Kunden von Onlinehändlern werden künftig stärker kontrolliert. Damit will die EU mehr Sicherheit beim Bezahlen erzwingen. Doch für Verbraucher wird das Shoppen mühsamer. Und am Ende profitieren womöglich vor allem Konzerne wie Amazon und Zalando.

Was sie demnächst als Amazon-Kunde beachten müssen

Anzeige

Der Countdown läuft. Noch ein halbes Jahr, dann wird sich jeder, der im Internet einkauft, umstellen müssen. Das Bezahlen wird umständlicher. Gerade Kreditkartennutzer müssen sich an eine neue Routine gewöhnen: Ab dem 14. September reicht es nicht mehr, Kartennummer, Verfallsdatum und Sicherheitscode einzugeben.

Der Händler muss einen weiteren Faktor abfragen: Das kann wie beim Online-Banking eine bestimmte Zeichenkombination sein, die dem Kunden auf das Mobiltelefon geschickt wird, oder beispielsweise der Fingerabdruck, der den Online-Käufer als rechtmäßigen Nutzer der Karte ausweist.

Sicherer soll dadurch der Einkauf im Internet werden, die Betrugsraten sinken. Das ist zumindest die hoffnungsfrohe Erwartung der Politik. Händler sind von der Neuerung weniger begeistert. Dort dominiert die Sorge, dass durch die doppelte Authentifizierung Geschäft verloren geht. „Es ist zu befürchten, dass die Verbraucher die neuen, recht komplizierten und fremden Verfahren wenig nutzen werden“, sagt Stefan Genth, Hauptgeschäftsführer des Handelsverbands Deutschland HDE.

Quelle: Infografik WELT

Anzeige

Könnten die Kunden bei einem Händler nicht auf andere Zahlverfahren ausweichen, wie Rechnungskauf und Lastschrift, würden sie den Kauf möglicherweise ganz abbrechen. Der in den vergangenen Jahren stetig gewachsene Internethandel käme ins Stocken. Und das ist nicht die einzige Befürchtung, die mit den neuen Regeln einhergeht.

Die Skepsis des Handels beruht auf Erfahrung: Schon heute gibt es Extraschleifen während des Check-out-Prozesses, bei denen ein zusätzliches Passwort verlangt wird. Bei dem Kreditkartenunternehmen Visa heißt es Verified by Visa, bei Mastercard läuft es unter Mastercard Secure Code.

Online-Händler verzichten oft auf Absicherungen

Beliebt sind beide nicht. „Die meisten Händler verzichten auf diese für Kunden komplizierte Absicherung“, sagt Genth. Dafür sind Betreiber der Online-Shops sogar bereit, das Risiko eines Zahlungsausfalls selbst zu tragen. Schließlich ist die Alternative noch teurer für sie: Der Kunde bricht den Einkauf ab und kommt nie wieder.

Anzeige

Künftig können sich Händler nicht mehr aussuchen, welchen Grad der Sicherheitsprüfung sie von ihren Kunden verlangen. Ab Mitte September greift eine EU-Richtlinie, durch die eine doppelte Kundenauthentifizierung zur Pflicht wird.

Lesen Sie auch Neue, schnelle Geldtransfers Blitzüberweisungen haben mehr als einen Makel

Zwei von drei Faktoren müssen dann beim Bezahlen zum Einsatz kommen. Die drei möglichen Sicherheitsmerkmale sind: etwas, das nur der Kunde weiß, wie Passwort oder PIN; etwas, das nur der Kunde besitzt, wie Karte oder Smartphone; etwas, das nur der Kunde haben kann, wie Fingerabdruck, Stimme, Gesicht.

Von den vier beliebtesten Bezahlverfahren deutscher Online-Kunden sind zwei betroffen: neben der Kreditkarte wohl auch Paypal. An dem besonders beliebten Kauf auf Rechnung wird sich nichts ändern, schließlich bezahlt der Kunde hier erst nach Lieferung der Ware per Überweisung – und bei der ändert sich nur für iTan-Nutzer etwas. Auch bei der Lastschrift läuft es darauf hinaus, dass sie weiter wie bisher genutzt werden kann und keine starke Authentifizierung notwendig ist.

Ab September gelten neue Regeln

Anzeige

Die technische Umstellung auf die neue Zeit beginnt gerade. In den kommenden Wochen werden immer mehr Schnittstellen zwischen Banken und Händlern geöffnet, Instrumente zur Risikoanalyse getestet. Ob alle Banken und Händler rechtzeitig fertig werden, ist offen.

„Es wird knapp bis September“, sagt Mastercard-Manager Arne Pache, der für die Entwicklung neuer Bezahlverfahren in Europa verantwortlich ist und natürlich ein besonderes Interesse daran hat, dass Kartenzahlungen auch in einem halben Jahr noch reibungslos und bequem funktionieren. Banken und Händler müssten noch viele technische und kommunikative Aufgaben erledigen.

Vor allem die Kommunikation wird als Herausforderung gesehen. Verbraucherschützer begrüßen zwar das grundsätzliche Bemühen, die Erfolgsquoten von Internet-Betrügern zu reduzieren. „Wir sind für verbesserte Sicherheit der Verbraucher im Online-Handel, auch wenn dadurch ein geringer Mehraufwand entsteht“, sagt Florian Stößel aus dem Team für Recht und Handel beim Bundesverband der Verbraucherzentralen vzbv.

Doch auch dort weiß man, dass der einzelne Online-Einkäufer das Risiko eher gering einschätzt, dass mit seinen Zahlungsdaten Schindluder getrieben wird. Die Bereitschaft, Sonderschleifen im Check-out-Prozess zu drehen, dürfte deshalb bei vielen wenig ausgeprägt sein. Zumal sie wissen: Kommt es zum Missbrauch, ersetzen in den meisten Fällen der Händler oder die Bank den Schaden.

Die Bank kann den Einkauf beschleunigen

Eine Hoffnung gibt es, dass der Einkauf nicht durch die Eingabe eines zweiten Faktors ausgebremst wird: die eigene Bank. Sie hat das letzte Wort, sie entscheidet nach einer Risikoanalyse, ob eine Erleichterung für den Kunden möglich ist.

Das geht so: Hat der Kunde seinen elektronischen Einkaufswagen gefüllt, das gewünschte Zahlungsmittel ausgewählt und seine Daten, wie heute schon, eingegeben, läuft im Hintergrund ein aufwendiges Prüfverfahren ab. „Der Händler schickt künftig statt einem Dutzend bis zu 120 Datenpunkte an die Bank des Kunden, mit deren Hilfe das Risiko der Transaktion ermittelt wird“, erklärt Ralf Gladis, Gründer und Chef von Computop. Sein Unternehmen ist dafür zuständig, dass zwischen Händler und Banken alles reibungslos läuft.

Lesen Sie auch Zahlungsverkehr Ihr Girokonto ist jetzt viel mehr wert

Zu den 120 Datenpunkten gehören diverse Rechnungsinformationen, die Bezeichnung der gekauften Produkte, die IP-Adresse des Rechners, von dem die Bestellung aufgegeben wurde, das genutzte Gerät. Gibt es bei der Datenkombination keine Auffälligkeiten, etwa eine IP-Adresse aus Brasilien, und liegt die Betrugsrate über alle Kunden der Bank hinweg zum Kaufzeitpunkt unter einem bestimmten Wert, kann das Institut auf einen zweiten Faktor verzichten.

Anzeige

Ein Datenschutzproblem sieht die Branche darin nicht. „Es werden nur jene Informationen vom Händler an die kartenausgebende Bank geschickt, die für die Abwicklung und Risikobewertung des Kaufs notwendig sind. Im Anschluss an die Bezahlung werden die Daten wieder gelöscht“, sagt Pache von Mastercard. Kunden, die sich darauf nicht verlassen wollen, bleibt nur, nicht mehr mit Karte oder Paypal zu bezahlen.

Ausnahme bei kleinen Beträgen möglich

Eine weitere Ausnahme ist bei kleinen Beträgen möglich. Liegt der Einkaufswert unter 30 Euro, ist zunächst kein zusätzlicher Nachweis nötig. Erst nach fünf Zahlungen ohne starke Authentifizierung – oder wenn sich die Einkäufe auf einen Wert von mehr als 100 Euro addieren – muss der Kunde wieder ein Extra-Passwort eingeben oder seinen Finger auf den Scanner legen.

Händler setzen noch auf eine dritte Ausnahmeregel: Kunden können ihrer Bank vorschlagen, ihre Lieblingshändler auf eine persönliche Ausnahmeliste, eine Whitelist zu setzen. Dafür muss der Kunde sich nur einmal stark authentifizieren und die Daten des Händlers eintragen. In der Folge ist der Einkauf dann weiterhin so bequem wie heute möglich – bis hin zur Ein-Klick-Bestellung beim Marktführer Amazon.

Der Haken aus Händlersicht ist: Die Bank hat wieder das letzte Wort, lehnt sie den Vorschlag des Kunden ab, gibt es keine Erleichterung. Laut Finanzaufsicht BaFin sind die Banken nicht einmal verpflichtet, ihren Kunden überhaupt diese Möglichkeit anzubieten.

Quelle: Infografik WELT

Zumindest sollte kein Kunde davon ausgehen, dass er diese Möglichkeit bereits Mitte September hat. „Es ist zu erwarten, dass noch nicht jede Bank ihren Kunden anbieten wird, einzelne Händler auf eine Whitelist zu setzen und so die Eingabe eines zweiten Faktors zu vermeiden“, sagt Pache von Mastercard und meint damit die noch zu erledigenden technischen Aufgaben.

Beim Handelsverband HDE warnt man bereits vor den Folgen der Ausnahmelisten: vor einer weiteren Marktkonzentration auf Adressen wie Amazon, Otto und Zalando. „Die Ausgestaltung der Regelung zur starken Kundenauthentifizierung begünstigt tendenziell die großen Shops und Plattformen“, sagt Hauptgeschäftsführer Genth. Auf einer Whitelist werde ein Kunde schließlich nur jene Händler eintragen, bei denen er häufig einkauft.

Kleinere Shops benachteiligt

Das wiederum habe zur Folge, dass Kunden dort tendenziell noch häufiger einkaufen, da der Bezahlvorgang dort einfacher ist. „Kleinere Shops und Händler, bei denen nur gelegentlich eingekauft wird, können so ins Hintertreffen geraten“, sagt Genth.

Zumal auch die kartenausgebenden Banken diesen Trend unterstützen werden. „Sie werden ihre Zustimmung zum Verzicht auf eine starke Kundenauthentifizierung in der Regel nur dann geben, wenn der Händler ihnen bekannt ist und vertrauenswürdig erscheint“, sagt Genth.

Anzeige

Bei Mastercard will man von einer direkten Bevorteilung großer Händler durch die EU-Regel zwar nicht sprechen, aber letztlich sieht man auch dort die kapitalstarken Spieler im Vorteil: „Es werden all jene Händler profitieren, die selbst in Technologie zur Betrugsbekämpfung investieren. Denn nur Händler mit geringen Betrugsraten werden von den Banken auf Whitelists akzeptiert“, sagt Pache.

Lesen Sie auch Smartphone als Zahlungsmittel So bezahlen Sie ab jetzt mit dem Handy

Und was sagen die großen Händler dazu? Amazon wollte sich nicht äußern. Bei dem Bekleidungsversender Zalando begrüßt man die anstehenden Änderungen. „Wir sehen das Whitelisting als Möglichkeit für Kunden, den Bezahlprozess bei vertrauten Händlern zu erleichtern“, teilte das Unternehmen mit. Inwieweit diese Entwicklung zu Marktkonsolidierungen führe, bleibe abzuwarten.

Entspannt gibt man sich auch beim Versandhändler Otto. Dort verweist man darauf, dass bei seinen Kunden die Kreditkarte ohnehin keine große Bedeutung habe. In neun von zehn Fällen entscheide sich der Kunde für den Kauf auf Rechnung, schließlich bezahle der Kunde dann nur für die Leistungen und Produkte, die er wirklich nutzen und definitiv behalten wolle. „Die Authentifizierung des Nutzers erfolgt dabei – wie gewohnt – separat, eben bei der Überweisung“, so das Unternehmen.

Womöglich liefert Otto einen Vorgeschmack darauf, in welche Richtung sich die Online-Bezahl-Gewohnheiten der Deutschen ab Mitte September verändern werden.