Neue Bezahlregeln im E-Commerce greifen später

Startschwierigkeiten: Neue Bezahlregeln im E-Commerce greifen später

Trends & News | News

Im Online-Handel drohen durch die neuen Authentifizierungsregeln offenbar reihenweise Kaufabbrüche. Nun zieht die Finanzaufsicht die Notbremse. Auch bei den neuen Schnittstellen gibt es Probleme.

Eigentlich war der 14. September als Stichtag für die volle Wirksamkeit der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) gesetzt. Doch nach Forderungen und Hilferufen aus dem Einzelhandel verschiebt die Bundesanstalt für Finanzdienstleistungen (BaFin) nun in Deutschland die Einführung der Starken Kundenauthentifizierung (SCA) im Online-Handel auf unbestimmte Zeit.

Auch bei den neuen PSD2-Schnittstellen verzögert sich die Umsetzung: Drittdienstleister dürfen weiterhin über bestehende Zugangswege wie FinTS oder Web-Interfaces auf Kundenkonten zugreifen, solange die PSD2-Schnittstellen nicht zuverlässig funktionieren.

Bei den neuen Regeln für das Online-Banking bleibt der avisierte Stichtag bestehen. Änderungen wie das Verbot der papierbasierten TAN oder der Zwang zur Zwei-Faktor-Authentifizierung beim Login werden damit ab dem 14. September kommen.

Online-Zahlungen mit Kreditkarte sollen vorerst weiter ohne Zwei-Faktor-Authentifizierung funktionieren. (Bild: Monika Skolimowska/zb/dpa)

Bereits Anfang Juni hatte der europäische Handels-Spitzenverband EuroCommerce die Europäische Bankenaufsicht (EBA) um einen EU-weiten Aufschub der SCA-Implementierung im Online-Handel gebeten. Betroffen sind vor allem Kreditkartenzahlungen, aber auch PayPal. Als Gründe nannte EuroCommerce mangelnde Aufklärung vieler Kunden über die Neuerungen, insbesondere aber auch mangelnde Vorbereitung bei vielen kleinen Händlern. Diesen drohten nun reihenweise Kaufabbrüche, da ihre Zahlungssysteme nicht SCA-konform seien.

In einer Stellungnahme hatte die EBA daraufhin unklare Details zur SCA präzisiert und den nationalen Aufsichtsbehörden freigestellt, während einer Übergangszeit von einer Durchsetzung der SCA-Anforderungen abzusehen. Betroffene Händler sollen aber gemeinsam mit ihren Zahlungsdienstleistern Zeitpläne für die Migration vorlegen.

Mehrere nationale Finanzaufsichtsbehörden haben die bisherige Deadline bereits ausgesetzt; die BaFin hat sich ihnen nun angeschlossen. Über die genaue Frist will sie sich nach Konsultation der Marktteilnehmer mit der EBA und den Aufsichtsbehörden der übrigen EU-Länder abstimmen. Unklar ist noch, was die Verbraucher bei Online-Zahlungen mit Kreditkarte oder PayPal ab dem 14. September in den EU-Mitgliedsstaaten konkret erwartet. Experten kritisieren insbesondere, dass nationale, nicht miteinander abgestimmte Regelungen zu Chaos führen könnten.

Auch bei den dedizierten Schnittstellen, die die Banken ab 14. September bereithalten müssen, haben sich in der laufenden Testphase Probleme gezeigt. Zunächst hatte der API-Dienstleister FinTecSystems auf Probleme hingewiesen: So seien gültige Sicherheitszertifikate nicht akzeptiert worden, viele Redirects zu Banken liefen nicht unterbrechungsfrei und Daueraufträge würden teilweise unvollständig angezeigt. Das Start-up forderte eine bessere Kooperation der Banken. Die BaFin solle zudem noch keine „Ausnahmen von der Ausnahme“ erteilen. Danach müssen Banken keinen ausnahmsweise nutzbaren Notfallmechanismus für Drittdienstleister bereithalten, sofern sie die Zuverlässigkeit ihrer Schnittstellen nachgewiesen haben.

FinTecSystems steht mit dieser Kritik nicht allein: In einem Branchen-Podcast stimmten Vertreter des Wettbewerbers Figo/Finreach den Kritikpunkten zu. Die Finanzsoftware-Hersteller Treefin, Buhl Data und Haufe-Lexware berichteten Ende Juli auf c’t-Anfrage ebenfalls von Problemen mit den Schnittstellen.

In einer Mail an die Akteure hat die BaFin sich nun positioniert und die Kritik der Drittdienstleister weitgehend bestätigt. Als Konsequenz will sie vorerst keinem Kreditinstitut eine Befreiung vom Notfallmechanismus gewähren. Während sich einige Start-ups in ersten Reaktionen bestätigt sahen, äußerte sich die Deutsche Kreditwirtschaft „erstaunt“ und sieht ihre Aufgaben „trotz eines ausgesprochen engen Zeitrahmens“ weitgehend als erfüllt an. Gegenüber c’t warf sie den Drittanbietern zudem vor, „ein eigenes Verständnis der regulatorischen Vorgaben“ zu haben. Ähnlich äußerte sich auch die Deutsche Bank. Dennoch betonen alle Seiten, dass sie auf bereits angesetzten Workshops der BaFin konstruktiv an einer Lösung arbeiten wollen. (mon)

Dieser Beitrag stammt aus c't 19/2019.

Kommentare