Sicherheit

Vorgaben im E-Commerce: Nachteile für kleine Händler

Bild 3

SecuRePay, BaFin-MaSI, EBA-Guidelines sind Stichwörter, die in weiten Teilen des Handels zu Unsicherheiten führen. Zwar richten sich die Anforderungen aus diesen Papieren zunächst an Zahlungsdienstleister, die ihre Angebote für Zahlarten im Internet anpassen müssen. Doch die Auswirkungen auf den Handel können weitreichend sein. Im Zentrum der Kritik stehen dabei vor allem die Anforderungen an eine starke Kundenauthentifizierung. Von den hier vorgesehenen Ausnahmetatbeständen befürchtet der HDE Marktverschiebungen zulasten kleinerer Online-Händler. Dass das Lastschriftverfahren im Internet nicht betroffen ist, bewertet Ulrich Binnebößel indessen positiv. Weil die Umsetzung noch viele Fragen offen lässt, plädiert er für eine Verschiebung des Termins auf den 5. November 2015. Red.

Die Digitalisierung der Gesellschaft ist ein unumkehrbarer Prozess. Der Einzelhandel hat diese Lektion bereits gelernt und befindet sich derzeit in einem epochalen Umbruch. Nach Bildung der Marktplätze im Mittelalter und dem Umzug auf die grüne Wiese in Einkaufszentren der vergangenen Jahrzehnte bezieht der Handel seit einigen Jahren nun den digitalen Standort im Internet. Noch werden zwar nur knapp 10 Prozent des Umsatzes von jährlich 460 Milliarden Euro online getätigt. Jedoch ist absehbar, dass sich dieser Wert in den nächsten 5 Jahren noch verdoppeln wird.

Auf der anderen Seite erwartet der HDE, dass im gleichen Zeitraum etwa 10 Prozent der stationären Geschäfte - in Zahlen: 50 000 Outlets - für immer schließen werden. Für die verbleibenden Händler heißt es, sich dieser Entwicklung anzupassen und den Kunden dort zu treffen und abzuholen, wo er sich gerade befindet.

Megatrend Cross-Channel

Das Stichwort der Marketing-Strategen heißt hier Cross-Channel. Es bildet die Tatsache ab, dass der moderne Kunde während seiner Kaufentscheidung auf jeder Stufe unabhängig vom genutzten Medium vom Händler erreicht und angesprochen werden muss. Im Klartext bedeutet dies, dass die Welten zunehmend ineinander verschmelzen. Der Verbraucher agiert sowohl analog am PoS wie auch digital im Onlineshop und wechselt zwischen beiden Welten je nach persönlicher Vorliebe. Und er möchte dabei Werkzeuge benutzen, die er in beiden Welten einsetzen kann.

Übertragen auf den Bereich Payment bedeutet dies, dass ein modernes Zahlungsverfahren für beide Welten geschaffen und praktikabel einsetzbar sein muss. Und selbstverständlich muss es dabei sicher sein.

Sicherheit aus Sicht von Kunden und Handel

Was bedeutet nun ein sicheres Zahlungsmittel aus Handelssicht beziehungsweise aus Kundensicht? Betrachtet man die Sichtweise des Kunden, so muss sichergestellt sein, dass dieser beim Einkauf nicht Gefahr läuft, sein Geld zu verlieren. In der Regel schließt der Sicherheitsaspekt neben einem "sicheren" Zahlungsvorgang vom Kunden an den richtigen Zahlungsempfänger auch weitergehende Anforderungen ein.

- So will der Kunde vor unseriösen Händlern geschützt sein, die zwar die Zahlung erhalten, dann aber kein Produkt auf den Weg senden. Er muss also vor Betrug und Verlust zu 100 Prozent geschützt sein.

- Aber auch die Sicherheit, notfalls eine Rückerstattung zu erhalten, wenn das Produkt nicht gefällt oder Eigenschaften nicht erfüllt, gehört zum Kundenanspruch.

- Zunehmend wird die Sicherheitsanforderung auch auf den Schutz der eigenen Daten erweitert. Der Käuferschutz und zunehmend Datenschutz sind also wichtige Kriterien eines sicheren Zahlungsmittels.

Die Sicherheitsanforderungen aus Handelssicht lassen sich eher mit dem Begriff "kalkulierbare Sicherheit" beschreiben. Es geht darum, das Verlustrisiko aus einem Geschäft zu begrenzen ohne dabei die Hürden für den Einkauf allzu hoch zu setzen. Eine 100-prozentige Sicherheit ist dabei in den seltensten Fällen erreichbar und würde den Kunden eher abschrecken und Geschäfte im Zweifelsfall verhindern.

Es ist also immer eine Ausgewogenheit zwischen der Praktikabilität der Abwicklung und der kalkulierbaren Sicherheit zu berücksichtigen, wenn nach sicheren Zahlungsmitteln aus Handelssicht geforscht wird. In der Konsequenz muss ein Zahlungsmittel also gleichzeitig den Kunden vor Verlust schützen und das Ausfallrisiko des Händlers "kalkulierbar" begrenzen, um als sicher eingestuft werden zu können.

SecuRePay: von der bloßen Empfehlung ...

Vor diesem Hintergrund ist es aus Handels- und Verbrauchersicht also durchaus legitim und positiv zu bewerten, wenn man sich in Bankenkreisen um sichere Zahlungssysteme Gedanken macht.

Lange Zeit wurden die Arbeiten des sogenannten SecuRePay-Forums im Handel daher auch relativ gelassen verfolgt. Schließlich handelte es sich um ein Gremium der Bankenwelt, das sich mit sicherheitsbedingten Aspekten des Zahlungsverkehrs im Internet beschäftigte und anfänglich Empfehlungen abgeben wollte. Also war alles gut, das Thema Sicherheit gesetzt und die Ergebnisse in Form von Best-Practise-Empfehlungen konnten als Anregungen verstanden werden.

Auch ein Konsultationsverfahren der EZB mit den Ergebnissen des Forums fand zunächst nur wenig Aufmerksamkeit, richtete es sich doch im Grunde wieder an die Bankenwelt.

... zur Mindestanforderung der Aufsicht

Als aber am 31. Januar 2013 die "Empfehlungen für die Sicherheit von Internetzahlungen" veröffentlicht wurden, wurde deutlich, dass der Begriff "Empfehlungen" nicht wörtlich zu nehmen ist, sondern inzwischen durchaus gesetzlichen und damit verpflichtenden Charakter entwickelt hatte. Es wurden Prozesse vorgegeben und Fristen gesetzt, die weit über die ursprüngliche Zielgruppe "Zahlungsinstitut" hinaus verpflichtend wirksam werden sollten.

Allerdings wurden die weiteren betroffenen Kreise nicht ausreichend eingebunden und so fehlt bis heute eine zuverlässige Folgenabschätzung. Stand heute - Ende Juni 2015 - ist nicht verlässlich absehbar, wie sich die Zahlungswege ab November - dem Wirksamwerden der Anforderungen - gestalten lassen und welche Auswirkungen dies auf den E-Commerce hat.

Es stellte sich zudem heraus, dass die an der Ausarbeitung der Mindestanforderungen beteiligten Parteien eine andere Definition von Sicherheit hatten als die Nutzer. Es ging letztendlich um die Erhöhung der Sicherheit für Banken, die im Rahmen des gesetzlichen Risikomanagements neue Vorgaben (zunächst Empfehlungen) zur Minderung der eigenen Ausfallrisiken aus Zahlungen im Internet erhalten sollten. Es stand also primär die Absicherung vor Verlusten aus eigener Sicht im Vordergrund und allenfalls indirekt die Sicherheit von Verbrauchern und Handel.

Vor diesem Hintergrund darf es nicht verwundern, dass der Handel nach der aktuellen Entwicklung nun deutliche Kritik an den Vorgaben übt. Einen im März 2015 vorgestellten Entwurf eines BaFin-Rundschreibens kritisierte der HDE als zu weitgehend und lehnte die Umsetzung ab mit der Befürchtung weitreichender negativer Auswirkungen auf den Online-Handel, die bislang nicht ausreichend analysiert wurden.

Eine Ausgewogenheit zwischen den Anforderungen und Auswirkungen der verschiedenen Marktakteure war nicht erkennbar. Der HDE forderte daher zunächst eine umfangreiche Folgenabschätzung der Auswirkungen des Rundschreibens auf den Markt.

Inzwischen wurde der Entwurf des Rundschreibens zurückgezogen und gegen eine wörtliche Übersetzung des EBA-Papiers ausgetauscht. Es soll nun zum 5. November 2015 wirksam werden. Die grundlegende Kritik bleibt allerdings erhalten.

Im Zentrum der Kritik: starke Kundenauthentifizierung

Insbesondere die Anforderungen an eine starke Authentifizierung sind weiterhin enthalten und können zu weitreichenden Auswirkungen auf den E-Commerce führen. Es können Marktverschiebungen hin zu solchen Zahlungsarten erfolgen, die von der Anwendung ausgenommen sind oder nur vereinfachte Anforderungen erfüllen müssen. Damit werden die entsprechenden Zahlungsanbieter in ihrer ohnehin zunehmenden Marktbedeutung weiter gestärkt.

Zudem könnten Kunden ganz von einem Einkauf im Internet absehen, wenn sich der Kaufprozess aufgrund der Vorgaben komplizierter gestaltet. Die Einbeziehung eines zweiten Kanals führt zwangsläufig zu einer komplexeren Gestaltung des Zahlungsprozesses.

Sollte die starke Kundenauthentifizierung verpflichtend werden, sollen zwar Ausnahmen für bestimmte Fälle gestattet werden. Der HDE befürchtet aber dadurch eine Marktverschiebung zugunsten der Ausnahmetatbestände. Anbieter könnten dies ausnutzen und höhere Entgelte fordern.

Drohende Marktverschiebungen durch Ausnahmetatbestände

Insbesondere folgende Ausnahmen werden kritisch gesehen:

1. Zahlungsausgänge zugunsten vertrauenswürdiger Begünstigter, die auf für diesen Kunden im Voraus erstellten weißen Listen verzeichnet sind:

Es ist zu erwarten, dass mit dieser Ausnahmeregelung führende Anbieter bevorteilt werden. Kunden werden tendenziell dort bevorzugt einkaufen, wo sie einen leichten Checkout-Prozess durchlaufen. Haben sie einmal einen Zahlungsempfänger als vertrauenswürdig eingestuft, kann dieser ihnen einen leichten Zahlungsprozess ermöglichen. Kleine Anbieter und Händler sind hier voraussichtlich benachteiligt.

2. Transfers innerhalb desselben Zahlungsdienstleisters, die durch eine Transaktionsrisikoanalyse gerechtfertigt werden:

Mit dieser Ausnahme werden solche Zahlungsplattformen bevorzugt, die im Internet bereits eine weitreichende Akzeptanz erreicht haben. Kunden können hier weiterhin mit den bereits bekannten (einfachen) Authentifizierungsformen zahlen und werden diese Zahlart tendenziell noch stärker nachfragen. Für Online-Händler wird dies einen zusätzlichen Druck aufbauen, solche Zahlungsplattformen zu akzeptieren.

Die beschriebenen Ausnahmetatbestände sorgen nach Ansicht des HDE für Marktverschiebungen.

- Einerseits werden große Online-Anbieter und Handelsplattformen begüns tigt, die der Kunde in eine sogenannte Whitelist anlegen kann. Dies wird er für kleine Online-Händler eher nicht nutzen. Mittelständische Händler sind daher benachteiligt.

- Andererseits können Zahlungsplattformen ihre Marktbedeutung ausbauen, da sie weiterhin eine einfache Authentifizierung ermöglichen können. Dies führt voraussichtlich zu weiteren Konzentrationsprozessen bei Online-Zahlungssystemen.

Immerhin: im Rahmen der Befassung mit der Thematik konnte die Klarstellung erreicht werden, dass das in Deutschland gebräuchliche Lastschriftverfahren im Internet (ohne Unterschrift und elektronische Autorisierung) von den Anforderungen der MaSi/SecurePay unberührt bleibt und somit eine starke Authentifizierung beim Lastschriftverfahren im Internet nicht erforderlich ist.

Lastschrift bleibt unberührt

Die Bundesbank hat in einem Schreiben an den HDE klargestellt, dass "die in Deutschland übliche Erteilung von Einzugsermächtigungen (vom Zahlungspflichtigen gegenüber dem Zahlungsempfänger) durch das BaFin-Rundschreiben nicht erfasst ist. Das Rundschreiben richtet sich an durch Zahlungsdienstleister erbrachte Zahlungsdienste und setzt somit deren Einschaltung bei der Erteilung beziehungsweise Änderung (wie bei den E-Mandaten gemäß Sepa-Rahmenwerk) voraus."

Die Bundesbank teilte ebenfalls die Einschätzung des HDE, dass eine Klarstellung gegenüber dem Markt wünschenswert ist. Insofern hat sie sich mit der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Verbindung gesetzt und konnte erwirken, dass eine klärende Aussage hierzu in der Ausgabe vom Mai 2015 des BaFin-Journals (Seite 13) aufgenommen wurde. Die Erläuterungen zum Rundschreiben beinhalten nun den Satz: "Für elektronische Einzugsermächtigungen ist das Rundschreiben nur anwendbar, wenn bei deren Mandatserteilung ein Zahlungsdienstleister beteiligt ist." Damit ist nach Ansicht der Bundesbank und des HDE die Situation klargestellt worden.

Verlässliche Antworten sind gefragt, Neubefassung notwendig

Zusammenfassend kann aus Sicht des Handels festgestellt werden, dass die Umsetzung nach wie vor viele Fragen offen lässt, die zunächst zu beantworten sind. Angesichts der kurzen Frist sollte nochmals über eine Verschiebung der Verpflichtung nachgedacht werden. Länder wie Großbritannien machen es vor und haben angekündigt, erst mit der Umsetzung der Zahlungsdiensterichtlinie die Anforderungen zu berücksichtigen. Zumindest hat hier der Markt die Gelegenheit, sich auf die Veränderungen einzustellen.

Grundsätzlich muss zudem bezweifelt werden, ob eine Regulierung der technischen Kundenschnittstelle zu den Zahlungsarten mittels starker Authentifizierung überhaupt notwendig ist.

Um das Ziel der Beaufsichtigung und Begrenzung von Risiken für Zahlungsdienstleister zu erreichen, können Regulierungen zur Analyse und Vermeidung von Risiken für Zahlungsdienstleister ausreichen, die sich nicht auf den Kunden auswirken. Die EBA-Guidelines liefern hier durchaus gute Ansätze zum Beispiel zur Risikoanalyse oder zum Berichtswesen. Auch Vorgaben zur Information von Kunden können sinnvoll sein. Dies zeigt, dass auch ohne starke Authentifizierung ein erheblicher Beitrag zu mehr Sicherheit bei Internetzahlungen möglich wäre.

Zum Autor Ulrich Binnebößel, Referent, Handelsverband Deutschland - HDE e.V., Berlin
Ulrich Binnebößel , Referent , Handelsverband Deutschland - HDE e. V., Berlin
Noch keine Bewertungen vorhanden


X