Wie gut sind der Versandhandel in Deutschland und die Payment-Branche auf die Zwei-Faktor-Authentifizierung vorbereitet? Wo sehen Sie noch mögliche Defizite?
Die Online-Händler stehen in den Startlöchern, wollen die neuen Herausforderungen umsetzen und vor dem Starttermin testen. Aber leider ist die Bankenseite langsam und scheint zum Teil nicht gut vorbereitet. Dem folgend ist auch die Payment-Branche noch nicht so gut aufgestellt, wie sie gerne sein möchte.
Der für alle Beteiligten kritische Aspekt ist der Austausch zusätzlicher Daten, die für das 3D-Secure-2.0-Verfahren nötig sind. Einige kartenausgebende Institute haben bis heute noch nicht alle Softwareanforderungen erfüllt. Der Online-Handel fragt hier schon seit Wochen nach Lösungen.
Auch die deutschen Acquirer, die die Kartenzahlungen für den Handel verarbeiten, haben erst am 26. Juni die technische Spezifikation verabschiedet (GICC 5.3), die den Datenaustausch zwischen Händler und Acquirer regelt. In anderen Ländern waren die Acquiring-Banken deutlich schneller, und zwar um mehrere Monate schneller. Nun versuchen alle Marktteilnehmer den Termin 14. September einzuhalten.
Dabei gibt es folgendes Problem: Wenn alle Techniker/Programmierer sofort Gewehr bei Fuß stünden und extrem schnell arbeiten würden, dann benötigt auch ein Händler noch ein bis zwei Wochen, um das neue System seriös zu testen. Tests müssten also spätestens am 1. September starten. Da bis zu 100 zusätzliche Datenfelder übertragen werden, darf man den Technikern wenigstens vier Wochen für die Softwareentwicklung zugestehen, also müsste der Handel am 1. August mit der Programmierung beginnen. Das werden nur wenige Payment Service Provider ermöglichen, weil neben den technischen Herausforderungen auch zahlreiche Verträge mit den Kartenmarken zu schließen sind. So ist zu befürchten, dass manche Händler die Implementierung nicht rechtzeitig schaffen.
Bei Computop, Preferred Business Partner des bevh, haben erste Händler die Authentisierung mit 3D Secure 2.0 einschließlich 100 zusätzlicher Datenfeldern erfolgreich getestet.
Es sei also allen Kunden von Payment Service Providern der Rat nahe gelegt, vorsichtshalber 3D Secure 1.0 (PSD2-konform) einzusetzen.
Welches Szenario erwarten Sie zum Stichtag 14. September? Wird ein nennenswerter Anteil an Transaktionen mangels SCA abgelehnt werden?
Einige Payment Service Provider und auch viele Händler werden zum Termin am 14. September keine 3D-Secure-2.0-Lösung bieten können. Ohne 3D Secure 2.0 funktioniert die Kartenzahlung trotzdem mit 3D Secure 1.0. Das hat aber den Nachteil für die Konsumenten, dass sie immer eine Zwei-Faktor-Authentisierung machen müssen. Das ist unbequem und kann zu temporären Konversionsproblemen führen. Deshalb ist es wichtig, dass der Handel seinen Kunden alternative Lösungen anbietet, die jeder gute Payment Service Provider schnell zur Verfügung stellen kann.
Was müssen Händler selbst tun, um PSD2-kompatibel aufgestellt zu sein - was übernehmen Payment-Dienstleister?
Ein Erfordernis der PSD2 ist die SCA (Strong Customer Authentication, das heißt starke Kundenauthentifizierung) oder Zwei-Faktor-Authentifizierung (2FA). Der Händler trägt die Verantwortung dafür, dass die Zwei-Faktor-Authentifizierung, abhängig von der gewählten Zahlungsart des Kunden, in den Prozess eingebunden ist.
Tritt der Händler selbst als Zahlungsauslöser auf, ist er für die Umsetzung verantwortlich. Dies ist der Fall, wenn der Händler durch eine eigene Schnittstelle auf das Bankkonto des Kunden kommuniziert.
Ist ein Payment Service Provider seitens des Händlers in den Check-Out-Prozess eingebunden, so zeichnet dieser für die Einbindung des Zwei-Faktor-Authentifizierung-Prozesses verantwortlich.
Händler tun also gut daran, zu prüfen, wer der Zahlungsauslöser ist und wem demnach die Verantwortung für die Einbindung des Zwei-Faktor-Authentifizierung-Prozesses obliegt. Zudem sollten sie sich mit ihren Payment Service Providern austauschen, um aktuell informiert zu sein, inwieweit die Umsetzung der neuen Richtlinien zum Stichtag, mit Blick auf den in ihren Shops angebotenen Zahlarten, erfüllt sein wird. Das ist insofern wichtig, als die Händler daraufhin gegebenenfalls selbst aktiv werden oder adäquat darauf reagieren können.
Nun ist das nicht nur der Appell an Händler zur Kontaktaufnahme mit ihren Payment Service Providern. Vielmehr sollten Händler an dieser Stelle proaktiv einen konkreten Blick auf die von ihnen angebotenen Zahlarten werfen.
Kauf auf Rechnung, Paypal, gefolgt von Lastschrift und Zahlung mit Kreditkarte waren auch im letzten Jahr die führenden von Kunden gewählten Zahlarten im Online-Handel. Eine weitere Zahlart, die nicht unter die Richtlinien fällt, ist die bei unbekannten oder Kunden mit kritischer Bonität etablierte Vorkasse.
Den Händlern sind also Möglichkeiten geboten, im Check-Out-Bereich ihren Kunden Zahlarten anzubieten, die zum einen deren Gewohnheiten entsprechen und zum anderen nicht von den Richtlinien der PSD2 und SCA "betroffen" sind. Paypal und Zahlung mit Kreditkarte fallen ab September 2019 allerdings unter das Erfordernis der SCA.
Wie zufrieden ist der Online-Handel mit dem Stand der Vorbereitungen? Und wie gut fühlen sich Händler informiert?
Da die Vorbereitungen noch in vollem Umfang laufen, kann ein Grad der Zufriedenheit, gemessen an den Erwartungen, derzeit wirklich nicht konkret ermittelt werden. Die Erwartungen der Händler an die Payment Service Provider, zum Stichtag PSD2-konforme Zahlungsprozesse bereitzustellen, sind hoch. Gleichermaßen vertrauen Händler aber auch in das Know-how der Payment Service Provider.
Wenn man bedenkt, dass Händler am Ende einer ganzen Reihe von Akteuren und deren Interaktionen stehen, sie von Prozessen abhängig sind, auf die sie weniger Einfluss nehmen können, wäre eine gewisse Unzufriedenheit nachvollziehbar. Messbares ist aber nicht vorhanden und Rückmeldungen unserer Mitglieder beziehen sich mehr auf die Befürchtungen hinsichtlich der erhöhten Abbruchraten aufgrund des komplexeren Zahlungsvorganges.
Hinsichtlich des Informationsstandes der Händler zeigt sich ein etwas anderes Ergebnis. Die aktuelle EHI Studie "Online Payment 2019", herausgegeben am 18. Juli, zeigt ein nicht zufriedenstellendes Ergebnis. Es wurden Händler danach befragt, ob sie sich ausreichend zum Thema PSD2 und SCA informiert fühlen.
Lediglich 21 Prozent der Antworten sind dem Bereich "ausreichend informiert" zugeordnet, weitere 21 Prozent der Antworten tragen die Aussage "Händler beschäftigt sich noch mit dem Thema". Erschreckend hoch ist die Zahl derer, die sich "nicht ausreichend informiert" fühlen (58 Prozent).
Dieses Ergebnis legt allerdings auch die Vermutung nahe, dass der Informationsgrad der Händler stark an den Stand der Payment Service Provider hinsichtlich der technischen Umsetzung und die befürchtete Abbruchrate bei Kreditkartenzahlungen gebunden ist.
Seit der Erstellung der Studie hat sich einiges getan, sodass eine heute durchgeführte Umfrage ein positiveres Ergebnis liefern dürfte. Es werden aufgrund des Zeitdrucks nicht alle Payment Service Provider am 14. September adäquate Lösungen anbieten können, aber es ist wieder ein Schritt mehr in Richtung Lösung getan worden.
Hinzu kommen weitere Ankündigungen auch aus Richtung der Aufsichtsbehörden. Im Juni erst gab die EBA bekannt, dass den nationalen Behörden eine gewisse "aufsichtliche Flexibilität" zuerkannt wird, um geeignete Maßnahmen zur Umsetzung zu ergreifen und somit den reibungslosen Übergang auf die neuen Anforderungen zu ermöglichen. Auch wenn dies keine Verschiebung des Stichtages 14. September darstellt und die BaFin Bereitschaft zeigt, diese Flexibilität zu nutzen, sind die Payment Service Provider weiterhin verpflichtet, anhand eines klaren Planes zeitnah Rechtskonformität herzustellen.
Diese Bereitschaft der BaFin und ihr Gesprächsangebot an die Marktakteure, das deutlich darauf abzielt, Verwerfungen zum Nachteil der Kunden/Endverbraucher zu vermeiden, senden ein positives Signal an die Branche.
Mitgliedern des bevh wurden und werden regelmäßig durch die bevh-Rechtsinfo, auch Sonderausgaben und schwerpunktbezogene Newsletter mit dem neuesten Stand der Informationen versorgt. Darüber hinaus bietet die Website des Verbands zu den Themen PSD2 und SCA ein Webinar und ein stets tagaktuelles Q&A-Papier weitere Informationen.
Lässt sich schon absehen, welche Authentifizierungsverfahren sich am stärksten durchsetzen werden?
Das ist eine Frage des Komforts, aber auch der Gewohnheiten und der Marktdurchdringung. Im Wesentlichen werden zunächst diejenigen Verfahren zum Einsatz kommen, die die Banken bereits für ihr eigenes Online-Banking einsetzen. Hier steht das OTP (One Time Passwort) ganz oben, wobei Banken häufig die Generierung des Passworts noch durch eine biometrische Authentifizierung über das Smartphone absichern.
Der Charme der Authentifizierung per Biometrie liegt in ihrem Komfort, sodass Kunden, die sich das Merken und Eintippen eines Passworts sparen können, auf längere Sicht das Authentifizierungsverfahren zu einem Entscheidungskriterium bei der Wahl des Finanzpartners machen werden.
Ein noch komfortablerer Schritt wird allerdings die Möglichkeit für Händler sein, das Login ins Kundenkonto mit der Zahlungsauslösung zu koppeln.
Computop entwickelt dafür gerade eine Biometrie-Lösung nach Fido-Standard, die dem Händler die sichere Authentifizierung gestattet - und diese kann zugleich beim Check-out an das Zahlungsinstitut des Kunden übergeben werden, sodass eine weitere Abfrage, zum Beispiel durch den Acquirer, unterbleiben kann.
Werden Payment-Dienstleistungen durch den zusätzlichen Authentifizierungsschritt für Händler teurer?
Das ist nicht zu erwarten, solange die Händler die Authentifizierungslösungen der Banken übernehmen. Bieten sie ihren Kunden eigene, komfortablere Methoden an, wird dafür ein allerdings sehr kleiner Aufschlag hinzukommen.
Welche Auswirkungen auf die Konversionsraten im Online-Handel erwarten Sie von der Zwei-Faktor-Authentifizierung? Wie können Händler dem begegnen?
Die Befürchtungen der Händler, dass es zu erhöhten Abbruchraten im Checkout-Prozess kommt, die auf die Zwei-Faktor-Authentifizierung zurückzuführen sind, sind hoch. Noch einmal auf die Studie des EHI "Online Payment 2019" zurückgegriffen, gaben 82 Prozent der antwortenden Händler auf die Frage nach den Auswirkungen der Zwei-Faktor-Authentifizierung eben dies an. Als weitere Auswirkungen, jedoch nicht unmittelbar auf die Konversionsrate, wurden erhöhtes Serviceaufkommen und der komplexere Zahlungsvorgang als solches, und hohe Kosten der Umstellung benannt.
Nur zwei der vier beliebtesten Zahlungsarten unterliegen dem Erfordernis der Zwei-Faktor-Authentifizierung, Kreditkarten und Paypal, aber hier auch stellvertretend für E-Wallets genannt. Für letztere Zahlart ist die Zwei-Faktor-Authentifizierung ganz neu. Paypal hat im April für seine Nutzenden eine App herausgebracht, die die Zwei-Faktor-Authentifizierung ermöglicht. Neben der App ist dies auch durch einen SMS-Code möglich.
Für Kreditkarten gibt es bereits seit Jahren Angebote kartenausgebender Institute, die die Zwei-Faktor-Authentifizierung beinhalten. Vormalige Programme wie "Verified by Visa" und "Mastercard Secure Code", um nur zwei zu nennen, haben es auch schon vor der Zwei-Faktor-Authentifizierung im Rahmen der PSD2 Kunden ermöglicht, ihre Zahlungen im Online-Handel zu verifizieren.
Laut EHI Studie haben 2018 55 Prozent und 2019 bereits 68 Prozent der Händler die Kartenzahlung mit 3D Secure in ihren Shops integriert. Kaufabbrüche der Kunden, die bei Einsatz von 3D Secure, zu verzeichnen waren, sind hier sicher auch darauf zurückzuführen, dass Kunden mit noch nicht registrierten Karten zunächst ihre Kreditkarte im entsprechenden Programm registrieren lassen mussten - entweder innerhalb des Zahlungsprozesse oder vorher. Das zählte sicher nicht zu den bequemsten Vorgängen, wenn innerhalb eines Kaufabschlusses erst einmal die Kreditkarte registriert werden muss.
Die Veränderung kann also auch als eine Chance zur Verbesserung gesehen werden, wenn es ab 14. September nur noch eine Kombination gibt: 3D Secure bei der Kreditkartenzahlung im Shop und die registrierte Karte des Kunden.
Kunden, deren Karte bereits länger registriert war und ist und die in Shops mit 3D-Secure-Anbindung gezahlt haben, verlassen mit der 2FA nicht mehr ihre Komfortzone, die Karte registrieren zu müssen, für diese wird die Umstellung auf 3D Secure 2.0 sogar komfortabler.
Auch wenn sich hier Aussagen wiederholen: Die am häufigsten angebotenen Zahlarten in Online-Shops sind nicht zwangsläufig auch die vom Kunden am häufigsten gewählten, sondern Kauf auf Rechnung, Paypal, Lastschrift und Kreditkarte.
Der Kauf auf Rechnung als die beliebteste Zahlart der Kunden ist, laut der EHI Studie, im Zahlartenangebot der Online-Shops 2019 eher rückläufig. Darin ist ein Widerspruch nicht zu verkennen. Diesen Fakt zu überdenken, wäre seitens der Händler eine Möglichkeit einer sinkenden Konversionsrate zu begegnen.
In der Entfernung von Zahlarten aus dem Angebot wird keine Lösung gesehen, hierdurch fühlen sich wiederkehrende Kunden eher irritiert oder abgeschreckt.
Die Frage "Wie können Händler dem begegnen?" könnte man auch "Mit etwas mehr Vertrauen in den Kunden" beantworten. Banken und Sparkassen informieren seit Monaten ihre Kunden mit Informationen zu PSD2 und der starken Kundenauthentifizierung, haben ihr Online-Banking, ihre Freigabeverfahren umgestellt. Kreditkartenausgebende Institute stehen dem in nichts nach.
Erwarten Sie durch die starke Kundenauthentifizierung eine Verschiebung bei den genutzten Bezahlverfahren - wenn ja, welche?
Wir rechnen mit einer vorrübergehenden Verschiebung zugunsten von Rechnungskauf und Lastschriftzahlungen. Außerdem erwarten wir, dass marktstarke Dienstleister wie Paypal und Amazon Payments aufgrund ihrer Erfahrung schneller komfortable Lösungen für die Zwei-Faktor-Authentifizierung finden werden, sodass die Kartenzahlungen temporär zurückgehen werden.
Wie bewerten Sie 3D Secure 2.0? Ist das Verfahren nutzerfreundlicher als die Vorgängerversion? Wird es die Auswirkungen abmildern können?
Wenn 3DSecure 2.0 richtig eingesetzt wird, können die Banken mit den zusätzlichen Daten ein Risikomanagement betreiben und die 2FA auf wenige Fälle reduzieren. Kartenzahlungen werden dann einfacher und komfortabler. Nur der Weg dahin ist steinig, weil der Termin zu knapp gesetzt war.
Käufe unter 30 Euro sind von der Zwei-Faktor-Authentifizierung ausgenommen. Welchen Anteil an den Bestellungen im Versandhandel haben diese Einkäufe?
Der Anteil an Bestellungen unter 30 Euro liegt nach einer Auswertung von Computop aus tatsächlichen Transaktionen des B2C-Onlinehandels bei 26 Prozent.
Wie sind die "Whitelists" aus Sicht des Versandhandels zu bewerten? Ist von dieser Ausnahmeregelung eine Wettbewerbsverzerrung zulasten kleinerer Händler zu befürchten? Wie kommen Online-Shops überhaupt auf eine solche Whitelist?
Das Whitelisting durch den Kunden ist im Prinzip eine brauchbare Lösung, um sich als Händler gegen eine zu häufige Aufforderung zur Passworteingabe durch den Kunden zu schützen. Der Prozess ist allerdings nicht optimal. Denn das Whitelisting geschieht ausschließlich durch die kontoführende Bank des Kunden, und zwar auf freiwilliger Basis. Das macht es dem Händler schwer, den Kunden durch diesen Vorgang zu begleiten.
Zudem werden Kunden dazu übergehen, vor allem Vollsortimenter des täglichen Bedarfs zu "Whitelisten", der kleine Spezialshop mit dem ausgefallenen Sortiment wird hier eher nicht berücksichtigt und erlebt dadurch einen Wettbewerbsnachteil. Händler können also nicht viel mehr tun, als ihre Kunden zu er muntern, das Whitelisting bei ihrer Bank vorzunehmen.
Rechnen Sie mit der Zeit mit einem Gewöhnungseffekt, der möglicherweise sinkende Konversionsraten auch wieder ansteigen lässt?
Ja, auf jeden Fall. Je nutzerfreundlicher die zur Anwendung kommenden Verfahren sind, desto eher kann man auch mit einem Anstieg der Konversionsrate rechnen.
Die Veränderungen, die mit der Zwei-Faktor-Authentifizierung einhergehen, betreffen Kunden und Händler gleichermaßen. So sollten sich auch beiden Seiten eine Zeit der Eingewöhnung und Anpassung gestatten.
Unter dem Strich: Ist die starke Kundenauthentifizierung aus Sicht des Versandhandels eher positiv zu bewerten oder überwiegen die Nachteile? Fällt diese Bewertung für große und kleine Händler gleich aus oder ist hier zu differenzieren?
Sicherheit und Bequemlichkeit sind die prägenden Elemente des Online-Einkaufs. Sie stehen in ausgewogener Balance. Neue Regelungen finden immer Befürwortenden und Ablehnende und führen zu einem "Ausschlag des Pendels" auf eine Seite, ehe sich das System wieder kalibriert.
Wir sehen die starke Kundenauthentifizierung auch als Chance für den Online-Handel mit dem Argument der größeren Sicherheit neue Kunden zu gewinnen und bestehende zu binden.
Und: Für kleinere Händler kann die Umstellung auch Anlass bieten, eine gewisse "Abhängigkeit" von Zahlarten aufzulösen.
