Suche
Login

Neue EU-Zahlungsdiensterichtlinie PSD2 kommt

Mehr Sicherheit bei Kreditkarten-Zahlungen

Mit schöner Regelmäßigkeit stehen aktuell große Richtlinien der EU zur Umsetzung an. Waren es in der Vergangenheit beispielsweise die neue Datenschutz-Grundverordnung, die auch alle Golfanlagen betraf, und die für Organisation und Vertrieb von Golfreisen relevante neue Pauschalreiserichtlinie, steht bis zum 14. September dieses Jahres die Umsetzung der PSD2 (Payment Service Directive 2) auf der Agenda. Dies ist eine neue, europaweite Vorschrift zur Regulierung von Zahlungsdiensteanbietern. Sie legt beispielsweise fest, unter welchen Umständen Zahlungsentgelte erhoben werden dürfen und wie Betrugsfälle zu melden sind (Fraud Reporting). Das deutsche Umsetzungsgesetz hierzu ist bereits im Januar 2018 in Kraft getreten, derzeit läuft eine Übergangsfrist. Spätestens zum 14. September 2019 gilt dann in Deutschland der neue Rechtsrahmen. Im Mittelpunkt der praktischen Umsetzung stehen vor allem Zahlungen per Kreditkarte – Barzahlungen, Zahlungen per Überweisung und, trotz anfänglicher Wirren, nach Auskunft der BAFIN (Bundesanstalt für Finanzdienstleistungsaufsicht) auch die in Deutschland angewandte Form der SEPA-Basislastschrift, bleiben von den neuen Regelungen unberührt. Am stärksten betroffen sind elektronische Zahlungsvorgänge. Dies sind Transaktionen, bei denen ein Zahlender entweder online auf sein Zahlungskonto zugreift oder ein elektronischer Zahlungsvorgang ausgelöst wird, beispielsweise durch Eingabe einer Kreditkarte für die anstehende Zahlung. Somit fallen alle Zahlungen über Websites sowie Apps unter diese Regelung – konkret gilt dies im Golfbereich somit beispielsweise für Startzeiten-Buchungen mit direkter Bezahlung (Vorkasse) sowie Bestellungen in Online-Shops (Dienstleistungen und Waren). Ebenso von der neuen Vorschrift betroffen sind Zahlungen am Point of Sale, also beispielsweise vor Ort im Clubsekretariat, der Clubgastronomie oder im Pro-Shop, mit Debit- oder Kreditkarten. Auch das sich immer stärker durchsetzende kontaktlose Zahlen fällt unter die neue Regelung. Kein elektronischer Zahlungsvorgang liegt hingegen vor, wenn ein Kunde beispielsweise seine Kreditkartendaten am Telefon durchgibt – hier spricht man von einer MOTO (Mail Order, Telephone Order)-Transaktion.

Das alleinige Vorlegen von Kreditkarten – ohne Authentifizierung – genügt spätestens ab dem 14. September 2019 nicht mehr. (Bild: © rido/123rf.com)

Zahlungsmittel-Besitz reicht nicht mehr

Die spätestens ab Mitte September umzusetzenden Vorschriften wirken sich in der Praxis vor allem durch die verbindliche Einführung der neuen starken Kundenauthentifizierung SCA (Strong Customer Authentification) aus. Eine starke Kundenauthentifizierung bedeutet, dass bei der Annahme eines Zahlungsmittels der Besitz desselben (z.B. der Kreditkarte) nicht ausreicht, sondern dass mindestens zwei der folgenden drei Elemente zu prüfen sind. Die drei Elemente, die zur SCA genutzt werden können, sind:

  • Wissen (etwas, das nur der Inhaber des Zahlungsmittels weiß). Hierzu zählen Passwörter, PINs bzw. TANs oder spezielle Daten einer Kreditkarte.
  • Besitz (etwas, das im Besitz des Zahlungsmittel-Inhabers ist). Dies kann z.B. die Debit- oder Kreditkarte selbst sein, aber auch ein Mobiltelefon.
  • Inhärenz (etwas, das der Zahlungsmittel-Inhaber selbst ist), also beispielsweise ein Fingerabdruck, eine Stimmerkennung oder eine Identifikation auf Basis der Iris (Auge).

 

Wichtig: Ob eine SCA ausreicht, entscheidet letztlich der Issuer, also der Kartenausgeber – und nicht etwa die Card Schemes wie Mastercard und Visa Card oder die Karteninhaber alleine. Ohne erfolgreiche Authentifizierung kann keine Zahlung ausgeführt werden. Die Praxis zeigt, dass die meisten SCA-Prozesse wohl auf die Faktoren „Wissen“ und „Besitz“ ausgerichtet sein werden, da hierfür keine zusätzliche Technik (insbesondere keine zusätzliche Hardware wie Fingerabdruck-Scanner) erforderlich ist. Darüber hinaus hat die Kreditkartenwirtschaft entsprechende neue Authentifikationssysteme entwickelt, um die Bearbeitung in der Praxis zu standardisieren. Ein solches Verfahren ist 3D Secure 2.x von Mastercard, das Pendant von Visa ist „Verified by Visa“. Das Vorläufer-Verfahren, 3D Secure 1.x, ist bereits seit vielen Jahren im Einsatz, wird jedoch in Deutschland von den Karteninhabern nur selten genutzt – ganz anders beispielsweise in Skandinavien. Voraussetzung für die Nutzung dieser neuen Verfahren ist grundsätzlich, dass der Kunde als Karteninhaber sich für das Verfahren registriert hat. Aktuell kann dies nicht während eines Zahlungsprozesses erfolgen, sondern erfordert einen vorgelagerten Freischaltungsprozess. Es ist jedoch zu erwarten, dass die Kreditkartenwirtschaft das neue Verfahren im Rahmen der Ausgabe neuer Kreditkarten zunehmend verbindlich vorgibt.

 

Künftig Authentifizierung UND Autorisierung

Somit wird der Zahlungsprozess bei elektronischen Zahlungen künftig in zwei Stufen unterteilt. In der ersten Stufe erteilt der Zahlungsmittel-Inhaber (Kunde) gegenüber seiner Karten-Ausgabestelle die Genehmigung, dass ein definierter Händler (Zahlungsempfänger) berechtigt ist, die Karte zur Ausführung einer Zahlung mit einem vorab definierten Höchstbetrag zu nutzen. Erst im zweiten Schritt wird dann die bereits heute bekannte Autorisierung durchgeführt, bei der eine Karten-Akzeptanzstelle (Händler, also z.B. Golfanlage) über ihren Zahlungsdienstleister (PSP Payment Service Provider bzw. Acquirer) die konkrete Zahlung anstößt. Authentifizierung und Autorisierung können künftig entweder in einem gemeinsamen Schritt oder in getrennten Schritten ausgeführt werden, dies hängt von der Umsetzung bei den jeweiligen Zahlungsdienstleistern ab. Entscheidend ist, dass die Authentifizierung künftig zum Zeitpunkt der Entgegennahme der Zahlungsinformationen durchzuführen ist. Gibt ein Kunde beispielsweise seine Kreditkarte im Rahmen der Buchung einer Startzeit ein, die Belastung wird jedoch erst am Tag der zu spielenden Runde ausgelöst, ist die SCA dennoch bei Buchung der Startzeit erforderlich (da dann die Kreditkarte als Zahlungsmittel erfasst wurde). Wie nicht anders zu erwarten, gibt es auch bei der neuen Zahlungsdiensterichtlinie zahlreiche Ausnahmen, beispielsweise für kontaktloses Zahlen (abhängig vom Zahlbetrag und anderen Faktoren) sowie für Abonnements-Zahlungen (wiederkehrende Zahlungen in gleicher Höhe an einen identischen Empfänger).

 

Wichtig für die Umsetzung, auch auf Golfanlagen, ist die Durchführung der SCA, ohne die künftig keine elektronische Zahlung mehr durchgeführt werden kann. Auf technischer Ebene erhält der PSP/Acquirer des Händlers (also beispielsweise Golfclubs oder Pro-Shops) einen AAV (Authentification Approval Value). Eine wesentliche Information im Rahmen des Genehmigungsprozesses ist die Übermittlung der Information, über welchen Kanal die Zahlung veranlasst wurde (Online, MOTO oder Point of Sale). Der AAV ist eine Art Genehmigungsnummer, die Informationen über das Zahlungsmittel, den Zahlungsempfänger und den Zahlbetrag enthält. Ohne diesen AAV kann künftig keine elektronische Zahlung mehr ausgelöst werden. Wie ein Issuer (Kartenausgabestelle) sich die Authentifizierung vom Kunden einholt, bleibt dem jeweiligen Kartenausgeber überlassen – einige setzen hier auf App-Lösungen, andere auf den Versand von Einmal-TANs per SMS. Wird kein AAV erteilt – die Authentifizierung scheitert also – kann keine Zahlung zu Lasten des eingereichten Zahlungsmittels erfolgen, eine Autorisierung kann daher gar nicht erst eingereicht werden.

 

Rechtzeitige Prüfung und Anpassung der Systeme

Für Golfanlagen ist es wichtig, rechtzeitig mit seinen Dienstleistern die Umsetzung der neuen Vorschriften sicherzustellen. Üblicherweise sind hier zwei Partner zu berücksichtigen: Der PSP/Acquirer, über den Kreditkartenzahlungen bzw. sonstige elektronische Zahlungen ausgeführt werden und die IT-Systeme (Startzeitenbuchung, Mitgliederverwaltung, Gastronomie, Pro-Shop etc.), über die Zahlungen angestoßen und administriert werden. Clubs, die beispielsweise ihre Beiträge monatlich über Kreditkarten einziehen, sind somit ebenfalls betroffen. Nutzt ein Club Vertriebsplattformen für den Verkauf von Startzeiten, obliegt die Umsetzung dem Plattformbetreiber, sofern dieser auch das Inkasso übernimmt. Jede Golfanlage sollte sich daher umgehend mit ihren IT- und Zahlungspartnern in Verbindung setzen und den Stand der Umsetzung prüfen. Wichtig ist, dass der Authentifizierungsprozess in die Systeme und Workflows integriert wird und der daraus resultierende AAV für anschließende Zahlungen mit eingereicht wird. Auch die Kennzeichnung von Zahlungskanälen pro Zahltransaktion ist gegenüber der heutigen Situation neu. Entscheidend ist, dass die Systeme bis spätestens 13. September 2019 hierauf vorbereitet sind – und dass die beteiligten Issuer ebenfalls ihre Hausaufgaben erledigen und den neuen Prozess ihrerseits komplett unterstützen. Gelingt dies nicht, bedeutet dies für Golfanlagen wohl erst einmal die Rückkehr zur alten Wahrheit „Nur Bares ist Wahres“ – mit allen zusätzlichen Risiken (Falschgeld, Versicherung des Bargeldbestands und mehr) und dem damit verbundenen Arbeitsaufwand. Da jedoch die Golfbranche nicht alleine von den neuen Vorschriften betroffen ist, sondern der gesamte Zahlungsverkehr innerhalb der EU bzw. des EWR, sollte einer fristgerechten Umsetzung nichts im Wege stehen. Entscheidend ist jedoch, dass Anlagen-intern die genutzten Systeme rechtzeitig die neuen Vorschriften umsetzen und die Mitarbeiter über die neuen Vorschriften und Prozesse informiert werden.

 

Autor: Michael Althoff | golfmanager 3/2019

 

<< zurück

Fachbeiträge Golfmanager