Die zweite Zahlungsdiensterichtlinie (EU) 2015/2366, auch unter der Abkürzung PSD2 bekannt, hat Auswirkungen auf Hotellerie und Gastronomie. Was müssen Hotellerie und Gastronomie beachten?
INTERVIEW
Rolf Mauer: Was ist die zweite Zahlungsdiensterichtlinie (EU) 2015/2366, die unter der Abkürzung PSD2 bekannt ist?
Henning Brandt: Die PSD2 ist die Fortschreibung der EU-Zahlungsdiensterichtlinie von 2007 als gesetzliche Grundlage für Zahlungsdienstleister. Sie harmonisierte Zahlungsprodukte und regelte die Voraussetzungen für einen einheitlichen Wettbewerb im SEPA-Raum (Single European Payments Area). Die Neufassung integriert die in der Zwischenzeit entstandenen technischen Möglichkeiten und bezieht den elektronischen Zahlungsverkehr, zum Beispiel im E-Commerce, mit ein. Ein Schwerpunkt ist die sichere Authentifizierung bei der Zahlungsauslösung, ein weiteres Gewicht liegt auf offenen Schnittstellen der Banken, an die sich Drittanbieter von Daten- und Zahlungsservices anschließen können.
Rolf Mauer: Welche Auswirkungen hat die Zahlungsdiensterichtlinie PSD2 auf die Gastronomie und die Hotels.
Henning Brandt: Gastronomie und Hotelgewerbe werden in mehrfacher Hinsicht von der PSD2 berührt. Bei der Online-Buchung von Hotels mit sofortiger Bezahlung unterliegt der Zahlungsvorgang den Authentifizierungsvorschriften der Richtlinie. Ein online begonnener Buchungsvorgang muss auch online fortgeführt werden: Wurde bei der Buchung die Kreditkarte des Gastes überprüft, aber noch nicht belastet, so muss auch die Reservierung auf der Karte bei Ankunft online vorgenommen werden. Der Wechsel auf ein POS-Terminal ist nicht mehr zulässig. Gleiches gilt für die Abbuchung des Zahlbetrags.
Im Restaurantbetrieb regelt die PSD2 beispielsweise die Aufforderung an den Gast, bei der Kartenzahlung die PIN einzugeben. Hier sind die Betragsgrenzen und Nutzungshäufigkeiten, die die Anforderung der PIN steuern, in der Richtlinie festgelegt.
Rolf Mauer: Welche Vorteile bzw. Nachteile sind durch die Zahlungsdiensterichtlinie zu erwarten?
Henning Brandt: Als Vorteil ist sicherlich die erwartete geringere Betrugsrate bei Online-Zahlungen zu werten. Durch die verschärften Authentifizierungsvorgaben wird es für Kriminelle schwieriger, mit gefälschten oder gestohlenen Kreditkarten einzukaufen. Als Nachteil erleben viele Kunden derzeit die Anforderung von zwei Faktoren zur Authentifizierung. Die Banken haben ihre Verfahren für das Online- und Mobile Banking umstellen müssen, so dass jetzt meist eine TAN-Anforderung über das Smartphone verwendet wird, wo sich früher einfach ein Passwort speichern ließ. Komfortabler sind biometrische Erkennungen wie der Fingerabdruck. Der Nachteil häufiger Authentifizierungen soll im Onlinehandel jedoch über Ausnahmen ausgeglichen werden, die zum Beispiel eine Risikoprüfung im Hintergrund ermöglichen, ohne dass der Kunde zu einer Authentifizierung herangezogen wird.
Rolf Mauer: Wie kann man sich gemäß der Europäischen Zahlungsdienste-Richtlinie PSD2 bei einer bargeldlosen Zahlung sicher authentifizieren?
Henning Brandt: Drei Faktoren sieht die PSD2 für die sichere Authentifizierung vor: 1. Wissen, also zum Beispiel ein Passwort oder eine PIN. 2. Besitz, beispielsweise ein Smartphone, auf das der Kunde registriert ist. 3. Inhärenz, eine für den Kunden typische Eigenschaft, etwa der Fingerabdruck oder ein Gesichtsscan. Für jede Zahlungsauslösung, aber auch für den Zugang zum Online-Banking, muss ein Verfahren verwendet werden, das zwei dieser Faktoren enthält (Zwei-Faktor-Authentifizierung 2FA). Die komfortable biometrische Authentifizierung verwendet ein körperliches Merkmal (=Inhärenz), erfasst mit einem registrierten Smartphone (=Besitz) und gilt somit als sicher gemäß der PSD2. Diese Authentifizierung integrieren erste Computop-Kunden übrigens bereits für das Login in das Kundenkonto, so dass auch das Risiko von Identitätsdiebstahl sinkt.
Rolf Mauer: Die Richtlinie PSD2 sieht Ausnahmen für die sichere Authentifizierung vor – wie können Hotels davon profitieren?
Henning Brandt: Die häufigsten Ausnahmen sind Kleinbetragsregelung und Transaktionsrisiko-Analyse. Erstere kommt automatisch zur Anwendung, wenn Beträge unter 30 Euro online und 50 Euro im Hotel oder Restaurant bezahlt werden. Diese werden nur jedes fünfte Mal sicher authentifiziert, oder bei Erreichen eines Betrags von 100 beziehungsweise 150 Euro seit der letzten sicheren Authentifizierung.
Für die Transaktionsrisiko-Analyse sollten Hoteliers bei der Online-Kartenzahlung einen erweiterten Satz an Transaktionsdaten übermitteln. Je umfangreicher der Datensatz, umso besser kann die kartenherausgebende Bank das Risiko ermitteln und entsprechend häufiger von der Authentifizierung durch den Kunden absehen. Das Risiko von Buchungsabbrüchen wird dadurch verringert.
Eine weitere Ausnahme ist das Whitelisting: Stammgäste können ihr Hotel bei ihrer Bank auf eine Liste vertrauenswürdiger Zahlungsempfänger setzen. Dadurch entfällt die Pflicht zur Authentifizierung. Für alle Ausnahmen gilt jedoch: Sollte der Bank eine Transaktion verdächtig vorkommen, muss sie immer eine Authentifizierung anfordern – schließlich haftet sie auch für den Zahlungsbetrag.
Rolf Mauer: Was ist das 3D-Secure-Protokoll für Kartenzahlungen?
Henning Brandt: Das 3D-Secure-Protokoll regelt die technische Umsetzung der Anforderungen der PSD2 für Kreditkartenzahlungen. Der Verbund EMVCo, zu dessen Mitgliedern die großen Kartenorganisationen gehören, veröffentlicht regelmäßige Updates dieses Protokolls. Es enthält die Vorgaben für die Datenübermittlung, um eine sichere Authentifizierung, aber auch die Inanspruchnahme der Ausnahmen, zu gewährleisten. Für die volle Kompatibilität muss der Acquirer, also die kartenakzeptierende Bank des Händlers, bereit sein für 3D Secure 2.2.
Rolf Mauer: Was passiert, wenn Hotels nicht auf die aktuelle Version 3D Secure 2 umstellen?
Henning Brandt: Hotels, die 3D Secure überhaupt nicht einsetzen, können ab dem 1.Januar 2021 keine Kreditkartenzahlungen mehr akzeptieren. Hotels, die nur 3D Secure 1 verwenden, zwingen ihre Kunden, jede Transaktion einzeln authentifizieren zu müssen. Außerdem hat VISA bereits angekündigt, das veraltete Verfahren nach dem 17. Oktober 2021 nicht mehr zu unterstützen. Andere Kartenmarken werden nachziehen.
Rolf Mauer: Welche finale Empfehlung haben Sie für Gastronomen und Hoteliers?
Henning Brandt: Computop empfiehlt Hoteliers, die Kartenzahlung ihrer Buchungsseiten umgehend fit zu machen für 3D Secure 2.2. Die großen Buchungsplattformen haben das bereits abgeschlossen oder sind in der Umstellungsphase. Wer seine Kartenzahlungen über einen Payment Service Provider abwickelt, sollte in den nächsten Wochen Kontakt mit diesem und seiner Acquirerbank aufnehmen, um den Umstellungsprozess anzustoßen. Bis zum 16. Oktober 2020, so die Vorgabe von VISA, müssen alle Zahlungsketten technisch zu 3DS2 in der Lage sein, daher bleibt nicht mehr viel Zeit. Die Umstellung des Authentifizierungsvorgangs selbst ist Sache der kontoführenden Bank, hier haben Hotels und Gastronomen keinen Aufwand.
Gastronomen sollten außerdem auf moderne POS-Terminals umstellen. Tragbare Geräte, mit denen Zahlungsvorgang und Bondruck am Tisch ausgeführt werden können, sind heute Stand der Technik. Dabei ist auf die PCI P2PE-Zertifizierung der Geräte zu achten, damit die Datenübertragung hochverschlüsselt und ohne gefährliche Zwischenspeicherung geschieht. Die modernsten Terminals bieten ferner die Möglichkeit, weitere Apps, zum Beispiel für Bestellaufnahme oder Kundenkarten, zu integrieren.
Rolf Mauer: Herr Brandt, vielen Dank für das Interview.
Henning Brandt ist als Head of Communication für die Öffentlichkeitsarbeit des Payment Service Providers Computop verantwortlich. Nach Stationen in Journalismus und Public Relations spricht und schreibt er seit 2015 über Themen wie E-Commerce, internationale Zahlungsabwicklung und die Zukunft des Payments.
Henning Brandt ist verheiratet und Vater dreier Töchter. In seiner Freizeit ist er begeisterter Hobbymusiker.
