Hinterher ist man immer klüger. Diese Binsenweisheit gilt mit Blick auf Covid-19 auch für die Einführung der starken Kundenauthentifizierung (SCA). Wäre Covid-19 im vergangenen Herbst schon ein Thema gewesen, dann hätte die EBA der Payment-Branche vermutlich keinen Aufschub bis Ende 2020 gewährt. Das hätte dann zwar vermutlich zu lautem Wehklagen und zu deutlichen Verwerfungen überall dort geführt, wo einzelne Glieder der Prozesskette noch nicht SCA-konform waren. Das Festhalten am ursprünglichen Termin hätte jedoch den Druck im Kessel hoch gehalten. Mit Beginn der Corona-Pandemie wäre dann das Schlimmste wohl schon ausgestanden gewesen.
Nun jedoch fallen Corona und Umsetzung der PSD2 zusammen - immer vorausgesetzt, die europäischen Aufsichtsbehörden entschließen sich nicht doch noch für eine Verlängerung der Verlängerung. Ausgerechnet in einer Zeit, da der Online-Handel auch für eigentlich stationäre Händler immer mehr an Bedeutung gewinnt, sind Umsätze in Gefahr. Insgesamt gilt das in Europa (ohne Großbritannien) für Online-Verkäufe im Wert von 108,1 Milliarden Euro. So hat es CMSPI in einer im September erschienenen Studie errechnet. Am stärksten ist Spanien betroffen (20,16 Milliarden Euro), gefolgt von Frankreich (18,90 Milliarden Euro), Italien (13,81 Milliarden Euro) und Deutschland auf Platz 4.
Im deutschen E-Commerce sind Umsätze von bis zu 12,80 Milliarden Euro durch die starke Kundenauthentifizierung gefährdet - durch das Scheitern von Transaktionen, durch technische Störungen ebenso wie durch Kaufabbrüche seitens der Kunden. Dass Deutschland im europäischen Vergleich trotz der Bedeutung des deutschen E-Commerce-Marktes nur auf Platz vier kommt, erklärt die Studie mit dem Bezahlverhalten in Deutschland, nämlich mit der Beliebtheit von Lastschrift und Kauf auf Rechnung mit anschließender Überweisung, die zusammen für etwa ein Viertel der E-Commerce-Umsätze stehen.
Für Deutschland gehen die Berechnungen von einem Card-not-present-Umsatz in Höhe von 35 Milliarden Euro, einer Issuer Readiness von 60 Prozent und einer Ausfallrate von 37 Prozent aus - 2 Prozentpunkte mehr als im europäischen Durchschnitt. Im Szenario 1 mit 100 Prozent 3-D-Secure-Transaktionen wird der gefährdete Umsatz bei großen Händlern auf 4,58 Milliarden Euro und 8,22 Milliarden Euro bei kleinen Händlern geschätzt. Im Szenario 2, bei dem 20 Prozent Ausnahmen von der starken Kundenauthentifizierung unterstellt werden, wären es immer noch 3,66 Milliarden Euro bei großen und 6,58 Milliarden Euro bei kleine Händlern. Das alles wurde basierend auf den Zahlen von 2019 kalkuliert. Angesichts der seit dem Lockdown anhaltenden Verschiebung des Einkaufsverhaltens zu mehr Online-Geschäft könnten die Zahlen im schlimmsten Fall noch sehr viel höher ausfallen.
Dieses Worst-Case-Szenario muss so natürlich nicht eintreten, weil ein Teil der Verbraucher verstärkt auf alternative Bezahlverfahren wie eben den Rechnungskauf ausweichen dürfte. Das tröstet den Handel allerdings nur wenig - nicht zuletzt auch deshalb, weil kleinere Händler besonders von den zu erwartenden Umsatzverlusten betroffen sein dürften. Das liegt zum einen daran, dass ein länger dauernder Bezahlprozess - und der kann laut CMSPI mit SCA länger als eine Minute, in einigen Fällen sogar länger als zwei Minuten dauern - bei kleineren Shops vom Kunden eher auf Fehler auf der Website zurückgeführt werden, was zu Kaufabbrüchen führt. Zudem haben kleine Anbieter weniger IT-Ressourcen, die sie für die Optimierung von Checkout-Prozessen einsetzen können.
Vor dem Hintergrund der in der Analyse genannten Zahlen hat der Handelsverband Deutschland (HDE) deshalb die BaFin aufgefordert, sich für eine nochmalige Verlängerung der Umsetzungsfrist einzusetzen. Schließlich hätten viele Banken und Dienstleister ihre Systeme noch nicht so umgerüstet, dass Handelsunternehmen die neuen Autorisierungsverfahren ausgiebig testen können, sagt Ulrich Binnebößel vom HDE. Zudem seien viele Karteninhaber noch nicht informiert und hätten sich für das neue Verfahren noch nicht registriert. Auch CMSPI kommt zu dem Schluss, dass viele Issuer 3DS 2.0 noch nicht unterstützen und das bis zum Jahresende wahrscheinlich nicht schaffen werden. Zudem seien die Nutzererfahrungen selbst dort, wo die Umsetzung bereits vollzogen wurden, häufig schlecht.
Der HDE erwartet deshalb zu Jahresbeginn 2021 eine hohe Zahl von Ablehnungen der dann vorgegebenen Autorisierungsanfragen bei Kartenzahlungen und entsprechende Kaufabbrüche. "Wenn die gesetzliche Forderung hart ab 1. Januar 2021 greift, gibt es Friktionen, die bislang nicht einschätzbar sind. Kunden wandern zu großen Anbietern ab, wählen eine alternative Zahlart mit höherem Risiko oder verzichten im schlimmsten Fall auf den Einkauf. Bankenaufsicht und Politik haben es in der Hand, die Folgen abzumildern", so Binnebößel.
In einem Schreiben an die BaFin hat der Verband deshalb einen "geordneten Hochlauf" gefordert und sieht in dem Vorschlag der BaFin einer Staffelung nach Betragshöhen in einem Zeitraum von Januar bis März eine gute Grundlage. Denn es gehe darum, die Kunden zunächst an die Zwei-Faktor-Authentifizierung zu gewöhnen. Dafür wäre eine gestaffelte Einführung vermutlich von Anfang an eine gute Idee gewesen. Aus Sicht des Handels darf es jedoch ruhig ein bisschen mehr sein: So solle der Übergangszeitraum ausgedehnt und die Betragshöhe, ab der die Verpflichtung zuschlägt, erhöht werden. Red.