Aktuelles

Zahlungsrichtlinie: Neue Anforderungen für Kartenzahlungen ab dem 14. September 2019

14.08.2019

Nach Pauschalreiserichtlinie und Datenschutzgrundverordnung kommt ein neuer Umsetzungskraftakt auf die Branche und dabei insbesondere auf die Hotellerie zu: Bis zum 14. September müssen europaweit die Vorgaben der Europäischen Bankenaufsichtsbehörde (EBA) zur so genannten „starken Kundenauthentifizierung“ (SCA) aus der Zahlungsrichtlinie 2 umgesetzt sein. Dies bedeutet, dass künftig alle elektronischen Zahlungen mit einer Zwei-Wege-Authentifizierung vorgenommen werden müssen (sofern keine Ausnahmeregelung greift. Eine Ausnahme liegt zum Beispiel vor, wenn eine Zahlung unter 30 Euro getätigt wird oder eine Zahlung unter 500 Euro liegt und eine Transaktionsrisikoanalyse die Zahlung ohne Authentifizierung erlaubt.)

Nimmt der Gast eine elektronische Zahlung, z.B. mittels Kreditkarte oder im Internet vor, muss er sich künftig mit mindestens zwei der drei Elemente der Starken Kundenauthentifizierung identifizieren:

  • Etwas, das der Kunde weiß (Passwort oder PIN) | Wissen
  • Etwas, das der Kunde besitzt (Karte oder Telefon) | Besitz 
  • Etwas, das der Kunde ist (biometrische Daten wie Fingerabdruck oder Iris) | Inhärenz

Unproblematisch sind Fälle, in denen der Gast vor Ihnen im Hotel oder Restaurant steht und mit einer Karte zahlt. Hier ist es bereits heute Standard, die SCA anzuwenden, denn der Kunde zeigt seine Karte vor und gibt eine PIN in das Kartenterminal oder unterschreibt auf dem Beleg.

Zahlungsvorgänge, bei denen der Gast nicht anwesend ist, wie beispielsweise Hotelzimmerbuchungen im Internet und deren Anzahlung oder Bezahlung fallen hingegen unter die "Card Not Present Transactions" und müssen ab dem 14. September neu eingestellt werden. Durch die künftigen neuen Reglungen wird sich dadurch das Bezahlen mit Kreditkarte im Internet stark verändern, da die meisten der in der Vergangenheit dafür eingesetzten Authentifizierungsverfahren die Anforderungen an die neue Starke Kundenauthentifizierung nicht erfüllen.

Zwar trifft die Pflicht zur Durchführung einer Starken Kundenauthentifizierung primär nur die Zahlungsdienstleister und nicht die Zahlungsempfänger. Aber Unternehmen, die weiterhin Kreditkartenzahlungen im Internet entgegennehmen wollen, müssen ihre Bezahlprozesse so anpassen, dass der Kunde die Möglichkeit hat, eine Starke Kundenauthentifizierung bei seinem kartenausgebenden Institut vorzunehmen. Die Vornahme dieser Anpassungen liegt also im eigenen Interesse der betroffenen Zahlungsempfänger.

Es ist unbedingt zu empfehlen, dass Sie diesbezüglich Kontakt mit Ihrem Zahlungsdienstleister aufnehmen, um mit ihm über die Anpassung Ihrer Zahlungsmodalitäten an die Erfordernisse der PSD 2 zu beraten!