MIDOCO Midoffice ist PCI/DSS (Level 1) zertifiziert
Zahlung in der Reiseindustrie
Um zu verstehen wie Zahlung in der deutschen Reiseindustrie funktioniert, schauen wir uns als erstes die Teilnehmer und deren Beziehungen untereinander an. Die Geschäfte untereinander definieren die Prozesse, die im Hinblick auf die Zahlung entstehen. Je nachdem, wie sich diese Prozesse gestalten, ergeben sich auch Implikationen aus regulatorischen Themen, wie Datensicherheit und bspw., PSD2.
Marktteilnehmer
Im touristischen Markt gibt es im Grunde vier Arten von Teilnehmern:
Leistungsträger
(Fluggesellschaften, Bahnunternehmen, Hotels)
Vermittler
(Reisebüros, Onlinereisebüros, Portale, Metasearcher)
Reiseveranstalter
(Pauschalreisen, Bausteinreisen)
Kunde
(Der Reisende selbst)
Beziehungen zwischen Markteilnehmern
1. Leistungsträger mit Vermittlern
Der Leistungsträger vergütet ein Reisebüro, Reiseportal etc. für die Vermittlung einer Leistung. Diese kann prozentual oder in Form eines Entgelts oder auch einer Kombination erfolgen. Die Zahlung erfolgt je nach Absprache zwischen den Vertragspartnern. Macht der Leistungsträger das Direktinkasso (siehe auch Leistungsträger/Kunde), so wird er in der Regel den Reisepreis über Lastschrift, Überweisung oder per unterschiedlicher Zahlsysteme vom Kunden erhalten. Bei Agenturinkasso (siehe auch Vermittler / Kunde) durch den Vermittler zahlt der Kunde ebenfalls über angebotene Bezahlsysteme, wie Kreditkarte, Lastschrift o.ä. im Reisebüro oder dem Reiseportal. Bei An- und Restzahlung kann es dazu kommen, dass der Leistungsträger oder Vermittler Zahlungsinformationen speichert, um den Prozess der Restzahlung zu vereinfachen. Im Falle der Speicherung von Kreditkarteninformationen ist eine PCI/DSS Zertifizierung erforderlich.
2. Veranstalter mit Kunden
Übernimmt der Veranstalter das Inkasso (Direktinkasso), so verhält sich die Beziehung gleich wie zwischen dem Leistungsträger und dem Kunden. Hinzu kommt allerdings, dass der Veranstalter auch seine Geschäfte mit seinen Leistungsträgern abwickeln muss.
3. Vermittler mit Kunden
Übernimmt der Vermittler das Inkasso (Agenturinkasso), so muss der Vermittler, wie bereits im Abschnitt Leistungsträger/Vermittler beschrieben, Prozesse und Zahlung implementieren und die nötigen regulatorischen Anforderungen erfüllen. Der Vermittler hat Bezahlmethoden entweder selbst direkt angebunden oder nutzt die Leistung von Onlinezahldiensten, die unterschiedliche Bezahlmethoden anbieten. Nutzt er die Onlinezahldienste, so finden die Zahlungen auf den Servern des Dienstes statt. Somit muss sich der Vermittler mit Hinblick auf Kreditkarten und PSD2 auf die Erfüllung durch den Onlinezahldienst verlassen können. Verarbeitet er Zahlungen selbst, so benötigt der Vermittler interne Prozesse, die eine sichere Abwicklung der Zahlungen gewährleisten.
4. Veranstalter mit Vermittlern
Veranstalter paketieren Reiseprodukte. Zahlungsströme erfolgen dann zwischen Veranstalter und Leistungsträger, Vermittler und oder Kunde. Ähnlich wie die Leistungsträger verkaufen Reiseveranstalter ihre Produkte direkt über eigene Kanäle wie Servicecenter oder Webseite oder indirekt über Vermittler wie Portale, Reisebüros oder Metasearcher. Die Beziehung verhält sich ähnlich wie zwischen Leistungsträger und Vermittler. Daraus ergeben sich demnach auch die gleichen Bezahlprozesse. Hier gilt genauso, wer Zahlungen annehmen will, muss die PSD2 erfüllen und einen Prozess zur starken Kundenauthentifizierung implementiert haben. Sollen Kreditkartendaten weiterverarbeitet werden, ist ggf. eine PCI/DSS Zertifizierung erforderlich.
5. Leistungsträger mit Veranstaltern
Der Veranstalter muss dem Leistungsträger die Leistung zum vereinbarten Einkaufspreis bezahlen. Je nach Absprache erfolgt die Zahlung per Rechnung in verabredeten Kontingenten zu bestimmten Zeitpunkten oder direkt zum Zeitpunkt des Verkaufs an den Kunden (dynamische Reiseveranstalter).
6. Leistungsträger mit Kunden (Direktinkasso)
Der Leistungsträger verkauft auch direkt an Kunden. Die Zahlung erfolgt wie beim Direktinkasso in der Beziehung zum Vermittler i.d.R. über Bezahlsysteme (Paypal, Sofortüberweisung o.ä.) und Kreditkarten, Überweisung oder Lastschrifteinzug. Bei An- und Restzahlung kann es dazu kommen, dass der Leistungsträger oder Zahlungsinformationen speichert, um den Prozess der Restzahlung zu vereinfachen. Im Falle der Speicherung von Kreditkarteninformationen ist eine PCI/DSS Zertifizierung erforderlich. Ab dem14.9.2019 sind nach der PSD2 auch geeignete Prozesse zur SCA (Strong Customer Authentication) einzusetzen.
Bezahlmöglichkeiten
Zahlungsströme können auf unterschiedliche Art erfolgen:
- Bar (Offline)
- Überweisung / Lastschrift (Offline, Digital/Online)
- Kreditkarte (Digital /Online)
- Onlinezahldienste wie Paypal, Klarna, Sofortüberweisung, PayOne,... (Digital /Online)
Der Verkäufer kann zudem entscheiden, ob er die digitalen Zahlungen eigenhändig abwickelt oder dazu einen Dienstleister engagiert. In beiden Fällen muss der Verkäufer für die Sicherheit der Zahlung und der dazugehörigen Daten sorgen. Bindet er die Bezahlmethoden in die eigene Prozesslandschaft ein, so obliegt ihm die Verantwortung die Sicherheitsvorkehrungen zu implementieren. Nutzt er einen Zahlungsdienstleister, so nimmt er die diesen Service im Zweifel durch den Zahlungsanbieter in Anspruch.
Regulatorische Anforderungen
PCI/DSS/PSD2/GWG/KassenSichV
Im Rahmen der Annahme und/oder Verarbeitung von Zahlungen werden unterschiedliche Anforderungen an Unternehmen gestellt. Unternehmen müssen die Zahlungsdienste Richtlinie erfüllen. Insbesondere wird im Rahmen Erneuerung dieser Richtlichtline in der PSD2 (Payment Services Directive 2) eine starke Kundenauthentifizierung gefordert, die vor allem Betrug vorbeugen soll, in dem sichergestellt wird, dass der/die Zahlende auch berechtigt ist, die gewählte Zahlmethode zu nutzen. Ein Unternehmen, das zudem Kreditkartendaten speichert oder verarbeitet, ist verpflichtet die Anforderungen an PCI/DSS zu erfüllen. Die Erfüllung wird durch einen unabhängigen Dritten in einem jährlichen Audit festgestellt. Zuletzt sollte noch kurz erwähnt werden, dass auch Barzahlungen Regularien unterliegen. So lösen bspw. Zahlungen über 10.000 € im Rahmen des Geldwäschegesetzes eine erhöhte Sorgfaltspflicht bei KYC (Know Your Customer) Prozessen aus. Dieser Wert wurde im Zusammenhang der fünften Geldwäscherichtlinie von 15.000 € auf 10.000 € herab gesetzt.
Um Manipulation und somit potentielle Steuerhinterziehung zu verhindern wurde 2016 das Gesetz zum Schutz vor Manipulation an digitalen Grundaufzeichnungen,die Kassensicherungsverordnung (Kassen SichV) §146a AO, beschlossen, die seit dem 01.01.2020 in Kraft ist. Das MIDOCO Midoffice auch eine Kassenfunktion hat, ist diese neue Regelung im Midoffice zu berücksichtigen.
Contributors:
Magnus Kunhardt
Group Marketing Director
Steffen Faradi
CEO & Mitbegründer
Helmut Pilz
SVP Business Development