Neue Bezahl-Richtlinien: Ab dem 14. September wird Online-Shopping komplizierter

Mit wenigen Klicks shoppen und bequem mit der Kreditkarte zahlen – ab Mitte September wird das komplizierter. Neben den Daten auf der Kreditkarte sollen Käufer sich mit einem weiteren Sicherheitsmerkmal wie einem Zusatzpasswort oder einem Fingerabdruck per Smartphone identifizieren. Das klingt vernünftig, doch bei der Vorbereitung knirscht es erheblich.

Kundinnen und Kunden seien informiert und hätten sich eingestellt, heißt es bei Banken und Sparkassen. Ab dem 14. September werde der Online-Zugang zum Konto und das Bezahlen von Einkäufen im Internet mit Kreditkarte wie bisher problemlos laufen. Andere Töne sind im Handel und beim Internet-Verband Bitkom zu hören. Längst seien nicht alle Systeme umgestellt. Es drohten Umsatzausfälle in Milliardenhöhe.

Der Handelsverband HDE, Bitkom und weitere europäische Verbände fordern eine Verschiebung. Die Aufsichtsbehörde in Österreich hat die Umstellung am 14. September auf Druck von Handel und Tourismus bereits gestrichen, in Großbritannien ist eine Übergangsfrist von 18 Monaten vereinbart. Die hierzulande zuständige Bafin will sich dazu noch äußern – aber am Termin soll festgehalten werden.

„Mehr Sicherheit bedeutet weniger Komfort“

Die Finanzaufsicht hat aber Bedenken wegen neuer Schnittstellen (API) in den Systemen der Geldhäuser. Sie sollen Fintechs und Kunden, die ihre Apps nutzen, den reibungslosen Zugang zu Kontodaten ermöglichen. Fintechs zufolge funktionieren die neuen APIs oft nicht. Die Bafin sieht das ähnlich: Viele seien aktuell nicht genehmigungsfähig. Die bisherigen APIs könnten die Institute deshalb nicht einfach abschalten. Sie sollen als Absicherung parallel laufen bis sich die neuen APIs bewährt haben. Banken und Sparkassen zeigen sich überrascht: Sie wollen die alten APIs zum 14. September abschalten – aus Kostengründen.

Hintergrund der Debatten ist die EU-Zahlungsdiensterichtlinie PSD 2 – Payment Services Directive 2. Mit ihr sollen der Online-Zugang zum Bankkonto, Überweisungen per Computer und Smartphone und Zahlungen im Internet sicherer und über die API die Verbindung von Geldhäusern mit Fintechs für die Kunden erleichtert werden. Kern der neuen Regelungen ist die „starke“ Zwei-Faktor-Authentifizierung. Künftig reichen beim Einloggen in das Konto nicht mehr Zugangsnummer und Pin und beim Bezahlen im Internet mit der Kreditkarte nicht mehr Kartennummer, Ablaufdatum und die dreistellige Nummer auf der Rückseite.

Es bedarf einer zusätzlichen Transaktionsnummer (Tan) oder eines biometrischen Merkmals wie des Fingerabdrucks. Listen mit Tan-Ziffern sind ab 14. September ungültig. Die Tan muss künftig für jeden Zugang und jede Online-Zahlung neu kreiert oder das biometrische Merkmal etwa in der App hinterlegt werden. „Mehr Sicherheit bedeutet etwas weniger Komfort“, sagt Tanja Beller vom Bundesverband der Banken.

Die mTan per SMS wird kostenpflichtig

Kunden der Deutschen Bank etwa genügt beim Smartphone die einmalig per Tan bestätigte Anbindung an das eigene Konto. Danach ist der Konto-Zugang über die App wie bisher möglich – mit Pin, Fingerabdruck oder Gesichtserkennung. Grundsätzlich gibt es verschiedene Varianten. Deutsche Bank, Commerzbank, Comdirect und ING Diba ermöglichen die Zahlung über eine Photo-Tan: Beim Bezahlvorgang im Internet wird eine Farbgrafik angezeigt. Abfotografiert errechnet die App daraus die für die Bezahlung erforderliche siebenstellige Tan.

Die Institute bieten alternativ wie bisher auch eine mobile Tan (mTan) an. Sie wird bei jedem Bezahlvorgang per SMS auf das Smartphone oder Handy des Kunden geschickt. Bei der Postbank kann man über die App als zusätzliches Sicherheitsmerkmal auch die Gesichtserkennung oder den Fingerabdruck einrichten. Bei Kunden, die kein Smartphone besitzen, muss die notwendige Tan möglicherweise über einen Tan-Generator – ein kleines Gerät – erzeugt werden.

Sparkassen und Volksbanken regeln die Verfahren individuell. Während die Photo-Tan kostenfrei ist, halten die Institute für andere Wege die Hand auf: Pro mTan werden je SMS zwischen neun und 20 Cent fällig. Für einen Tan-Generator müssen die Kunden einmalig zahlen – zwischen 15 und 45 Euro. Freilich gibt es Ausnahmen von der „starken“ Authentifizierung. Online-Zahlungen von unter 30 Euro oder fünf Transaktion hintereinander mit einem Gesamtbetrag von 100 Euro benötigen keine weitere Autorisierung. Und an der Ladenkasse ändert sich ohnehin nichts. „Die Pin oder die Unterschrift genügen so wie bisher“, versichert Beller vom Bankenverband.

Unternehmen nur selten vorbereitet

Soweit zur Kundenseite der Neuerungen. Insbesondere bei kleineren Händlern, die online verkaufen, kann es aber zu Problemen kommen. Auch bei Reiseveranstaltern. „Vielen drohen massive Umsatzausfälle, weil ihre Systeme noch nicht auf die erforderlichen zusätzlichen Sicherungen bei Kreditkartenzahlungen eingestellt sind“, sagt Bitkom-Experte Julian Grigo. Schätzungen zufolge sind sich 75 Prozent der Händler der Änderungen nicht bewusst. Ulrich Binnebößel vom Handelsverband HDE moniert, Details der Regulierung seien viel zu spät veröffentlicht worden, die Frist für Umstellung und Tests damit viel zu knapp.

Wenn Kunden nicht wie gewohnt mit Kreditkarte zahlen könnten, so Binnebößel, würden sie den Einkauf stornieren. Studien zufolge drohen dem Handel in Europa im ersten Jahr nach der Umstellung Umsatzeinbußen von 57 Milliarden Euro. Unternehmen könnten gar in Existenznöte geraten, meint der Verband. Nur große Anbieter wie der Berliner Online-Modehändler Zalando seien vorbereitet. Dort können Kunden bereits seit Ende Juli die Kreditkartenzahlung per Fingerabdruck bestätigen.

© Getty Images/iStockphoto

Bitkom, HDE und der europäische Zahlungsverband EPIF fordern, vom Stichtag 14. September Abstand zu nehmen. „Wir glauben, dass das Zahlungsverkehrs-Ökosystem eine Übergangsfrist von wenigstens 18 Monaten braucht, vielleicht sogar länger“, heißt es bei EPIF. Die europäische Bankenaufsicht EBA sucht nach einer Lösung. Bis 20. August sollen die nationalen Aufsichtsbehörden Stellung nehmen. Auch die Bafin steht mit den Verbänden in Kontakt.

Vermutlich Anfang September dürfte es eine Entscheidung geben. Das könne vom Festhalten am Umstellungstermin bis zu einer Übergangsfrist von sechs bis 18, vielleicht sogar 36 Monaten reichen, vermutet Grigo. „Es könnte allerdings auch zu einem Flickenteppich kommen, wenn sich die nationalen Aufsichtsbehörden nicht auf ein gemeinsames Vorgehen einigen. Das wäre ein Schreckensszenario und ist die derzeit größte Sorge von Händlern, Banken und Zahlungsdiensten.“ Nachdem die Behörden in Österreich und Großbritannien bereits in diese Richtung gehen, droht tatsächlich ein Chaos.

Hierzulande treibt der Deutsche Sparkassen- und Giroverband (DSGV) auch Verbrauchern den Schweiß auf die Stirn. „Lassen Sie Freitag, den 13. nicht zum Horror werden!“, warnt er im Internet und auf Facebook und betont, dass bei Kreditkartenzahlung ab dem 14. September der neue Standard Pflicht und die Registrierung notwendig sei. „Angst vor der Umstellung hat bei uns niemand“, sagt DSGV-Sprecher Stefan Marotzke gleichwohl. Die Kampagne sei „zugegebenermaßen sehr zugespitzt“.