Interview: HDE - Zahlungsexperte Ulrich Binnebößel im Gespräch mit kartensicherheit.de
Die europäische Bankenaufsichtsbehörde EBA sorgt mit neuen Vorgaben über Mindestanforderungen an die Sicherheit von Internetzahlungen für Verwirrung im Handel. Die neuen Vorgaben verlangen unter anderem die ‚starke Authentifizierung’ von Online-Zahlungen, für die zwei voneinander unabhängige Merkmale des Zahlers auf zwei verschiedenen Kanälen, beispielsweise über PIN und TAN, geprüft werden müssen. kartensicheheit.de sprach mit dem HDE-Zahlungsexperten Ulrich Binnebößel über die Auswirkungen der neuen Vorgaben auf den Online-Handel.
kartensicherheit.de: Herr Binnebößel, welche Änderungen kommen auf den Handel bei der Umsetzung der Mindestanforderungen an die Sicherheit von Internetzahlungen der EBA zu? Welche Herausforderungen gilt es zu meistern?
Ulrich Binnebößel: Zunächst müssen wir feststellen, dass der E-Commerce einer der wesentlichen Wachstumsfaktoren im Einzelhandel ist. Auch für 2015 erwarten wir eine Zunahme des Onlinehandels um 12 Prozent auf dann 43,6 Mrd. Euro. Viele Einzelhändler erwarten, dass sie im Internet künftig die umsatzstärkste Filiale betreiben. Insofern erhält der E-Commerce im Einzelhandel eine strategische Bedeutung. Nichts schadet daher diesem zukunftsfähigen Vertriebskanal mehr als ein komplizierter Checkout-Prozess für den Kunden. Hier haben die sogenannten SecuRePay-Anforderungen (Security of Internet Payments-Anforderungen) bzw. die MaSi der BaFin (Mindestanforderungen an die Sicherheit von Internetzahlungen der Bundesanstalt für Finanzdienstleistungsaufsicht) zu erheblicher Unsicherheit geführt. Derzeit ist in weiten Teilen des Handels unklar, welche Auswirkungen dies für die Shop-Betreiber hat. Vor dem Hintergrund der engen Umsetzungsfristen gilt es nun, schnell Klarheit zu bekommen, damit notwendige Anpassungen zeitgerecht erfolgen können. Zudem naht bereits wieder das Weihnachtsgeschäft.
Welche Umstellungen sind denn bei den Händlern erforderlich? Welche Investitionen stehen dahinter – und wer trägt diese?
Leider sind bislang keine konkreten Umstellungsanforderungen bekannt geworden. Der Handel ist hier auf seine Zahlungsdienstleister angewiesen und muss sich auf deren Aussagen verlassen können. Wir können daher nur an die Dienstleister appellieren, auf ihre Kunden zuzugehen und mit ihnen die Auswirkungen zu besprechen.
Immerhin ist es dem HDE gelungen, eine Aussage der Bundesbank zu bekommen, dass das hierzulande gebräuchliche Lastschriftverfahren im Internet von den Anforderungen ausgenommen ist. Auch das BaFin hat in der Mai Ausgabe des BaFin-Journals (Seite 13) diesen Punkt aufgenommen und klargestellt. Damit kann zumindest dieses weit verbreitete Verfahren ohne Umstellungen weiterbetrieben werden.
Wie wird sich der E-Commerce ändern, wenn die Vorgaben umgesetzt sein werden? Wird das Einkaufen im Internet damit einfacher oder komplizierter – für den Handel und für die Verbraucher?
Nach bisherigen Erkenntnissen zeichnet sich eine durchaus bedenkliche Verschiebung der Marktverhältnisse ab, und dies auf zwei Ebenen. Zum einen lassen die Anforderungen einem Zahler die Möglichkeit, sogenannte Whitelists mit Onlineshops anzulegen, für die eine starke Authentifizierung beim Bezahlvorgang nicht notwendig ist. Ein Verbraucher wird dies aber allenfalls für größere Onlineshops und Einkaufsplattformen einrichten, da immerhin ein Arbeitsschritt erforderlich ist. Dort wird er tendenziell auch künftig präferiert einkaufen. Für Gelegenheitseinkäufe wird er einen Shop kaum in die Ausnahmeliste eintragen – ein deutlicher Nachteil vor allem für kleinere Shops.
Zum anderen gelten die Anforderungen der starken Authentisierung nicht für sogenannte geschlossene Zahlungsplattformen, bei denen sowohl Zahler als auch Zahlungsempfänger ein Konto haben. Hier könnte die Marktbedeutung für derartige Anbieter – die ohnehin schon sehr groß ist – weiter zunehmen und kleineren Händlern keine Wahl lassen, als sie auch anzubieten.
Neben den Gefahren für den Handel wird es auch für die Verbraucher tendenziell eher komplizierter, den Überblick zu behalten. Das verfolgte Ziel, nämlich Internetzahlungen sicherer zu machen, wird auch nur für Banken erreicht. Kunden haben auch heute schon gute Absicherungstools, sei es durch Käuferschutz-Angebote oder durch die Option, Zahlungen rückgängig zu machen wie bei der Lastschrift.
Halten Sie die EBA-Vorgaben für sinnvoll und praktikabel – und wenn nicht, was schlagen Sie stattdessen vor?
Die Umsetzung der Vorgaben zum jetzigen Zeitpunkt ist aus unserer Sicht nicht sinnvoll. Es hat sich bislang keines der Verfahren am Markt etabliert, eine Handhabung ist für die meisten Verbraucher zu komplex. Dies zeigen die Angebote Paypass und Paywave der Kreditkartenorganisationen, die bereits seit Jahren bestehen, aber so gut wie keine Nutzer haben. Zudem sollten zum Schutz des Verbrauchers gegen Missbrauch auch andere Verfahren zulässig sein als der unmittelbare Zwang zur starken Authentifizierung.
Der HDE hat daher in seiner Stellungnahme vorgeschlagen, zunächst im Detail die Auswirkungen auf den Onlinehandel zu analysieren. Eine derartige Folgenabschätzung wurde bislang nicht durchgeführt und gehört in jede Nutzen/Kosten-Analyse. Zudem sollte die Umsetzung der europäischen Vorgaben solange ausgesetzt werden, bis eine Umsetzung der neuen Zahlungsdiensterichtlinie (PSDII) erfolgt ist. Denn auch hier ist zunächst zu beachten, dass eine europaweit gleiche Auslegung des Begriffs der starken Authentifizierung erfolgt.
Erst wenn diese Vorbedingungen geklärt sind und sich praktikable Umsetzungsformen der starken Authentifizierung im Markt etabliert haben, kann über gesetzliche Vorgaben nochmals nachgedacht werden.
Was ist Ihre Forderung an die EBA?
Die EBA sollte in einen intensiven Dialog mit den Marktakteuren eintreten. Nicht nur Banken und Politik gilt es zu überzeugen. Vielmehr sollten die Belange der Akzeptanzseite bei Zahlungsformen berücksichtigt werden um ausgewogene Lösungen zu schaffen. Konsultationsmaßnahmen sollten intensiv über verschiedenste Kanäle kommuniziert werden, zumal nicht nur das Kreditwesen betroffen sein kann.
Herr Binnebößel, wir bedanken uns für das Gespräch
