• Deutsch
  • Aktuelles
  • Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Bildmaterial von Unsplash.com / Bearbeitung Spirit Legal

Wer sich ohne Weiteres nicht mehr in sein Online-Banking einloggen kann, dem ist klar, dass sich seit dem 14. September 2019 für den elektronischen Zahlungsverkehr einiges geändert hat. Zum genannten Datum trat der Teil der Zweiten Zahlungsdiensterichtlinie (PSD2) in Kraft, welcher die sogenannte „Starke Kundenauthentifizierung“ regelt. Der folgende Beitrag soll eine Kurzübersicht über die Neuerungen und die Veränderungen speziell für die Hotellerie geben.

1. Starke Kundenauthentifizierung

Die Starke Kundenauthentifizierung soll den Missbrauch von elektronischen Zahlungsdiensten minimieren bzw. diesen komplett verhindern.

Gemäß Art. 4 der Delegierten Verordnung (Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017) setzt sie sich aus zwei von drei Elementen der Kategorien Wissen, Besitz und Inhärenz sowie der Generierung eines für jede Transaktion individuellen Authentifizierungscodes zusammen und wird deshalb auch als Zwei-Faktor-Authentifizierungscode (2FA) bezeichnet.

Dabei können unter die Kategorie Wissen verschiedene Sicherheitsabfragen wie Passwörter oder Kreditkartennummer, unter Besitz beispielsweise das Smartphone oder die Chipkarte des Zahlers und unter Inhärenz dessen Fingerabdruck oder Netzhautscan fallen.

Der Authentifizierungscode ist dabei dynamisch mit dem zu tätigenden Zahlungsvorgang verknüpft, gilt also nur einmalig und nur für genau den angegebenen Zahlungsbetrag und Zahlungsempfänger – deshalb wurde damit das Ende der TAN-Listen im Online-Banking besiegelt, weil diese Codes nicht für einen konkreten Zahlungsvorgang generiert wurden.

2. Anwendbarkeit der Starken Kundenauthentifizierung

Die PSD2 gilt für alle Zahlungsdienste innerhalb der Europäischen Union. Zahlungsdienste sind im Hinblick auf Anhang 1 der PSD2 grundsätzlich alle Zahlungen mit EC- oder Kreditkarte, Bargeld Ein- und Auszahlungen, sowie das Auslösen von Lastschriften bei einem Zahlungsdienstleister. Vom Anwendungsbereich der Richtlinie generell ausgeschlossen sind somit Merchant Initiated Transactions (MITs) und Mail Order and Telephone Order (MOTOs). Diese bleiben nach wie vor authentifizierungfrei.

Nach Art. 97 Abs. 1 PSD2 müssen demnach alle europäischen Zahlungsdienstleister eine Starke Kundenauthentifizierung bei Onlinezugriffen auf das Zahlungskonto oder bei elektronischen Zahlungsvorgängen durchführen.

3. Folgen und Möglichkeiten für die Hotellerie

Besonders Hotelbetreiber stellen die neuen Regelungen über die Starke Kundenauthentifizierung vor große Herausforderungen. Auch bei Zahlungen in und aus Drittländern außerhalb der Europäischen Union ist eine Starke Kundenauthentifizierung durchzuführen, wenn sich der Zahlungsdienstleister des Hotels innerhalb der EU befindet und der Zahlbetrag einem seiner Verrechnungskonten gutgeschrieben wird.

So ist es möglich, dass der europäische Zahlungsdienstleister eines karibischen Hotels bei elektronischen Zahlungsvorgängen eine Starke Kundenauthentifizierung durchführen muss. Scheint dieses Szenario auch eher die Ausnahme darzustellen - denkbar wäre es dennoch.

Die sich über Jahre hinweg entwickelten und bewährten Zahlungsstrukturen und -abläufe werden in der jetzigen Form nicht mehr möglich sein. Das gilt vor allem für die sogenannten No-Show-Belastungen oder Incidental-Charges. Bisher konnten Hotels eine bei Buchung hinterlegte Kreditkarte durch die vorab mitgeteilten Kreditkartendaten bis zum blockierten Betrag bzw. bis zur vertraglich vereinbarten Höhe belasten. Die Blockierung eines bestimmten Betrages bedarf nun zum einen nach Art. 75 Abs. 1 PSD2 auch der expliziten Zustimmung des Gastes. Zum anderen ist eine derartige Belastung der Kreditkarte seit dem 14. September 2019 nur dann möglich, wenn dieser Zahlungsvorgang gemäß der strengen Kundenauthentifizierung ausgelöst wurde, die das Hotel ohne den Zahler nicht durchführen kann.

Enge Ausnahmen gelten z. B. bei Kleinstbeträgen bis 50 Euro oder wenn nicht mehr als fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung ausgelöst werden. Eine No-Show-Belastung hingegen wird die Authentifizierungsfreigrenze in den meisten Fällen deutlich übersteigen. Daher muss die Hotellerie ihre gewohnten Zahlungsmodalitäten in Bezug auf diese Zahlungen zwingend umstellen. Dies könnte dadurch realisiert werden, dass der Gast schon bei Buchung zur Bezahlung des gesamten Preises aufgefordert wird, was die Buchung für den ein oder anderen Gast durchaus unattraktiv machen könnte.

Die Zusammenarbeit mit Zahlungsdienstleistern (Payment Service Providern (PSP), z. B. Concardis, Wirecard) bringt ebenfalls Neuerungen mit sich. In den vergangenen Wochen und Monaten haben PSP die Zahlungsabwicklung den neuen rechtlichen Rahmenbedingungen angepasst, was nicht ohne Auswirkung auf die internen Prozesse des Hotels blieb (z. B. neue, virtuelle Bezahlterminals für MOPOs etc.).

4. Vorübergehendes Stillhalten der BaFin

Mit Pressemitteilung vom 21. August 2019 gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bekannt, dass Zahlungsdienstleister mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen können. Eine Beanstandung wird ihrerseits zunächst nicht erfolgen, um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der PSD2 zu ermöglichen.

Dies gilt daher nicht für Zahlungen, die vor Ort im Hotel getätigt werden (No-Shows, Incidental Charges etc.). Eine Erleichterung bringt der Aufschub daher nur im Bezug auf die Buchung des Hotels, nicht jedoch für die eigentlich zu bewältigende Mammutaufgabe. Hinzu kommt, dass die BaFin keine Aussage über die Dauer dieser beanstandungsfreien Zeit getroffen hat. Es muss deshalb damit gerechnet werden, dass die BaFin auch kurzfristig zu einer strengen Aufsichtsarbeit zurückkehren wird.  

5. Fazit

Die europäische Hotellerie ist – wie auch jeder Online-Händler – gezwungen, sich auf die Neuerungen einzustellen. Das Wichtigste liegt dabei auf der Hand: der Gast ist nach wie vor König. Größte Aufgabe ist es, die Reibungslosigkeit der bisherigen Zahlungsabwicklung zwischen all den Veränderungen aufrecht zu erhalten, um dem Gast einen möglichst unbeschwerten Aufenthalt zu ermöglichen.

Dabei darf nicht vergessen werden, dass AGB, Informationen über Zahlungsmittel auf der Website und andere Rechtstexte im Hinblick auf die geänderten Geschäftsabläufe anzupassen sind.

 Wir unterstützen Sie gern bei allen Fragen rund um die Zahlungsabwicklung, die Zusammenarbeit mit Zahlungsdienstleistern und die Anpassung von AGB und anderen Vertragsbedingungen.

 

Den Beitrag verfasste Fachanwältin für Handels- und Gesellschaftsrecht Sabine Fuhrmann gemeinsam mit Rechtsreferendar bei Spirit Legal LLP, Julian Ferenčik.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

Sperrwirkung Umtausch Geschäftsgeheimnis ransomware Evil Legal Textilien Abwerbeverbot selbstanlageverfahren E-Mobilität Rückgaberecht Art. 13 GMV Türkisch Leipzig Persönlichkeitsrecht Education urheberrechtsschutz Cyber Security hate speech Home-Office gesellschaftsrecht unternehmensrecht Unterlassung Europawahl Markenrecht Vergütungsmodelle berufspflicht Bundesmeldegesetz Reisen email marketing Compliance Geschmacksmuster Kinderrechte Sperrabrede Google AdWords Journalisten Verfügbarkeit Vertragsrecht Gepäck Interview #bsen PSD2 Datenschutzbeauftragter Online Marketing Medienstaatsvertrag Authentifizierung Großbritannien Schadenersatz Konferenz nutzungsrechte Algorithmen TikTok E-Mail-Marketing Social Engineering Beleidigung Insolvenz Fotografen HSMA Team Spirit Minijob Facial Recognition videoüberwachung Schadensersatz Unternehmensgründung Irreführung Kapitalmarkt Phishing Namensrecht Löschung informationspflichten Preisauszeichnung Internet of Things #emd15 USA Europarecht EU-Kosmetik-Verordnung markenanmeldung Urlaub Kleinanlegerschutz EU-Textilkennzeichnungsverordnung Amazon Hotelrecht data privacy Rechtsanwaltsfachangestellte EU-Kommission Gesundheit Big Data Vergleichsportale Chat LG Köln Jahresrückblick Recap Limited Dynamic Keyword Insertion Sponsoring Reise Flugzeug Finanzaufsicht wallart Instagram anwaltsserie Datensicherheit Gesetz Doxing informationstechnologie Kündigung Leaks LG Hamburg Schadensfall technik Datenschutzgrundverordnung Job Kreditkarten Gäste § 24 MarkenG Onlinevertrieb Digitalwirtschaft Class Action Osteopathie Lohnfortzahlung Datenschutzgesetz Corporate Housekeeping Markeneintragung verlinken Einwilligung New Work Privacy Handelsregister AGB Künstliche Intelligenz Presse Customer Service 3 UWG Hotelvermittler entgeltgleichheit Unlauterer Wettbewerb Creative Commons Lebensmittel Handynummer USPTO Hotels Hinweispflichten CRM Arbeitsvertrag § 15 MarkenG Adwords veröffentlichung EC-Karten c/o events Touristik Kundenbewertungen OTMR gender pay gap bgh brexit Diskriminierung Voice Assistant fristen Arbeitsunfall Bachblüten Beweislast wetteronline.de Messe Kundendaten Produktempfehlungen Datenpanne handelsrecht Urheberrechtsreform AIDA ePrivacy html5 News Bußgeld Double-Opt-In Informationsfreiheit Datenschutzerklärung TeamSpirit Xing FTC Selbstverständlichkeiten transparenzregister GmbH Duldungsvollmacht Data Protection Deep Fake Abmahnung Heilkunde Ring Auslandszustellung Suchfunktion Exklusivitätsklausel Gesamtpreis Annual Return Wettbewerbsverbot Keyword-Advertising Hackerangriff Hack Unterlassungsansprüche PPC Erdogan

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2022, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: