Zwei-Faktor-Authentifizierung: Was PayPal und Co planen
Welche Zahlarten sind betroffen, welche nicht?
Nach den Vorgaben der PSD2 müssen die Transaktionen nicht bei allen Bezahlverfahren durch einen zweiten Faktor gesichert werden, wie die Analyse der in deutschen Online-Shops am häufigsten angebotenen Payment-Methoden zeigt:
1. Die Lastschrift: Für Zahlungen via Lastschrift ist im Online-Handel nie eine Zwei-Faktor-Authentifizierung nötig. Der Grund dafür ist, dass die Zahlung nicht vom Online-Shopper angestossen wird, sondern von dessen Gläubiger, in diesem Fall dem Shop-Betreiber. Seine Bank zieht die Lastschrift mit Erlaubnis des Online-Shoppers aktiv ein. Bei Lastschriftzahlungen im Online-Handel ändert sich also gar nichts.
2. Sofortüberweisung/Giropay: Beide Online-Überweisungsverfahren basieren auf Online-Banking. Dort sind die Transaktionen über die einmaligen TANs (Transaktionsnummern) im Rahmen des Online-Banking immer mit einem zweiten Faktor gesichert, egal ob es eine Mobile TAN via SMS, eine Push-TAN in einer App oder eine Foto-TAN ist. Wichtig dabei ist lediglich, dass die TAN über ein zweites Gerät ausgegeben wird, etwa ein Smartphone. Bei den meisten Banken ist dies heute schon Standard. Die anderen sollten es bis September umgesetzt haben, da die früher üblichen iTAN-Listen auf Papier zur Absicherung von Zahlungstransaktionen dann generell nicht mehr zulässig sind. Fazit: Auch für diese Zahlarten ist beim Online-Shopping keine weitere Authentifizierung nötig.
3. Rechnungskauf: Wird die Rechnung für eine Bestellung im Web vom Online-Shopper mit einer Online-Überweisung bezahlt, greifen auch hier die Sicherungsmechanismen des Online-Banking. Folglich ist auch beim Rechnungskauf keine zusätzliche Authentifizierung nötig. Einzige Ausnahme: Enthält die Rechnung einen Bezahl-Code, über den der Online-Shopper mit einer anderen Bezahlart wie etwa Paypal die Rechnung begleicht, greifen die Bestimmungen dieser Zahlart.
Bei PayPal kommt es auf die Zahlart dahinter an
4. PayPal: PayPal gilt nach eigenen Angaben als Zahlungskonto im Sinne der PSD2 und muss damit die Vorgaben zur Zwei-Faktor-Authentifizierung umsetzen. Wie das konkret aussehen wird, verrät PayPal noch nicht. Ein Team arbeite derzeit an der Umsetzung. Ziel sei, "auch künftig ein möglichst reibungsloses Bezahlerlebnis bieten zu können", heisst es aus dem Unternehmen. Allerdings sichert PayPal seinen Händlern zu, dass die Bestimmungen bis zum Stichtag erfüllt werden und dass auf die grosse Mehrheit der Händler kein zusätzlicher Entwicklungsaufwand zukommen wird.
Prinzipiell macht es einen Unterschied, ob die PayPal-Zahlung per Lastschrift oder per Kreditkarte abgewickelt wird. Bei einer Lastschriftzahlung ist auch hier keine Authentifizierung nötig, bei einer Kreditkartenzahlung hingegen schon. Daher wird PayPal vermutlich auch nur bei Kreditkartenzahlungen die nötige Authentifizierung einbauen. Denkbar wäre eine Einmal-TAN, die per SMS, per E-Mail oder per App ausgegeben wird. Diese Möglichkeit bietet PayPal besonders sicherheitsbewussten Kunden bereits heute an, sie wird aber wohl kaum genutzt.
Ebenso denkbar sind biometrische Verfahren wie ein Fingerabdruck oder ein Gesichts-Scan über die PayPal-App. Da viele PayPal-Nutzer sehr mobil-affin sind, ist zu vermuten, dass die schnellen Biometrie-Verfahren hier künftig eine grosse Rolle spielen werden.
PayPal Express und PayPal OneTouch
Für PayPal Express gilt: PayPal Express wird lediglich an anderer Stelle im Checkout eingebunden, etwa im Warenkorb. Der Bezahlvorgang an sich ist aber ein gewöhnlicher PayPal-Prozess und daher auch künftig mit diesem identisch. Anders verhält es sich bei PayPal OneTouch: Um die schnelle Bezahlung mit nur einem Klick zu ermöglichen, bleibt der Nutzer quasi dauerhaft eingeloggt. Dies wird nach der Neureglung in dieser Form wohl nicht mehr möglich sein, da der Gesetzgeber vorschreibt, dass das Login aus Sicherheitsgründen wie beim Online-Banking nach einigen Minuten ohne Aktion automatisch beendet wird. PayPal verspricht auch hier eine Lösung, äussert sich aber sich nicht dazu, wie sie aussehen wird.
Fazit: Bei PayPal-Zahlungen wird sich der Bezahlvorgang ändern, wenn die Transaktion nicht per Lastschrift abgewickelt wird. Der Händler sollte im Regelfall aber keine Änderungen vornehmen müssen.
Amazon Pay hält sich bedeckt
5. Amazon Pay: Auch Amazon Pay will sich nicht in die Karten schauen lassen. "Wir sind uns bewusst, dass die PSD2 im September 2019 wirksam werden soll, und wir sind dabei, unsere eigenen Vorbereitungen abzuschliessen. Obwohl wir nur ein Teil der Kette für Finanztransaktionen sind, tragen wir unseren Teil dazu bei, für unsere Kunden einen reibungslosen Übergang zu gewährleisten", lautet das Statement von Amazon.
Auch hier macht es einen Unterschied, ob hinter der Amazon-Pay-Transaktion eine Lastschrift oder eine Kreditkartenzahlung steht. Denkbar wäre, dass Amazon die Lastschrift als bevorzugte Zahlart nach oben setzt, um möglichst selten authentifizieren zu müssen. Für Kreditkartenzahlungen sind ähnliche Verfahren wie bei PayPal denkbar, also beispielsweise eine Mobile-TAN via SMS oder App. Amazon ist derzeit jedenfalls erkennbar darum bemüht, die Mobilfunknummer seiner Kunden zu erfragen.
6. Paydirekt/Klarna: Die beiden Zahlungsanbieter Klarna und Paydirekt halten sich ebenfalls sehr bedeckt. Paydirekt lässt lediglich verlauten, dass man vorbereitet sei und den Service "selbstverständlich auch über den 14. September hinaus rechtskonform und komfortabel" anbieten werde. Ähnlich das Bild bei Klarna: Die Klarna-Kernprodukte wie Rechnungs- und Ratenkauf seien nicht betroffen, heisst es bei dem Zahlungsanbieter. Ansonsten bereite man sich auf unterschiedliche Szenarien vor, um zum Zeitpunkt x rechtskonform zu sein.