Was ist von den Zielen der PSD2 inzwischen erreicht worden?
Von den drei großen Anwendungsfeldern Open Banking, Online-Banking und Online-Kartenzahlung sind zwei noch nicht realisiert, weil die Branche es nicht so schnell geschafft hat, sie umzusetzen. Das liegt allerdings weniger an der Branche selbst als daran, dass die EZB die Spezifikationen sehr spät veröffentlicht hat.
Die RTS kamen sehr spät, dann gab es immer wieder Kommentare zu den RTS, die so wesentlich waren, dass man sich wünschte, sie wären bereits Teil der RTS gewesen. Auch kamen Themen auf, an die die EZB vermutlich gar nicht gedacht hat und die dann erst durch die Fragen aus der Praxis heraus überdacht und entschieden wurden.
Das ging fast bis zum 14. September so. Wenn man sich die Zyklen anschaut, die es braucht, um solche Veränderungen in allen Bereichen zu implementieren, dann blieb einfach viel zu wenig Zeit.
Erfüllt ist deshalb nur der Bereich der sicheren Authentifizierung im Online-Banking, auch wenn das ein Flickenteppich geworden ist, weil die Vorgaben zu weit gefasst waren, um eine einheitliche Lösung zu entwickeln.
Was Computop als Payment-Dienstleister betrifft, ist das Thema der Sicherheit bei Online-Zahlungen. Bei Online-Bezahlverfahren wie Giropay oder Klarna ist alles gut implementiert - und wir haben auch nicht festgestellt, dass sich Verbraucher deshalb von der Online-Überweisung abwenden, weil es jetzt eine andere Art der Authentifizierung gibt, sondern sie nutzen sie in etwa im gleichen Maße wie zuvor.
Bei Kartenzahlungen sehen wir sehr deutlich, welche Veränderungen die PSD2 herbeiführt - vor allem auch bei den Händlern. Viele Händler arbeiten daran, etliche haben auch bereits umgestellt und sind eigentlich fertig. Aber viele kleine und mittlere Händler kämpfen noch oder schieben das Thema weiter vor sich her und haben vielleicht den Ernst der Lage noch nicht erkannt. Die Baustelle, an der wir stark arbeiten, ist deshalb die Aufklärung, das Motivieren der Händler, ihre Prozesse anzupassen, damit sie auch nach dem 1. Januar 2021 noch Kreditkartenzahlungen akzeptieren können.
Ist es ein Phänomen, dass Händler bewusst abwarten, weil sie nach dem Umstellen ein Absinken der Konversionsraten befürchten?
Der Prozess der Online-Kartenzahlung läuft ja über mehrere Stationen. Wenn irgendwo in der Kette 3D-Secure 2.2 noch nicht umgesetzt ist, dann kann die Zahlung auch nicht so durchgeführt werden, wie der Händler es sich wünscht. Denn erst in der Version 2.2 sind die Ausnahmen enthalten, die es für den Händler attraktiv machen.
Das, was in der PSD2 als Ausnahme definiert wird, sollte eigentlich die Regel sein. Mastercard hat aufgezeigt, dass in anderen Märkten, in denen ähnliche Vorschriften gelten, 95 Prozent aller Transaktionen ohne weitere Authentifizierung durchgeführt werden können. Das ist die Zahl, auf die man auch in Europa kommen will, damit nicht das passiert, was früher bei 3D-Secure 1 passiert ist, nämlich dass der Kunde den Kauf beim Bezahlprozess abbricht.
Das funktioniert allerdings nur, wenn die Issuer tatsächlich auch die Ausnahmen nutzen können. Dafür setzen sie vor allem auf die Transaktionsrisikoanalyse, die erst ab der Version 2.2 zur Verfügung gestellt wird. An dem Punkt sind etliche Acquirer und Issuer noch nicht. Dann hilft es dem Händler nichts, wenn er alle bis zu 130 Datenfelder mitgibt, mit denen der Issuer die Risikoanalyse durchführen könnte.
Das heißt: Wer im Moment schon 3D-Secure 2.2 praktiziert, wird mit großer Wahrscheinlichkeit auslösen, dass viele Transaktionen noch vom Kunden authentifiziert werden müssen. Doch genau das will man ja vermeiden. Deshalb sind viele Händler noch zurückhaltend damit, im Livebetrieb umzustellen, obwohl sie technisch eigentlich fertig sind.
Die Händler sind also nicht das schwächste Glied in der Kette?
Nicht unbedingt, wobei man sagen muss, dass der Aufwand auf Bankenseite ungleich höher ist. Es gibt allerdings auch kleinere Händler, die es darauf ankommen lassen wollen, keine originären Kartentransaktionen mehr abwickeln zu können, sondern darauf setzen, dass Kunden ihre Karte in Paypal hinterlegen. Das ist jedoch risikoreich, denn trotz guter Verbreitung gibt es auch Kunden ohne Paypal-Account und sehr viele, die Paypal nur mit Lastschrift nutzen. Diese Händler verzichten auf lange Sicht auf eine kaufkräftige Zielgruppe.
Wird es zum Jahresende also trotz der Verschiebung doch noch eng oder kann die Zeit noch ausreichen?
Die Zeit kann noch reichen, wenn die
Aktuell wird über eine nochmalige Verlängerung diskutiert ...
Die Meinungen darüber sind geteilt. Die Diskussion einer generellen Verschiebung um ein weiteres halbes Jahr ist im Gange. England hat das bereits getan, während sich die BaFin Ende Juni gegen eine weitere Verlängerung ausgesprochen hat.
Ich sehe das Thema zweischneidig. Einerseits wirft Corona die Händler zurück, die jetzt andere Prioritäten haben. Hier wäre es eine nette Geste, ihnen entgegenzukommen und mehr Zeit zu gewähren. Andererseits droht die Gefahr, aus dem Thema den jetzt spürbaren Schwung bei den Banken herauszunehmen - mit dem Ergebnis, dass man in einem halben Jahr vielleicht nicht sehr viel weiter wäre als heute. Deshalb ist die Branche in dieser Frage gespalten.
Hätte man bei der Entwicklung der RTS mehr Praktiker einbinden müssen, um die Verzögerungen an dieser Stelle zu vermeiden?
Praktiker einzubinden ist immer sinnvoll, um möglichst viel von dem, was sonst im Nachgang auftaucht, vorwegnehmen zu können. Das muss aber auch gewollt sein.
Ein früher Kritikpunkt an der PSD2 war zum Beispiel, dass die Vorgaben für die Schnittstellen, mit denen die Banken sich öffnen müssen, zu unscharf waren. Hätte man hier etwas straffere Vorgaben gemacht, dann wären viele Entwicklungen nicht so ins Leere gelaufen, was der gesamte Branche viel Zeit gekostet hat. Wenn sich Standards über den Markt herausbilden, dauert es einfach länger. Klarere Vorgaben sparen Zeit und Unsicherheit und vermeiden Fehlinvestitionen.
Inwieweit betrifft die Schnittstellenthematik die Zahlungsdienstleister?
Zahlungsdienstleister können sich überlegen, welche zusätzlichen Services sie Händlern und Kunden anbieten können, die durch offene Schnittstellen möglich werden. Eine solche Möglichkeit wäre es, sich mit der Zahlungsauslösung zu beschäftigen, um für Händler Instant Payments zu veranlassen. Oder die Nutzung von Daten als Kontoinformationsdienstleister.
Hat die PSD2 schon heute den Zahlungsverkehrsmix verändert beziehungsweise welche Veränderungen erwarten Sie?
Eine sehr deutsche Veränderung betrifft den Rechnungskauf. Mehr und mehr Händler gehen dazu über, geschützte Rechnungskaufsverfahren in Kombination mit Factoring einzusetzen, weil die Rechnung beim Kunden immer noch sehr beliebt ist, die Händler das Risiko aber nicht selbst tragen wollen. Das ist allerdings nicht direkt der PSD2 geschuldet.
Potenzial zur Veränderung hat die Kreditkarte, weil hier durch 3D-Secure 2.2 Mechaniken ablaufen werden, die das Bezahlen bequemer machen und dadurch für die Kreditkarte Reputation zurückholen, die durch den Passwortprozess bei 3D-Secure 1 verloren gegangen ist. Deshalb könnte es gut sein, dass die Kreditkarte durch die PSD2 hinzugewinnt. Das ist neben der Sicherheit sicher auch ein Grund dafür, dass die großen Schemes 3D-Secure 2.2 so intensiv vorantreiben.
Was große Veränderungen bewirken könnte, wäre, wenn die Girocard online eingesetzt werden könnte. Das könnte den E-Commerce-Zahlungsverkehr wirklich verändern. Hier haben die Banken lange enorm viel Potenzial verschenkt.
Auf Umwegen könnte das allerdings jetzt Wirklichkeit werden, denn die Sparkassen haben angekündigt, die Girocard in Apple Pay zu integrieren. Das ist schon für die Akzeptanz von Mobile Payments im stationären Handel ein großer Schritt, und wenn sich mehr Händler dazu entschließen, Apple Pay auch im Online-Shop anzubieten, ist auch hier eine Girocard-Zahlung möglich.
Es lohnt sich durchaus, sich damit zu beschäftigen. Der durchschnittliche Shop in Deutschland hat etwa sieben Bezahlarten. Und jede Bezahlart hat ihre Fans, die einen Shop sogar verlassen, wenn die gewünschte Bezahlart nicht angeboten wird.
Viele kleine Händler, denen das Knowhow beim Thema Payment fehlt, nutzen ja "Rundumsorglos- Pakete" der Payment-Dienstleister. Was müssen sie noch selbst tun, um zum Jahresende PSD2-fähig zu sein?
Diese Händler müssen im Grunde nur noch die Daten bereitstellen, die für die Transaktionsrisikoanalyse durch den Issuer gebraucht werden. Hier sind die Shopsystemhersteller gefragt, die Daten zusammenzustellen und an das System zu übergeben. Letztlich ist es aber eine Willensentscheidung des Händlers, welche Daten er gegenüber Issuer, Acquirern oder Kartensystemen preisgeben will, und das muss natürlich auch datenschutzkonform abgebildet werden. Je mehr Daten der Händler übermittelt, desto besser wird die Konversion ausfallen.
In den nächsten Jahren werden sicher mehr und mehr Händler dazu übergehen, den Login ins Kundenkonto biometrisch zu gestalten, weil das auch vor Betrug durch Account Takeover schützt. Ein relativ wenig beachteter Punkt in der PSD2 ist die sogenannte Delegated Authentification. Es muss nämlich nicht immer der Issuer sein, der die Authentifizierung vornimmt.
Wenn der Händler den Issuer darüber informiert, dass er bereits eine biometrische Authentifizierung vorgenommen hat, kann der Issuer auf eine weitere Authentifizierung verzichten. Das heißt: Hat sich ein Kunde beispielsweise mit seinem Fingerabdruck im Kundenkonto des Online-Händlers ausgewiesen, dann ist damit auch die Authentifizierung für den Bezahlvorgang bereits erledigt.
Hier steht der Handel aber noch ganz am Anfang?
Absolut. Bei Computop registrieren wir bereits Interesse und pilotieren, es gibt allerdings noch keinen Händler, der das in großem Stil ausgerollt hat, weil die Banken ohne 3D-Secure 2.2. noch nicht in der Lage sind, die biometrische Authentisierung zu berücksichtigen. Es wird aber sicher kommen.
Wann ist in der Breite damit zu rechnen?
Erste Anwendungen werden wir im kommenden Jahr sehen. Wie weit sich das durchsetzt, wird natürlich von den Erfahrungen abhängen. Aber wenn einige große Händler Leuchtturmprojekte umgesetzt haben und die Kunden positiv reagieren, werden viele andere erkennen, dass dies eine interessante Option ist, und dann auch nachziehen.
