In diesem Newsletter liegt der Schwerpunkt auf dem Thema PDS2 (Payment Services Directive 2). Zu den weiteren Punkten sind aufgrund ihrer hohen Relevanz in der nächsten Zeit noch gesonderte Newsletter mit näheren Informationen zu den einzelnen Themen vorgesehen.
1. Zwei-Faktoren-Authentifizierung/PDS2:
Ab dem 14.09.2019 wird die PSD2 (Payment Services Directive 2)-Verordnung verpflichtend, die das Zahlungsverhalten in Shops aufgrund der Zwei-Faktoren-Authentifizierung vermutlich deutlich beeinflussen wird. Diese Richtlinie (EU) 2015/2366 hat zum Ziel, elektronische Zahlungen für Verbraucher in der EU sicherer und bequemer zu machen. Die zwei Faktoren beziehen sich darauf, dass der Zahlende zusätzlich zu den bisher üblichen Zahlungsangaben zwei von drei möglichen Elementen vorweisen muss, um die Zahlung abschließen zu können:
- Wissen: Z.B. ein Passwort bzw. eine PIN
- Besitz: Z.B. ein Gerät wie Smartphone oder Tablet bzw. eine Kredit- oder Chipkarte
- Inhärenz: Biometrischer Authentifizierungsfaktor, z.B. Fingerabdruck-/Iris-Scan, Stimm-/Gesichtserkennung
Für den Onlinehandel ändert sich Folgendes:
- Die Sicherheitsanforderungen für elektronische Zahlungen steigen.
- Drittanbieter haben direkten Zugriff auf Bankkonten und können die Zahlung unabhängig vom Bankinstitut abwickeln.
- Für Zahlungsmittel wie z.B. SEPA-Lastschrift oder Kreditkarte dürfen keine zusätzlichen Kosten mehr erhoben werden.
- Die Datenschutzbestimmungen müssen in Bezug auf die Weitergabe der Daten an Dritte angepasst werden.
1.1. 3D-Secure2 & Transaktionsrisikoanalyse
Nach dem Inkrafttreten der PDS2 könnte eine Online Zahlung z.B. folgendermaßen funktionieren: Nach dem Kauf bekommt der Kunde eine Push-Benachrichtigung aus seiner Bank-App. Dadurch gelangt er direkt in seine Bank-App zum Fingerabdruck-Scan, mit dem er die Zahlung bestätigt. Eine Alternative zu biometrischen Faktoren wären z.B. Einmal-TANs.
Dieser neue 3D-Secure2 Standard ermöglicht zudem das Erfassen von bis zu 100 Daten zum Käufer und zum Kaufprozess, mithilfe derer Finanzdienstleister das Risiko von betrügerischen Zahlungen mithilfe der Transaktionsrisikoanalyse einschätzen können. Wird das Risiko für eine Zahlart bei dem Kunden als gering eingestuft, können vermutlich auch in Zukunft noch Kreditkarten-Zahlungen ohne Zwei-Faktoren-Authentifizierung durchgeführt werden. Diese Ausnahmeregelung gilt jedoch nicht nur für Kreditkarten-Zahlungen, sondern könnte möglicherweise auch von Zahlungsdienstleistern wie z.B. PayPal genutzt werden, um die Zwei-Faktoren-Authentifizierung (zumindest teilweise) zu umgehen.
Alternativ zum 3DSecure2-Verfahren können Händler auch den 3DSecure1-Standard integrieren (bzw. bestehen lassen) und um einen zweiten Authentifizierungsfaktor ergänzen. 3DSecure2 verspricht jedoch einen deutlich höheren Bedienkomfort und dadurch eine geringere Kaufabbruchquote.
Weitere Ausnahmeregelungen gibt es auch für Kleinbeträge und wiederkehrende Zahlungen wie z.B. Abonnements. Außerdem können Online Shopper eine Liste (Whitelist) mit vertrauenswürdigen Zahlungsempfängern bei seiner Bank oder seinem Zahlungsdienstleister hinterlegen, bei denen die zusätzliche Authentifizierung wegfallen soll. Inwieweit ein Händler von den Ausnahmeregelungen profitieren kann, hängt jedoch vom Einzelfall ab.
Hier finden Sie weitere Informationen dazu, worauf Sie als Online-Händler achten sollten:
2. Intelligente Tracking Prävention (ITP 2.1. & ITP 2.2.):
Bei dem aktuellen Trackingschutz-Mechanismus ITP 2.1. geht es um den Schutz vor potentiell unerwünschtem Tracking (welches z.B. der Profilbildung dienen kann).
Die gravierendste Auswirkung ist, dass die Laufzeit von First Party Cookies auf 7 Tage begrenzt wird. Betroffen sind aber nicht nur Werbe-Cookies, sondern auch personalisierte Cookies, die für Wunschlisten, Warenkörbe und Auto-Login-Funktionen relevant sind. Außerdem geht es bei ITP auch um die Verhinderung von Fingerprint-Tracking mittels Sperrung des Browser-Speichers für Drittanbieter.
Nach der DSGVO kommt voraussichtlich 2020 die ePrivacy Verordnung auf uns zu, die auf eine Initiative der EU-Kommission im Januar 2017 zurückgeht und die bisherige ePrivacy Richtlinie ablösen wird. Der Text der Verordnung ist noch nicht finalisiert. Die wichtigsten Änderungen werden der Wechsel vom bisher gängigen Tracking-Opt-Out beim Besuch einer Homepage zu einem gezielten Opt-In und weitere Einschränkungen bei der Nutzung von Cookies sein.
Die eine Herausforderung liegt nun bei den Seitenbetreibern, die entsprechenden technischen Voraussetzungen zu schaffen – die andere bei den Marketing-Verantwortlichen, trotz deutlich dünnerer Datenlage weiterhin die richtigen Entscheidungen zu treffen.