7 Tipps: So meistern Online-Händler die EU-Zahlungsdiensterichtlinie PSD2

Haben Sie sich schon mit der starken Kundenauthentifizierung beschäftigt? Die Zeit drängt. Bis zum 14. September 2019 müssen Online-Händler nämlich bereits alle Änderungen in ihrem Shop umgesetzt haben. Betroffen sind insbesondere AGB und Datenschutzerklärung. Wie Sie sich gut vorbereiten können, weiß der auf E-Commerce-Recht spezialisierte Rechtsanwalt Rolf Becker. Die EU-Zahlungsdiensterichtlinie PSD2   (Payment Services Directive 2) kommt mit neuen Anforderungen wie der "starken Kundenauthentifizierung", die den Zahlungsverkehr für Kunden im E-Commerce sicherer machen soll. Hier muss zur Benutzerkennung und Passwort (Wissenskategorie) ein weiteres Merkmal aus der Kategorie Besitz (Karte, Smartphone) oder Inhärenz (Fingerabdruck, Stimme) treten, welches die Authentifizierung unterstützt. Oft ist dies ein Code, der über Apps wie Google Authenticator oder Banking-Apps erzeugt wird. Vorgedruckte Listen (TAN-Listen) sind nicht mehr erlaubt. Einfach die Kreditkarten einzugeben oder über PayPal nur mit Kennung und Passwort die Zahlung bei einem Online-Einkauf anzustoßen, reicht dann auf Kundenseite nicht mehr. Daher ist die Zwei-Faktor-Authentifizierung ein Thema, das der Handel fürchtet. Grund dafür sind die vermehrten Kaufabbrüche, die bei der starken Kundenauthentifizierung mit komplexeren Datenangaben einhergehen können. Dabei sind nicht die Händler die Adressaten der Neuerungen, sondern die Zahlungsdienstleister. Diese müssen die starke Kundenauthentifizierung umsetzen. Doch diese Implementierung benötigt Zeit und Ressourcen. Selbst die Zahlungsdienstleister können aktuell nicht alle sagen, wie sie die Vorgaben umsetzen. PayPal gehört wie Amazon Pay, paydirekt und Klarna zu den Anbietern, die noch keine konkreten Angaben machen. Realisiert werden kann die Authentifizierung etwa durch eine TAN-Pflicht. Aber auch die PayPal-App bietet Möglichkeiten bis hin zur Implementierung einer Gesichtserkennung. Hier kann es auch Unterschiede je nach tatsächlicher Zahlart geben. Denn Einzugsermächtigungen müssen anders als Kreditkartenzahlungen nicht gesondert abgesichert werden. Klarna sieht Rechnungs- und Ratenkauf als nicht betroffen an. Weitere Ausnahmen von der starken Kundenauthentifizierung betreffen - neben vom Zahler als vertrauenswürdig eingestufte Empfänger (Whitelist) - wiederkehrende Zahlungen und auch Kleinbetragszahlungen mit Transaktionen bis zu 30 Euro. Die Summe der Beträge darf seit der letzten starken Authentifizierung allerdings 100 Euro nicht übersteigen. Zudem ist diese Ausnahme auf maximal 5 Zahlungsvorgänge beschränkt. Ab der sechsten Zahlung wird also auch bei Kleinbeträgen wieder eine starke Authentifizierung erforderlich. Aufwändig kann auch das Whitelisting werden, denn der Kunde muss das verstehen - und Zahlungsdienstleister diese Whitelists erhalten. Was sollen Online-Händler also jetzt tun? Der Händler ist zum einen dazu verpflichtet, seinen Kunden die Informationen zur Zahlung zu erteilen. Das bedeutet, dass - meist in den AGB - Ergänzungen zur starken Kundenauthentifizierung aufzunehmen sind. Je nach Zahlungsdienstleister dürften mehr Daten im Transfer vom Händler zum Zahlungsdienstleister anfallen. Hier sind die Informationspflichten nach der DSGVO berührt. Händler müssen deshalb ggf. ihre Datenschutzhinweise ergänzen und aufführen, welche (weiteren) Daten übermittelt werden. Generell sollten Sie sich jetzt bereits hierauf vorbereiten:

1. Planen Sie die Ergänzung der AGB; schalten Sie spezialisierte Anwälte ein.
2. Planen Sie, wie Sie an Whitelist-Einträge Ihrer Kunden kommen und wie diese an Zahlungsdienstleister weitergeleitet werden
3. Klären Sie, welche Daten Ihr Zahlungsdienstleister braucht und prüfen Sie, ob die Rechtsgrundlagen die Übermittlung hergeben
4. Ergänzen Sie Ihre Datenschutzerklärung dazu; schalten Sie spezialisierte Anwälte ein
5. Erfragen Sie, wie viele Zahlungen bei Ihren Zahlungsdienstleistern betroffen sind
6. Schaffen Sie weitere unkritische Zahlarten (z.B. Lastschrift, Vorkasse, Rechnungskauf)
7. Entwickeln Sie Informationen für Ihre Kunden

Rechtsanwalt Rolf Becker    (siehe Foto) ist Mitglied der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V. GRUR und Mitglied des ECC-Club – ein Netzwerk für E-Commerce und Cross-Channel – und ständiger Teilnehmer in der Expertenrunde Recht der Stiftung Warentest (Finanztest). Neben der Beratung im Werbe- und Wettbewerbsrecht sowie zu Urheber- und Markenrechtsfragen im Distanzhandel und dem E-Commerce liegen weitere Schwerpunkte in der Beratung zum Direktmarketing, IT-Recht und dem Datenschutzrecht. E-Mail-Kontakt: rbecker@kanzlei-wbk.de