüssel, 22.03.2019 – Im September 2019 treten die neuen Vorschriften über Online-Bezahlsysteme in Kraft. Rechtlicher Hintergrund ist die Zweite Zahlungsdiensterichtlinie der EU (Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015), die bis zum 13. Januar 2018 von den Mitgliedstaaten in nationales Recht umzusetzen war. Dies ist in Deutschland durch das neue Zahlungsdiensteaufsichtsgesetz (ZAG) geschehen.

Das ZAG legte zunächst die neuen Spielregeln im Umgang mit Gutscheinen fest und verbot gleichzeitig Aufschläge für Zahlungen mit Kreditkarte, SEPA-Überweisung oder Lastschrift. Gutscheinsysteme in Verbundgruppen bis zu einem Gesamtvolumen von einer Millionen Euro gelten danach in den meisten Fällen nicht als Zahlungsdienste und unterliegen lediglich einer „Aufsicht-Light“. Eine Bankenzulassung – wie sie für andere Zahlungsdienste notwendig wäre – ist bei diesen Gutscheinsystemen nicht Voraussetzung für deren Betreibe.

Am 14. März 2019 ist – basierend auf der Zweiten Zahlungsdienste-Richtlinie – eine delegierte Verordnung in Kraft getreten. Diese regelt zukünftig die Voraussetzungen, unter denen Online-Bezahlvorgänge abgewickelt werden müssen. Schlagwort hierbei ist die sogenannte „starke Kundenauthentifizierung“.

Im Umgang mit Computern oder auf Webseiten kennt jeder Nutzer den Vorgang, sich auf einem Rechner oder einer Webseite zu authentifizieren, zum Beispiel indem er ein geheimes Passwort eingibt. Die Pflicht zur starken Kundenauthentifizierung verlangt jedoch eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Ein Beispiel für ein Element aus der Kategorie Wissen ist das bereits erwähnte Passwort. Ein Beispiel für die Kategorie Besitz ist das Smartphone. Der Besitz des Telefons lässt sich zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die mittels einer SMS an das Telefon geschickt wurde. Elemente der Kategorie Inhärenz sind dem Nutzer persönlich beziehungsweise körperlich zu eigen, etwa durch den Fingerabdruck.

Die Zahlungsdienste-Richtlinie bestimmt, dass bei elektronischen Zahlungsvorgängen eine starke Kundenauthentifizierung erforderlich ist. Dies ist insbesondere der Fall, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst oder wenn er online auf sein Zahlungskonto zugreift.

Die Regelungen werden erst im September 2019 verbindlich gelten. Online-Händler sollten sich jedoch bereits jetzt mit der neuen Situation auseinandersetzen. Zunächst sollte der Kontakt mit den einzelnen auf einer Homepage angebotenen Zahlungsdienstleister gesucht werden. Zudem sollte der Ersteller der Internet-Präsenz in das Design der neu erforderlichen Bezahlvorgänge eingebunden werden.

Viele Zahlungsdienstleister raten zudem, auch die Kunden frühzeitig über die neuen Regeln und die daraus folgenden neuen Zahlungsmethoden zu informieren. Nur so lässt sich ein „böses Erwachen“ am 01. September 2019 vermeiden – denn: Hindernisse im Checkout eines Online-Kaufs führen nicht selten zu einem Abbruch des gesamten Kaufvorgangs.