Der Deutsche Reiseverband (DRV) ruft Reisebüros und Veranstalter auf, sich mit den neuen Rechtsvorschriften für Bezahlvorgänge vertraut zu machen: Nach der Versicherungsvermittler-Richtlinie, der Datenschutz-Grundverordnung und der Pauschalreiserichtlinie tritt bald die vierte, große Rechtsänderung in der EU in Kraft: die neue EU-Zahlungsdiensterichtlinie, kurz PSD2 (Payment Service Directive 2). Sie wurde im Januar 2018 für Deutschland verabschiedet. Die neuen Regelungen treten ab dem 14. September 2019 und damit in knapp einem Jahr in Kraft. Die Vorschriften haben für die Branche insbesondere Auswirkungen, wenn Kunden im Reisebüro mit Kreditkarten und Mobile-Apps bezahlen oder Zahlungen auf Webseiten vornehmen. Dieses Thema ist sehr komplex – gerade deshalb sollten sich sowohl Reisebüros als auch Veranstalter frühzeitig mit den neuen Anforderungen auseinandersetzen und rechtzeitig nach Lösungen suchen.
Der DRV hat bereits vor einiger Zeit unter Beteiligung führender Reiseveranstalter, Leistungsträger sowie Vertriebsorganisationen aus Privat- und Geschäftsreiseverkehr eine Arbeitsgruppe zur PSD2 initiiert, die sich mit den Herausforderungen bei der Umsetzung beschäftigt. Das Ergebnis ist ein Prozessmodell auf Basis der neuen Rechtsgrundlage. Ein vom DRV erstelltes Fact Sheet erläutert wichtige Hintergründe und gibt zahlreiche Tipps für die Vorbereitung. Zudem weist das Papier auf noch ungeklärte Fragen hin, die schnellstens durch die Kreditkartenwirtschaft beantwortet werden sollen. Prozessmodell und Fact Sheet stehen DRV-Mitgliedern ab sofort im passwortgeschützten Mitgliederbereich unter drv.de/fachthemen/recht/eu-zahlungsdiensterichtlinie-2 kostenlos zur Verfügung. Das Faktenpapier ist geeignet, sich einen ersten Überblick über die Thematik zu verschaffen und führt mit Beispielen in die Thematik ein.
Mit der PSD2 rückt vor allem die „Starke Kundenauthentifizierung SCA“ (Strong Customer Authentification) in den Mittelpunkt. Hierunter versteht man die Bestätigung des Kunden für ein von ihm ausgewähltes Zahlungsmittel bei einem elektronischen Zahlungsvorgang durch mindestens zwei Merkmale aus den drei Bereichen Wissen, Besitz und Inhärenz (Biometrie). Nur in der kombinierten Anwendung ist die Authentifizierung gültig und auch sicher (z.B. Kartenzahlung mit PIN oder PIN/TAN-Verfahren beim Online-Konto). Allerdings gelten je nach Kanal, über den der Zahlungsvorgang abgewickelt wird, unterschiedliche Vorgaben: So wird zwischen Zahlungen im Internet, Zahlungen am Point of Sale (etwa im Reisebüro) und Zahlungen per E-Mail oder am Telefon (sog. MOTO – Mail Order, Telephone Order) unterschieden.
Auswirkungen auf den Reisevertrieb
Während für die weit verbreiteten SEPA-Lastschriften kanalübergreifend auf eine starke Kundenauthentifizierung (SCA) verzichtet werden kann, rücken vor allem Zahlungen per Kreditkarte in den Blickpunkt der neuen Regelungen. Eine Herausforderung: Vor allem Reisebüros können beim gleichen Buchungsvorgang unterschiedliche Rollen einnehmen. Eine mögliche Rolle ist der Payment Agent (der klassische Mittler), der im Auftrag eines Reiseveranstalters oder Leistungsträgers Zahlungsmittelinformationen erfasst. Hier ist vom Kunden gegenüber dem Reisebüro keine SCA erforderlich. Anders sieht es aus, wenn das Reisebüro eigene Entgelte wie zum Beispiel Servicefees oder Einnahmen aus eigenen Reiseveranstaltungen erhebt: Dann wird es zum Merchant, also zum Händler oder Zahlungsempfänger. Die Kreditkarte des Kunden muss hierbei den SCA-Prozess durchlaufen. Wichtig zu wissen: Reisebüros können für den gleichen Vorgang sowohl Payment Agent als auch Merchant sein, etwa wenn ein Flug bei einer Airline gebucht und mit Kreditkarte bezahlt wird und zusätzlich ein Serviceentgelt für diese Buchung erhoben wird, das ebenfalls per Kreditkarte bezahlt wird.
Jetzt anfangen und sich mit den neuen Anforderungen beschäftigen
Auch innerhalb der PSD2 wird es für bestimmte Zahlungsprozesse Ausnahmen geben. Eine wichtige Änderung ergibt sich bei der Kreditkarten-Nutzung, vor allem im Geschäftsreiseverkehr. Es wird künftig nicht mehr ohne weiteres möglich sein, für Zahlungen zu Geschäftsreisen eine vom Kunden übermittelte Kreditkarte des Reisenden zu verwenden (das sog. Signature on File-Verfahren). Das neue Gesetz sieht aber das sogenannte White Listing-Verfahren vor. Hierbei definiert der Kunde gegenüber der Kreditkarten-Ausgabestelle – etwa einer Bank –, dass er bestimmte Zahlungsempfänger generell als vertrauenswürdig einstuft.
„Auch wenn derzeit noch nicht alle Details zur Umsetzung geklärt sind: Eine rechtzeitige Auseinandersetzung mit diesen Herausforderungen und eine aktive Kommunikation zum Beispiel mit den Zahlungsdienstleistern ist für eine frühzeitige Vorbereitung der touristischen Betriebe unverzichtbar“, fasst Michael Althoff, DRV-Projektleiter PSD2, die Ergebnisse der Arbeitsgruppe zusammen. So sind zwei wichtige Partner im Gesamtprozess bezogen auf Kreditkartenzahlungen nicht außer Acht zu lassen: Einerseits die Kartenausgabestelle wie Banken (Issuer) und die Zahlungsdienstleister (Acquirer) andererseits. Reisebüros und Veranstalter haben mit dem Issuser keine Vertragsbeziehung – diese hat der Kunde und damit muss die Authentifizierung eines Zahlungsmittels durch den Kunden immer gegenüber dem Issuer erfolgen. Zwischen Zahlungsdienstleister und Reisebüro/Veranstalter gibt es aber diese Vertragsbeziehung, so dass hier die Transaktionen und damit auch die Authentifizierung vom Reisebüro über den Acquirer erfolgen.
Der DRV wird das Thema weiter fachlich begleiten und ab dem zweiten Quartal 2019 auch Seminare zur Vorbereitung auf die neuen Vorschriften und ihre Umsetzung im Reisevertrieb anbieten.