Neue EU-Richtlinie für Sicherheit beim Online-Shopping
EU-Richtlinie fordert mehr Kontrollen beim Onlineshopping
Ab dem 14. September wird sich für Verbraucher eine Menge beim Onlineshopping ändern, denn zu diesem Zeitpunkt tritt eine neue Richtlinie der EU in Kraft. Im Fokus steht hierbei der Bezahlvorgang, der bereits heute durch Code-Generatoren, TAN-Verfahren oder biometrische Daten abgesichert wird. In Zukunft werden die Onlinehändler durch die EU-Zahlungsdienstrichtlinie in die Pflicht genommen. Dass bedeutet, dass bei einer Kreditkartenzahlung eine zusätzliche Abfrage erfolgen muss. Demnach müssen Kunden in Zukunft neben der Kreditkartennummer, der Sicherheitszahl und dem Verfallsdatum auch einen zusätzlichen Sicherheitsdienst akzeptieren.
Insbesondere bei den Onlinehändlern stoßen diese Maßnahmen auf wenig Gegenliebe, denn viele Händler verzichten bewusst auf komplexe Absicherungsmechanismen. Verschiedene Statistiken zeigen, dass die Mechanismen zur Kundenidentifikation die Nutzer oftmals abschrecken – im schlimmsten Fall droht ein Abbruch der Transaktion. Während sich die Politik eine sinkende Betrugsrate erhofft, zeigen sich die Händler durch eine doppelte Authentifizierung der Kunden bedroht. Vor allem besteht das Risiko, dass die Kunden die neuen Verfahren nicht oder nur selten nutzen werden. Die gute Nachricht an der neuen EU-Richtlinie – vorerst sind nicht alle Zahlungsarten von der Änderung betroffen.
Ein Blick auf den Anteil der Zahlungsarten verdeutlicht zudem die Relevanz der Kreditkarte im Onlinehandel. In Deutschland bezahlen immerhin 11 Prozent der Kunden mithilfe der Kreditkarte. Fallen beliebte Bezahlmethoden wie die Rechnung, Lastschrift oder PayPal weg, könnte ein Kauf möglicherweise komplett scheitern. Für den E-Commerce würde sich somit ein gegenläufiger Trend abzeichnen. Die zurückhaltende Stellung beruht zudem auf Erfahrungen, denn bereits heute gibt es extra Check-out-Prozesse für Kunden. So bieten Visa mit Verified by Visa oder Mastercard mit Mastercard Secure Code entsprechende Absicherungen an.
Händler verzichten bewusst auf Absicherungen im Onlinehandel
Laut Stefan Gehth, dem Hauptgeschäftsführer des Handelsverbands Deutschland HDE, sind die Absicherungen der Kreditkartenunternehmen nicht sonderlich beliebt. Um dem Kunden eine bessere Erfahrung beim Onlineshopping zu bieten, ermöglichen viele Shop-Betreiber den Kunden ein Kauf ohne Absicherung – das Risiko des Zahlungsausfalls geht dabei auf den Händler über. Die Alternative ist der Kaufabbruch und dieser wäre noch teurer. Doch diese Wahlfreiheit wird ab dem 14. September entfallen und der Grad der Sicherheitsprüfung durch die EU vorgegeben. Die doppelte Kundenauthentifizierung ist somit eine Pflicht für alle Händler innerhalb der EU.
Insgesamt wird die neue EU-Richtlinie die Sicherheit im Zahlungsverkehr erhöhen und zwei von drei möglichen Faktoren abfragen. Bei den Faktoren handelt es sich um:
- Geheimes Wissen, welches nur dem Kunden bekannt ist.
- Einen geheimnishütenden Gegenstand wie ein Smartphone oder eine Karte.
- Biometrische Charakteristika wie ein Fingerabdruck.
Neben der Kreditkarte ist wohl auch PayPal von dieser Änderung betroffen. Dahingegen wird der Kauf auf Rechnung keiner eklatanten Änderung unterliegen – die Zahlung erfolgt auch erst nach der Lieferung der Ware. Schlussendlich wird sich auch bei der Nutzung der Lastschrift keine Änderung für die Nutzer ergeben.
Die entsprechenden Änderungen finden aktuell statt und Schnittstellen zwischen Banken und Händlern werden zunehmend geöffnet. Bis heute steht nicht fest, ob die Banken und Händler rechtzeitig bis zum 14. September fertig werden. Eine große Herausforderung sei laut Arne Pache, einem Mastercard-Manager, die Kommunikation zwischen den Banken und Händlern. Vor allem Kunden hätten kein Interesse an längeren Bezahlvorgängen, denn das Onlineshopping wird grundsätzlich als sehr sicher empfunden.
Ausnahmen von der Zwei-Faktor-Authentifizierung sind möglich
Allerdings kann die Bank des Nutzers auch auf eine entsprechende Prüfung eines zweiten Faktors verzichten. Hierfür muss eine Risikoanalyse durchgeführt werden, welche 120 Datenpunkte überprüft. Diese Datenpunkte werden vom Händler an die Bank übermittelt und durch ein Prüfverfahren untersucht. Zu diesen Datenpunkten gehören die IP-Adresse des Rechners, das genutzte Gerät oder auch die Bezeichnungen der Produkte. Ergibt die Prüfung der Bank eine unterdurchschnittliche Betrugsquote, so muss der zweite Faktor nicht abgefragt werden. Aus Sicht des Datenschutzes würde zudem kein Problem resultieren, da keine personenbezogenen Daten übermittelt werden.
Des Weiteren stellen kleine Beträge ebenfalls eine Ausnahme dar. So hebt die Richtlinie hervor, dass Einkäufe unter 30 Euro ebenfalls keine zusätzliche Prüfung erfordern. Auch die Händler setzen auf eine dritte Ausnahmeregelung, in der Kunden ihrer Bank Vorschläge zu Lieblingshändlern übermitteln können – diese werden im Anschluss nicht von der stärkeren Authentifizierung berücksichtigt. Für dieses Vorgehen muss lediglich eine umfangreiche Authentifizierung erfolgen. Hierbei verbleibt das letzte Wort jedoch bei der Bank, sodass eine Ablehnung der Anfrage auch zu einer komplexeren Transaktion führt. Die BaFin merkt zudem an, dass Banken eine solche Möglichkeit nicht zwingend anbieten müssen. Der Handelsverband HDE kritisiert zudem, dass kleinere Shops durch diesen Ansatz benachteiligt werden. Lediglich große Unternehmen wie Amazon würden von dieser Vorgehensweise profitieren und könnten somit eine weitere Konzentration des Onlinehandels anstreben. Kaum ein Kunde würde einen kleinen Onlineshop auf eine entsprechende Whitelist setzen, um eine einmalige Transaktion zu erleichtern.