TMC Handout
Demo Anfragen
Midoco-Images-Topics-Payment-Credit-Card

Payment Services Directive 2

in der Reiseindustrie

Mit der zweiten Zahlungsdienstrichtlinie (PSD2), die zum 13. Januar 2018 in Kraft getreten ist, wurden Regelungen vorgesehen, die die sichere / starke Authentifizierung im elektronischen Zahlungsverkehr (SCA) betreffen. Diese Regelungen mussten zunächst noch von der europäischen Bankenaufsicht (EBA) genauer ausgearbeitet werden, weswegen der Zeitpunkt für die sichere Authentifizierung vom oben genannten Datum abweichend der 14. September 2019 ist. Die Links zur EU Richtlinie sowie zum abschließenden Bericht der europäischen Bankenaufsicht finden Sie in der Link Sektion dieser Seite.

Sichere/starke Kunden Authentifizierung (SCA)

 Was besagen die Regelungen?

Ab Mitte September 2019 erfordern elektronische Zahlungen, bei denen der Zahlende die Zahlung auslöst, eine sichere/starke Authentifizierung. Dabei wird überprüft, ob derjenige, der das Zahlmittel (z.B. Kreditkarte) einsetzt auch tatsächlich der Inhaber des Zahlungsmittels ist. Einen solchen Prozess kennen Sie schon heute bei 3D Secure Zahlungen oder Verified by Visa Zahlungen mit einer Kreditkarte. Bei dieser Betrachtung/Regelung ist der Zeitpunkt der Zahlungsverpflichtung maßgebend - sprich: der Zeitpunkt, zu dem der Kunde der Zahlung zustimmt. Dieser kann durchaus abweichend vom Zeitpunkt der tatsächlichen Ausführung der Zahlung. Als elektronische Zahlungen gelten solche Zahlungen, die z.B. ein Kunde auf einer Website auslöst. Darunter fallen auch Zahlungen über eine App oder über POS Terminals. Von der Definition als elektronischen Zahlung ausgenommen wurden (SEPA) Lastschriften, Mailorder Buchungen und Telefonorder Buchungen (MoTo Zahlungen). Ziel dieser Regelungen ist es, das Betrugsrisiko bei elektronischen Zahlungen zu reduzieren.

Was ist eine sichere/starke Authentifizierung?

Die Authentifizierung eines Kunden beim Einsatz eines Zahlmittels ist dann stark, wenn personalisierte Sicherheitsmerkmale des Zahlungsdienstenutzers zum Einsatz kommen. Dabei handelt es sich nach aktuellem Stand der Technik zum Beispiel um

  • Dinge, die ein Nutzer besitzt (z.B. die Kreditkarte und den aufgedruckten CVC Code selbst, ein Mobiltelefon, einen Token (physisches Gerät, welches Einmalcodes erzeugt))
  • Dinge, die ein Nutzer weiß (z.B. PIN, Passwort, Kartennummer)
  • Persönliche Merkmale des Nutzers selbst (z.B. Fingerabdruck, Iris (Auge),Sprach-/Stimmerkennung)

Mit fortschreitender technischer Entwicklung erweitert/verändert sich diese Auflistung der Beispiele. Die EU fordert sogar ausdrücklich, stets innovative technische Lösungen zu nutzen.

Was bedeutet dies für Sie?

Das hängt ganz davon ab, welche Art von Vertrag/Verträgen Sie mit Ihrem Zahlungsdiensteanbieter geschlossen haben, über den Sie Kartenzahlungen (besonders Kreditkartenzahlungen) abwickeln.

Handelt es sich bei ihrem Vertrag um einen sogenannten "eCom" (eCommerce) Vertrag, wird künftig damit zu rechnen sein, dass Sie die SCA (Strong Customer Authentication) anwenden müssen.
Handelt es sich bei ihrem Vertrag um einen sogenannten "MoTo" (MailOrderTelefonOrder) Vertrag, so wird dieser nach aktuellem Kenntnisstand nicht dem elektronischen Zahlungsverkehr zugeordnet.

Zum Zeitpunkt der Zustimmung des Kunden/Zahlenden zu einer elektronischen Zahlung (per Webseite, App) muss die sichere/starke Kundenauthentifizierung angewandt werden. Ihr Vertrag mit Ihrem Zahlungsdienstleister wird hier als ein eCom-Vertrag angenommen, um zu verdeutlichen, in welchen Fällen Handlungsbedarf entstehen kann.

Beispiele OTA (Reisevermittlung Online)

1

Sie sind als Reisevermittler tätig, betreiben eine Webseite, über die SieReisen für diverse Veranstalter oder Leistungsträger im Agenturinkasso/Reisebüroinkasso vermitteln. Im Regelfall erteilt Ihnen der Kunde die Zustimmung zur Zahlung bereits auf der Webseite direkt im Anschluss an die Buchung oder bereits mit der Buchung.

Der Kunde möchte per Kreditkarte zahlen.

Zu diesem Zeitpunkt ist bereits die sichere/starke Kundenauthentifizierung - während sich der Kunde auf ihrer Webseite befindet - anzuwenden.

=> SCA erforderlich

2

Sie sind als Reisevermittler tätig, betreiben eine Webseite, über die Sie Reisen für diverse Veranstalter oder Leistungsträger im Agenturinkasso/Reisebüroinkasso vermitteln. Im Regelfall erteilt Ihnen der Kunde die Zustimmung zur Zahlung bereits auf der Webseite direkt im Anschluss an die Buchung oder bereits mit der Buchung.

Der Kunde möchte per Lastschrift oder auf Rechnung zahlen.

Diese Zahlmethoden zählen nicht als elektronische Zahlarten und somit ändert sich nichts gegenüber dem heutigen Prozess.

=> SCA NICHT erforderlich

3

Sie sind als Reisevermittler tätig, betreiben eine Webseite, über die SieReisen für diverser Veranstalter oder Leistungsträger im Agenturinkasso/Reisebüroinkasso vermitteln. Im Regelfall erteilt Ihnen der Kunde die Zustimmung zur Zahlung bereits auf der Website direkt im Anschluss an die Buchung oder bereits mit der Buchung.

Der Kunde möchte per Sofortüberweisung zahlen.

Sofortüberweisung fällt zwar unter die Regularien der Zahlungsdiensterichtlinie, Sie als Vermittler kommen aber mit den Kontodaten des Kunden nicht in Berührung. Der Kunde authentifiziert sich, sobald er sich zum Auslösen der Zahlung bei seiner Bank im Onlinebanking anmeldet. Es ändert sich also nichts für Sie gegenüber dem heute bereits bestehenden Prozess.

=> SCA NICHT erforderlich

4

Sie sind als Reisevermittler tätig, betreiben eine Website, über die SieReisen für diverse Veranstalter oder Leistungsträger im Direkt-/Veranstalterinkasso vermitteln. Zahlungsempfänger sind also nicht Sie, sondern der Veranstalter/Leistungsträger direkt. Sie kommen mit dem Geld des Kunden an keiner Stelle in Berührung. Die Zahlungsdaten des Kunden leiten Sie weiter an den Veranstalter.

Egal um welche Zahlform es sich handelt, Sie als Vermittler sind an der eigentlichen Zahltransaktion nicht als sog. Händler/Merchant beteiligt.

Nach den uns heute vorliegenden Informationen soll derjenige, der in folgenden Zahltransaktion als Händler/Merchant auftritt auch die Authentifizierung gewährleisten.

=> SCA erforderlich

Beispiele Reisebüro (Reisevermittlung Offline)

1

In Ihr Reisebüro kommt ein Kunde, dem Sie eine Reise des Veranstalters/Leistungsträgers A vermitteln.

Der Kunde zahlt bei Ihnen im Reisebüro direkt mit seiner Kreditkarte über das Zahlungsterminal (POS Terminal).

Das POS Terminal erlaubt Onlinezahlungen erlaubt und ist mit dem Zahlungsdienstleister online verbunden. Zu diesem Zeitpunkt ist die sichere/starke Kundenauthentifizierung anzuwenden. Selbes trifft auf die Restzahlung über das POS Terminal zu.

=> SCA erforderlich

2

In Ihr Reisebüro kommt ein Kunde, dem Sie eine Reise des Veranstalters/Leistungsträgers B vermitteln, es kommt Agenturinkasso zur Anwendung.

Sie nutzen kein POS Terminal zur Zahlung. Der Kunde möchte mit Kreditkarte zahlen und nennt Ihnen die Kartendaten.

Sie vergewissern sich, dass der Karteninhaber die Person ist, die vor Ihnen sitzt (zum Beispiel durch Abgleich mit dem Ausweis). Es handelt sich hier nicht um eine "elektronische Zahlung", da der Kunde die Zahlung nicht online (per App, Website) ausgelöst hat. Es ändert sich an ihrem bisherigen/beschriebenen Vorgehen nichts im Vergleich zu heute.

=> SCA NICHT erforderlich

Beispiele Reiseveranstaltung

1

Sie sind Reiseveranstalter und betreiben selbst eine Webseite/App, auf der Ihre Kunden eine Reise von Ihnen buchen können.

Damit nehmen Sie auch die Zahlung des Kunden entgegen, der mit Kreditkarte zahlen möchte.

ACHTUNG: Zu diesem Zeitpunkt ist bereits die sichere/starke Kundenauthentifizierung anzuwenden während sich der Kunde auf Ihrer Webseite befindet.

=> SCA erforderlich

 

2

Sie sind Reiseveranstalter und betreiben selbst eine Webseite/App, auf der Ihre Kunden eine Reise von Ihnen buchen können. Damit nehmen Sie auch die Zahlung des Kunden entgegen.

Der Kunde möchte entweder mit Lastschrift oder auf Rechnung zahlen.

Diese Zahlformen gelten nicht als elektronische Zahlungen und damit ist die sichere/starke Kundenauthentifizierung nicht anzuwenden. An Ihren Prozessen ändert sich im Vergleich zu heute nichts.

=> SCA NICHT erforderlich

3

Sie sind Reiseveranstalter und betreiben selbst eine Webseite/App, auf der Ihre Kunden eine Reise von Ihnen buchen können. Damit nehmen Sie auch die Zahlung des Kunden entgegen.

Der Kunde zahlt entweder per Sofortüberweisung oder PayPal.

Diese Zahlformen gelten zwar als elektronische Zahlungen, der Kunde löst die Zahlung aber erst bei Sofortüberweisung bzw. in seinem Onlinebanking oder bei PayPal aus. Dort muss Ihr Kunde sich bereits heute authentifizieren. An Ihren Prozessen ändert sich im Vergleich zu heute nichts.

=> SCA NICHT erforderlich

4

Ein Reisevermittler vermittelt eine Reise von Ihnen online (über dessen Website oder App). Mit Ihrem Vermittler ist Direkt-/Veranstalterinkasso vereinbart, somit übermittelt er Ihnen die Zahlungsdaten des Kunden, welche dieser auf der Website / in der App des Vermittlers eingibt.

Der Kunde möchte mit Kreditkartezahlen.

In diesem Fall muss Ihnen das Reisebüro übermitteln, dass es sich um eine "Onlinebuchung" gehandelt hat. Die Regelungen der Zahlungsrichtlinie zur sicheren/starken Kundenauthentifizierung greifen und sind von Ihnen vor Auslösen der ersten Transaktion anzuwenden, da Sie der Händler/Merchant sind.

=> SCA erforderlich

5

Ein Reisevermittler vermittelt eine Reise von Ihnen in seinem Reisebüro vor Ort, welches der Kunde aufsucht. Mit Ihrem Vermittler ist Direkt-/Veranstalterinkasso vereinbart.

Der Kunde möchte mit Kreditkarte zahlen und legt diese dem Expedienten vor.

Der Expedient nimmt die Reisebuchung in einem Buchungstool vor, hinterlegt dort die Zahlungsdaten des Kunden, nachdem er sich vergewissert hat, dass dieses Zahlmittel dem Kunden gehört. In diesem Fall muss Ihnen das Reisebüro übermitteln, dass es sich um eine "Offlinebuchung" gehandelt hat.

=> SCA NICHT erforderlich

6

Ein Reisevermittler vermittelt eine Reise von Ihnen online (über dessen Webseite oder App). Mit Ihrem Vermittler ist Direkt-/ Veranstalterinkasso vereinbart. Somit übermittelt er Ihnen die Zahlungsdaten des Kunden.

Der Kunde möchte mit Lastschrift oder auf Rechnung zahlen.

Dieser Anwendungsfall ist identisch mit Fall 2. Es gibt keine zusätzlichen Anforderungen für Sie.

=> SCA NICHT erforderlich

 

7

Ein Reisevermittler vermittelt eine Reise von Ihnen online (über dessen Webseite oder App). Mit Ihrem Vermittler ist Direkt-/ Veranstalterinkasso vereinbart. Somit übermittelt er Ihnen die Zahlungsdaten des Kunden.

Der Kunde möchte per Sofortüberweisung oder PayPal zahlen.

Dieser Anwendungsfall ist identisch mit Fall 3. Es gibt keine zusätzlichen Anforderungen für Sie.

=> SCA NICHT erforderlich

8

Ein Reisevermittler vermittelt eine Reise von Ihnen. Mit Ihrem Vermittler ist Agentur-/Reisebüroinkasso vereinbart. Somit übermittelt er Ihnen die Zahlungsdaten des Kunden.

Der Kunde möchte mit Kreditkartezahlen.

Hier ist der Vermittler bei einem Angebot Ihrer Reise auf seiner Webseite für die sichere/starke Authentifizierung verantwortlich, da dieser und nicht Sie als Händler/Merchant auftritt.

=> SCA erforderlich

Glossar

Haben Sie noch Fragen?

Demo Anfragen