Zwei-Faktor-Authentifizierung: Worauf Händler sich vorbereiten müssen

Prinzipiell geht es ohne 3DSecure nicht

Für den Händler heißt das konkret: Er muss prinzipiell ab September für Kreditkartenzahlungen ein 3DSecure-Verfahren integrieren. Das kann aber auch noch der alte 3DSecure1-Standard sein, der um ­einen zweiten Faktor ergänzt wird. Ein Zwang, auf das neue Verfahren umzusteigen, besteht nicht. De facto werden die Händler aber gut beraten sein, den neuen Standard einzusetzen, da er einen deutlich höheren Bedienkomfort für die Online-Shopper und dadurch eine geringere Kaufabbruchquote verspricht. 
Die Transaktionsrisikoanalyse ist eine der Ausnahmeregelungen in der PSD2 bei der Zwei-Faktor-Authentifizierung. Sie gilt im Übrigen nicht nur für Kreditkarten, sondern auch für andere Zahlungsdienstleister. Auch Paypal könnte nach Einschätzung von Experten über die Grundgesamtheit seiner Zahlungen eine Transaktionsrisikoanalyse durchführen, um die starke Authentifizierung in möglichst vielen Fällen zu umgehen. Ob Paypal das tun wird, ist nicht bekannt. 

Ausnahmen gibt es auch für Kleinbeträge und Abos

Daneben hat der Gesetzgeber weitere Ausnahmen geregelt, bei denen die Pflicht zum zweiten Faktor nicht gilt. Eine dieser Ausnahmen betrifft Kleinbeträge. So ist bei Beträgen unter 30 Euro keine Zwei-Faktor-Authentifizierung nötig. Das gilt allerdings nur, solange der Kunde insgesamt nicht mehr als 100 Euro seit der letzten mit zweitem Faktor abgesicherten Transaktion über dieses Bezahlverfahren ausgegeben oder nicht mehr als fünf Zahlungen mit dieser Zahlart getätigt hat.
Sind die Kriterien nicht erfüllt, ist eine Authentifizierung vorgesehen. Auch wiederkehrende Zahlungen, etwa für Abonnements, sind ausgenommen – selbst wenn es sich dabei um Zahlungen in ­unregelmäßigen Zeitintervallen und mit unterschiedlichen Summen handelt. 

Weitere Ausnahme: das Whitelisting

Eine weitere Ausnahme ist das sogenannte Whitelisting. Dies bezeichnet ein Verfahren, bei dem der Online-Shopper vertrauenswürdige Zahlungsempfänger, also auch Shops seines Vertrauens, auf ­einer Liste hinterlegt, sodass bei Zahlungen in diesem Shop keine Authentifizierung nötig ist. Die Whitelists kann aber nur der Verbraucher selbst bei einem Zahlungsdienstleister führen. Das kann seine Bank, könnte aber auch Paypal sein. Es ist jedoch nicht klar, ob alle Banken solche Whitelists anbieten werden und wie gut die Verbraucher verstehen werden, was sie mit einem Eintrag eines Shops auf der Whitelist erreichen. Daher ist umstritten, ob das Whitelisting Online-Händlern ­erkennbar helfen kann, die Zwei-Faktor-Authentifizierung zu umgehen.
Inwieweit ein Händler von den Ausnahmeregelungen profitieren kann, hängt ­zudem vom Einzelfall ab. Shop-Betreiber sollten sich in jedem Fall bewusst sein, dass Umsetzung und Abwicklung der Ausnahmen sehr komplex sein können. So kann der Händler zum Beispiel nicht wissen, wie oft oder wie viel sein Kunde ­bereits ohne Authentifizierung mit dem ausgewählten Verfahren bezahlt hat, ob ­also die Fünfer-Regel oder die 100-Euro-Regel greift oder nicht. Auch die nötige Anbindung an die Banken, um eine Rückmeldung über ein mögliches Whitelisting automatisiert im Shop verarbeiten zu können, ist nicht zu unterschätzen. 

Christiane Fröhlich
Autor(in) Christiane Fröhlich



Das könnte Sie auch interessieren