Was regelt die PSD2-Richtlinie?
Die PSD2-Richtlinie (Payment Services Directive 2) regelt, welche Zahlungsvorgänge eine starke Kundenauthentifizierung (SCA) erfordern. Eine solche Zwei-Faktor-Authentifizierung ist insbesondere dann verpflichtend, wenn eine Person einen elektronischen Zahlungsvorgang auslöst oder online auf das Konto zugreift. Bezahlt ein Kunde beispielsweise in einem Restaurant mit der Karte und persönlichem PIN, liegt eine elektronische Zahlung vor.
Bei elektronischen Zahlungen müssen Zahlungsdienstleister seit 14. September 2019 in der gesamten Europäischen Union eine starke Authentifizierung durchführen. Auch Kreditkartenzahlungen im Internet erfordern künftig eine Kundenauthentifizierung mit zwei voneinander unabhängigen Elementen aus den Kategorien Wissen, Besitz und Inhärenz. Dafür kommen in Betracht:
- Wissen: zum Beispiel Passwort oder PIN
- Besitz: beispielsweise Mobiltelefon oder Smartwatch
- Inhärenz: Fingerabdruck
Wie muss die PSD2-Richtlinie umgesetzt werden?
Vordergründig sind Zahlungsdienstleister und Software-Anbieter dazu verpflichtet, die PSD2-Richtlinie umzusetzen und die entsprechenden technischen Anpassungen vorzunehmen. Hoteliers und Gastronomen können zwar selbst nur wenig zur Umsetzung beitragen, sollten aber dennoch einige Schritte setzen, um ihre Geschäftsprozesse anzupassen:
- Zahlungsvorgänge analysieren und herausfinden, welche Transaktionen eine Zwei-Faktor-Authentifizierung erfordern
- Mit der Bank und dem Payment Service Provider (PSP) Anforderungen und Lösungen besprechen
- Überprüfen, ob sich die Zahlungsabwicklung in den Buchungsprozess integrieren lässt: Bei Online-Buchungen über die eigene Firmenwebsite ist beispielsweise eine Eingliederung über die Authentifizierungslösung 3D Secure 2.0 möglich.
- Abklären, ob die Nutzung einer Zahlungsinfrastruktur durch Payment Links sinnvoll ist
Für Hoteliers und Gastronomen ist es wichtig, Zahlungs-APIs und Produkte zu nutzen, die die Zwei-Faktor-Authentifizierung ermöglichen und sich in die Geschäftsprozesse integrieren lassen. Anpassungspotential ergibt sich insbesondere in jenen Fällen, in denen der Kunde seine Kreditkartendaten bei der Buchung eingegeben hat, aber der eigentliche Zahlungsvorgang erst zu einem Zeitpunkt stattfindet, wenn er selbst für die Zwei-Faktor-Authentifizierung nicht mehr anwesend ist. Diese betrifft insbesondere Anzahlungen, Zusatzleistungen und Stornierungen.
Für welche Zahlungen gilt die neue Umsetzungsfrist?
Die neue Umsetzungsfrist bis zum 31. Dezember 2020 gilt nur für Online-Kreditkartenzahlungen. Das ergibt sich aus einem Schreiben der Bundesanstalt für Finanzdienstleistungsaufsicht. Demnach haben Unternehmen, die Kreditkartenzahlungen im Internet als Empfänger erhalten, bis Ende 2020 Zeit, sich an die Anforderungen der PSD2-Richtlinie anzupassen. Bis dahin können Unternehmen und Verbraucher Online-Kartenzahlungen nach den bisherigen Regelungen abwickeln, das heißt ohne starke Kundenauthentifizierung. Davon sind auch Online-Zahlungen mit Debitkarten und Prepaid-Karten erfasst. In der Reisebranche betrifft diese verlängerte Umsetzungsfrist hauptsächlich Internet Booking Engines (IBEs).
Bei Kartentransaktionen vor Ort müssen Hoteliers die Zwei-Faktor-Kundenauthentifizierung bereits seit 14. September 2019 umsetzen, weil es keinen Aufschub gibt. Dies betrifft beispielsweise diese Vorgänge:
- Vorautorisierung der Kreditkarte für den Check-in
- Zahlung beim Einchecken
- Express Check-out
- Nachbuchung von Minibarumsätzen
Gibt es Ausnahmen von der PSD2-Richtlinie?
Die PSD2-Richtlinie lässt eng begrenzte Ausnahmen von der starken Kundenauthentifizierung zu. Demnach können insbesondere diese Zahlungsvorgänge ohne Zwei-Faktor-Authentifizierung erfolgen:
- Kontaktlose Kartenzahlungen bis maximal 50 Euro
- Kleinstbetragszahlungen
- Terminals für Parkgebühren
- Wiederkehrende Zahlungsvorgänge
- Kartenzahlungen im Internet mit Transaktionsrisikoanalyse
Welche Folgen hat die PSD2-Richtline für die Abrechnung von sogenannten „No-Shows“?
In der Gastronomie und Hotellerie hat es sich bewährt, dass Gäste die Kreditkartendaten hinterlegen, wenn sie Tische oder Zimmer reservieren. Das dient der Absicherung der Buchung. Aufgrund der PSD2-Richtlinie können Restaurant- und Hotelmitarbeiter bei sogenannten No-Shows die Kreditkarte nicht mehr belasten. Dieser lange praktizierten Abrechnungsmethode von No-Shows steht die Zwei-Faktor-Authentifizierung entgegen. Hoteliers und Gastronomen können sich nur mehr dadurch absichern, dass sie bereits bei der Buchung eine Anzahlung per Online-Überweisung einfordern.
