Besser spät als nie". So kommentiert der Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh), Berlin, die Entscheidung der BaFin vom 3. Dezember 2020, hinsichtlich der Frage nach einem "Big Bang" bei der starken Kundenauthentifizierung oder einer stufenweisen Umstellung doch noch einzulenken. Per E-Mail informierte die BaFin den Verband, sie habe zur Kenntnis genommen, dass die Zahlungsdienstleister ihre Implementierungsprozesse zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Nun gelte es, die Nutzung der implementierten Verfahren der starken Kundenauthentifizierung bei Kartenzahlungen im Internet möglichst reibungslos zu gestalten und die Stabilität des elektronischen Zahlungsverkehrs weiterhin sicherzustellen. Dazu hat sich die Aufsicht nun doch noch auf den vom Handel geforderten geordneten Hochlauf in festgelegten Etappen eingelassen und damit gewissermaßen ein Herz für den Handel bewiesen.
Seit dem 15. Januar dieses Jahres musste die starke Kundenauthentifizierung bei Kartenzahlungen im Internet, die nicht unter die gesetzlich festgelegten Ausnahmen fallen, zunächst auf Transaktionen mit einem Betrag über 250 Euro angewandt werden, seit dem 15. Februar ist die Schwelle auf 150 Euro gesenkt worden und ab dem 15. März gilt die starke Kundenauthentifizierung dann endgültig unabhängig vom Betrag. Im Rahmen des Risikomanagements ist es dabei zulässig, die Ablehnung von Zahlungen ohne erforderliche Zwei-Faktor-Authentifizeirung als sogenannten "soft decline" auszugestalten; bei dieser Art von Ablehnung wird dem Händler signalisiert, dass die Transaktion nicht endgültig gescheitert ist, sondern ein erneuter Versuch - im vorliegenden Kontext mit starker Kundenauthentifizierung - erfolgreich sein könnte. Mit diesem Vorgehen soll den Issuern im Rahmen ihres Risikomanagements die Möglichkeit gegeben werden, anfangs noch auftretende Schwierigkeiten beim Durchführen der starken Kundenauthentifizierung, die dann auf einen geringen Teil der Zahlungen begrenzt wären, effektiv zu beheben sowie die Performance der Zahlungsverkehrssysteme unter schrittweise ansteigender Last ständig zu beobachten und bei auftretenden Herausforderungen effektiv gegenzusteuern. Ziel dieses Vorgehens ist es nicht, den individuellen Marktbeteiligten zusätzliche Zeit für die technische Umsetzung der neuen Anforderungen zu geben.
Ob das alles so klappt wie geplant und wie sich die starke Kundenauthentifizierung auf die Konversionsraten des Online-Handels auswirkt, wird die Branche vermutlich erst nach dem letzten ultimativen Stichtag zum Ende des ersten Quartals beurteilen können. Dass es dann noch eine Gnadenfrist geben wird, ist vermutlich ausgeschlossen. Denn mit der seit Jahresbeginn geltenden Fristenregelung sind der Ermessensspielraum der BaFin und wohl auch ihre Geduld ausgereizt. Soll die Zwei-Faktor-Authentifizierung nicht zu einer unendlichen Geschichte und damit quasi zu einer bloßen Option verkommen, muss es irgendwann einmal einen echten Stichtag geben, so ärgerlich das für alle Beteiligten sein mag.
Eine Unwägbarkeit und Schwachstelle an allen Konzepten ist der Kunde. Wenn ihm das Verfahren zu kompliziert wird oder er die verlangten Nummern nicht zur Hand hat, scheitert entweder die Transaktion - oder er weicht auf weniger komplizierte Bezahlverfahren aus. Diese Erfahrung hat der Chronist selbst bereits gemacht. Das 3D-Secure-Passwort für die Kreditkarte wurde längst festgelegt - lange bevor es wegen der wiederholten Verschiebung der Zwei-Faktor-Authentifizierung tatsächlich gebraucht wurde. Und wie das mit nicht benötigten Passwörtern so ist, ist es längst dem Gedächtnis entschwunden. Natürlich ist ein Zurücksetzen möglich. Im Moment des Kaufwunsches am virtuellen PoS ist das aber keine attraktive Option. Im konkreten Fall bot sich das Ausweichen auf Paypal als komfortable Alternative an. Dieses Beispiel mag nicht repräsentativ sein - es wird jedoch auch kein Einzelfall sein. Auch der HDE hat schon seit langem auf zu erwartende Ausweichreaktionen der Kunden hingewiesen. Für die Emittenten heißt das: In vielen Fällen werden die Verfahren noch nachgebessert werden müssen, um das geforderte zweistufige Sicherheitsverfahren mit Nutzerkomfort in Einklang zu bringen. Biometrische Verfahren können hier sicher vieles erleichtern. Vielleicht braucht es die bittere Erfahrung, viele Transaktionen scheitern zu sehen, um die Entwicklung in diese Richtung zu beschleunigen.
