PSD2: Debatte über Übergangsfrist

Seit dem 14. September ist sie offiziell in Kraft, die Zahlungsdienstrichtlinie PSD2, mit neuen Regeln für Online-Kartenzahlungen im E-Commerce. Seitdem reicht es nicht mehr aus, seine Kreditkartennummer anzugeben, stattdessen ist eine Zwei-Faktor-Authentifizierung (SCA) Pflicht, die Payment-Prozesse sicherer machen soll. Künftig ist zur Kundenauthentifizierung dann ein zweiter Faktor notwendig, etwa eine auf dem Smartphone generierte TAN oder ein Fingerabdruck.

Doch die Branche befürchtet Umsatzeinbrüche, weil weder Handel noch Banken ausreichend auf die Umsetzung der PSD2 vorbereitet sind. Die Bundesfinanzaufsicht (BaFin)   hatte deshalb schon im August eine Übergangsfrist angekündigt. Die neuen Regeln will sie zunächst nicht konsequent durchsetzen. Zuvor hatte die Europäische Bankenaufsichtsbehörde (EBA) am 21. Juni den nationalen Regulierungsbehörden diese Möglichkeit eröffnet.

Der Digitalverband Bitkom   begrüßt die Entscheidung und empfiehlt, diese Übergangsfrist bei der 'Starken Kundenauthentifizierung' auf 18 Monate auszuweiten. Dieser Zeitraum sei notwendig und ausreichend, um die Implementierung bei Zahlungsdiensten, technischen Dienstleistern und Handel zu gewährleisten. Zudem ermögliche er dem Handel die notwendigen Tests der neuen Zahlroutinen. Julian Grigo , Bereichsleiter Digital Banking & Financial Services, fordert von der Finanzaufsicht dafür einen verbindlichen Zeitrahmen. "Die Frist darf aber auch nicht zu lange gewählt sein, damit nicht die Unternehmen, die frühzeitig sicherere Bezahlverfahren einführen, einen Wettbewerbsnachteil erleiden, etwa durch Kundenabwanderungen."

"Bedrohung für den Binnenmarkt"

Skeptischer sieht Guillaume Princen , Head of Continental Europe beim Zahlungsdienstleister Stripe   , die Übergangsfrist. Die Entscheidung der EBA, den nationalen Regulierungsbehörden mehr Spielraum bei der SCA-Umsetzung einzuräumen, sei zwar mit der guten Absicht geschehen, der europäischen Online-Wirtschaft mehr Zeit für die Vorbereitung zu geben. "Allerdings hat die Entscheidung auch eine ohnehin schon komplizierte Situation noch verworrener gemacht, denn sie erhöht die Fragmentierung in Europa in einer Weise, die eine echte Bedrohung für den digitalen Binnenmarkt darstellen könnte",so Princen.

Für ihn ist die Aussicht, dass die einzelnen nationalen Regulierungsbehörden die EBA-Leitlinien unterschiedlich interpretieren und eigene Fahrpläne und Fristen festlegen "beunruhigend. Denn: "Dies würde einer ohnehin schon komplexen Regulierung eine zusätzliche Komplexitätsebene verleihen, was zusätzliche schwerwiegende Folgen für den Online-Handel haben könnte." Denn Zahlungen über Ländergrenzen hinweg seien zur Norm geworden: Eine von Stripe Anfang des Jahres in Auftrag gegebene Studie hat ergeben, dass 70 Prozent der Online-Händler ihre Produkte international vertreiben, und das häufig schon vom ersten Tag ihrer geschäftlichen Aktivitäten an. "Wenn es unterschiedliche Umsetzungen von Regulierern in unterschiedlichen Ländern gibt, bröckelt aus wirtschaftlicher Sicht die Idee eines digitalen Binnenmarkts in Europa." Auch ein gemeinsamen Statement der E-Commerce- und Payment-Branche warnt vor dieser Gefahr der Fragmentierung. Darin heißt es, dass eine uneinheitliche Durchsetzung zu "inkonsistenten Benutzererfahrungen und Verwirrung der Verbraucher" führen werde.

Unterschiedliche Fahrpläne und Fristen in Europa

"Die Bedrohung ist durchaus real. Wir sehen bereits jetzt Unterschiede darin, wie die Regulierungsbehörden die EBA-Leitlinien verstehen", so Princen. Frankreich beispielsweise erwäge eine Verschiebung um drei Jahre. Großbritannien und Deutschland fassen jeweils eine Verzögerungen von 18 Monaten ins Auge. "Das würde aber bedeuten, dass Zahlungen in einem Land einer Zwei-Faktor-Authentifizierung unterliegen könnten, in anderen hingegen nicht, was die Verarbeitung internationaler Zahlungen sehr viel schwieriger machen wird."

Princen gibt Händlern folgende Handlungsempfehlung: "Auf der pragmatischen Ebene ist es für Online-Unternehmen wichtig zu verstehen, dass es zwar zu einer Verzögerung der SCA-Durchsetzung durch nationale Regulierungsbehörden kommen kann und wird. Dennoch sollten Unternehmen keine weitere Zeit verlieren und sich weiter auf die neuen Regeln vorbereiten - nicht nur wegen der Möglichkeit, dass einzelne nationale Regulierer auf dem bisherigen Umsetzungsstichtag bestehen werden, sondern auch, weil unabhängig von den Regulierern einzelne Banken beschließen könnten, SCA schon ab dem ersten Tag für die von Ihnen ausgegebenen Kreditkarten vorzuschreiben. Es gibt Software-Lösungen, die Händlern helfen, die Vorschriften einzuhalten und gleichzeitig die Konversionseinbußen minimal zu halten. Solche Lösungen helfen zum Beispiel dabei, die Ausnahmen der SCA-Regelung dynamisch anzuwenden und sicherzustellen, dass die Zwei-Faktor-Authentifizierung nur angewendet wird, wenn sie wirklich notwendig ist - z. B. wenn die Beträge über 30 Euro liegen oder Händler nicht in einer Whitelist des Kunden hinterlegt sind."
Princen sieht in der laufenden Debatte über eine Verzögerung der SCA-Umsetzung einen "Prüfstein für den europäischen Ansatz, Technologie einheitlich zu regulieren". In Zeiten von zunehmendem Nationalismus stelle die Europäische Union ein Gegenmodell von Zusammenarbeit und Integration dar - aber nur, wenn sich die nationalen Regulierungsbehörden in den verschiedenen Mitgliedsstaaten auf eine abgestimmte Linie einigen können. Alles andere würde in unsicheren Zeiten ein negatives Signal senden und den digitalen Binnenmarkt erheblich schwächen. Da SCA nicht für Unternehmen außerhalb Europas gilt, würde die Regulierung zudem einen echten Nachteil für europäische Technologieunternehmen bedeuten.