PSD2
Was Unternehmer über die neue EU-Zahlungsrichtlinie wissen sollten

Am 14. September haben sich die Regeln für das bargeldlose Bezahlen geändert: Was Sie über die EU-Zahlungsrichtlinie „Payment Service Directive 2“ (PSD2) wissen müssen.

, von

Die neue EU-Richtlinie PSD2 soll das elektronische Bezahlen sicherer machen - gerade bei Onlinekäufen.
Die neue EU-Richtlinie PSD2 soll das elektronische Bezahlen sicherer machen - gerade bei Onlinekäufen.
© Westend61 / Getty Images

Wer in den vergangenen Monaten von seiner Bank aufgefordert wurde, seine Papier-TAN zu entsorgen und auf TAN-Empfang per Handy oder einen Generator umzustellen, hat womöglich schon davon gehört: Grund ist die Payment Service Directive 2, kurz PSD2, die seit dem 14. September 2019 gilt. Sie bringt Änderungen für Kunden, die bargeldlos bezahlen, für Unternehmen mit Webshops, aber auch für stationäre Händler, die Kartenzahlung akzeptieren.

Ein Überblick über die wichtigsten Änderungen.

Welches Ziel verfolgt die PSD2?

Die PSD2, auf Deutsch auch „Zweite Zahlungsdiensterichtlinie“ genannt, gilt innerhalb der EU. Sie soll bargeldlose Zahlungen sicherer machen. Außerdem soll sie dafür sorgen, dass Kundendaten besser geschützt werden und die Datenübertragung im Internet sicherer wird.

Das ist nötig: Durch Bezahlkarten-Betrug entstehen Schäden in Milliardenhöhe. Die Europäische Zentralbank schätze den Schaden allein für 2016 auf 1,8 Milliarden Euro.

Was ändert sich durch die PSD2-Richtlinie für Unternehmen?

Keine Gebühren für bargeldloses Bezahlen

Händler dürfen bereits seit dem 13. Januar 2018 – seitdem ist die Richtlinie in Kraft – keine Gebühren für Zahlungen per Kreditkarte, SEPA-Lastschriftverfahren oder -Überweisung mehr erheben, erklärt Sandra May, Juristin beim Händlerbund.

Zahlungsdienste müssen PSD2-konform sein

Unternehmen dürfen seit dem 14. September 2019 nur noch mit bezahlauslösenden Diensten zusammenarbeiten, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt werden oder der Aufsichtsbehörde eines anderen EU-Landes unterstehen und eine entsprechende Lizenz besitzen.

Zur Person:
Sandra May ist Juristin beim Händlerbund. Der Händlerbund berät Mitglieder bei der Umsetzung der Richtlinie. Sabine Fuhrmann ist Fachanwältin für Handels- und Gesellschaftsrecht und Partnerin bei der Kanzlei Spirit Legal in Leipzig.

„Für Betreiber von Online-Shops bedeutet das, dass sie nur Zahlungsdienste einbinden dürfen, die PSD2-konform sind“, erklärt Sabine Fuhrmann, Fachanwältin für Handels- und Gesellschaftsrecht und Partnerin bei der Kanzlei Spirit Legal in Leipzig. Auch Plattformen wie Ebay oder Amazon brauchen künftig eine Lizenz.

Fuhrmann rät Händlern, bei ihren Zahlungsdiensten nachzufragen, ob sie die PSD2 bereits umgesetzt haben und über die Lizenz verfügen. Außerdem können Händler dies online prüfen: Die BaFin führt eine Datenbank mit bereits registrierten Zahlungsdienstleistern.

Achtung: Die Liste führt nur Firmen auf, die unter der deutschen Finanzdienstleistungsaufsicht stehen. Paypal steht zum Beispiel unter Aufsicht der luxemburgischen Behörden und ist in der BaFin-Datenbank nicht aufgeführt.

Verpflichtende Zwei-Faktor-Authentifizierung bei bargeldloser Zahlung

Eine weitere Änderung für Unternehmer: Wer bargeldlose Zahlung akzeptiert – online oder im Geschäft – muss seit Mitte September die sogenannte Zwei-Faktor-Authentifizierung verlangen.

Was ist die Zwei-Faktor-Authentifizierung?

Im Zuge der PDS2 können Kunden nicht mehr mit nur einem Klick oder per Kreditkartennummer bestellen, sondern müssen den Kauf mit zwei Sicherheitsmerkmalen bestätigen.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Gemäß der Richtlinie müssen die Sicherheitsmerkmale aus zwei unterschiedlichen Bereichen stammen. Insgesamt gibt es drei solche Bereiche:

  1. Etwas, das man weiß: Sicherheitsmerkmale, die nur der Kunde kennt. Zum Beispiel ein Passwort oder seine PIN. (Wissen)
  2. Etwas, das man besitzt: EC- oder Kreditkarte, Handy oder der TAN-Generator eines Kunden. (Besitz)
  3. Etwas Persönliches: Unveränderliche persönliche Eigenschaften des Kunden wie seine Stimme, seine Iris oder sein Fingerabdruck. (Inhärenz)

Achtung: Die Kombination aus PIN und Passwort reicht also nicht aus, weil beide Sicherheitsmerkmale aus der Gruppe „Wissen“ kommen.

Die Zwei-Faktor-Authentifizierung gilt als sogenannte „Starke Kundenauthentifizierung“ (auch SCA oder Strong Customer Authentification), die einfache als „Schwache Kundenauthentifizierung“. Die meisten Änderungen bringt die PSD2 demnach für Betreiber von Onlineshops mit sich – denn viele stationäre Händler verlangen bei Kartenzahlung bereits die PIN und erfüllen so die Vorgaben der PSD2. Auch die Bezahlung per Karte und Unterschrift ist im stationären Handel weiter möglich – denn hier wird keine direkte elektronische Zahlung ausgelöst.

Wie funktioniert die doppelte Authentifizierung im Onlinehandel?

Hier gibt es viele Lösungsmöglichkeiten, zum Beispiel die Kombination Login (Wissen) plus

  • Push-Verfahren: Es wird ein Code per SMS oder per Anruf an den Kunden gesendet.
  • Software-Token: Eine App generiert einen One-Time-Code. (Besitz)
  • Hardware-Token: Spezielle USB-Sticks oder Kartenlesegeräte, die Codes generieren und übermitteln können. (Besitz)
  • QR-Code: Der Kunde liest mit einer spezielle App einen QR-Code in sein Handy ein und das Smartphone signalisiert den Empfang direkt an den Online-Shop zurück. (Besitz)

Welche Ausnahmen gelten?

  1. Kauf auf Rechnung und Zahlung per Lastschrift: Händler, die ihren Kunden Zahlung per Lastschriftverfahren oder Kauf auf Rechnung anbieten, können für diese Zahlvorgänge auf die Zwei-Faktor-Authentifizierung verzichten.
  2. Zahlung von Kleinbeträgen: Auch bei kleineren Beträgen ist keine Zwei-Faktor-Authentifizierung notwendig. Die Grenze dafür liegt bei Onlinezahlungen bei 30 Euro und beim kontaktlosen Bezahlen bei 50 Euro. Wenn ein Kunde beispielsweise in einem Modegeschäft ein T-Shirt für 20 Euro kauft, kann er die kontaktlose Kartenzahlung nutzen und muss sich nicht durch ein zusätzliches Sicherheitsmerkmal identifizieren.

Achtung: Bei jedem fünften Zahlvorgang mit der gleichen Kredit- oder EC-Karte müssen Kunden sich auch bei Kleinbeträgen mit einem zweiten Sicherheitsmerkmal ausweisen, beispielsweise mit ihrer PIN.

Das soll verhindern, dass gestohlene Karten immer wieder für Einkäufe mit Kleinbeträgen genutzt werden. Auch wenn ein Kunde mit der gleichen Karte beim kontaktlosen Bezahlen in der Summe mehr als 150 Euro ausgegeben hat, muss er sich mit einem zweiten Sicherheitsmerkmal ausweisen. Bei Online-Einkäufen gilt eine Obergrenze von in der Summe 100 Euro.

Kann man die Zwei-Faktorauthentifizierung umgehen?

Ja. Kunden können Händler bei Ihrer Bank auf eine „Whitelist“ setzen. Dann genügt eine einfache Authentifizierung, damit die Bank die Überweisung freigibt. Unternehmer können Stammkunden auf diese Möglichkeit hinweisen, damit diese ihre Zahlungen schneller abwickeln können. Voraussetzung dafür ist allerdings, dass sich dieses Verfahren etabliert hat. So sind Banken keineswegs verpflichtet, eine Whitelist anzubieten.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.

Was sollten (Online-)Händler jetzt leisten?

Händler sollten prüfen, ob die Onlinemarktplätze und Zahlungsdienstleister, mit denen sie zusammenarbeiten, PSD2-konform sind. Die Zahlungsdienstleister müssen sich darum kümmern, dass der zweite Sicherheitsschritt hinzugefügt ist. In der Regel muss der Onlinehändler nur ein Software-Update durchführen, damit die Schnittstelle zwischen Onlineshop und dem Zahlungsdienstleister reibungslos funktioniert.

Sollte ein Unternehmen in seinen AGB Zahlungsoptionen nennen, muss es diesen Text ändern. Sofern die Firma durch die PSD2 andere Daten an die Zahlungsdienstleister weitergibt als bisher, muss auch die Datenschutzerklärung anpasst sein.

Tipp: Händler sollten ihre Kunden über die kommenden Änderungen informieren – so wundern sich die Kunden nicht, wenn es für sie seit Mitte September aufwändiger ist, Ware bargeldlos zu bezahlen.

Auch intern können für Arbeitgeber durch die PSD2 neue Hürden auftreten: Wer etwa seinen Mitarbeitern die Firmenkreditkarte zur Verfügung stellt, sollte auf TAN-Versand auf sein Handy verzichten – sonst muss er Mitarbeitern, die hunderte Kilometer entfernt ein Hotelzimmer zahlen, die TAN senden. Mit einem TAN-Generator können Sie dieses Problem umgehen.

Welche Strafen drohen Händlern, die die PSD2-Regeln nicht rechtzeitig umgesetzt haben?

Wer nach dem Stichtag am 14. September keine PSD2-konformen Zahlungen anbietet, dem drohen Strafen und Bußgelder. Das gleiche gilt, wenn Unternehmen mit Zahlungsdienstleistern oder Plattformen zusammenarbeiten, die nicht über die Lizenz einer europäischen Aufsichtsbehörde verfügen. Zudem könnten Konkurrenten die Firma abmahnen, sagt Rechtsanwältin Fuhrmann, und möglicherweise Schadensersatzansprüche geltend machen – denn wer sich nicht an die neue Richtlinie hält, begeht einen Wettbewerbsverstoß.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Wer in den vergangenen Monaten von seiner Bank aufgefordert wurde, seine Papier-TAN zu entsorgen und auf TAN-Empfang per Handy oder einen Generator umzustellen, hat womöglich schon davon gehört: Grund ist die Payment Service Directive 2, kurz PSD2, die seit dem 14. September 2019 gilt. Sie bringt Änderungen für Kunden, die bargeldlos bezahlen, für Unternehmen mit Webshops, aber auch für stationäre Händler, die Kartenzahlung akzeptieren. Ein Überblick über die wichtigsten Änderungen. Welches Ziel verfolgt die PSD2? Die PSD2, auf Deutsch auch „Zweite Zahlungsdiensterichtlinie“ genannt, gilt innerhalb der EU. Sie soll bargeldlose Zahlungen sicherer machen. Außerdem soll sie dafür sorgen, dass Kundendaten besser geschützt werden und die Datenübertragung im Internet sicherer wird. Das ist nötig: Durch Bezahlkarten-Betrug entstehen Schäden in Milliardenhöhe. Die Europäische Zentralbank schätze den Schaden allein für 2016 auf 1,8 Milliarden Euro. Was ändert sich durch die PSD2-Richtlinie für Unternehmen? Keine Gebühren für bargeldloses Bezahlen Händler dürfen bereits seit dem 13. Januar 2018 – seitdem ist die Richtlinie in Kraft – keine Gebühren für Zahlungen per Kreditkarte, SEPA-Lastschriftverfahren oder -Überweisung mehr erheben, erklärt Sandra May, Juristin beim Händlerbund. Zahlungsdienste müssen PSD2-konform sein Unternehmen dürfen seit dem 14. September 2019 nur noch mit bezahlauslösenden Diensten zusammenarbeiten, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt werden oder der Aufsichtsbehörde eines anderen EU-Landes unterstehen und eine entsprechende Lizenz besitzen. „Für Betreiber von Online-Shops bedeutet das, dass sie nur Zahlungsdienste einbinden dürfen, die PSD2-konform sind“, erklärt Sabine Fuhrmann, Fachanwältin für Handels- und Gesellschaftsrecht und Partnerin bei der Kanzlei Spirit Legal in Leipzig. Auch Plattformen wie Ebay oder Amazon brauchen künftig eine Lizenz. Fuhrmann rät Händlern, bei ihren Zahlungsdiensten nachzufragen, ob sie die PSD2 bereits umgesetzt haben und über die Lizenz verfügen. Außerdem können Händler dies online prüfen: Die BaFin führt eine Datenbank mit bereits registrierten Zahlungsdienstleistern. Achtung: Die Liste führt nur Firmen auf, die unter der deutschen Finanzdienstleistungsaufsicht stehen. Paypal steht zum Beispiel unter Aufsicht der luxemburgischen Behörden und ist in der BaFin-Datenbank nicht aufgeführt. Verpflichtende Zwei-Faktor-Authentifizierung bei bargeldloser Zahlung Eine weitere Änderung für Unternehmer: Wer bargeldlose Zahlung akzeptiert – online oder im Geschäft – muss seit Mitte September die sogenannte Zwei-Faktor-Authentifizierung verlangen. Was ist die Zwei-Faktor-Authentifizierung? Im Zuge der PDS2 können Kunden nicht mehr mit nur einem Klick oder per Kreditkartennummer bestellen, sondern müssen den Kauf mit zwei Sicherheitsmerkmalen bestätigen. Gemäß der Richtlinie müssen die Sicherheitsmerkmale aus zwei unterschiedlichen Bereichen stammen. Insgesamt gibt es drei solche Bereiche: Etwas, das man weiß: Sicherheitsmerkmale, die nur der Kunde kennt. Zum Beispiel ein Passwort oder seine PIN. (Wissen) Etwas, das man besitzt: EC- oder Kreditkarte, Handy oder der TAN-Generator eines Kunden. (Besitz) Etwas Persönliches: Unveränderliche persönliche Eigenschaften des Kunden wie seine Stimme, seine Iris oder sein Fingerabdruck. (Inhärenz) Achtung: Die Kombination aus PIN und Passwort reicht also nicht aus, weil beide Sicherheitsmerkmale aus der Gruppe „Wissen“ kommen. Die Zwei-Faktor-Authentifizierung gilt als sogenannte „Starke Kundenauthentifizierung“ (auch SCA oder Strong Customer Authentification), die einfache als „Schwache Kundenauthentifizierung“. Die meisten Änderungen bringt die PSD2 demnach für Betreiber von Onlineshops mit sich – denn viele stationäre Händler verlangen bei Kartenzahlung bereits die PIN und erfüllen so die Vorgaben der PSD2. Auch die Bezahlung per Karte und Unterschrift ist im stationären Handel weiter möglich – denn hier wird keine direkte elektronische Zahlung ausgelöst. Wie funktioniert die doppelte Authentifizierung im Onlinehandel? Hier gibt es viele Lösungsmöglichkeiten, zum Beispiel die Kombination Login (Wissen) plus Push-Verfahren: Es wird ein Code per SMS oder per Anruf an den Kunden gesendet. Software-Token: Eine App generiert einen One-Time-Code. (Besitz) Hardware-Token: Spezielle USB-Sticks oder Kartenlesegeräte, die Codes generieren und übermitteln können. (Besitz) QR-Code: Der Kunde liest mit einer spezielle App einen QR-Code in sein Handy ein und das Smartphone signalisiert den Empfang direkt an den Online-Shop zurück. (Besitz) Welche Ausnahmen gelten? Kauf auf Rechnung und Zahlung per Lastschrift: Händler, die ihren Kunden Zahlung per Lastschriftverfahren oder Kauf auf Rechnung anbieten, können für diese Zahlvorgänge auf die Zwei-Faktor-Authentifizierung verzichten. Zahlung von Kleinbeträgen: Auch bei kleineren Beträgen ist keine Zwei-Faktor-Authentifizierung notwendig. Die Grenze dafür liegt bei Onlinezahlungen bei 30 Euro und beim kontaktlosen Bezahlen bei 50 Euro. Wenn ein Kunde beispielsweise in einem Modegeschäft ein T-Shirt für 20 Euro kauft, kann er die kontaktlose Kartenzahlung nutzen und muss sich nicht durch ein zusätzliches Sicherheitsmerkmal identifizieren. Achtung: Bei jedem fünften Zahlvorgang mit der gleichen Kredit- oder EC-Karte müssen Kunden sich auch bei Kleinbeträgen mit einem zweiten Sicherheitsmerkmal ausweisen, beispielsweise mit ihrer PIN. Das soll verhindern, dass gestohlene Karten immer wieder für Einkäufe mit Kleinbeträgen genutzt werden. Auch wenn ein Kunde mit der gleichen Karte beim kontaktlosen Bezahlen in der Summe mehr als 150 Euro ausgegeben hat, muss er sich mit einem zweiten Sicherheitsmerkmal ausweisen. Bei Online-Einkäufen gilt eine Obergrenze von in der Summe 100 Euro. Kann man die Zwei-Faktorauthentifizierung umgehen? Ja. Kunden können Händler bei Ihrer Bank auf eine „Whitelist“ setzen. Dann genügt eine einfache Authentifizierung, damit die Bank die Überweisung freigibt. Unternehmer können Stammkunden auf diese Möglichkeit hinweisen, damit diese ihre Zahlungen schneller abwickeln können. Voraussetzung dafür ist allerdings, dass sich dieses Verfahren etabliert hat. So sind Banken keineswegs verpflichtet, eine Whitelist anzubieten. Was sollten (Online-)Händler jetzt leisten? Händler sollten prüfen, ob die Onlinemarktplätze und Zahlungsdienstleister, mit denen sie zusammenarbeiten, PSD2-konform sind. Die Zahlungsdienstleister müssen sich darum kümmern, dass der zweite Sicherheitsschritt hinzugefügt ist. In der Regel muss der Onlinehändler nur ein Software-Update durchführen, damit die Schnittstelle zwischen Onlineshop und dem Zahlungsdienstleister reibungslos funktioniert. Sollte ein Unternehmen in seinen AGB Zahlungsoptionen nennen, muss es diesen Text ändern. Sofern die Firma durch die PSD2 andere Daten an die Zahlungsdienstleister weitergibt als bisher, muss auch die Datenschutzerklärung anpasst sein. Tipp: Händler sollten ihre Kunden über die kommenden Änderungen informieren – so wundern sich die Kunden nicht, wenn es für sie seit Mitte September aufwändiger ist, Ware bargeldlos zu bezahlen. Auch intern können für Arbeitgeber durch die PSD2 neue Hürden auftreten: Wer etwa seinen Mitarbeitern die Firmenkreditkarte zur Verfügung stellt, sollte auf TAN-Versand auf sein Handy verzichten – sonst muss er Mitarbeitern, die hunderte Kilometer entfernt ein Hotelzimmer zahlen, die TAN senden. Mit einem TAN-Generator können Sie dieses Problem umgehen. Welche Strafen drohen Händlern, die die PSD2-Regeln nicht rechtzeitig umgesetzt haben? Wer nach dem Stichtag am 14. September keine PSD2-konformen Zahlungen anbietet, dem drohen Strafen und Bußgelder. Das gleiche gilt, wenn Unternehmen mit Zahlungsdienstleistern oder Plattformen zusammenarbeiten, die nicht über die Lizenz einer europäischen Aufsichtsbehörde verfügen. Zudem könnten Konkurrenten die Firma abmahnen, sagt Rechtsanwältin Fuhrmann, und möglicherweise Schadensersatzansprüche geltend machen – denn wer sich nicht an die neue Richtlinie hält, begeht einen Wettbewerbsverstoß.