Zahlung in der Reiseindustrie

Zweite Zahlungsdienstrichtlinie (PSD2)

  
Kapitel I

Einleitung zu PSD2

Mit der zweiten Zahlungsdienstrichtlinie (PSD2), die zum 13. Januar 2018 in Kraft getreten ist, wurden Regelungen vorgesehen, die die starke Kundenauthentifizierung im elektronischen Zahlungsverkehr (SCA) betreffen. Der Zeitpunkt für die Einführung der starken Kundenauthentifizierung ist der 14. September 2019. Allerdings hat die BaFin in einer Pressemitteilung vom 21. August 2019 mitgeteilt, Kreditkartenzahlungen, die nach dem 14. September 2019 ohne starke Kundenauthentifizierung durchgeführt werden, erstmal nicht zu beanstanden. Die Links zur EU-Richtlinie sowie zum abschließenden Bericht der europäischen Bankenaufsicht finden Sie in der Link-Sektion dieser Seite.

  
Kapitel II

Starke Kunden Authentifizierung (SCA)

Was besagen die Regelungen?

Ab Mitte September 2019 erfordern elektronische Zahlungen, bei denen der Zahlende die Zahlung auslöst, eine starke Authentifizierung. Dabei wird überprüft, ob derjenige, der das Zahlmittel (z.B. Kreditkarte) einsetzt, auch tatsächlich der Inhaber des Zahlungsmittels ist. Einen solchen Prozess kennen Sie schon heute bei 3-D-Secure-Zahlungen oder Verified by Visa-Zahlungen mit einer Kreditkarte. Bei dieser Betrachtung/Regelung ist der Zeitpunkt der Zahlungsverpflichtung maßgebend – sprich: der Zeitpunkt, zu dem der Kunde der Zahlung zustimmt. Dieser kann durchaus vom Zeitpunkt der tatsächlichen Ausführung der Zahlung abweichen. Als elektronische Zahlungen gelten solche Zahlungen, die z.B. ein Kunde auf einer Website auslöst. Darunter fallen auch Zahlungen über eine App oder über POS-Terminals. Von der Definition als elektronische Zahlung ausgenommen wurden (SEPA) Lastschriften, Mailorder-Buchungen und Telefonorder-Buchungen (MoTo-Zahlungen). Ziel dieser Regelungen ist es, das Betrugsrisiko bei elektronischen Zahlungen zu reduzieren.

Was ist eine Starke Authentifizierung?

Die Authentifizierung eines Kunden beim Einsatz eines Zahlmittels ist dann stark, wenn personalisierte Sicherheitsmerkmale des Zahlungsdienstnutzers zum Einsatz kommen. Dabei handelt es sich nach aktuellem Stand der Technik zum Beispiel um

  • Dinge, die ein Nutzer besitzt (z.B. die Kreditkarte und den aufgedruckten CVC Code selbst, ein Mobiltelefon, einen Token (physisches Gerät, welches Einmalcodes erzeugt))
  • Dinge, die ein Nutzer weiß (z.B. PIN, Passwort, Kartennummer)
  • Persönliche Merkmale des Nutzers selbst (z.B. Fingerabdruck, Iris (Auge),Sprach-/Stimmerkennung)

Mit fortschreitender technischer Entwicklung erweitert/verändert sich diese Auflistung der Beispiele. Die EU fordert sogar ausdrücklich, stets innovative technische Lösungen zu nutzen.

  
Kapitel III

Was bedeutet dies für Sie?

Das hängt ganz davon ab, welche Art von Vertrag/Verträgen Sie mit Ihrem Zahlungsdienstanbieter geschlossen haben, über den Sie Kartenzahlungen (besonders Kreditkartenzahlungen) abwickeln.

Handelt es sich bei Ihrem Vertrag um einen sogenannten "eCom" (eCommerce) Vertrag, wird künftig damit zu rechnen sein, dass Sie die SCA (Strong Customer Authentication) anwenden müssen.

Transaktionen

Künftig wird für Transaktionen mit dieser Vertragsausgestaltung im Hintergrund die Starke Kundenauthentifizierung bei elektronischen Zahlungen, die der Kunde veranlasst, anzuwenden sein (z.B. Kreditkarteneingabe auf Ihrer Webseite/in Ihrer App). Wird die Zahlung vom Händler veranlasst (Merchant initiated), so ist diese von der PSD2 ausgenommen.

Merkmale

Es sind zwei der oben genannten drei Merkmale vom Kunden erforderlich, um die Authentifizierung durchzuführen. Dies kann zum Beispiel bedeuten, dass Ihr Kunde mittels App und zusätzlichem Kennwort/PIN die Authentifizierung durchführen muss.

Handelt es sich bei Ihrem Vertrag um einen sogenannten "MoTo" (Mail Order Telefon Order) Vertrag, so wird dieser nach aktuellem Kenntnisstand nicht dem elektronischen Zahlungsverkehr zugeordnet.

Transaktionen

Zahlungen mit dieser Vertragsausgestaltung erfordern nicht die Starke Kundenauthentifizierung.

Merkmale

MoTo Verträge sind auf Grund des höheren Risikos (da eben genau diese Kundenauthentifizierung fehlt) jedoch meist mit anderen/höheren Entgelten für den Händler ausgestaltet.

Zum Zeitpunkt der Zustimmung des Kunden/Zahlenden zu einer elektronischen Zahlung (per Webseite, App) muss die Starke Kundenauthentifizierung angewandt werden. Ihr Vertrag mit Ihrem Zahlungsdienstleister wird hier als ein eCom-Vertrag angenommen, um zu verdeutlichen, in welchen Fällen Handlungsbedarf entstehen kann. Folgende Beispiele beziehen sich auf Geschäftsvorfälle in MIDOCO Midoffice.

  
Kapitel IV

Beispiele OTA

Reisevermittlung Online

1. 

Sie sind als Reisevermittler tätig und betreiben eine Webseite, über die Sie Reisen für diverse Veranstalter oder Leistungsträger im Agenturinkasso/Reisebüroinkasso vermitteln. Im Regelfall erteilt Ihnen der Kunde die Zustimmung zur Zahlung auf der Webseite direkt im Anschluss an die Buchung oder direkt mit der Buchung.

Der Kunde möchte per Kreditkarte zahlen.

Zu diesem Zeitpunkt ist bereits die starke Kundenauthentifizierung – während sich der Kunde auf ihrer Webseite befindet – anzuwenden.

=> SCA erforderlich

2. Sie sind als Reisevermittler tätig und betreiben eine Webseite, über die Sie Reisen für diverse Veranstalter oder Leistungsträger im Agenturinkasso/Reisebüroinkasso vermitteln. Im Regelfall erteilt Ihnen der Kunde die Zustimmung zur Zahlung auf der Webseite direkt im Anschluss an die Buchung oder direkt mit der Buchung.

Der Kunde möchte per Lastschrift oder auf Rechnung zahlen.

Diese Zahlmethoden zählen nicht als elektronische Zahlarten und somit ändert sich nichts gegenüber dem heutigen Prozess.

=> SCA NICHT erforderlich

3. Sie sind als Reisevermittler tätig und betreiben eine Webseite, über die Sie Reisen diverser Veranstalter oder Leistungsträger im Agenturinkasso/Reisebüroinkasso vermitteln. Im Regelfall erteilt Ihnen der Kunde die Zustimmung zur Zahlung auf der Website direkt im Anschluss an die Buchung oder bereits mit der Buchung.

Der Kunde möchte per Sofortüberweisung zahlen.

Die Sofortüberweisung fällt zwar unter die Regularien der Zahlungsdiensterichtlinie, sie als Vermittler kommen aber mit den Kontodaten des Kunden nicht in Berührung. Der Kunde authentifiziert sich, sobald er sich zum Auslösen der Zahlung bei seiner Bank im Onlinebanking anmeldet. Es ändert sich also nichts für Sie gegenüber dem heute bereits bestehenden Prozess.

=> SCA liegt in der Verantwortung des Zahlungsdienstleisters

4. Sie sind als Reisevermittler tätig und betreiben eine Website, über die Sie Reisen für diverse Veranstalter oder Leistungsträger im Direkt-/Veranstalterinkasso vermitteln. Zahlungsempfänger sind also nicht Sie, sondern der Veranstalter/Leistungsträger direkt. Sie kommen mit dem Geld des Kunden an keiner Stelle in Berührung. Die Zahlungsdaten des Kunden leiten Sie weiter an den Veranstalter.

Egal um welche Zahlform es sich handelt: Sie als Vermittler sind an der eigentlichen Zahltransaktion nicht als sog. Händler/Merchant beteiligt.

Nach den uns heute vorliegenden Informationen soll derjenige, der in folgenden Zahltransaktionen als Händler/Merchant auftritt, auch die Authentifizierung gewährleisten.

=> SCA erforderlich

  
Kapitel V

Beispiele Reisebüro

Reisevermittlung Offline

1. 

1. In Ihr Reisebüro kommt ein Kunde, dem Sie eine Reise des Veranstalters/Leistungsträgers A vermitteln.

Der Kunde zahlt bei Ihnen im Reisebüro direkt mit seiner Kreditkarte über das Zahlungsterminal (POS-Terminal).

Das POS-Terminal erlaubt Onlinezahlungen und ist mit dem Zahlungsdienstleister online verbunden. Zu diesem Zeitpunkt ist die starke Kundenauthentifizierung anzuwenden. Selbes trifft auf die Restzahlung über das POS-Terminal zu.

=> SCA erforderlich

2. In Ihr Reisebüro kommt ein Kunde, dem Sie eine Reise des Veranstalters/Leistungsträgers B vermitteln. Es kommt Agenturinkasso zur Anwendung.

Sie nutzen kein POS-Terminal zur Zahlung. Der Kunde möchte mit Kreditkarte zahlen und nennt Ihnen die Kartendaten.

Sie vergewissern sich, dass der Karteninhaber die Person ist, die vor Ihnen sitzt (zum Beispiel durch Abgleich mit dem Ausweis). Es handelt sich hier nicht um eine „elektronische Zahlung“, da der Kunde die Zahlung nicht online (per App oder Website) ausgelöst hat. Es ändert sich an Ihrem bisherigen/beschriebenen Vorgehen nichts im Vergleich zu heute.

=> SCA NICHT erforderlich

  
Kapitel VI

Beispiele Reiseveranstaltung

1. Sie sind Reiseveranstalter und betreiben selbst eine Webseite/App, auf der Ihre Kunden eine Reise von Ihnen buchen können.

Damit nehmen Sie auch die Zahlung des Kunden entgegen, der mit Kreditkarte zahlen möchte.

ACHTUNG: Zu diesem Zeitpunkt ist bereits die starke Kundenauthentifizierung anzuwenden, während sich der Kunde auf Ihrer Webseite befindet.

=> SCA erforderlich

2. Sie sind Reiseveranstalter und betreiben selbst eine Webseite/App, auf der Ihre Kunden eine Reise von Ihnen buchen können. Damit nehmen Sie auch die Zahlung des Kunden entgegen.

Der Kunde möchte entweder mit Lastschrift oder auf Rechnung zahlen.

Diese Zahlformen gelten nicht als elektronische Zahlungen, und damit ist die starke Kundenauthentifizierung nicht anzuwenden. An Ihren Prozessen ändert sich im Vergleich zu heute nichts.

=> SCA NICHT erforderlich

3. Sie sind Reiseveranstalter und betreiben selbst eine Webseite/App, auf der Ihre Kunden eine Reise von Ihnen buchen können. Damit nehmen Sie auch die Zahlung des Kunden entgegen.

Der Kunde zahlt entweder per Sofortüberweisung oder per PayPal.

Diese Zahlformen gelten zwar als elektronische Zahlungen, der Kunde löst die Zahlung aber erst bei Sofortüberweisung bzw. in seinem Onlinebanking oder bei PayPal aus. Dort muss Ihr Kunde sich bereits heute authentifizieren. An Ihren Prozessen ändert sich im Vergleich zu heute nichts.

=> SCA liegt in der Verantwortung des Zahlungsdienstleisters

4. Ein Reisevermittler verkauft eine Reise von Ihnen online (über dessen Website oder App). Mit Ihrem Vermittler ist Direkt-/Veranstalterinkasso vereinbart. Somit übermittelt er Ihnen die Zahlungsdaten des Kunden, welche dieser auf der Website/in der App des Vermittlers eingibt.

Der Kunde möchte mit Kreditkarte zahlen.

In diesem Fall muss Ihnen das Reisebüro übermitteln, dass es sich um eine "Onlinebuchung" gehandelt hat. Die Regelungen der Zahlungsrichtlinie zustarkenen Kundenauthentifizierung greifen und sind von Ihnen vor Auslösen der ersten Transaktion anzuwenden, da Sie der Händler/Merchant sind.

=> SCA erforderlich

5. Ein Reisevermittler verkauft eine Reise von Ihnen in seinem Reisebüro vor Ort, welches der Kunde aufsucht. Mit Ihrem Vermittler ist Direkt-/Veranstalterinkasso vereinbart.

Der Kunde möchte mit Kreditkarte zahlen und legt diese dem Expedienten vor.

Der Expedient nimmt die Reisebuchung in einem Buchungstool vor und hinterlegt dort die Zahlungsdaten des Kunden, nachdem er sich vergewissert hat, dass dieses Zahlmittel dem Kunden gehört. In diesem Fall muss Ihnen das Reisebüro übermitteln, dass es sich um eine "Offlinebuchung" gehandelt hat.

=> SCA NICHT erforderlich

6. Ein Reisevermittler verkauft eine Reise von Ihnen online (über dessen Webseite oder App). Mit Ihrem Vermittler ist Direkt-/Veranstalterinkasso vereinbart. Somit übermittelt er Ihnen die Zahlungsdaten des Kunden.

Der Kunde möchte mit Lastschrift oder auf Rechnung zahlen.

Dieser Anwendungsfall ist identisch mit Fall 2. Es gibt keine zusätzlichen Anforderungen für Sie.

=> SCA NICHT erforderlich

7. Ein Reisevermittler verkauft eine Reise von Ihnen online (über dessen Webseite oder App). Mit Ihrem Vermittler ist Direkt-/Veranstalterinkasso vereinbart. Somit übermittelt er Ihnen die Zahlungsdaten des Kunden.

Der Kunde möchte per Sofortüberweisung oder PayPal zahlen.

Dieser Anwendungsfall ist identisch mit Fall 3. Es gibt keine zusätzlichen Anforderungen für Sie.

=> SCA liegt in der Verantwortung des Zahlungsdienstleisters

8. Ein Reisevermittler verkauft eine Reise von Ihnen. Mit Ihrem Vermittler ist Agentur-/Reisebüroinkasso vereinbart. Somit übermittelt er Ihnen die Zahlungsdaten des Kunden.

Der Kunde möchte mit Kreditkarte zahlen.

Hier ist der Vermittler bei einem Angebot Ihrer Reise auf seiner Webseite für die starke Kundenauthentifizierung verantwortlich, da dieser und nicht Sie als Händler/Merchant auftritt.

=> SCA erforderlich

  
Kapitel VII

Glossar

Contributors:

magnus

Magnus Kunhardt

Group Marketing Director

UMBRELLA Team Steffen Faradi

Steffen Faradi

CEO & Cofounder

UMBRELLA Team Helmut Pilz

Helmut Pilz

SVP Business Development

Hier einige nützliche Verweise auf Seiten die über PSD2 berichten:

Aus unserem Blog

Mehr Travel-Tech

Travel Rockstar Interview - Roman Wetli
Travel Rockstar Interview mit Roman Wetli - CIO & Executive Board Member @Hotelplan Group

Travel Rockstar Interview - Roman Wetli

Feb 15, 2024 9:25:00 AM 2 min read
Business Travel Rockstar Interview - Alexa Haenisch

Business Travel Rockstar Interview - Alexa Haenisch

Jan 10, 2024 12:00:47 PM 3 min read
Travel Rockstar Interview - Roland Birchmeier
Roland  Birchmeier

Travel Rockstar Interview - Roland Birchmeier

Oct 26, 2023 3:33:11 PM 3 min read