PSD2 & WooCommerce: Ist dein Onlineshop vorbereitet?

Du betreibst Onlineshops mit WordPress? Oder richtest diese für deine Kund:innen ein? Dann solltest du die „Zweite Europäische Zahlungsdienstrichtlinie“ kennen, besser bekannt als PSD2. Sie schreibt neue Verfahren zur Kundenauthentifizierung im Bezahlvorgang vor. Wir nennen die wichtigsten Handlungsempfehlungen und Plugins für WooCommerce.

In der Regel kommt die PSD2 für dich als Shopbesitzer:in vor allem dann zum Tragen, wenn deine Kunden per Kreditkarte bezahlen. Und selbst dann ist dein Dienstleister in der Pflicht. Du musst lediglich schauen, dass dieser bereits PSD2-konform arbeitet. Überprüfe sicherheitshalber auch alle anderen Bezahlvarianten, die du anbietest. Mehr dazu gleich.

Ähnliches gilt für Agenturen und Freelancer:innen. Hier solltest du die Bezahl-Plugins bzw. die zugehörigen Anbieter überprüfen, die bei deinen Kund:innen zum Einsatz kommen: Haben sie ihre Prozesse auf PSD2 umgestellt? Sonst halte Ausschau nach alternativen Erweiterungen. Umfassende Informationen zu WooCommerce findest du in unserem 70+ Seiten starken E-Book WooCommerce für Profis.

Keine Rechtsberatung!

Dieser Blogbeitrag ist keine Rechtsberatung. Als WordPress-Hoster haben wir uns selbst mit der PSD2 auseinandergesetzt. Wir sind aber keine Juristen. Lass dich also von einer geeigneten Kanzlei für Onlinerecht beraten.

Was ist die PSD2 aka SCA?

Seit dem 14. September 2019 gelten neue EU-Regeln für den Zahlungsverkehr: die Zweite Europäische Zahlungsdienstrichtlinie, kurz PSD2. Diese schließt die Pflicht zur sicheren Kundenauthentifizierung bei Online-Banking-Angeboten mit ein. Auf Englisch: Strong Customer Authentication (SCA).

Im Kern geht es darum, das Einkaufen im Internet sicherer zu machen. Eine Starke Kundenauthentifizierung – oder auch 2-Faktor-Authentifizierung (2FA) – ist damit gesetzlich vorgeschrieben. Viele Banken haben ihre Prozesse bereits umgestellt, auch deine Hausbank hat sich sicherlich bereits bei dir gemeldet.

Bei Onlineshops sind hiervon hauptsächlich Bezahlungen per Kreditkarte betroffen. Sofern diese nicht bereits über ein sicheres Verfahren wie 3-D Secure bzw. 3D-S laufen. Doch Vorsicht: Auch hier wird aufgrund der PSD2 ein erweitertes Verfahren benötigt, genannt 3D Secure 2.0, kurz 3DS2.

Du willst neue Kund:innen gewinnen? Wir zeigen dir die besten Strategien und Tools

Zum E-Book

Zuvor brauchten Shopping-Kund:innen oftmals lediglich ihre Kreditkartennummer und die zugehörige Prüfziffer, um einen Kauf abzuschließen. Mit Inkrafttreten sind zusätzlich eine Transaktionsnummer (TAN), die auf das Handy bzw. Smartphone geschickt wird, und ein Passwort erforderlich. Du kennst dieses Verfahren sicherlich von deinem Online-Banking. Papierlisten mit Transaktionsnummern, kurz iTAN, sind nicht mehr erlaubt.

Hinweis

Der Kauf auf Rechnung und via Lastschrift sind von der PSD2 nicht betroffen. Siehe die Erläuterungen der IT-Recht Kanzlei.

Was musst du wissen?

Du musst dafür Sorge tragen, dass bei Bezahlung via Kreditkarte oder über andere Dienste (PayPal, Stripe, Amazon Pay, Apple Pay etc.) ein sicheres Verfahren zum Einsatz kommt. Das musst du in der Regel jedoch nicht selbst implementieren, hier sind die jeweiligen Dienstleister gefragt. Es sei denn, du nutzt eine sehr exotische oder eigengestrickte Lösung. Diese solltest du von einer geeigneten Fachkanzlei für Onlinerecht auf die PSD2 hin überprüfen lassen.

Alle großen Anbieter arbeiten fieberhaft an der Umsetzung der neuen Richtlinie. Frage bei den Diensten nach, die du verwendest: Wie ist hier der Stand? Ist die Authentifizierung bereits PSD2-konform? Die neuen EU-Regeln gehen final an den Start, und dein Dienstleister ist noch nicht so weit? Dann solltest du prüfen, die Bezahlvariante so lange nicht anzubieten, bis nachgebessert wurde.

Auch bei der „Sofortüberweisung“ gibt es Änderungen. Das Verfahren erhält laut Anbieter Klarna einen zusätzlichen Authentifizierungsschritt, der von der jeweiligen Bank übernommen werden soll. Du solltest beobachten, welcher Bezahldienst sich in Zukunft wie gut bedienen lässt, und ob dies Auswirkungen auf deine Konversion im Shop hat.

Hinweis

Deine Anbieter geben durch die PSD2 andere Daten weiter, als bislang? Oder du bindest neue Zahlungsdienste ein? Dann musst du unter Umständen deine Rechtsexte in WooCommerce anpassen.

Was sagt WooCommerce dazu?

Die Macher:innen von WooCommerce widmen dem Thema einen eigenen Blogbeitrag. Laut ihrer Aussage setzen die meisten Bezahldienstleister auf 3D Secure 2, um den Anforderungen gerecht zu werden.

Generell müssten geeignete Dienste in Zukunft mindestens zwei der drei folgenden Schritte berücksichtigen, um eine „Strong Customer Authentication“ zu gewährleisten:

Eine Informationen abfragen, die nur der Kunde/die Kundin kennt. Zum Beispiel sein Passwort oder die Antwort auf eine Sicherheitsfrage.
Das Senden einer Authentifizierung an einen „vom Kunden/von der Kundin gesteuerten Vorgang“. Dies kann laut WooCommerce ein Hardware-Token oder eine Push-Benachrichtigung auf dein Smartphone sein.
Verwendung einer für den Kunden/die Kundin eindeutigen physischen Kennung. Beispielsweise ein Fingerabdruck oder eine Face-ID.

Du interessierst dich für die genauen Details? Wie konkret die Anforderungen aussehen, ob also etwa die Antwort auf eine Sicherheitsfrage ausreichend ist, ergeben die Verträge der EU. Siehe die aktuelle Fassung zu den „Regulierungsstandards für eine starke Kundenauthentifizierung“.

Abonniere den Raidboxes Newsletter!

Wir liefern dir einmal monatlich topaktuelle WordPress Insights, Business Tipps & mehr.

Je nach Stand der Technik – und welche Verfahren von Hackern am ehesten ausgenutzt werden – dürfte es hierbei mittel- und langfristig noch einige Anpassungen geben. Der Kampf für mehr Sicherheit gleicht immer auch einem Katz-und-Maus-Spiel.

Möglichkeiten der Integration

WooCommerce nennt einige Anbieter bzw. deren WordPress-Plugins, die jetzt schon „PSD2 ready“ sein sollen. Wir haben die Erweiterungen hier für dich verlinkt:

Stripe WooCommerce Plugin.
Amazon Pay für WooCommerce.
Global Payments Gateway (für Kreditkartenzahlungen und hauptsächlich in UK aktiv).
PayPal über das Braintree Payment Gateway für WooCommerce. Bei anderen PayPal-Plugins solltest du den Anbieter kontaktieren, ob PSD2 als Prozess bereits unterstützt wird.
Sage Pay

Wir freuen uns auf dein Feedback

Du hast bei deinem Anbieter bereits angefragt? Oder du hast einen Plugin-Tipp für uns? Teile deine Erfahrungen gerne in den Kommentaren.

Die Regeln der PSD2 gelten im Übrigen auch für Zahlungen im Abo-Modell. Beispielsweise wenn du mit dem Plugin WooCommerce Subscriptions arbeitest, um wiederkehrende Zahlungen zu ermöglichen.

Gilt die PSD2 bzw. SCA auch für Händler außerhalb der EU?

Es kommt nicht zwingend auf den Firmensitz der Händler an. Hier äußert sich WooCommerce ganz klar:

Die SCA gilt auch dann, wenn sich die erwerbende Bank oder der erwerbende Verarbeiter im Europäischen Wirtschaftsraum (EWR) befindet und das Zahlungsinstrument des Kunden im EWR ausgestellt wurde.

Der Europäische Wirtschaftsraum umfasst alle Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen. Ein Händler im Ausland muss also komplett mit heimischen Dienstleistern, Banken und Kunden arbeiten, damit er nicht von der PSD2 bzw. der Strong Customer Authentication betroffen ist. Unter anderem deswegen haben es die internationalen Bezahldienstleister so eilig, den Vorgaben zu entsprechen. Der europäische Ruf nach mehr Sicherheit im Netz hat globale Auswirkungen.

Du willst einen Onlineshop mit WooCommerce aufbauen? Wir verraten dir die Grundlagen

Zum E-Book

Bleibt die TAN per SMS erlaubt?

Zeitgleich zur PSD2 hat sich in Fachkreisen eine Seitendiskussion entwickelt, wie sicher die TAN per SMS (auch mTAN genannt) noch ist. Siehe den Beitrag Online-Banking und PSD2 auf heise.de. Denn in letzter Zeit häufen sich die Meldungen von Angriffsversuchen, bei denen das Handy bzw. Smartphone der Opfer übernommen wird. Beispielsweise über Phishing-Mails oder manipulierte Apps.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt hierzu:

Das mTan-Verfahren ist zwar praktisch und benutzerfreundlich, birgt aber leider auch einige Risiken. Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten … Das BSI empfiehlt daher, auf den Einsatz von mTAN-Verfahren zu verzichten.

Im Rahmen von PSD2 soll die mTAN bislang erlaubt bleiben. Die Banken suchen aber bereits nach Alternativen. Heise nennt hier etwa pushTAN, chipTAN, photoTAN, appTAN und signaturTAN.

Was soll die PSD2 bewirken?

Mit der Richtlinie soll nicht nur der (Online-) Zahlungsverkehr sicherer werden. Die Initiatoren hoffen auch darauf, dass der Wettbewerb im Markt stärker wird. Die Deutsche Bundesbank formuliert es in ihren Informationen zur PSD2 wie folgt:

Verbraucher müssen sich z.B. bei einem Einkauf im Internet nicht extra in das Online-Banking Ihres Kreditinstituts einloggen, sondern können die Überweisung über einen auf der Händlerseite angebotenen Zahlungsauslösedienst beauftragen.

Und weiter:

Die PSD2 regelt den Zugang dieser „dritten Zahlungsdienstleister“ auf die Zahlungskonten bei den kontoführenden Zahlungsdienstleistern. Zugang wird diesen Anbietern aber nur gewährt, wenn Sie als Kontoinhaber dem explizit zustimmen.

Zukünftig wird es also sehr viel mehr Player auf dem Markt des Bezahlens im Netz geben. Die Banken und Kreditinstitute verlieren an Macht. Die Einbindung von „dritten Zahlungsdienstleistern“ – die jedoch unter der Aufsicht und Kontrolle der nationalen Aufsichtsbehörden stehen – ermöglicht die Entwicklung gänzlich neuer Services und Geschäftsideen. In Deutschland ist diese Aufsichtsbehörde die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Ausnahmen zur PSD2

Verschiedene Medien und Banken berichten über Ausnahmefälle, bei denen Zahlungsdienstleister auf eine Starke Kundenauthentifizierung verzichten können. So wird eine Grenze von 30 Euro für „elektronische Fernzahlungsvorgänge“ genannt. Unterhalb dieser Schwelle sei nicht zwingend eine Zwei-Wege-Authentifizierung erforderlich. Weitere Informationen gibt es im Blogbeitrag PSD2 und SCA der Kanzlei Wilde Beuger Solmecke.

Die BaFin selbst nennt eine Schwelle von 50 Euro, allerdings für kontaktlose Kartenzahlungen. Bei Kartenzahlungen im Internet drückt sie sich schwammiger aus. Die Zahlungsdienstleister könnten hier eine sogenannte Transaktionsrisikoanalyse durchführen. Dazu sagt die Bundesanstalt:

Dabei wird jede eingehende Zahlung automatisch daraufhin untersucht, ob das Betrugsrisiko gering ist … Erwecken die dem Zahlungsdienstleister vorliegenden Zahlungsinformationen den Eindruck eines erhöhten Betrugsrisikos, muss er eine Starke Kundenauthentifizierung durchführen.

Indizien für ein erhöhtes Betrugsrisiko sollen zum Beispiel eine Abweichung von den üblichen Verhaltensmustern des Kunden sein. Oder eine Ähnlichkeit zu bekannten Betrugsmustern. Auch im B2B sind entsprechende Lockerungen vorgesehen. Und es soll eine Whitelist geben, bei der eine Bank ihre Unternehmenskunden als vertrauenswürdigen Zahlungsempfänger einstufen können.

Du als Shopbetreiber musst dich in der Regel jedoch nicht selbst um solche Grenzen kümmern, sofern ein Dienstleister zwischengeschaltet ist.

Weiterführende Quellen

Du willst noch mehr zur PSD2 aka SCA wissen? Hier passende Fachbeiträge für Anwender:innen und Entwickler:innen:

Weitere Tipps zu WooCommerce findest du in unserem 70+ Seiten starken E-Book WooCommerce für Profis: Online-Shops mit WordPress. Es richtet sich an Freelancer:innen, Agenturen, WP-Profis aber auch an Einsteiger:innen.

Deine Fragen zu PSD2

Welche Fragen hast du? Nutze gerne die Kommentarfunktion. Du willst mehr Tipps zu WordPress & WooCommerce? Dann folge uns auf Facebook oder über unseren Newsletter.

Beitragsbild: William Iven

5 Antworten zu „PSD2 & WooCommerce: Was du für deinen Onlineshop wissen musst“

Michael Hörnlimann

4. Dezember 2019

Hi Michael

„Der Europäische Wirtschaftsraum umfasst alle Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.“
-> Ich dachte die Schweiz auch, oder habe ich mich da falsch informiert?

Danke und Grüsse
Michael

Antworten
1. Michael Firnkes
  
  4. Dezember 2019
  
  Hallo Michael,
  
  hier war Wikipedia mein bester Freund, ich wusste es selbst nicht genau.. Folgendes habe ich zur Schweiz und dem Europäischen Wirtschaftsraum gefunden:
  
  „Die Schweiz ist Mitglied der Europäischen Freihandelszone (EFTA), gehört aber nicht zum EWR.“
  
  Siehe http://www.europarl.europa.eu/factsheets/de/sheet/169/der-europaische-wirtschaftsraum-ewr-die-schweiz-und-der-norden. Es gibt aber wohl diverse bilaterale Abkommen. Insofern müsste man durch eine lokale Fachanwaltskanzlei abklären, ob ein Shop, der komplett nur aus und für die Schweiz agiert, an die PSD2 gebunden ist..
  
  Setzt du die Richtlinie denn für deine Kunden um?
  
  Antworten
  1. Michael Hörnlimann
    
    4. Dezember 2019
    
    Genau, es gibt diverse Abkommen (was das ganze nicht unbedingt einfacher macht). Die Schweiz ist zwar nicht im EWR, aber in der EFTA, vgl. https://de.wikipedia.org/wiki/Europ%C3%A4ische_Freihandelsassoziation (zusammen mit den erwähnten Staaten).
    
    Ich war bisher davon überzeugt, dass PSD2 für CH-Webshops auch zwingend sei.
    Nun scheint es aber tatsächlich so zu sein, dass PSD2 „empfohlen“ wird.
    Der Vergleich mit der DSGVO hinkt hier vielleicht etwas, aber ich denke es ist auch da ähnlich unübersichtlich, siehe
    a) https://www.datatrans.ch/de/know-how/news/detail/update-psd2-einigkeit-daruber-dass-man-im-unklaren-ist/
    b) https://www.netzwoche.ch/news/2019-09-16/psd2-ist-da-und-lockt-bereits-betrueger-an.
    
    Den Anbieter, den ich zur Zahlungsabwicklung bei WooCommerce nutze, hat PSD2 bereits umgesetzt.
    
    Antworten
    1. Michael Firnkes
      
      4. Dezember 2019
      
      Danke für die Links! Welchen Dienstleister nutzt du denn? Mit unserem ist die Implementierung immer noch nicht vollkommen abgeschlossen..
      
      Antworten
      1. Michael Hörnlimann
        
        4. Dezember 2019
        
        Denjenigen unter Punkt a) oben.

PSD2 & WooCommerce: Was du für deinen Onlineshop wissen musst