• Deutsch
  • Aktuelles
  • Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Starke Kundenauthentifizierung – Auch ein Fluch für die Karibik?

Bildmaterial von Unsplash.com / Bearbeitung Spirit Legal

Wer sich ohne Weiteres nicht mehr in sein Online-Banking einloggen kann, dem ist klar, dass sich seit dem 14. September 2019 für den elektronischen Zahlungsverkehr einiges geändert hat. Zum genannten Datum trat der Teil der Zweiten Zahlungsdiensterichtlinie (PSD2) in Kraft, welcher die sogenannte „Starke Kundenauthentifizierung“ regelt. Der folgende Beitrag soll eine Kurzübersicht über die Neuerungen und die Veränderungen speziell für die Hotellerie geben.

Inhaltsverzeichnis

  1. Starke Kundenauthentifizierung
  2. Anwendbarkeit der Starken Kundenauthentifizierung
  3. Folgen und Möglichkeiten für die Hotellerie
  4. Vorübergehendes Stillhalten der BaFin
  5. Fazit

1. Starke Kundenauthentifizierung

Die Starke Kundenauthentifizierung soll den Missbrauch von elektronischen Zahlungsdiensten minimieren bzw. diesen komplett verhindern.

Gemäß Art. 4 der Delegierten Verordnung (Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017) setzt sie sich aus zwei von drei Elementen der Kategorien Wissen, Besitz und Inhärenz sowie der Generierung eines für jede Transaktion individuellen Authentifizierungscodes zusammen und wird deshalb auch als Zwei-Faktor-Authentifizierungscode (2FA) bezeichnet.

Dabei können unter die Kategorie Wissen verschiedene Sicherheitsabfragen wie Passwörter oder Kreditkartennummer, unter Besitz beispielsweise das Smartphone oder die Chipkarte des Zahlers und unter Inhärenz dessen Fingerabdruck oder Netzhautscan fallen.

Der Authentifizierungscode ist dabei dynamisch mit dem zu tätigenden Zahlungsvorgang verknüpft, gilt also nur einmalig und nur für genau den angegebenen Zahlungsbetrag und Zahlungsempfänger – deshalb wurde damit das Ende der TAN-Listen im Online-Banking besiegelt, weil diese Codes nicht für einen konkreten Zahlungsvorgang generiert wurden.

Nach oben

2. Anwendbarkeit der Starken Kundenauthentifizierung

Die PSD2 gilt für alle Zahlungsdienste innerhalb der Europäischen Union. Zahlungsdienste sind im Hinblick auf Anhang 1 der PSD2 grundsätzlich alle Zahlungen mit EC- oder Kreditkarte, Bargeld Ein- und Auszahlungen, sowie das Auslösen von Lastschriften bei einem Zahlungsdienstleister. Vom Anwendungsbereich der Richtlinie generell ausgeschlossen sind somit Merchant Initiated Transactions (MITs) und Mail Order and Telephone Order (MOTOs). Diese bleiben nach wie vor authentifizierungfrei.

Nach Art. 97 Abs. 1 PSD2 müssen demnach alle europäischen Zahlungsdienstleister eine Starke Kundenauthentifizierung bei Onlinezugriffen auf das Zahlungskonto oder bei elektronischen Zahlungsvorgängen durchführen.

Nach oben

3. Folgen und Möglichkeiten für die Hotellerie

Besonders Hotelbetreiber stellen die neuen Regelungen über die Starke Kundenauthentifizierung vor große Herausforderungen. Auch bei Zahlungen in und aus Drittländern außerhalb der Europäischen Union ist eine Starke Kundenauthentifizierung durchzuführen, wenn sich der Zahlungsdienstleister des Hotels innerhalb der EU befindet und der Zahlbetrag einem seiner Verrechnungskonten gutgeschrieben wird.

So ist es möglich, dass der europäische Zahlungsdienstleister eines karibischen Hotels bei elektronischen Zahlungsvorgängen eine Starke Kundenauthentifizierung durchführen muss. Scheint dieses Szenario auch eher die Ausnahme darzustellen - denkbar wäre es dennoch.

Die sich über Jahre hinweg entwickelten und bewährten Zahlungsstrukturen und -abläufe werden in der jetzigen Form nicht mehr möglich sein. Das gilt vor allem für die sogenannten No-Show-Belastungen oder Incidental-Charges. Bisher konnten Hotels eine bei Buchung hinterlegte Kreditkarte durch die vorab mitgeteilten Kreditkartendaten bis zum blockierten Betrag bzw. bis zur vertraglich vereinbarten Höhe belasten. Die Blockierung eines bestimmten Betrages bedarf nun zum einen nach Art. 75 Abs. 1 PSD2 auch der expliziten Zustimmung des Gastes. Zum anderen ist eine derartige Belastung der Kreditkarte seit dem 14. September 2019 nur dann möglich, wenn dieser Zahlungsvorgang gemäß der strengen Kundenauthentifizierung ausgelöst wurde, die das Hotel ohne den Zahler nicht durchführen kann.

Enge Ausnahmen gelten z. B. bei Kleinstbeträgen bis 50 Euro oder wenn nicht mehr als fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung ausgelöst werden. Eine No-Show-Belastung hingegen wird die Authentifizierungsfreigrenze in den meisten Fällen deutlich übersteigen. Daher muss die Hotellerie ihre gewohnten Zahlungsmodalitäten in Bezug auf diese Zahlungen zwingend umstellen. Dies könnte dadurch realisiert werden, dass der Gast schon bei Buchung zur Bezahlung des gesamten Preises aufgefordert wird, was die Buchung für den ein oder anderen Gast durchaus unattraktiv machen könnte.

Die Zusammenarbeit mit Zahlungsdienstleistern (Payment Service Providern (PSP), z. B. Concardis, Wirecard) bringt ebenfalls Neuerungen mit sich. In den vergangenen Wochen und Monaten haben PSP die Zahlungsabwicklung den neuen rechtlichen Rahmenbedingungen angepasst, was nicht ohne Auswirkung auf die internen Prozesse des Hotels blieb (z. B. neue, virtuelle Bezahlterminals für MOPOs etc.).

Nach oben

4. Vorübergehendes Stillhalten der BaFin

Mit Pressemitteilung vom 21. August 2019 gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bekannt, dass Zahlungsdienstleister mit Sitz in Deutschland Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen können. Eine Beanstandung wird ihrerseits zunächst nicht erfolgen, um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der PSD2 zu ermöglichen.

Dies gilt daher nicht für Zahlungen, die vor Ort im Hotel getätigt werden (No-Shows, Incidental Charges etc.). Eine Erleichterung bringt der Aufschub daher nur im Bezug auf die Buchung des Hotels, nicht jedoch für die eigentlich zu bewältigende Mammutaufgabe. Hinzu kommt, dass die BaFin keine Aussage über die Dauer dieser beanstandungsfreien Zeit getroffen hat. Es muss deshalb damit gerechnet werden, dass die BaFin auch kurzfristig zu einer strengen Aufsichtsarbeit zurückkehren wird.  

Nach oben

5. Fazit

Die europäische Hotellerie ist – wie auch jeder Online-Händler – gezwungen, sich auf die Neuerungen einzustellen. Das Wichtigste liegt dabei auf der Hand: der Gast ist nach wie vor König. Größte Aufgabe ist es, die Reibungslosigkeit der bisherigen Zahlungsabwicklung zwischen all den Veränderungen aufrecht zu erhalten, um dem Gast einen möglichst unbeschwerten Aufenthalt zu ermöglichen.

Dabei darf nicht vergessen werden, dass AGB, Informationen über Zahlungsmittel auf der Website und andere Rechtstexte im Hinblick auf die geänderten Geschäftsabläufe anzupassen sind.

 Wir unterstützen Sie gern bei allen Fragen rund um die Zahlungsabwicklung, die Zusammenarbeit mit Zahlungsdienstleistern und die Anpassung von AGB und anderen Vertragsbedingungen.

 

Den Beitrag verfasste Fachanwältin für Handels- und Gesellschaftsrecht Sabine Fuhrmann gemeinsam mit Rechtsreferendar bei Spirit Legal LLP, Julian Ferenčik.

 

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Sie finden alle Digital DNA Newsletter und Schwerpunktthemen in unserem Archiv.

Einen Kommentar schreiben

Tags

Ferienwohnung Preisauszeichnung gezielte Behinderung Kapitalmarkt data security videoüberwachung datenverlust Art. 13 GMV Website § 5 MarkenG Medienrecht ADV Informationsfreiheit SSO Schleichwerbung Twitter Deep Fake Panoramafreiheit Home-Office kündigungsschutz Türkisch Education SEA Online Marketing wallart Sponsoren Webdesign Persönlichkeitsrecht E-Mail Data Breach Recap Filesharing Booking.com hate speech IT-Sicherheit News vertrag Hotelrecht Impressumspflicht Datenportabilität patent USA Europarecht Tipppfehlerdomain Einwilligungsgestaltung Datenpanne Authentifizierung Datensicherheit PSD2 Alexa Travel Industry CNIL LG Hamburg BDSG Hotellerie PPC Unterlassungsansprüche Rabattangaben Beschäftigtendatenschutz Midijob AfD CRM AGB Gegendarstellung Cyber Security Datenschutz Stellenausschreibung GmbH custom audience Algorithmus Transparenz schule ISPs Keyword-Advertising Informationspflicht informationspflichten Wettbewerb Technologie Auftragsverarbeitung Double-Opt-In Privacy LMIV Europa Beweislast Digitalwirtschaft Content-Klau Internet of Things jahresabschluss kommunen ePrivacy Resort Social Networks Datenschutzerklärung Barcamp Bestandsschutz Kundenbewertung Team Bewertung online werbung Einstellungsverbot Urheberrecht ReFa Sicherheitslücke Suchmaschinenbetreiber Neujahr Reiserecht Direktmarketing Xing brexit Handelsregister Google Vertragsrecht Urlaub Instagram Onlinevertrieb Beacons Datenschutzgesetz Unternehmensgründung Facial Recognition Tracking Gesundheit Gesichtserkennung Registered NetzDG Wahlen Telefon Erbe Gäste Haftung FTC Bundeskartellamt information technology Verlängerung Diskriminierung Notice & Take Down Distribution AIDA HipHop gdpr Lizenzrecht Konferenz 3 UWG zahlungsdienst Adwords Boehmermann Datenschutzbeauftragter Kündigung urheberrechtsschutz Hotelsterne Duldungsvollmacht Hack Hausrecht Hinweispflichten Hotels EU-Textilkennzeichnungsverordnung Ruby on Rails besondere Darstellung Produktempfehlungen Dark Pattern Check-in handelsrecht USPTO data privacy Bachblüten Blog Europawahl fotos Urteile Markenrecht Kinder Newsletter JointControl Fotografie Rückgaberecht Kundenbewertungen html5 berufspflicht technik Dokumentationspflicht Handynummer Anmeldung Sitzverlegung Lebensmittel arbeitnehmer right of publicity selbstanlageverfahren 5 UWG Gesamtpreis Online Zahlungsdaten HSMA Bestpreisklausel Pseudonomisierung Autocomplete Werktitel WLAN Kunsturhebergesetz Chat Rufschädigung Scam Human Resource Management

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: