• Deutsch
  • Aktuelles
  • Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Bildmaterial von Unsplash.com / Bearbeitung Spirit Legal

Wer sich ohne Weiteres nicht mehr in sein Online-Banking einloggen kann, dem ist klar, dass sich seit dem 14. September 2019 für den elektronischen Zahlungsverkehr einiges geändert hat. Zum genannten Datum trat der Teil der Zweiten Zahlungsdiensterichtlinie (PSD2) in Kraft, welcher die sogenannte „Starke Kundenauthentifizierung“ regelt. Der folgende Beitrag soll eine Kurzübersicht über die Neuerungen und die Veränderungen speziell für die Hotellerie geben.

1. Starke Kundenauthentifizierung

Die Starke Kundenauthentifizierung soll den Missbrauch von elektronischen Zahlungsdiensten minimieren bzw. diesen komplett verhindern.

Gemäß Art. 4 der Delegierten Verordnung (Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017) setzt sie sich aus zwei von drei Elementen der Kategorien Wissen, Besitz und Inhärenz sowie der Generierung eines für jede Transaktion individuellen Authentifizierungscodes zusammen und wird deshalb auch als Zwei-Faktor-Authentifizierungscode (2FA) bezeichnet.

Dabei können unter die Kategorie Wissen verschiedene Sicherheitsabfragen wie Passwörter oder Kreditkartennummer, unter Besitz beispielsweise das Smartphone oder die Chipkarte des Zahlers und unter Inhärenz dessen Fingerabdruck oder Netzhautscan fallen.

Der Authentifizierungscode ist dabei dynamisch mit dem zu tätigenden Zahlungsvorgang verknüpft, gilt also nur einmalig und nur für genau den angegebenen Zahlungsbetrag und Zahlungsempfänger – deshalb wurde damit das Ende der TAN-Listen im Online-Banking besiegelt, weil diese Codes nicht für einen konkreten Zahlungsvorgang generiert wurden.

2. Anwendbarkeit der Starken Kundenauthentifizierung

Die PSD2 gilt für alle Zahlungsdienste innerhalb der Europäischen Union. Zahlungsdienste sind im Hinblick auf Anhang 1 der PSD2 grundsätzlich alle Zahlungen mit EC- oder Kreditkarte, Bargeld Ein- und Auszahlungen, sowie das Auslösen von Lastschriften bei einem Zahlungsdienstleister. Vom Anwendungsbereich der Richtlinie generell ausgeschlossen sind somit Merchant Initiated Transactions (MITs) und Mail Order and Telephone Order (MOTOs). Diese bleiben nach wie vor authentifizierungfrei.

Nach Art. 97 Abs. 1 PSD2 müssen demnach alle europäischen Zahlungsdienstleister eine Starke Kundenauthentifizierung bei Onlinezugriffen auf das Zahlungskonto oder bei elektronischen Zahlungsvorgängen durchführen.

3. Folgen und Möglichkeiten für die Hotellerie

Besonders Hotelbetreiber stellen die neuen Regelungen über die Starke Kundenauthentifizierung vor große Herausforderungen. Auch bei Zahlungen in und aus Drittländern außerhalb der Europäischen Union ist eine Starke Kundenauthentifizierung durchzuführen, wenn sich der Zahlungsdienstleister des Hotels innerhalb der EU befindet und der Zahlbetrag einem seiner Verrechnungskonten gutgeschrieben wird.

So ist es möglich, dass der europäische Zahlungsdienstleister eines karibischen Hotels bei elektronischen Zahlungsvorgängen eine Starke Kundenauthentifizierung durchführen muss. Scheint dieses Szenario auch eher die Ausnahme darzustellen - denkbar wäre es dennoch.

Die sich über Jahre hinweg entwickelten und bewährten Zahlungsstrukturen und -abläufe werden in der jetzigen Form nicht mehr möglich sein. Das gilt vor allem für die sogenannten No-Show-Belastungen oder Incidental-Charges. Bisher konnten Hotels eine bei Buchung hinterlegte Kreditkarte durch die vorab mitgeteilten Kreditkartendaten bis zum blockierten Betrag bzw. bis zur vertraglich vereinbarten Höhe belasten. Die Blockierung eines bestimmten Betrages bedarf nun zum einen nach Art. 75 Abs. 1 PSD2 auch der expliziten Zustimmung des Gastes. Zum anderen ist eine derartige Belastung der Kreditkarte seit dem 14. September 2019 nur dann möglich, wenn dieser Zahlungsvorgang gemäß der strengen Kundenauthentifizierung ausgelöst wurde, die das Hotel ohne den Zahler nicht durchführen kann.

Enge Ausnahmen gelten z. B. bei Kleinstbeträgen bis 50 Euro oder wenn nicht mehr als fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung ausgelöst werden. Eine No-Show-Belastung hingegen wird die Authentifizierungsfreigrenze in den meisten Fällen deutlich übersteigen. Daher muss die Hotellerie ihre gewohnten Zahlungsmodalitäten in Bezug auf diese Zahlungen zwingend umstellen. Dies könnte dadurch realisiert werden, dass der Gast schon bei Buchung zur Bezahlung des gesamten Preises aufgefordert wird, was die Buchung für den ein oder anderen Gast durchaus unattraktiv machen könnte.

Die Zusammenarbeit mit Zahlungsdienstleistern (Payment Service Providern (PSP), z. B. Concardis, Wirecard) bringt ebenfalls Neuerungen mit sich. In den vergangenen Wochen und Monaten haben PSP die Zahlungsabwicklung den neuen rechtlichen Rahmenbedingungen angepasst, was nicht ohne Auswirkung auf die internen Prozesse des Hotels blieb (z. B. neue, virtuelle Bezahlterminals für MOPOs etc.).

4. Vorübergehendes Stillhalten der BaFin

Mit Pressemitteilung vom 21. August 2019 gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bekannt, dass Zahlungsdienstleister mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen können. Eine Beanstandung wird ihrerseits zunächst nicht erfolgen, um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der PSD2 zu ermöglichen.

Dies gilt daher nicht für Zahlungen, die vor Ort im Hotel getätigt werden (No-Shows, Incidental Charges etc.). Eine Erleichterung bringt der Aufschub daher nur im Bezug auf die Buchung des Hotels, nicht jedoch für die eigentlich zu bewältigende Mammutaufgabe. Hinzu kommt, dass die BaFin keine Aussage über die Dauer dieser beanstandungsfreien Zeit getroffen hat. Es muss deshalb damit gerechnet werden, dass die BaFin auch kurzfristig zu einer strengen Aufsichtsarbeit zurückkehren wird.  

5. Fazit

Die europäische Hotellerie ist – wie auch jeder Online-Händler – gezwungen, sich auf die Neuerungen einzustellen. Das Wichtigste liegt dabei auf der Hand: der Gast ist nach wie vor König. Größte Aufgabe ist es, die Reibungslosigkeit der bisherigen Zahlungsabwicklung zwischen all den Veränderungen aufrecht zu erhalten, um dem Gast einen möglichst unbeschwerten Aufenthalt zu ermöglichen.

Dabei darf nicht vergessen werden, dass AGB, Informationen über Zahlungsmittel auf der Website und andere Rechtstexte im Hinblick auf die geänderten Geschäftsabläufe anzupassen sind.

 Wir unterstützen Sie gern bei allen Fragen rund um die Zahlungsabwicklung, die Zusammenarbeit mit Zahlungsdienstleistern und die Anpassung von AGB und anderen Vertragsbedingungen.

 

Den Beitrag verfasste Fachanwältin für Handels- und Gesellschaftsrecht Sabine Fuhrmann gemeinsam mit Rechtsreferendar bei Spirit Legal LLP, Julian Ferenčik.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

Produktempfehlungen Alexa § 5 UWG FTC Rechtsprechung Buchungsportal Bildrecherche Auftragsverarbeitung handelsrecht CNIL #emd15 PSD2 Data Breach Impressumspflicht berufspflicht Namensrecht Spirit Legal Panorama Bestandsschutz Kosmetik München Leipzig right of publicity Hotelsterne Kundenbewertung Weihnachten Google AdWords Neujahr A1-Bescheinigung selbstanlageverfahren WLAN Datenschutzerklärung Customer Service Education Bildrechte verbraucherstreitbeilegungsgesetz New Work Meldepflicht gdpr Wahlen Beschäftigtendatenschutz Authentifizierung Resort Vertrauen Einwilligungsgestaltung PPC Preisangabenverordnung Meinung Messe Phishing E-Commerce Zustellbevollmächtigter ReFa Onlineplattform Twitter Schadensfall videoüberwachung SSO Ruby on Rails News Sponsoren Amazon Polen Erbe Urteile E-Mobilität Bundeskartellamt Konferenz Jugendschutzfilter Chat Trademark Beweislast USA Doxing Plattformregulierung Double-Opt-In information technology Datenpanne Keyword-Advertising Umtausch Abwerbeverbot Fotografen EU-Kommission Artificial Intelligence Foto Internet Gesichtserkennung Überwachung Arbeitsrecht GmbH fristen Ratenparität BDSG Kreditkarten Privacy Europawahl Marke NetzDG Datenschutz Kündigung EuGH technology Online Marketing Unlauterer Wettbewerb Kartellrecht Opentable Conversion Einstellungsverbot Unterlassung Touristik ITB Wettbewerb Datenschutzgesetz Urlaub Telefon Hack Sperrabrede Gesamtpreis Aufsichtsbehörden Art. 13 GMV YouTube Lizenzrecht Influencer Geschmacksmuster data privacy Team Preisauszeichnung drohnen Störerhaftung DSGVO Großbritannien Bewertung Facebook USPTO Kinderrechte Vertragsgestaltung nutzungsrechte Event Know How Datensicherheit Team Spirit Anmeldung Radikalisierung Geschäftsanschrift Instagram Referendar Microsoft Analytics Restaurant Europarecht 5 UWG Verfügbarkeit informationstechnologie Informationsfreiheit Internet of Things Kennzeichnungskraft Presserecht Recht urheberrechtsschutz EU-Textilkennzeichnungsverordnung Handelsregister Bundesmeldegesetz Marketing EU-Kosmetik-Verordnung Türkisch Einverständnis Hotel Geschäftsgeheimnis Compliance Stellenangebot Infosec Kritik Suchmaschinenbetreiber Markeneintragung geldwäsche Insolvenz Datengeheimnis Reiserecht ecommerce technik FashionID anwaltsserie entgeltgleichheit Kleinanlegerschutz jahresabschluss Email schule c/o #bsen Gegendarstellung Medienstaatsvertrag Suchmaschinen Persönlichkeitsrecht Machine Learning Custom Audiences Gäste Tracking Rückgaberecht Selbstverständlichkeiten Impressum

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2021, alle Rechte vorbehalten