https://www.faz.net/-gv6-8p351

Sicherer Einkauf : Zahlen mit Kreditkarte wird schwieriger

Preis der Sicherheit: Was bringen die neuen Regelungen der Europäischen Bankenaufsicht? Bild: Michel GAILLARD/REA/laif

Europas Bankenaufsicht will für Verbraucher die Sicherheit beim Bezahlen im Internet erhöhen. Für die Verbraucher wird dann das Online-Bezahlen mit Kreditkarte schwieriger. Der Online-Einzelhandel fürchtet sich schon.

          5 Min.

          Seit vielen Jahren ist es üblich, dass Hotels und Autovermietungen für die Reservierung eines Zimmers oder Autos im Internet den Einsatz einer Kreditkarte verlangen. Denn die Kreditkartendaten geben Hoteliers und Autovermietern eine Garantie dafür, dass hinter der Reservierung tatsächlich ein interessierter Gast steckt, von dem sich am Ende auch das Geld eintreiben lässt. Diese eingeübte Praxis ist bedroht, zu Unrecht, wie viele meinen.

          Hanno Mußler
          Redakteur in der Wirtschaft.

          Die meisten Verbraucher zahlen zwar im Internet lieber mit Rechnung, auch weil sie Angst haben, dass ihre Kreditkartendaten in falsche Hände geraten. Doch Hugo Godschalk, Geschäftsführer der auf das Kartengeschäft spezialisierten Unternehmensberatung Paysys, hält dem entgegen: „Der Online-Handel mit Kartenzahlungen wächst explosionsartig. Da ist es normal, dass die Betrugsfälle steigen. Entscheidend ist: Die Betrugsrate, also der Schaden je Kartenumsatz, sinkt. Und die Kartenindustrie trägt fast alle Schäden, das Risiko des Zahlers beträgt höchstens 150 Euro. Deshalb haben die Kartenunternehmen selbst ein großes Interesse daran, die Sicherheit zu erhöhen.“ Dennoch fühlt sich die Europäische Bankenaufsicht (EBA) berufen, für scheinbar mehr Verbraucherschutz zu sorgen. Die EBA will zusätzliche Sicherheitsparameter für fast alle Zahlungen mit Kreditkarte im Internet und kontaktlos vorschreiben. Dagegen laufen viele Online-Händler Sturm. Sie fürchten sinkende Umsätze.

          Der Firmenkreditkartenanbieter und Zahlungsabwickler Airplus befürchtet abermals als Opfer von allzu flächendeckenden neuen Gesetzen und Regeln für Kreditkarten zu werden. Gerade erst liegt hinter der Tochtergesellschaft der Lufhansa ein Jahr, das schwer ins Kontor geschlagen hat: 10 Millionen Euro fehlen in der Kasse, weil bis August die von der EU verlangten niedrigeren Gebühren auf alle Firmenkreidtkarten anfielen. Und dann haben die Kunden von 543.000 Kreditkarten, die Airplus 2015 ausgegeben hatte, 127.000 Kreditkarten zurück gegeben.

          Mehr Kunden gekündigt als vermutet

          Dabei handelt es sich um Kreditkarten, die Unternehmen meist an Mitarbeiter verschenkt haben, um die Bindung und Identifikation mit dem Arbeitgeber zu stärken. Weil dieser Typ „Firmenkreditkarte“ ausschließlich privat genutzt werden darf und keine Abrechnung über ein Firmenkonto erlaubt ist, hat eine neue EU-Regel diese Kreditkarten nicht länger als Firmen-, sondern als Kundenkreditkarte eingestuft. Die Folge ist, dass Airplus seit Dezember 2015 nicht länger 1,6 Prozent der Kartenumsätze, das bedeutet im Durchschnitt 42 Euro je Karte, von den beteiligten Banken erhält, sondern höchstens 0,3 Prozent, also 29 Euro je Kreditkarte. Daraufhin hat Airplus 2016 die Kosten an mehreren Stellen für Kartenbesteller und Kartenbesitzer deutlich erhöht mit dem Ziel, 27 Euro je Karte mehr einzunehmen. Ob das vollständig gelungen ist, kann Geschäftführer Patrick Diemer noch nicht sagen. Es hängt davon ab, wie die Kreditkartenbesitzer die Karte eingesetzt haben.

          Klar aber ist schon jetzt: Es haben mehr Kunden gekündigt als zuvor vermutet. Airplus-Chef Diemer war im März 2016 von einem einstelligen Prozentsatz an Kündigungen ausgegangen, tatsächlich aber hat Airplus heute 127.000 und damit 23 Prozent weniger Karten im Umlauf. „Wir haben den Rückgang der Karten unterschätzt“, gibt Diemer zu. Er kann sich damit trösten, dass die meisten der 47.000 Unternehmenskunden mit ihrem Firmenkonto bei Airplus geblieben sind und „nur“ Kreditkarten der Mitarbeiter eingezogen haben. Dagegen nutzen die 47.000 Unternehmen weiterhin „Reisestellenkarten“, um viele Kosten für Geschäftsreisen ihrer Mitarbeiter wie Flüge und Hotels im Voraus zu bezahlen. Damit ist Airplus groß geworden. Doch auch in diesem Kerngeschäft droht Airplus jetzt Ungemach.

          „Millionen Transaktionen werden damit technisch unmöglich“

          Wegen der Kündigungen der Mitarbeiterkreditkarten fehlen Airplus künftig jedes Jahr 2,5 bis 3 Millionen Euro vom Gewinn, der zuletzt gut 50 Millionen Euro betrug. Wenn aber die Europäische Bankenaufsicht nun für den Einsatz von allen Kreditkarten im Internet zusätzliche Sicherheitsmerkmale (in Fachkreisen bekannt unter dem englischen Kürzel SCF für „strong customer authentification“) als technischen Standard verlangen sollte, geht es um mehr. Bei Airplus befürchtet man, dass die bisher effizienten und für das Unternehmen lukrativen Zahlungsformen auf dem Geschäftsreisemarkt leiden werden.

          Bild: F.A.Z.

          Setzt sich die EBA durch, wird es komplizierter. Bei Airplus malt man sich das so aus: Europäische Geschäftsreisende werden, künftig, obwohl ihr Arbeitgeber für die Zahlung per Firmenkreditkarte haftet, im Internet nur dann ein Auto in den Vereinigten Staaten reservieren können, wenn sie ein weiteres Sicherheitsmerkmal, etwa eine per SMS verschickte PIN (persönliche Code-Nummer), eingeben. Die Autovermietungen in Amerika aber „kennen“ dieses Sicherheitsmerkmal gar nicht, es wäre ja nur in Europa vorgeschrieben und die Kassensysteme der amerikanischen Autovermietungen können dieses Sicherheitsmerkmal gar nicht verarbeiten. Der Zahlungsvorgang würde abgebrochen, oder der europäische Kartenausgeber machte sich strafbar. Umgekehrt muss ein Amerikaner, der in Europa ein Hotel reserviert, für das Terminal des europäischen Hotels ein Sicherheitsmerkmal mit seiner Kreditkartenreservierung liefern, das es in Amerika nicht gibt. „Millionen Transaktionen werden damit technisch unmöglich“, fürchtet Diemer.

          In Asien dagegen wird schon viel „kontaktlos“ bezahlt, das heißt, die Kreditkarte wird von weitem an ein „Lesegerät“ gehalten, um den Zahlungsvorgang auszulösen. In Europa sind die Banken in Polen mit dieser Technik am weitesten, insgesamt ist die europäische Finanzbranche hier jedoch rückständig. Die europäische Bankenaufsicht will nun für alle kontaktlosen Zahlungen von 50 Euro an ein zusätzliches Merkmal, etwa eine PIN, verlangen. „Das hemmt Innovationen“, fürchtet Diemer. Sein Unternehmen stellt sich eine Geschäftsreise so vor, dass der Mitarbeiter seine Zahlungen entweder unterwegs per Smartphone-App oder sein Arbeitgeber sie vorab erledigt. Doch die Vision, dass die Geschäftsreisenden mit ihren Reisekosten nichts mehr zu tun haben, vielmehr alles automatisch über die Arbeitgeber läuft, diese Unternehmen Daten über das Reiseverhalten der gesamten Belegschaft sammeln und gezielt Rabatte mit Hotels, Fluggesellschaften und Autovermietungen aushandeln können, hat schon durch die Rückgabe vieler Mitarbeiterkreditkarten an Umsetzungschancen eingebüßt. Nun droht ein weiterer, noch größerer Rückschlag. „Die Prozesse im Reisebüro sehen schlicht keine manuelle Autorisierung vor. Wenn die Aufsicht künftig fürs Bezahlen und Reservieren mit Firmenkreditkarten eine strenge Autorisierung verlangt, werden ein weiteres Mal Buchungs-, Bezahl- und Abrechnungsprozesse verkompliziert“, sagt Diemer und fügt hinzu: „Wir wissen nicht, wie wir das bis 2018 technisch umsetzen sollen. Wir wollen unbedingt verhindern, dass eine zusätzliche PIN Pflicht wird.“

          Umsetzung ohne Ausnahmen

          Noch ist Zeit. Im Februar will die Europäische Bankenaufsicht endgültig bekannt geben, wie sie die Zahlungsdiensterichtlinine (PSD2) in technische Standards umsetzen will. Auf ihren ersten Vorschlag hat es von Marktteilnehmern mindestens 147 Einwände gegeben, deutlich mehr als üblich. Die Bundesregierung hat die Marktteilnehmer aufgerufen, bis Donnerstag auf einen Referentenentwurf zu reagieren.

          Bild: F.A.Z.

          Airplus argumentiert, dass man als Spezialist für die Kreditkartenzahlungen zwischen Unternehmen, etwa zwischen Geschäftsreisenden mit Firmenkreditkarten und Hoteliers, von einer strengen Authentifizierung ausgenommen werden sollte. Denn die Zahl der Betrugsfälle sei zwischen Unternehmen deutlich geringer als zwischen Unternehmen und Privatleuten, entsprechend eben auch der Bedarf an mehr Sicherheit. Im Kreditkartengeschäft zwischen Unternehmen gebe es nur in einem von 36.683 Zahlungen Betrug, im privaten Kreditkarteneinsatz in einem von 909 Fällen. Außerdem solle die Aufsicht berücksichtigen, dass Firmenkarten nur sehr eingeschränkt genutzt werden können und die beschafften Dienstleistungen wie zum Beispiel ein Flugticket nur sehr eingeschränkt übertragen werden können. Zudem kennen sich Nutzer und Kreditkartenherausgeber gut. „Die PSD2-Richtlinie sieht ausdrücklich vor, dass die strenge Authentifizierung nicht ausnahmslos eingeführt werden muss. Leider hat die EBA sie ohne Ausnahmen umgesetzt. Dabei würde eine Ausnahme für den wenig betrugsanfälligen Geschäftsreisezahlungsmarkt viel Sinn ergeben, um Innovationen zu fördern“, sagt Diemer.

          Was „starke Authentifizierung“ ist und warum viele dagegen sind

          Eigentlich hatte die Europäische Bankenaufsicht nur den Auftrag, ein paar Einzelvorschriften der Zahlungsdienste-Richtlinie (PSD2) von 2015 zu präzisieren. Doch nun ist die Aufregung groß. Der Bundesverband E-Commerce und Versandhandel spricht von „Engstirnigkeit zu Lasten der Verbraucher“. Der Grund: Die EBA hat nicht die in der EU-Richtlinie genannten Ausnahmen definiert, um Konsumenten von einer strengen Autorisierung zu befreien, wenn sie online zahlen wollen. Vielmehr schreiben die technischen Standards der Aufsicht ab Herbst 2018 für nahezu alle Einkäufe im Internet vor, dass Kunden sich mit mindestens zwei Faktoren ausweisen müssen. Mit diesem komplizierteren Verfahren will die Aufsicht Kriminalität und Kartenmissbrauch im Internet bekämpfen. Der Online-Handel aber befürchtet schrumpfende Umsätze, weil viele Kunden ihren Einkauf abbrechen könnten. Der CSU-Politiker Markus Ferber hat den Widerstand des EU-Parlaments angekündigt.
          Bevor Internetnutzer eine Zahlung auslösen können, sieht die Richtlinie künftig grundsätzlich die „starke Authentifizierung“ vor. Das heißt: Zwei von drei Merkmalen aus den Bereichen Wissen (etwa Kennwort oder PIN), Besitz (Karte) oder Inhärenz (das wäre Biometrie, hier der Fingerabdruck) müssen über zwei Wege, die voneinander unabhängig sind, übertragen werden. Ausnahmen davon soll es kaum geben. Die EBA will, dass im Online-Handel alle Zahlungen von einem Betrag von 10 Euro an über dieses Verfahren laufen, kontaktlose Zahlungen an der Ladenkasse ab 50 Euro. EU-Parlamentarier Ferber will dagegen deutlich höhere Grenzwerte, von dem an das komplizierte Verfahren vorgeschrieben wird. Außerdem fordert er ein, dass Ausnahmen von der starken Authentifizierung dann gemacht werden, wenn die Risiken gering sind, dass es zu Cyber-Kriminalität kommt. „Die von der EBA vorgeschlagenen Obergrenzen gehen an der Lebenswirklichkeit der Menschen komplett vorbei. Wenn die EBA-Vorschläge so durchgingen, wären viele von den Kunden geschätzte schnelle Bezahlmöglichkeiten etwa beim Online-Shopping künftig nicht mehr möglich“, sagte Ferber dieser Zeitung. Dabei schreibe die PSD2 explizit vor, dass die Ausnahmen von der sicheren Kundenauthentifizierung risikobasiert ausgestaltet werden sollen. „Wenn beispielsweise das Transaktionsmuster oder das verwendete Endgerät bekannt sind, ist das etwas anderes als, wenn ein Kunde, der sonst immer aus Deutschland bezahlt, plötzlich Transaktionen aus Nigeria anweist. Dieser Unterschied sollte sich auch bei der Kundenauthentifizierung widerspiegeln“, fordert Ferber. Starre Bezahlobergrenzen, wie von der EBA vorgeschlagen, würden dem nicht gerecht. „Hier muss noch einmal nachgebessert werden“, verlangt Ferber.

          Weitere Themen

          Topmeldungen

          Rettungskräfte in der südisraelischen Stadt Sderot versorgen eine Frau nach einem Raketenangriff aus dem Gazastreifen am 12. Mai

          Angriffe in Israel und Gaza : Wenn man die Angst hören kann

          Die Heftigkeit der Angriffe der Hamas und des israelischen Militärs, aber auch der Gewalt in Israel selbst hat viele überrascht. Und alle fragen sich: Wird diese „Runde“ bald vorüber sein und wird sich etwas ändern?
          Erst akzeptiert Musk Bitcoin als Zahlungsmethode für sein Unternehmen Tesla, nun hat er Umweltbedenken.

          Kryptowährung : Bitcoin sind für Tesla zu umweltschädlich

          Der Elektroautohersteller war das prominenteste Unternehmen, welches die Digitalwährung als Zahlungsmittel akzeptierte – nun die Kehrtwende. Der Kurs bricht nach der Nachricht ein. Doch wie schmutzig sind die Kryptowährungen?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.