Strong Customer Authentication (SCA) in Unternehmensprozessen - gemäß PSD2
Da zahlreiche Anbieter nach wie vor Probleme bei der Umsetzung der PSD2-Richtlinie haben, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Übergangsphase für die strengeren Kreditkartenregeln ausgeweitet und ein Stufenmodell für die ersten Monate in 2021 etabliert. Dieses sieht vor, dass ab dem 15. Januar 2021 Zahlungen ab 250 Euro mit zwei voneinander unabhängigen Faktoren freigegeben werden müssen, ab 15. Februar greift die „Zwei-Faktor-Authentifizierung“ dann ab 150 Euro. In vollem Umfang sollen die Regeln ab Mitte März 2021 angewendet werden.
Das heißt: Zusätzlich zu Kreditkartennummer und Prüfziffer wird ein Passwort abgefragt sowie bspw. eine Transaktionsnummer (TAN). Diese muss der Zahlende dann zur Hand haben, um sich zu identifizieren. Damit werden Vorschriften der EU-Zahlungsdienste-Richtlinie PSD2 umgesetzt, mit dem Ziel, den elektronischen Zahlungsverkehr sicherer zu machen. Ursprünglich sollte die SCA-Regelung am 14. September 2019 im gesamten Europäischen Wirtschaftsraum in Kraft treten. Kurz vorher gab die BaFin bekannt, den verpflichtenden Einsatz auf den 1. Januar 2021 zu verschieben. Damit wurde ein Aufschub gewährt, der wenige Tage vor Ablauf nochmal mit Einschränkungen bis März 2021 verlängert wurde.
Herausforderung für den Business Travel:
- Sicherstellen der elektronischen Bezahlung von Reisekosten
- Welche Prozesse im Zusammenhang mit Kreditkarten lösen SCA aus?
- Hat jeder Anwender Zugang zu den erforderlichen Identifizierungen?
- Welche Ausnahmenregelungen gibt es?
- Wie sind die Ausnahmen umzusetzen?
- Wer trägt das Haftungsrisiko?
Exklusiver Inhalt für VDR-Mitglieder
Fragenkatalog Umsetzung PSD2 / SCA (Output VDR-Round Table vom 01.12.2020)
Vorabautorisierung bei Hotel-Reservierungen rechtens? AGBs prüfen!
Um sicherzustellen, dass die Kreditkarte zum Zeitpunkt der Buchung „belastbar“ ist, nutzen beispielsweise Hotels eine sogenannte Vorabautorisierung (Pre-Authorization). Hierbei wird der angefragte Betrag auf der Kreditkarte reserviert, ohne dass zunächst eine Abbuchung erfolgt. Dadurch verringert sich jedoch das Kreditlimit der eingesetzten Karte um den reservierten Betrag. Ist diese Vorgehensweise rechtens?
Die Reservierung eines Zimmers stellt juristisch den Abschluss eines Beherbergungsvertrags dar, dessen Details sich nach der individuellen Vereinbarung und den zugrunde gelegten Allgemeinen Geschäftsbedingungen (AGB) richten. Diese können vorsehen, dass das Hotel dazu berechtigt ist, zum Beispiel eine Sicherheitsleistung bis zu 100 Prozent oder eine „angemessene Vorauszahlung oder Sicherheitsleistung" in Form einer Kreditkartengarantie zu verlangen. Inwiefern eine solche Belastung im Einzelfall "angemessen" ist, richtet sich nach den Vereinbarungen z.B. in Bezug auf eine zu zahlende „Stornierungsentschädigung“. Es ist also ratsam, die AGBs der Anbieter auf entsprechende Vereinbarungen zu prüfen.
VDR-Hinweis: Bereiten Sie Ihre Reisenden auf den Einsatz von SCA vor
Die „Starke Kundenauthentifizierung“ ist ein typisches Business-Travel-Prozessthema. Das bedeutet unter anderem, dass es zahlreiche unternehmensindividuelle Vorgänge gibt – und zwar auf allen Seiten: bei den Kunden, den Anbietern, den Intermediären und auch bei den Kreditkarten-Herausgebern. Das macht Aussagen zu allgemeinverbindlichen Lösungen schwierig und nach aktuellem Stand sind keineswegs alle Prozesse umfänglich geklärt bzw. Lösungen gefunden. Das gilt unteranderem, wenn die Kreditkarte auch andere Funktionen erfüllt als das reine Bezahlen wie z. B. eine Garantie-Funktion.
Die gute Nachricht ist: An alle Vorgänge über die sog. Lodge- oder Reisestellen-Karten sowie über einmalig virtuell generierte Kreditkarten können Sie einen Haken machen! Aber: Um alle Kreditkarten-Prozesse, bei denen personalisierte Kreditkarten – unabhängig von der Haftungsfrage – im Einsatz sind, müssen Sie sich unbedingt kümmern und mit Ihren Anbietern sprechen.
Da noch nicht alle Prozesse geklärt sind, sollten Sie damit rechnen, dass es ab dem 1. Januar 2021 bei dem Einsatz persönlicher Kreditkarten möglicherweise „ruckelt“. Tatsächlich hat in diesem Fall die Corona-Pandemie – auch wenn es fast makaber klingt – etwas Gutes: Das Reiseaufkommen wird weiterhin sehr überschaubar sein. Trotzdem: Bereiten Sie Ihre Kreditkartennutzer darauf vor. Kommunizieren Sie mit Ihren Kollegen, weisen Sie auf die Bedeutung der Mehrfach-Identifikation hin (in den Informationen von Andrea Zimmermann, btm4u, Seite 10-11 finden Sie dafür eine Vorlage) und richten Sie eine Feedback-Funktion für Ihre Reisenden ein, damit Störfälle gemeldet werden können.
Informationen zum Thema
Einen guten Überblick über das Thema „Starke Kundenauthentifizierung“ und PSD2 inklusive zahlreicher Erklärungen und Anwendertipps finden Sie in dieser Zusammenfassung unseres langjährigen Mitglieds Andrea Zimmermann von der Unternehmensberatung btm4u.
Lösungen der Anbieter
Wir haben unsere Mitglieder, die Anbieter von Mobilitätsangeboten, -produkten und -dienstleistungen angefragt, uns ihre Lösungen für künftige elektronische Bezahlprozesse zur Verfügung zu stellen. Hier finden Sie die bisherigen Eingaben – wir aktualisieren täglich.
Ihre Empfehlungen fehlen noch? Dann senden Sie uns Ihren Link an weigel@vdr-service.de
Exklusiver Inhalt für VDR-Mitglieder
Best Practice: „Kommunikation an die Kreditkartennutzer zur Umstellung auf Starke Kundenauthentifizierung (SCA)“
VDR-Meldungen zu SCA und PSD2
Die Meldungen stehen z.T. nur VDR-Mitgliedern zur Verfügung. Bitte nutzen Sie Ihre Logindaten.
VDR-Webseite zur „Umsetzung PSD2 / Starke Kundenauthentifizierung“ jetzt live (11.12.2020)
Finale Umstellung auf SCA steht vor der Tür (21.08.2020)
„SCA“: Finanzaufsicht verschiebt neue Bezahlregeln (22.08.2019)
- Informationen zur Strong Customer Authentication (SCA) bei Kreditkartenzahlung ab 14. September 2019 (28.03.2019)
Sie sind noch kein VDR-Mitglied?
Informieren Sie sich gleich über alle Vorteile einer Mitgliedschaft!
Benutzeranmeldung
Bitte geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden.
