Strong Customer Authentication (SCA) in Unternehmensprozessen - gemäß PSD2

Die gute Nachricht zum Jahresbeginn: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verlängert die Schonfrist für die strengeren Kreditkartenregeln. Da zahlreiche Anbieter nach wie vor Probleme haben bei der Umsetzung der PSD2-Richtlinie, hat die Finanzaufsicht nun die Übergangsphase erneut ausgeweitet und ein Stufenmodell für die ersten Monate in 2021 etabliert. Dies sieht vor, dass ab dem 15. Januar 2021 Zahlungen ab 250 Euro mit zwei voneinander unabhängigen Faktoren freigegeben werden müssen, ab 15. Februar greift die „Zwei-Faktor-Authentifizierung“ dann ab 150 Euro. In vollem Umfang sollen die Regeln ab Mitte März 2021 angewendet werden.

Das heißt: Zusätzlich zu Kreditkartennummer und Prüfziffer wird ein Passwort abgefragt sowie bspw. eine Transaktionsnummer (TAN). Diese muss der Zahlende dann zur Hand haben, um sich zu identifizieren. Damit werden Vorschriften der EU-Zahlungsdienste-Richtlinie PSD2 umgesetzt, mit dem Ziel, den elektronischen Zahlungsverkehr sicherer zu machen. Ursprünglich sollte die SCA-Regelung am 14. September 2019 im gesamten Europäischen Wirtschaftsraum in Kraft treten. Kurz vorher gab die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) bekannt, den verpflichtenden Einsatz auf den 1. Januar 2021 zu verschieben. Damit wurde ein Aufschub gewährt, der wenige Tage vor Ablauf nun doch nochmal nochmal mit Einschränkungen bis März verlängert wurde.

Herausforderung für den Business Travel:

  • Sicherstellen der elektronischen Bezahlung von Reisekosten
  • Welche Prozesse im Zusammenhang mit Kreditkarten lösen SCA aus?
  • Hat jeder Anwender Zugang zu den erforderlichen Identifizierungen?
  • Welche Ausnahmenregelungen gibt es?
  • Wie sind die Ausnahmen umzusetzen?
  • Wer trägt das Haftungsrisiko?

Exklusiver Inhalt für VDR-Mitglieder

Fragenkatalog Umsetzung PSD2 / SCA (Output VDR-Round Table vom 01.12.2020)

Zu den Inhalten

Vorabautorisierung bei Hotel-Reservierungen rechtens? AGBs prüfen!

Um sicherzustellen, dass die Kreditkarte zum Zeitpunkt der Buchung „belastbar“ ist, nutzen beispielsweise Hotels eine sogenannte Vorabautorisierung (Pre-Authorization). Hierbei wird der angefragte Betrag auf der Kreditkarte reserviert, ohne dass zunächst eine Abbuchung erfolgt. Dadurch verringert sich jedoch das Kreditlimit der eingesetzten Karte um den reservierten Betrag. Ist diese Vorgehensweise rechtens?

Die Reservierung eines Zimmers stellt juristisch den Abschluss eines Beherbergungsvertrags dar, dessen Details sich nach der individuellen Vereinbarung und den zugrunde gelegten Allgemeinen Geschäftsbedingungen (AGB) richten. Diese können vorsehen, dass das Hotel dazu berechtigt ist, zum Beispiel eine Sicherheitsleistung bis zu 100 Prozent oder eine „angemessene Vorauszahlung oder Sicherheitsleistung" in Form einer Kreditkartengarantie zu verlangen. Inwiefern eine solche Belastung im Einzelfall "angemessen" ist, richtet sich nach den Vereinbarungen z.B. in Bezug auf eine zu zahlende „Stornierungsentschädigung“. Es ist also ratsam, die AGBs der Anbieter auf entsprechende Vereinbarungen zu prüfen.

VDR-Hinweis: Bereiten Sie Ihre Reisenden auf den Einsatz von SCA vor

Die „Starke Kundenauthentifizierung“ ist ein typisches Business-Travel-Prozessthema. Das bedeutet unter anderem, dass es zahlreiche unternehmensindividuelle Vorgänge gibt – und zwar auf allen Seiten: bei den Kunden, den Anbietern, den Intermediären und auch bei den Kreditkarten-Herausgebern. Das macht Aussagen zu allgemeinverbindlichen Lösungen schwierig und nach aktuellem Stand sind keineswegs alle Prozesse umfänglich geklärt bzw. Lösungen gefunden. Das gilt unteranderem, wenn die Kreditkarte auch andere Funktionen erfüllt als das reine Bezahlen wie z. B. eine Garantie-Funktion.

Die gute Nachricht ist: An alle Vorgänge über die sog. Lodge- oder Reisestellen-Karten sowie über einmalig virtuell generierte Kreditkarten können Sie einen Haken machen! Aber: Um alle Kreditkarten-Prozesse, bei denen personalisierte Kreditkarten – unabhängig von der Haftungsfrage – im Einsatz sind, müssen Sie sich unbedingt kümmern und mit Ihren Anbietern sprechen.    

Da noch nicht alle Prozesse geklärt sind, sollten Sie damit rechnen, dass es ab dem 1. Januar 2021 bei dem Einsatz persönlicher Kreditkarten möglicherweise „ruckelt“. Tatsächlich hat in diesem Fall die Corona-Pandemie – auch wenn es fast makaber klingt – etwas Gutes: Das Reiseaufkommen wird weiterhin sehr überschaubar sein. Trotzdem: Bereiten Sie Ihre Kreditkartennutzer darauf vor. Kommunizieren Sie mit Ihren Kollegen, weisen Sie auf die Bedeutung der Mehrfach-Identifikation hin (in den Informationen von Andrea Zimmermann, btm4u, Seite 10-11 finden Sie dafür eine Vorlage) und richten Sie eine Feedback-Funktion für Ihre Reisenden ein, damit Störfälle gemeldet werden können.   

Informationen zum Thema

Einen guten Überblick über das Thema „Starke Kundenauthentifizierung“ und PSD2 inklusive zahlreicher Erklärungen und Anwendertipps finden Sie in dieser Zusammenfassung unseres langjährigen Mitglieds Andrea Zimmermann von der Unternehmensberatung btm4u.

Informationen zu PSD2 und SCA | Andrea Zimmermann, btm4u

Lösungen der Anbieter

Exklusiver Inhalt für VDR-Mitglieder

Best Practice: „Kommunikation an die Kreditkartennutzer zur Umstellung auf Starke Kundenauthentifizierung (SCA)“ 

Zu den Inhalten

VDR-Meldungen zu SCA und PSD2

Die Meldungen stehen z.T. nur VDR-Mitgliedern zur Verfügung. Bitte nutzen Sie Ihre Logindaten.

Sprechen Sie mich gerne an!
Viola Eggert | VDR
Viola EggertSenior Referentin Business Travel