Strong Customer Authentication (SCA) in Unternehmensprozessen - gemäß PSD2

Da zahlreiche Anbieter nach wie vor Probleme bei der Umsetzung der PSD2-Richtlinie haben, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Übergangsphase für die strengeren Kreditkartenregeln ausgeweitet und ein Stufenmodell für die ersten Monate in 2021 etabliert. Dieses sieht vor, dass ab dem 15. Januar 2021 Zahlungen ab 250 Euro mit zwei voneinander unabhängigen Faktoren freigegeben werden müssen, ab 15. Februar greift die „Zwei-Faktor-Authentifizierung“ dann ab 150 Euro. In vollem Umfang sollen die Regeln ab Mitte März 2021 angewendet werden.

Das heißt: Zusätzlich zu Kreditkartennummer und Prüfziffer wird ein Passwort abgefragt sowie bspw. eine Transaktionsnummer (TAN). Diese muss der Zahlende dann zur Hand haben, um sich zu identifizieren. Damit werden Vorschriften der EU-Zahlungsdienste-Richtlinie PSD2 umgesetzt, mit dem Ziel, den elektronischen Zahlungsverkehr sicherer zu machen. Ursprünglich sollte die SCA-Regelung am 14. September 2019 im gesamten Europäischen Wirtschaftsraum in Kraft treten. Kurz vorher gab die BaFin bekannt, den verpflichtenden Einsatz auf den 1. Januar 2021 zu verschieben. Damit wurde ein Aufschub gewährt, der wenige Tage vor Ablauf nochmal mit Einschränkungen bis März 2021 verlängert wurde.

Herausforderung für den Business Travel:

  • Sicherstellen der elektronischen Bezahlung von Reisekosten
  • Welche Prozesse im Zusammenhang mit Kreditkarten lösen SCA aus?
  • Hat jeder Anwender Zugang zu den erforderlichen Identifizierungen?
  • Welche Ausnahmenregelungen gibt es?
  • Wie sind die Ausnahmen umzusetzen?
  • Wer trägt das Haftungsrisiko?
Exklusiver Inhalt für VDR-Mitglieder

Exklusiver Inhalt für VDR-Mitglieder

Fragenkatalog Umsetzung PSD2 / SCA (Output VDR-Round Table vom 01.12.2020)

Zu den Inhalten

Vorabautorisierung bei Hotel-Reservierungen rechtens? AGBs prüfen!

Um sicherzustellen, dass die Kreditkarte zum Zeitpunkt der Buchung „belastbar“ ist, nutzen beispielsweise Hotels eine sogenannte Vorabautorisierung (Pre-Authorization). Hierbei wird der angefragte Betrag auf der Kreditkarte reserviert, ohne dass zunächst eine Abbuchung erfolgt. Dadurch verringert sich jedoch das Kreditlimit der eingesetzten Karte um den reservierten Betrag. Ist diese Vorgehensweise rechtens?

Die Reservierung eines Zimmers stellt juristisch den Abschluss eines Beherbergungsvertrags dar, dessen Details sich nach der individuellen Vereinbarung und den zugrunde gelegten Allgemeinen Geschäftsbedingungen (AGB) richten. Diese können vorsehen, dass das Hotel dazu berechtigt ist, zum Beispiel eine Sicherheitsleistung bis zu 100 Prozent oder eine „angemessene Vorauszahlung oder Sicherheitsleistung" in Form einer Kreditkartengarantie zu verlangen. Inwiefern eine solche Belastung im Einzelfall "angemessen" ist, richtet sich nach den Vereinbarungen z.B. in Bezug auf eine zu zahlende „Stornierungsentschädigung“. Es ist also ratsam, die AGBs der Anbieter auf entsprechende Vereinbarungen zu prüfen.

VDR-Hinweis: Bereiten Sie Ihre Reisenden auf den Einsatz von SCA vor

Die „Starke Kundenauthentifizierung“ ist ein typisches Business-Travel-Prozessthema. Das bedeutet unter anderem, dass es zahlreiche unternehmensindividuelle Vorgänge gibt – und zwar auf allen Seiten: bei den Kunden, den Anbietern, den Intermediären und auch bei den Kreditkarten-Herausgebern. Das macht Aussagen zu allgemeinverbindlichen Lösungen schwierig und nach aktuellem Stand sind keineswegs alle Prozesse umfänglich geklärt bzw. Lösungen gefunden. Das gilt unteranderem, wenn die Kreditkarte auch andere Funktionen erfüllt als das reine Bezahlen wie z. B. eine Garantie-Funktion.

Die gute Nachricht ist: An alle Vorgänge über die sog. Lodge- oder Reisestellen-Karten sowie über einmalig virtuell generierte Kreditkarten können Sie einen Haken machen! Aber: Um alle Kreditkarten-Prozesse, bei denen personalisierte Kreditkarten – unabhängig von der Haftungsfrage – im Einsatz sind, müssen Sie sich unbedingt kümmern und mit Ihren Anbietern sprechen.    

Da noch nicht alle Prozesse geklärt sind, sollten Sie damit rechnen, dass es ab dem 1. Januar 2021 bei dem Einsatz persönlicher Kreditkarten möglicherweise „ruckelt“. Tatsächlich hat in diesem Fall die Corona-Pandemie – auch wenn es fast makaber klingt – etwas Gutes: Das Reiseaufkommen wird weiterhin sehr überschaubar sein. Trotzdem: Bereiten Sie Ihre Kreditkartennutzer darauf vor. Kommunizieren Sie mit Ihren Kollegen, weisen Sie auf die Bedeutung der Mehrfach-Identifikation hin (in den Informationen von Andrea Zimmermann, btm4u, Seite 10-11 finden Sie dafür eine Vorlage) und richten Sie eine Feedback-Funktion für Ihre Reisenden ein, damit Störfälle gemeldet werden können.   

Informationen zum Thema

Einen guten Überblick über das Thema „Starke Kundenauthentifizierung“ und PSD2 inklusive zahlreicher Erklärungen und Anwendertipps finden Sie in dieser Zusammenfassung unseres langjährigen Mitglieds Andrea Zimmermann von der Unternehmensberatung btm4u.

Informationen zu PSD2 und SCA | Andrea Zimmermann, btm4u

Lösungen der Anbieter

Wir haben unsere Mitglieder, die Anbieter von Mobilitätsangeboten, -produkten und -dienstleistungen angefragt, uns ihre Lösungen für künftige elektronische Bezahlprozesse zur Verfügung zu stellen. Hier finden Sie die bisherigen Eingaben – wir aktualisieren täglich.

AirPlusStrong Customer Authentication (SCA) Warum? Was ist das? (Präsentation im VDR-Fachausschuss Hotel)
Wichtige Informationen zu SCA und Virtual Cards im Hotel
SCA: Mehr Sicherheit auf Kosten der Benutzerfreundlichkeit?
AmadeusFive questions corporations should ask about new SCA payment rules
PSD2 work flow
American ExpressSo bleiben Ihre Online-Konten sicher
Zusätzliche Sicherheit für Haupt- und Zusatzkarteninhaber
AtlatosPSD2 – Auswirkungen auf die Buchung von Geschäftsreisen
CWTSCA FAQs
ehotelInformation zur EU-Zahlungsdienstrichtlinie (PSD2)
Lufthansa GroupAnpassung der Zahlungsprozesse
VisaPSD2 SCA and the Travel & Hospitality Sector

Ihre Empfehlungen fehlen noch? Dann senden Sie uns Ihren Link an weigel@vdr-service.de 

Exklusiver Inhalt für VDR-Mitglieder

Exklusiver Inhalt für VDR-Mitglieder

Best Practice: „Kommunikation an die Kreditkartennutzer zur Umstellung auf Starke Kundenauthentifizierung (SCA)“ 

Zu den Inhalten

VDR-Meldungen zu SCA und PSD2

Die Meldungen stehen z.T. nur VDR-Mitgliedern zur Verfügung. Bitte nutzen Sie Ihre Logindaten.

Sie sind noch kein VDR-Mitglied?

Informieren Sie sich gleich über alle Vorteile einer Mitgliedschaft!

Infos anfordern