Lesedauer ca. 3 Minuten

Ab dem 5. November 2015 müssen Zahlungsdienstleister in Deutschland die „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) befolgen. Ob die dadurch verbesserte Sicherheit der Zahlungen im Internet einem Rückgang der Conversion Rate im E-Commerce mit den entsprechenden Umsatzeinbußen zur Folge hat und nicht betroffene Zahlarten profitieren, ist noch nicht absehbar.

Was ist der Hintergrund für die neuen Sicherheits-Regeln zur Bezahlung in Onlineshops?

Europas Bankenaufsicht will den Onlinehandel sicherer machen und hat dafür eine Richtlinie erlassen (Final SecuRe Pay Recommendations on the Security of Internet Payments, EZB-Empfehlungen und Leitlinien zur Sicherheit von Internetzahlungen, EBA-Leitlinien), die in Deutschland von der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) in der MaSI (Rundschreiben über Mindestanforderungen an die Sicherheit von Internetzahlungen) umgesetzt worden ist.

Ab dem 5. November 2015 werden diese neuen Regeln nun von der BaFin aufsichtsrechtlich auch durchgesetzt und sind daher einzuhalten.

Was ändert sich mit der MaSI bei Zahlungen in Online-Shops?

Bei der Bezahlung im Internet muss nun die Identität des Kunden zweifach geprüft werden. Diese starke Kundenauthentifizierung, auch „Zwei-Faktor-Prüfung“ genannt, umfasst zum Beispiel ein Passwort und zusätzlich eine TAN-Nummer, die ans Handy geschickt wird, oder einen Fingerabdruck- Scan. Beim Zahlen mit Kreditkarte reicht es also künftig nicht mehr aus, einfach Karten- und Prüfnummer einzugeben.

Wer ist verantwortlich für die Umsetzung des neuen Verfahrens?

Zunächst stehen Zahlungsdienstleister, d.h. kartenherausgebende Banken, kontoführende Banken für Lastschriften und Überweisungen, Internetzahlungsdienste und Acquirer, die browserbasierte Zahlungsdienstleistungen erbringen, hier in der Pflicht. Anders sieht es für GiroPay, Sofortüberweisung oder iDeal aus, da es sich um „Zahlungsauslöse-Dienste“ handelt.

Die Onlinehändler werden durch die MaSI zwar nicht unmittelbar verpflichtet, sind aber verantwortlich,   dass in ihren Shops die neuen Regeln zur Anwendung kommen. Dafür sollten sich Onlinehändler bei ihren Zahlungsdienstleistern rückversichern, ob und wann die Zwei-Faktor-Authentifizierung in ihrem Shop erforderlich ist.

Welche Zahlarten sind betroffen und gibt es Ausnahmen?

Die neue Identitätsprüfung des Kunden haben Zahlungsdienstleister dann vorzunehmen, wenn der Kunde im Onlineshop die Ware oder Dienstleistung per Kreditkarte, per Lastschrift, per E-Geld oder auch per Überweisung bezahlen möchte. Beim Kauf auf Rechnung oder Ratenkauf gilt dies nicht.

Die neue Regelung gilt erst ab einer Kaufsumme von 30 Euro bei innerstaatlichen Zahlungen. Zudem sind als sicher geltende Bezahlmethoden wie Paypal von der verschärften Regelung ausgenommen. Für Kreditkartenzahlungen kann bei Niedrigrisikotransaktionen eine alternative Authentifizierung eingesetzt werden. Was das genau bedeutet, steht aktuell noch nicht fest. Ausnahmen für Kleinbetragszahlungen gelten auch für Kreditkarten.

Fazit: positiv oder negativ?

Die Kundenauthentifizierung stellt Onlinehändler vor große Herausforderungen. Sie fürchten nun Umsatzeinbußen aufgrund von Kaufabbrüchen. Kunden beenden einen Kaufvorgang mit höherer Wahrscheinlichkeit dann nicht, wenn das Zahlverfahren zu aufwändig und kompliziert ist. Kunden wünschen ein sicheres, einfaches und schnelles Zahlungsverfahren.  Zudem steigt für den Onlinehändler der Verwaltungsaufwand für die Zahlungsabwicklung.

Mit den neuen Regeln sollen Internetzahlungen für alle Beteiligten sicherer gemacht werden. Im Hinblick auf die starke Kundenauthentifizierung stellen diese Regelungen aber eine große Hürde für den E-Commerce dar, bei der unter den Gesichtspunkten Nutzen und Aufwand doch sehr fraglich erscheint, ob hier nicht über das Ziel hinausgeschossen wurde. Die Praxis wird es zeigen. Die Käufer sind am Zug.