• Deutsch
  • Aktuelles
  • Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Bildmaterial von Unsplash.com / Bearbeitung Spirit Legal

Wer sich ohne Weiteres nicht mehr in sein Online-Banking einloggen kann, dem ist klar, dass sich seit dem 14. September 2019 für den elektronischen Zahlungsverkehr einiges geändert hat. Zum genannten Datum trat der Teil der Zweiten Zahlungsdiensterichtlinie (PSD2) in Kraft, welcher die sogenannte „Starke Kundenauthentifizierung“ regelt. Der folgende Beitrag soll eine Kurzübersicht über die Neuerungen und die Veränderungen speziell für die Hotellerie geben.

1. Starke Kundenauthentifizierung

Die Starke Kundenauthentifizierung soll den Missbrauch von elektronischen Zahlungsdiensten minimieren bzw. diesen komplett verhindern.

Gemäß Art. 4 der Delegierten Verordnung (Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017) setzt sie sich aus zwei von drei Elementen der Kategorien Wissen, Besitz und Inhärenz sowie der Generierung eines für jede Transaktion individuellen Authentifizierungscodes zusammen und wird deshalb auch als Zwei-Faktor-Authentifizierungscode (2FA) bezeichnet.

Dabei können unter die Kategorie Wissen verschiedene Sicherheitsabfragen wie Passwörter oder Kreditkartennummer, unter Besitz beispielsweise das Smartphone oder die Chipkarte des Zahlers und unter Inhärenz dessen Fingerabdruck oder Netzhautscan fallen.

Der Authentifizierungscode ist dabei dynamisch mit dem zu tätigenden Zahlungsvorgang verknüpft, gilt also nur einmalig und nur für genau den angegebenen Zahlungsbetrag und Zahlungsempfänger – deshalb wurde damit das Ende der TAN-Listen im Online-Banking besiegelt, weil diese Codes nicht für einen konkreten Zahlungsvorgang generiert wurden.

2. Anwendbarkeit der Starken Kundenauthentifizierung

Die PSD2 gilt für alle Zahlungsdienste innerhalb der Europäischen Union. Zahlungsdienste sind im Hinblick auf Anhang 1 der PSD2 grundsätzlich alle Zahlungen mit EC- oder Kreditkarte, Bargeld Ein- und Auszahlungen, sowie das Auslösen von Lastschriften bei einem Zahlungsdienstleister. Vom Anwendungsbereich der Richtlinie generell ausgeschlossen sind somit Merchant Initiated Transactions (MITs) und Mail Order and Telephone Order (MOTOs). Diese bleiben nach wie vor authentifizierungfrei.

Nach Art. 97 Abs. 1 PSD2 müssen demnach alle europäischen Zahlungsdienstleister eine Starke Kundenauthentifizierung bei Onlinezugriffen auf das Zahlungskonto oder bei elektronischen Zahlungsvorgängen durchführen.

3. Folgen und Möglichkeiten für die Hotellerie

Besonders Hotelbetreiber stellen die neuen Regelungen über die Starke Kundenauthentifizierung vor große Herausforderungen. Auch bei Zahlungen in und aus Drittländern außerhalb der Europäischen Union ist eine Starke Kundenauthentifizierung durchzuführen, wenn sich der Zahlungsdienstleister des Hotels innerhalb der EU befindet und der Zahlbetrag einem seiner Verrechnungskonten gutgeschrieben wird.

So ist es möglich, dass der europäische Zahlungsdienstleister eines karibischen Hotels bei elektronischen Zahlungsvorgängen eine Starke Kundenauthentifizierung durchführen muss. Scheint dieses Szenario auch eher die Ausnahme darzustellen - denkbar wäre es dennoch.

Die sich über Jahre hinweg entwickelten und bewährten Zahlungsstrukturen und -abläufe werden in der jetzigen Form nicht mehr möglich sein. Das gilt vor allem für die sogenannten No-Show-Belastungen oder Incidental-Charges. Bisher konnten Hotels eine bei Buchung hinterlegte Kreditkarte durch die vorab mitgeteilten Kreditkartendaten bis zum blockierten Betrag bzw. bis zur vertraglich vereinbarten Höhe belasten. Die Blockierung eines bestimmten Betrages bedarf nun zum einen nach Art. 75 Abs. 1 PSD2 auch der expliziten Zustimmung des Gastes. Zum anderen ist eine derartige Belastung der Kreditkarte seit dem 14. September 2019 nur dann möglich, wenn dieser Zahlungsvorgang gemäß der strengen Kundenauthentifizierung ausgelöst wurde, die das Hotel ohne den Zahler nicht durchführen kann.

Enge Ausnahmen gelten z. B. bei Kleinstbeträgen bis 50 Euro oder wenn nicht mehr als fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung ausgelöst werden. Eine No-Show-Belastung hingegen wird die Authentifizierungsfreigrenze in den meisten Fällen deutlich übersteigen. Daher muss die Hotellerie ihre gewohnten Zahlungsmodalitäten in Bezug auf diese Zahlungen zwingend umstellen. Dies könnte dadurch realisiert werden, dass der Gast schon bei Buchung zur Bezahlung des gesamten Preises aufgefordert wird, was die Buchung für den ein oder anderen Gast durchaus unattraktiv machen könnte.

Die Zusammenarbeit mit Zahlungsdienstleistern (Payment Service Providern (PSP), z. B. Concardis, Wirecard) bringt ebenfalls Neuerungen mit sich. In den vergangenen Wochen und Monaten haben PSP die Zahlungsabwicklung den neuen rechtlichen Rahmenbedingungen angepasst, was nicht ohne Auswirkung auf die internen Prozesse des Hotels blieb (z. B. neue, virtuelle Bezahlterminals für MOPOs etc.).

4. Vorübergehendes Stillhalten der BaFin

Mit Pressemitteilung vom 21. August 2019 gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bekannt, dass Zahlungsdienstleister mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen können. Eine Beanstandung wird ihrerseits zunächst nicht erfolgen, um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der PSD2 zu ermöglichen.

Dies gilt daher nicht für Zahlungen, die vor Ort im Hotel getätigt werden (No-Shows, Incidental Charges etc.). Eine Erleichterung bringt der Aufschub daher nur im Bezug auf die Buchung des Hotels, nicht jedoch für die eigentlich zu bewältigende Mammutaufgabe. Hinzu kommt, dass die BaFin keine Aussage über die Dauer dieser beanstandungsfreien Zeit getroffen hat. Es muss deshalb damit gerechnet werden, dass die BaFin auch kurzfristig zu einer strengen Aufsichtsarbeit zurückkehren wird.  

5. Fazit

Die europäische Hotellerie ist – wie auch jeder Online-Händler – gezwungen, sich auf die Neuerungen einzustellen. Das Wichtigste liegt dabei auf der Hand: der Gast ist nach wie vor König. Größte Aufgabe ist es, die Reibungslosigkeit der bisherigen Zahlungsabwicklung zwischen all den Veränderungen aufrecht zu erhalten, um dem Gast einen möglichst unbeschwerten Aufenthalt zu ermöglichen.

Dabei darf nicht vergessen werden, dass AGB, Informationen über Zahlungsmittel auf der Website und andere Rechtstexte im Hinblick auf die geänderten Geschäftsabläufe anzupassen sind.

 Wir unterstützen Sie gern bei allen Fragen rund um die Zahlungsabwicklung, die Zusammenarbeit mit Zahlungsdienstleistern und die Anpassung von AGB und anderen Vertragsbedingungen.

 

Den Beitrag verfasste Fachanwältin für Handels- und Gesellschaftsrecht Sabine Fuhrmann gemeinsam mit Rechtsreferendar bei Spirit Legal LLP, Julian Ferenčik.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

brexit DSGVO markenanmeldung Corporate Housekeeping handel Störerhaftung whatsapp Flugzeug Limited Geschäftsführer Reise wallart Kekse ADV nutzungsrechte Bestandsschutz Unlauterer Wettbewerb gesellschaftsrecht Auftragsdatenverarbeitung Chat Pseudonomisierung Abhören Gäste Vergleichsportale Bildrechte Ofcom Apps Kennzeichnungskraft Persönlichkeitsrecht Restaurant privacy shield Datenschutzrecht Phishing Bundeskartellamt Anmeldung Bots Markensperre Resort Gaming Disorder FashionID Kosmetik Datenschutzerklärung Einwilligungsgestaltung EC-Karten Cyber Security Spitzenstellungsbehauptung Urteil PPC Stellenausschreibung datenverlust ransomware drohnen IT-Sicherheit Mitarbeiterfotografie Ruby on Rails Diskriminierung Datengeheimnis besondere Darstellung Duldungsvollmacht Schöpfungshöhe #bsen data technik Email Machine Learning Social Engineering wetteronline.de Verpackungsgesetz Onlineplattform Abmahnung Barcamp html5 Onlinevertrieb UWG Online Europawahl Verbandsklage Nutzungsrecht A1-Bescheinigung Stellenangebot Finanzierung WLAN NetzDG ecommerce Sicherheitslücke Sperrabrede Kundenbewertung Arbeitsrecht Bundesmeldegesetz FTC Leaks Rückgaberecht Presserecht Home-Office Kundendaten Dark Pattern Infosec Gegendarstellung Education Twitter Haftung Einstellungsverbot EU-Kommission Geschäftsgeheimnis informationspflichten urheberrechtsschutz EuGH jahresabschluss Consent Management CNIL Opentable vertrag Bildrecherche Herkunftsfunktion Kunsturhebergesetz targeting Kreditkarten Werktitel Lizenzrecht Internet verlinkung Meinungsfreiheit Vertragsgestaltung 2014 E-Mail-Marketing Prozessrecht LG Köln Beleidigung Trademark Newsletter Hacking Scam Rechtsprechung E-Mail Pressekodex Internet of Things News USA Einverständnis Ferienwohnung Handelsregister Bachblüten email marketing gdpr Mindestlohn Doxing AIDA Schadensfall custom audience OLG Köln events Sperrwirkung JointControl Urteile Dokumentationspflicht Check-in data security Fotografen information technology Konferenz CRM Werbung Europarecht Unterlassung selbstanlageverfahren Ring messenger Buchungsportal Textilien Asien Kundenbewertungen Beschäftigtendatenschutz Weihnachten § 24 MarkenG GmbH Kleinanlegerschutz Datenportabilität Online Marketing Hotelsterne fake news Insolvenz Erschöpfungsgrundsatz drohnengesetz Foto Löschung total buy out Arbeitsunfall Custom Audiences gender pay gap Preisangabenverordnung britain Art. 13 GMV zahlungsdienst Bestpreisklausel #emd15 Domainrecht Distribution Suchfunktion verbraucherstreitbeilegungsgesetz Single Sign-On

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2019, alle Rechte vorbehalten