• Deutsch
  • Aktuelles
  • Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Bildmaterial von Unsplash.com / Bearbeitung Spirit Legal

Wer sich ohne Weiteres nicht mehr in sein Online-Banking einloggen kann, dem ist klar, dass sich seit dem 14. September 2019 für den elektronischen Zahlungsverkehr einiges geändert hat. Zum genannten Datum trat der Teil der Zweiten Zahlungsdiensterichtlinie (PSD2) in Kraft, welcher die sogenannte „Starke Kundenauthentifizierung“ regelt. Der folgende Beitrag soll eine Kurzübersicht über die Neuerungen und die Veränderungen speziell für die Hotellerie geben.

1. Starke Kundenauthentifizierung

Die Starke Kundenauthentifizierung soll den Missbrauch von elektronischen Zahlungsdiensten minimieren bzw. diesen komplett verhindern.

Gemäß Art. 4 der Delegierten Verordnung (Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017) setzt sie sich aus zwei von drei Elementen der Kategorien Wissen, Besitz und Inhärenz sowie der Generierung eines für jede Transaktion individuellen Authentifizierungscodes zusammen und wird deshalb auch als Zwei-Faktor-Authentifizierungscode (2FA) bezeichnet.

Dabei können unter die Kategorie Wissen verschiedene Sicherheitsabfragen wie Passwörter oder Kreditkartennummer, unter Besitz beispielsweise das Smartphone oder die Chipkarte des Zahlers und unter Inhärenz dessen Fingerabdruck oder Netzhautscan fallen.

Der Authentifizierungscode ist dabei dynamisch mit dem zu tätigenden Zahlungsvorgang verknüpft, gilt also nur einmalig und nur für genau den angegebenen Zahlungsbetrag und Zahlungsempfänger – deshalb wurde damit das Ende der TAN-Listen im Online-Banking besiegelt, weil diese Codes nicht für einen konkreten Zahlungsvorgang generiert wurden.

2. Anwendbarkeit der Starken Kundenauthentifizierung

Die PSD2 gilt für alle Zahlungsdienste innerhalb der Europäischen Union. Zahlungsdienste sind im Hinblick auf Anhang 1 der PSD2 grundsätzlich alle Zahlungen mit EC- oder Kreditkarte, Bargeld Ein- und Auszahlungen, sowie das Auslösen von Lastschriften bei einem Zahlungsdienstleister. Vom Anwendungsbereich der Richtlinie generell ausgeschlossen sind somit Merchant Initiated Transactions (MITs) und Mail Order and Telephone Order (MOTOs). Diese bleiben nach wie vor authentifizierungfrei.

Nach Art. 97 Abs. 1 PSD2 müssen demnach alle europäischen Zahlungsdienstleister eine Starke Kundenauthentifizierung bei Onlinezugriffen auf das Zahlungskonto oder bei elektronischen Zahlungsvorgängen durchführen.

3. Folgen und Möglichkeiten für die Hotellerie

Besonders Hotelbetreiber stellen die neuen Regelungen über die Starke Kundenauthentifizierung vor große Herausforderungen. Auch bei Zahlungen in und aus Drittländern außerhalb der Europäischen Union ist eine Starke Kundenauthentifizierung durchzuführen, wenn sich der Zahlungsdienstleister des Hotels innerhalb der EU befindet und der Zahlbetrag einem seiner Verrechnungskonten gutgeschrieben wird.

So ist es möglich, dass der europäische Zahlungsdienstleister eines karibischen Hotels bei elektronischen Zahlungsvorgängen eine Starke Kundenauthentifizierung durchführen muss. Scheint dieses Szenario auch eher die Ausnahme darzustellen - denkbar wäre es dennoch.

Die sich über Jahre hinweg entwickelten und bewährten Zahlungsstrukturen und -abläufe werden in der jetzigen Form nicht mehr möglich sein. Das gilt vor allem für die sogenannten No-Show-Belastungen oder Incidental-Charges. Bisher konnten Hotels eine bei Buchung hinterlegte Kreditkarte durch die vorab mitgeteilten Kreditkartendaten bis zum blockierten Betrag bzw. bis zur vertraglich vereinbarten Höhe belasten. Die Blockierung eines bestimmten Betrages bedarf nun zum einen nach Art. 75 Abs. 1 PSD2 auch der expliziten Zustimmung des Gastes. Zum anderen ist eine derartige Belastung der Kreditkarte seit dem 14. September 2019 nur dann möglich, wenn dieser Zahlungsvorgang gemäß der strengen Kundenauthentifizierung ausgelöst wurde, die das Hotel ohne den Zahler nicht durchführen kann.

Enge Ausnahmen gelten z. B. bei Kleinstbeträgen bis 50 Euro oder wenn nicht mehr als fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung ausgelöst werden. Eine No-Show-Belastung hingegen wird die Authentifizierungsfreigrenze in den meisten Fällen deutlich übersteigen. Daher muss die Hotellerie ihre gewohnten Zahlungsmodalitäten in Bezug auf diese Zahlungen zwingend umstellen. Dies könnte dadurch realisiert werden, dass der Gast schon bei Buchung zur Bezahlung des gesamten Preises aufgefordert wird, was die Buchung für den ein oder anderen Gast durchaus unattraktiv machen könnte.

Die Zusammenarbeit mit Zahlungsdienstleistern (Payment Service Providern (PSP), z. B. Concardis, Wirecard) bringt ebenfalls Neuerungen mit sich. In den vergangenen Wochen und Monaten haben PSP die Zahlungsabwicklung den neuen rechtlichen Rahmenbedingungen angepasst, was nicht ohne Auswirkung auf die internen Prozesse des Hotels blieb (z. B. neue, virtuelle Bezahlterminals für MOPOs etc.).

4. Vorübergehendes Stillhalten der BaFin

Mit Pressemitteilung vom 21. August 2019 gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bekannt, dass Zahlungsdienstleister mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen können. Eine Beanstandung wird ihrerseits zunächst nicht erfolgen, um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der PSD2 zu ermöglichen.

Dies gilt daher nicht für Zahlungen, die vor Ort im Hotel getätigt werden (No-Shows, Incidental Charges etc.). Eine Erleichterung bringt der Aufschub daher nur im Bezug auf die Buchung des Hotels, nicht jedoch für die eigentlich zu bewältigende Mammutaufgabe. Hinzu kommt, dass die BaFin keine Aussage über die Dauer dieser beanstandungsfreien Zeit getroffen hat. Es muss deshalb damit gerechnet werden, dass die BaFin auch kurzfristig zu einer strengen Aufsichtsarbeit zurückkehren wird.  

5. Fazit

Die europäische Hotellerie ist – wie auch jeder Online-Händler – gezwungen, sich auf die Neuerungen einzustellen. Das Wichtigste liegt dabei auf der Hand: der Gast ist nach wie vor König. Größte Aufgabe ist es, die Reibungslosigkeit der bisherigen Zahlungsabwicklung zwischen all den Veränderungen aufrecht zu erhalten, um dem Gast einen möglichst unbeschwerten Aufenthalt zu ermöglichen.

Dabei darf nicht vergessen werden, dass AGB, Informationen über Zahlungsmittel auf der Website und andere Rechtstexte im Hinblick auf die geänderten Geschäftsabläufe anzupassen sind.

 Wir unterstützen Sie gern bei allen Fragen rund um die Zahlungsabwicklung, die Zusammenarbeit mit Zahlungsdienstleistern und die Anpassung von AGB und anderen Vertragsbedingungen.

 

Den Beitrag verfasste Fachanwältin für Handels- und Gesellschaftsrecht Sabine Fuhrmann gemeinsam mit Rechtsreferendar bei Spirit Legal LLP, Julian Ferenčik.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

Einwilligung Single Sign-On Textilien Datenschutzgesetz informationstechnologie targeting Wettbewerb Datensicherheit LG Hamburg Bestandsschutz Interview Doxing nutzungsrechte Suchfunktion transparenzregister NetzDG Vergütung 3 UWG Ferienwohnung Datengeheimnis Analytics § 5 MarkenG Reisen gesellschaftsrecht drohnengesetz Onlineshop Schadensfall Gäste Artificial Intelligence Stellenausschreibung Wettbewerbsrecht Konferenz Störerhaftung Bots Adwords Neujahr Mitarbeiterfotografie Kapitalmarkt EC-Karten verbraucherstreitbeilegungsgesetz Informationspflicht Auslandszustellung unternehmensrecht Hotels Buchungsportal Vertrauen Datenportabilität fristen § 15 MarkenG Fotografen §75f HGB Beacons Hinweispflichten Apps Internetrecht Wettbewerbsbeschränkung markenanmeldung IT-Sicherheit CNIL Bewertung Reise FashionID Hotel AGB Expedia.com E-Mail-Marketing Suchmaschinenbetreiber geldwäsche custom audience Einverständnis EU-Textilkennzeichnungsverordnung Dark Pattern Rechtsanwaltsfachangestellte Vertragsrecht ITB Marke Schadenersatz Phishing bgh Social Engineering A1-Bescheinigung whatsapp Geschäftsgeheimnis Kosmetik ecommerce Kundenbewertungen datenverlust Meinung Human Resource Management Finanzierung Namensrecht Kinder Booking.com Bildrechte Facial Recognition verlinken email marketing Voice Assistant AfD Beleidigung Class Action Reiserecht JointControl Know How Gesamtpreis Check-in Midijob verlinkung Onlineplattform Twitter ransomware Entschädigung Sponsoring Arbeitsvertrag OLG Köln Geschäftsanschrift Presse USPTO Crowdfunding Erdogan Türkisch Marketing Freelancer gender pay gap Großbritannien Referendar Domainrecht Newsletter Suchalgorithmus Markensperre Rechtsprechung Datenschutz Hotellerie Website § 5 UWG Rückgaberecht Künstliche Intelligenz Trademark Opentable Hacking Datenschutzgrundverordnung schule Gesundheit Art. 13 GMV OTMR Online-Bewertungen Creative Commons Kartellrecht Scam PSD2 Urlaub Authentifizierung Werbung hate speech Rabattangaben jahresabschluss c/o data Vergütungsmodelle Herkunftsfunktion handelsrecht Gepäck Meldepflicht Job vertrag Registered Algorithmen Kennzeichnungskraft Hack Produktempfehlungen Dokumentationspflicht München Sicherheitslücke Schöpfungshöhe Keyword-Advertising right of publicity Linkhaftung Filesharing Löschung Zahlungsdaten kommunen LMIV Panoramafreiheit Schleichwerbung information technology #emd15 Distribution Unionsmarke Europawahl Lizenzrecht § 4 UWG entgeltgleichheit Sponsoren Ratenparität Suchmaschinen DSGVO technology Onlinevertrieb Privacy Email

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2020, alle Rechte vorbehalten