PSD2, die EU-Richtlinie für Onlinezahlungen, hätte bereits im 2019 in Kraft treten sollen, die Frist wurde aber bis 31.12.2020 verlängert. Denn die technische Umsetzung der zweifachen Kundenidentifizierung (2FA) ist gar nicht so einfach.

Bei allem Schlechten, was die Krise, deren Namen wir aus Überdruss schon gar nicht mehr aussprechen wollen, mit sich bringt – das eine oder andere Gute hat sie doch. So haben sich, einer aktuellen Studie der KMU Forschung Austria im Auftrag des Handelsverbands zufolge, die Umsätze im heimischen Onlinehandel auf 8,7 Milliarden Euro erhöht. Der Wermutstropfen dabei ist, dass weniger als die Hälfte davon hier verbleibt; der Rest fließt ins Ausland ab. Aber immerhin zeigt der Anstieg, dass sich Online als zweite Stütze des Handels etabliert hat – und dass das von den Konsumentinnen und Konsumenten auch angenommen wird. In einer Zeit der Corona-bedingten Umsatzrückgänge im stationären Handel kommt das gerade recht.

So weit, so schön. Aber man hört immer wieder, dass der Onlinehandel auf einer anderen Front zu kämpfen hat: nämlich bei der technischen Umsetzung von PSD2, der mit Jahresfrist einzuführenden EU Zahlungsdiensterichtlinie. Jene Händler, die ihre elektronischen Bezahlvorgänge selbst programmieren und abwickeln, sind dadurch tatsächlich vor Herausforderungen gestellt. Aber in der Regel ist das nicht der Fall, denn die überwiegende Mehrheit nutzt Zahlungsdienstleister wie Klarna, PayPal Plus, Heidelpay, Concardis, BS Payone, Payolution, Unzer, QENTA, Saferpay, PayUnity oder VIVEUM, um ihren Shop technisch anzuschließen. Die Umsetzung von PSD2 liegt in deren Hand sowie überwiegend in jener der „Acquiring-Banken” wie Card Complete, Six/Worldline oder Hobex, über welche die Händler die Zahlungen via Karten-Netzwerke abwickeln. Die Händler sind jedoch gut beraten, sich mit ihren Partnern in Verbindung zu setzen, um die Integration zu unterstützen und die entsprechenden Daten zur Verfügung zu stellen.

Die in der EU-Zahlungsdiensterichtlinie vorgesehene Zwei-Faktor-Authentifizierung (2FA) soll für mehr Sicherheit im Zahlungsverkehr sorgen – die aber unter Umständen durch einen höheren Aufwand beim Online-Bezahlvorgang erkauft wird. Konkret ist aus zwei von drei Kategorien von Sicherheitsmerkmalen zu wählen: Wissen, Besitz und Inhärenz (Fingerabdruck oder Gesichtserkennung). Das wiederum sei, so hört man, manchen Kunden zu viel des Guten und sie steigen aus dem Kaufprozess aus. Messbar ist das anhand der Conversion-Rate, also des Verhältnisses zwischen Besuch der Website und Kauf, die dadurch nach unten gehe.

CONVERSION-RATE NICHT BEEINFLUSST

Ist das so? Was sagt Harald Gutschi dazu? Er ist Vizepräsident des Handelsverbands und Geschäftsführer der UNITO-Gruppe, zu der Universal und Otto gehören. Die beiden sind die umsatzstärksten Onlineshops des Landes. Dadurch, dass sie sich schon vor Jahren vom Katalogversender zum Onlinespezialisten gewandelt haben, ist es ihnen leichter gefallen, auch diese technische Umstellung zu vollziehen, als anderen Unternehmen, die vor allem stationär und bloß als Zubrot auch online arbeiten. Harald Gutschi: „Wir waren mit der Implementierung vor der Zeit fertig. Wir hatten auch vor PSD2 schon das 3-D-Secure-Verfahren im Einsatz, um unseren Kunden beim Onlinekauf bestmögliche Sicherheit zu bieten. Unsere Beobachtung ist, dass die großen Onlinehändler und Zahlungsdienstleister sich schon sehr früh mit dem Thema auseinandergesetzt haben und so wie wir frühzeitig fertig geworden sind. Nur beim Kunden ist 3-D Secure noch nicht in der Tiefe angekommen. Wir konnten aber keinen messbaren Einfluss von PSD2 bzw. 3-D Secure auf die Conversion-Rate feststellen.“

Auch Eduard Komaretho, Geschäftsführer der Modekette BLAUMAX, die einen eigenen Webshop betreibt, kann keinen Zusammenhang zwischen 3-D Secure und abgebrochenen Bezahlvorgängen erkennen: „Es ist möglich, dass man den Prozess beendet, weil man den Code gerade nicht bei der Hand hat. Aber das kann auch ganz andere Gründe haben, beispielsweise, dass einem der Partner während des Bestellens sagt: „Schatzi, brems dich ein mit deiner Kaufsucht!‘“

Der Hutmacher Klaus Mühlbauer, der ebenfalls einen stark – und seit der Corona-Krise noch wesentlich stärker – besuchten Webshop hat, kann dem nur beipflichten: „Abbrüche während des Bezahlvorgangs hat es auch vor der Zwei-Faktor-Authentifizierung in Menge gegeben.

Die Leute sehen den Preis und überlegen es sich dann halt oft anders. Das hat weniger mit der 2FA zu tun. Die ist mir eher als privater Onlinekäufer denn als Webshopbetreiber aufgefallen. Unser Systemadministrator hat die Umstellung an der Bezahlschnittstelle bereits im Vorjahr vollzogen.

Da 2FA flächendeckend kommt, gehe ich davon aus, dass sich die Kunden daran gewöhnen werden. Jene, die das nicht wollen, können schließlich auch mit Klarna, also via App auf Rechnung, kaufen.“

BIOMETRIE NICHT ZU ÜBERBIETEN

Die „starke“ Authentifizierung über das 3-D-Secure-Verfahren sorgt durch Zahlungsauthentifizierung für erhöhte Sicherheit. In Österreich ist sie unter Kunden und Onlinehändlern schon länger bekannt (etwa unter der Bezeichnung „SecureCode“). Im Zuge der Umsetzung von PSD2 wird sie nun in verbesserter Form, beispielsweise als „Mastercard Identity Check“, zur Anwendung gebracht.

Es wird aber wohl noch eine Weile dauern, bis die Kundschaft erkennt, dass auch der dritte Faktor – die Biometrie – nicht nur in puncto Sicherheit kaum zu überbieten, sondern auch überaus benutzerfreundlich ist. Piotr Kwasniak, Director Digital Business Development bei Mastercard in Österreich: „Mit dem Mastercard Identity Check müssen sich Konsumierende keine zahlreichen Passwörter mehr merken, denn den Fingerabdruck beziehungsweise das Gesicht zum Scan hat jeder immer dabei. Wir sind überzeugt, dass sich die Biometrie als der neue, bequeme Standard beim Onlinebezahlen durchsetzen wird. Zu erwarten ist auch, dass ein sehr hoher Anteil der Transaktionen künftig gänzlich ohne Kundenzutun abgewickelt werden kann, da PSD2 der Branche genügend Raum lässt, sie auf erhöhter Sicherheitsstufe hinter den Kulissen abzuwickeln.“