Starke Kundenauthen­tifizierung

Was Internet-Unternehmen über die europäische Vorgabe wissen müssen

  1. Einführung
  2. Was bedeutet Starke Kundenauthentifizierung?
    1. Wann ist eine starke Kundenauthentifizierung vorgeschrieben?
    2. So funktioniert die Authentifizierung von Kartenzahlungen
    3. So funktioniert die Haftung für Anfechtungen aufgrund von Betrug im Rahmen von 3DS
    4. Ausnahmen von der starken Kundenauthentifizierung
    5. Was passiert, wenn eine Ausnahme verweigert wird?
    6. So unterstützt Stripe Sie bei der starken Kundenauthentifizierung
    7. Anstehende Änderungen

In diesem Leitfaden werfen wir einen genaueren Blick auf die Anforderungen für die starke Kundenauthentifizierung (SCA), die mit der zweiten Zahlungsdiensterichtlinie (PSD2) eingeführt wurden, und erläutern, welche Zahlungen davon betroffen sind. Außerdem gehen wir auf die möglichen Ausnahmen ein, die im Namen der Unternehmen beantragt werden können, um einen reibungslosen Bezahlvorgang zu ermöglichen.

Darüber hinaus haben wir einen Leitfaden veröffentlicht, der Ihnen dabei hilft, herauszufinden, wann Sie eine Authentifizierung in Ihre Customer Journey integrieren sollten, sowie einen Leitfaden zur Vorbereitung auf die bevorstehende dritte Zahlungsdiensterichtlinie (PSD3). Besuchen Sie unsere Website für weitere Informationen zu Produkten von Stripe, die die starke Kundenauthentifizierung unterstützen.

Was bedeutet Starke Kundenauthentifizierung?

Die Starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen sowie kontaktlose Offline-Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, müssen Sie einen zusätzlichen Authentifizierungsschritt in Ihren Bezahlvorgang einbauen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

Die Originalfassung der SCA-Anforderungen finden Sie in den Technischen Regulierungsstandards (engl. Regulatory Technical Standards, kurz: RTS).

Wann ist eine starke Kundenauthentifizierung vorgeschrieben?

Die starke Kundenauthentifizierung gilt für kundenseitig veranlasste Online-Zahlungen innerhalb des Vereinigten Königreichs und Europas. Alle elektronischen Zahlungen (d. h. Kartenzahlungen und Banküberweisungen) erfordern die starke Kundenauthentifizierung (SCA), es sei denn, es kann eine Ausnahmeregelung angewandt werden oder die Transaktion ist nicht von der SCA betroffen, wie z. B. von Händlern initiierte Transaktionen (z. B. Lastschriftverfahren).

Bei Online-Kartenzahlungen gelten diese Anforderungen für Transaktionen, bei denen sich sowohl das Unternehmen als auch die Bank der Karteninhaberin oder des Karteninhabers im Europäischen Wirtschaftsraum (EWR) befinden.

So funktioniert die Authentifizierung von Kartenzahlungen

Bislang erfolgt die Authentifizierung von Online-Kartenzahlungen meist per 3D Secure. Dieser Authentifizierungsstandard wird von der überwiegenden Mehrheit der europäischen Kartenanbieter unterstützt. Bei dem Verfahren wird der Bezahlvorgang meist um einen zusätzlichen Schritt ergänzt, bei dem die Karteninhaber/innen von ihrer Bank aufgefordert werden, zusätzliche Angaben zu machen, damit die Zahlung durchgeführt werden kann (z. B. mithilfe eines einmaligen Codes, der an das Mobiltelefon gesendet wird oder per Fingerabdruck in der Banking-App).

3D Secure 2 ist die vorrangige Methode für die Authentifizierung von Online-Kartenzahlungen und die Erfüllung von SCA-Anforderungen.

Bei Offline-Kartenzahlungen werden die Authentifizierungsvorgaben meist durch die Eingabe der PIN erfüllt. Andere Kartenzahlungsmethoden wie Apple Pay oder Google Pay unterstützen bereits Zahlungsabläufe mit einer integrierten (biometrischen oder passwortgestützten) Authentifizierungsebene. Sie eignen sich somit hervorragend, um reibungslose Bezahlvorgänge zu gewährleisten und zugleich die neuen Anforderungen zu erfüllen.

So funktioniert die Haftung für Anfechtungen aufgrund von Betrug im Rahmen von 3DS

Einer der Vorteile der Anwendung der starken Kundenauthentifizierung (SCA) bei erfolgreicher Multi-Faktor-Authentifizierung besteht darin, dass Unternehmen einen Haftungsschutz für Anfechtungen aufgrund von Betrug erhalten können.

Ausnahmen von der starken Kundenauthentifizierung

Nicht alle Zahlungen fallen in den Gültigkeitsbereich der Multi-Faktor-Authentifizierung nach SCA-Vorgaben. Für einige Zahlungen gilt eventuell entweder eine in der Verordnung vorgesehene Ausnahmeregelung oder sie sind nicht von der SCA betroffen. In den Fällen, in denen eine Ausnahmeregelung beantragt und von der Bank der Karteninhaberin oder des Karteninhabers akzeptiert wird, bleibt die Haftung für Anfechtungen aufgrund von Betrug bei dem Unternehmen.

Zahlungsdienstleister wie Stripe können die Ausnahmen während der Zahlungsabwicklung anfordern. Die Bank der Karteninhaberin oder des Karteninhabers erhält in diesem Fall eine entsprechende Aufforderung. Daraufhin prüft sie das Risikoniveau der Transaktion und entscheidet, ob eine Ausnahme gewährt werden kann oder ob eine Authentifizierung zwingend erforderlich ist. Durch die Ausnahmeregelung für risikoarme Zahlungen sind weniger Authentifizierungsschritte erforderlich, was zu einem reibungsloseren Bezahlvorgang und zu einer geringeren Kundenabwanderung führt.

Stripe setzt maschinelles Lernen ein, um die optimale Ausnahmeregelung für jeden Fall zu ermitteln. So können Sie Ihrer Kundschaft eine möglichst reibungslose Erfahrung beim Bezahlvorgang bieten. Mit unseren die starke Kundenauthentifizierung unterstützenden Zahlungsprodukten profitieren Sie von der Ausnahmeregelung, wann immer dies möglich ist, und steigern damit Ihre Konversionsrate.

Die wichtigsten Ausnahmen für Unternehmen, die Online-Zahlungen akzeptieren, sind die folgenden:

Risikoarme Transaktionen

Zahlungsanbieter (wie Stripe) sind berechtigt, mithilfe von Risikoanalysen in Echtzeit (sogenannte Transaktionsrisikoanalysen, TRA), zu ermitteln, ob die SCA-Vorschriften zwingend angewendet werden müssen. Solche Ausnahmen sind jedoch nur möglich, wenn die Betrugsquoten des Zahlungsdienstleisters bei Kartenzahlungen die folgenden Grenzwerte nicht überschreiten:

  • 0,13 %, um Transaktionen unter 100 €/85 £ auszunehmen 0,13 % bei Transaktionen unter 100 €/85 £
  • 0,06 %, um Transaktionen unter 250 €/220 £ auszunehmen
  • 0,01 %, um Transaktionen unter 500 €/440 £ auszunehmen

Die Grenzwerte sind gegebenenfalls in die entsprechende Währung umzurechnen.

Dies ist eine der nützlichsten Ausnahmen für Unternehmen und sie wird von Banken am ehesten unterstützt. Die umfassende Echtzeit-Risikobewertung von Stripe Radar ermöglicht es uns, diese Ausnahme für unsere Nutzer/innen umzusetzen.

Zahlungen unter 30 €/25 £

Zahlungen mit geringen Beträgen können ebenfalls ausgenommen werden. Transaktionen unter 30 € bzw. 25 £ gelten als „Transaktionen mit geringem Wert“ und können von der SCA ausgenommen werden. In diesem Fall sind die Banken jedoch verpflichtet, eine Authentifizierung zu verlangen, wenn die Ausnahmeregelung seit der letzten erfolgreichen Authentifizierung der Karteninhaberin oder des Karteninhabers bereits fünfmal geltend gemacht wurde oder sich die zuvor ausgenommenen Zahlungen in der Summe auf mehr als 100 € bzw. 85 £ belaufen. Die Bank der Karteninhaberin oder des Karteninhabers erfasst, wie oft die Ausnahmeregelung bereits in Anspruch genommen wurde und entscheidet, ob eine Authentifizierung erforderlich ist.

Aufgrund der strengen Beschränkungen dieser Ausnahmeregelung ist sie für viele Zahlungen möglicherweise nicht relevant. Wir unterstützen diese Ausnahmeregelung jedoch trotzdem für unsere Nutzer/innen.

Wiederkehrende Transaktionen

Diese Ausnahmeregelung greift, wenn die Kundin oder der Kunde wiederkehrende Zahlungen in gleicher Höhe an dasselbe Unternehmen leistet. Bei der ersten Zahlung sind die SCA-Vorschriften jedoch stets zu erfüllen. Alle weiteren Buchungen können dann von der Authentifizierungspflicht befreit werden.

Diese Ausnahme ist für Abonnement-Unternehmen nützlich und wird von europäischen Banken weitgehend unterstützt. Wenn Sie Stripe Billing zum Erstellen von Abonnements verwenden, wenden wir die Ausnahme in relevanten Fällen automatisch an und greifen bei Authentifizierungsanforderungen ein, falls die Ausnahme von der Bank der Kundin oder des Kunden nicht genehmigt wird.

Vom Händler veranlasste Transaktionen (einschließlich Abonnements in variabler Höhe)

Zahlungen, die mit gespeicherten Karten ohne aktives Eingreifen der Kundin oder des Kunden (gelegentlich als „Off-Session“ bezeichnet) getätigt werden, können als vom Händler veranlasste Transaktionen eingestuft werden. Diese fallen aus technischen Gründen nicht in den Geltungsbereich der SCA-Richtlinie. In der Praxis werden sie wie Ausnahmefälle behandelt. Und wie bei allen Ausnahmen obliegt es der Bank, über die Notwendigkeit einer Authentifizierung zu entscheiden.

Für vom Händler veranlasste Transaktionen müssen Sie die betreffende Karte entweder beim ersten Speichern oder bei der ersten Zahlung authentifizieren. Zudem benötigen Sie eine Einwilligung der Kundin oder des Kunden („Mandat“), um die Karte zu einem späteren Zeitpunkt belasten zu können.

Dies ist ein zentrales Anwendungsszenario für Geschäftsmodelle, die auf verzögerten Zahlungen beruhen bzw. bei denen variable Beträge für Abonnements berechnet oder Add-ons in Rechnung gestellt werden. Es wird von den meisten europäischen Banken unterstützt und akzeptiert, wenn die Transaktion von der Bank als risikoarm eingestuft wird.

Mit der API von Stripe können Sie eine Karte authentifizieren, wenn diese für eine spätere Nutzung gespeichert wird, und nachfolgende Zahlungen als „vom Händler initiierte Zahlungen“ kennzeichnen. Unternehmen müssen die neuesten APIs von Stripe verwenden, um die starke Kundenauthentifizierung unterstützen zu können.

Telefonverkauf (MOTO)

Per Telefon erfasste Kartendaten fallen nicht in den Geltungsbereich der SCA und erfordern demnach keine Authentifizierung. Entsprechende Zahlungen werden auch als „Versandhandels- und Telefonbestellungen“ (engl. „Mail Order and Telephone Orders“, kurz MOTO) bezeichnet. Genau wie ausgenommene Zahlungen müssen auch diese MOTO-Transaktionen als solche gekennzeichnet werden und auch hier hat die Bank der Karteninhaberin oder des Karteninhabers das letzte Wort, wenn es um die Annahme oder Ablehnung der Zahlung geht.

Dies ist ein wichtiger Use Case für alle Unternehmen, die Zahlungen über das Telefon akzeptieren, und wird von vielen Banken unterstützt. Über das Stripe-Dashboard erstellte Zahlungen können in diesem Use Case automatisch als MOTO-Zahlungen gekennzeichnet werden.

Wenn Ihr Unternehmen PCI-konform ist und Sie ein eigenes System zur Annahme von Telefonaufträgen erstellt haben, können Sie mithilfe unserer Zahlungs-APIs eine Zahlung als MOTO kennzeichnen. Bitte kontaktieren Sie uns, um diese Funktion in Ihrem Stripe-Konto zu aktivieren und auf die entsprechende technische Dokumentation zuzugreifen.

Unternehmenszahlungen

Diese Ausnahme bezieht sich auf Zahlungen, die mit „hinterlegten“ Karten getätigt werden (beispielsweise, wenn eine Firmenkarte für Reisespesen direkt bei einem Online-Reisebüro verwahrt wird). Und auch Firmenzahlungen mit virtuellen Kartennummern (,die ebenfalls in der Reisebranche verwendet werden,) fallen unter diese Ausnahmeregelung.

Diese Ausnahme wird aufgrund ihres engen Anwendungsbereichs außerhalb der Reisebranche kaum genutzt. Sie kann nur von der Bank der Karteninhaberin oder des Karteninhabers beantragt werden, da weder das Unternehmen noch Zahlungsanbieter wie Stripe erkennen können, ob eine Karte zu diesen Kategorien zählt.

Vertrauenswürdige Zahlungsempfänger/innen

Bei der Authentifizierung können Kundinnen und Kunden vertrauenswürdige Unternehmen auf eine Zulassungsliste setzen, um sich nicht bei jedem künftigen Einkauf authentifizieren zu müssen. Diese Unternehmen gelten bei der Kundenbank bzw. beim zuständigen Zahlungsdienstleister dann als „vertrauenswürdige Zahlungsempfänger/innen“.

Zulassungslisten können Wiederholungskäufe und Abonnements für die Kundinnen und Kunden angenehmer machen, werden von den Banken bislang aber kaum angeboten.

Was passiert, wenn eine Ausnahme verweigert wird?

Ausnahmeregelungen können sehr praktisch sein. Trotzdem gilt es zu bedenken, dass letztlich die Bank der Karteninhaberin oder des Karteninhabers entscheidet, ob sie eine Ausnahme gewährt oder nicht. Banken geben bestimmte Ablehnungscodes für fehlgeschlagene Zahlungen aus, wenn die Ausnahme nicht akzeptiert und die Zahlung folglich nicht authentifiziert wird. Solche Zahlungen müssen dann der Kundin oder dem Kunden mit der Aufforderung zur starken Kundenauthentifizierung erneut vorgelegt werden. Die die starke Kundenauthentifizierung unterstützenden Produkte von Stripe lösen diese zusätzliche Authentifizierung automatisch aus, wenn sie von den Banken verlangt wird.

Wenn auch Ihr Unternehmen von den SCA-Vorschriften betroffen ist, sollten Sie Vorkehrungen für den Fall treffen, dass ein Ausnahmeantrag abgelehnt wird und Ihre Kundinnen und Kunden sich authentifizieren müssen. Das gilt vor allem dann, wenn Sie Kundenzahlungen außerhalb Ihres gewöhnlichen Bezahlvorgangs („Off-Session“) veranlassen und Ihre Kundinnen und Kunden Ihre Website oder App öffnen müssen, um sich zu authentifizieren. Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden zur Anpassung von Bezahlvorgängen an die SCA-Vorgaben.

So unterstützt Stripe Sie bei der starken Kundenauthentifizierung

Die durch diese Verordnung eingeführten Änderungen haben erhebliche Auswirkungen auf den Online-Handel in Europa. Die Konversionsrate betroffener Unternehmen, die sich nicht an diese Anforderungen halten, kann deutlich zurückgehen, da sich die SCA-Regeln bei den europäischen Banken ständig weiterentwickeln.

Neben der Unterstützung neuer Authentifizierungsverfahren wie 3D Secure 2 erachten wir den richtigen Umgang mit Ausnahmeregelungen als eine Schlüsselkomponente für den Aufbau einer optimierten Zahlungserfahrung, die Betrug reduziert und gleichzeitig die Reibungsverluste für Ihre Kundschaft minimiert. Unsere Zahlungsprodukte sind optimal auf die diversen aufsichtsrechtlichen Vorgaben und die Regeln der Banken und Kartennetzwerke eingestellt und wenden bei risikoarmen Zahlungen die entsprechenden Ausnahmen an. So wird 3D Secure immer nur dann ausgelöst, wenn dies unbedingt erforderlich ist. Unsere fortschrittlichen Modelle für maschinelles Lernen helfen Ihnen auch bei der Anpassung an Änderungen der SCA-Regeln.

Anstehende Änderungen

Die Regulierungsbehörden in der EU und im Vereinigten Königreich arbeiten ebenfalls an der Überarbeitung der Regeln, die die Zukunft der starken Kundenauthentifizierung (SCA) in beiden Regionen bestimmen werden. Die Europäische Kommission hat den aktuellen PSD2-Rahmen überarbeitet und Vorschläge für eine dritte Zahlungsdiensterichtlinie und eine Verordnung über Zahlungsdienste vorgelegt. Stripe hat diesen Leitfaden veröffentlicht, in dem detailliert beschrieben wird, was Unternehmen von den neuen Vorschriften zu erwarten haben. Zudem verfolgen wir aufmerksam die Entwicklung ähnlicher Vorschriften auf dem britischen Markt.

Hier finden Sie weitere Informationen zu den die starke Kundenauthentifizierung unterstützenden Produkten von Stripe. Bei Fragen und Feedback können Sie uns jederzeit kontaktieren.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, persönlich und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.