München/Frankfurt – Kundinnen und Kunden seien informiert und hätten sich darauf eingestellt, heißt es bei Banken und Sparkassen. Ab 14. September werde der Online-Zugang zum Konto und das Bezahlen von Einkäufen im Internet mit Kreditkarte wie bisher problemlos laufen. Andere Töne sind im Handel und beim Internet-Verband Bitkom zu hören. Längst seien nicht alle Systeme umgestellt, vor allem bei kleineren Händlern. Es drohten Umsatzausfälle in Milliardenhöhe.
Der Handelsverband HDE, Bitkom und europäische Verbände fordern eine Abkehr vom Stichtag und eine Übergangsfrist von mindestens 18 Monaten. Die Aufsichtsbehörde in Österreich hat die Umstellung am 14. September auf Druck von Handel und Tourismus bereits gestrichen, in Großbritannien ist eine Übergangsfrist von 18 Monaten vereinbart.
Neue Schnittstellen oft problematisch
Hierzulande hat die Finanzaufsicht andere Bedenken. Es geht um die neuen, erforderlichen Schnittstellen (API) in den Systemen der Geldhäuser. Sie sollen FinTechs und Kunden, die ihre Apps nutzen, den reibungslosen Zugang zu Kontendaten ermöglichen. FinTechs zufolge funktionieren die neuen APIs oft nicht. Die BaFin sieht das ähnlich: Viele seien aktuell nicht genehmigungsfähig. Die bisherigen APIs könnten die Institute deshalb nicht einfach abschalten. Sie sollen als Absicherung parallel laufen, bis sich die neuen bewährt haben. Banken und Sparkassen zeigen sich überrascht. Die Vorbereitungen seien „nahezu erfolgreich“ abgeschlossen. Sie wollen die alten API zum 14. September abschalten – aus Kostengründen.
Zahlungen sollen sicherer werden
Hintergrund der Debatten ist die EU-Zahlungsdiensterichtlinie PSD 2 – Payment Services Directive 2. Mit ihr sollen der Online-Zugang zum Bankkonto, Überweisungen per Computer und Smartphone und Zahlungen im Internet sicherer und über die API die Verbindung von Geldhäusern mit FinTechs für die Kunden erleichtert werden. Kern der neuen Regelungen ist die „starke“ Zwei-Faktor-Authentifizierung. Künftig reichen beim Einloggen in das Konto nicht mehr Zugangsnummer und Pin und beim Bezahlen im Internet mit der Kreditkarte nicht mehr Kartennummer, Ablaufdatum und die dreistellige Nummer auf der Rückseite.
Es bedarf einer zusätzlichen Transaktionsnummer (Tan) oder eines biometrischen Merkmals wie dem Fingerabdruck. Listen mit Tan-Ziffern sind ab 14. September ungültig. Die Tan muss künftig für jeden Zugang und jede Online-Zahlung neu kreiert oder das biometrische Merkmal etwa in der App hinterlegt werden. Bei der Deutschen Bank etwa genügt beim Smartphone immerhin die einmalig per Tan bestätigte Anbindung an das eigene Konto. Danach ist der Konto-Zugang über die App wie bisher möglich – mit Pin, Fingerabdruck oder Gesichtserkennung. Beim Bezahlen mit Kreditkarte im Internet stehen verschiedene Wege offen. Deutsche Bank, Commerzbank, Comdirect und ING ermöglichen dies über eine Photo-Tan: Beim Bezahlvorgang im Internet wird eine Farbgrafik angezeigt. Abfotografiert errechnet die App daraus die für die Bezahlung erforderliche siebenstellige Tan.
Die Institute bieten alternativ wie bisher auch eine mobile Tan (mTan). Sie wird bei jedem Bezahlvorgang per SMS auf das Smartphone oder Handy des Kunden geschickt. Bei der Postbank kann man über die App als zusätzliches Sicherheitsmerkmal auch die Gesichtserkennung oder den Fingerabdruck einrichten.
Bei Kunden, die kein Smartphone besitzen, muss die notwendige Tan möglicherweise über einen Tan-Generator erzeugt werden. Während die Photo-Tan kostenfrei ist, halten die Institute für andere Wege die Hand auf: Pro mTan werden je SMS zwischen neun und 20 Euro-Cent fällig. Für einen Tan-Generator müssen die Kunden einmalig zahlen – zwischen 15 und 45 Euro.
Ausnahmen für Kleinbeträge
Freilich gibt es Ausnahmen von der „starken“ Authentifizierung. Online-Zahlungen von unter 30 Euro oder fünf Transaktion hintereinander mit einem Gesamtbetrag von 100 Euro benötigen keine weitere Autorisierung. „An der Ladenkasse ändert sich ohnehin nichts. Pin oder Unterschrift genügen, so wie bisher“, versichert Beller.
„Details zu spät veröffentlicht“
Insbesondere bei kleineren Händlern, die nur oder auch online verkaufen, kann es aber zu Problemen kommen. Auch bei Reiseveranstaltern. „Vielen drohen massive Umsatzausfälle, weil ihre Systeme noch nicht auf die erforderlichen zusätzlichen Sicherungen bei Kreditkartenzahlungen eingestellt sind“, sagt Bitkom-Experte Julian Grigo. Schätzungen zufolge sind sich 75 Prozent der Händler der Änderungen nicht bewusst. Ulrich Binnebößel vom Handelsverband HDE moniert, Details der Regulierung seien viel zu spät veröffentlicht worden, die Frist für Umstellung und Tests damit viel zu knapp.
Wenn Kunden nicht wie gewohnt mit Kreditkarte zahlen könnten, so Binnebößel, würden sie den Einkauf stornieren. Studien zufolge drohen dem Handel in Europa im ersten Jahr Umsatzeinbußen von 57 Milliarden Euro. Unternehmen könnten gar in Existenznöte geraten. Nur große Anbieter wie der Berliner Online-Modehändler Zalando sind vorbereitet. Dort können Kunden seit Ende Juli die Kreditkartenzahlung etwa per Fingerabdruck bestätigen.
Verbände fordern eine Verschiebung
Bitkom, HDE und der europäische Zahlungsverband EPIF fordern, vom Stichtag 14. September Abstand zu nehmen. Die europäische Bankenaufsicht EBA sucht nach einer Lösung. Bis 20. August sollen die nationalen Aufsichtsbehörden Stellung nehmen. Auch die BaFin steht mit den Verbänden in Kontakt. Vermutlich Anfang September dürfte es eine Entscheidung über Festhalten oder Verschiebung geben.
„Es könnte allerdings auch zu einem Flickenteppich kommen, wenn sich die nationalen Aufsichtsbehörden nicht auf ein gemeinsames Vorgehen einigen“, fürchtet Grigo. „Das wäre ein Schreckensszenario und ist die derzeit größte Sorge von Händlern, Banken und Zahlungsdiensten“. Dann drohe tatsächlich ein Chaos.