Die neue europäische Zahlungsdiensterichtlinie, kurz PSD2 (Payment Service Directive 2), wird zu Veränderungen bei der Bezahlung von Reisebuchungen führen – für Kunden ebenso wie für Reiseveranstalter und Reisebüros. Darauf sollte sich die Reisewirtschaft vorbereiten, mahnt die PSD2-Expertengruppe des Deutschen Reiseverbandes (DRV). Spätestens zum 14. September dieses Jahres tritt auch in Deutschland die Umsetzung der Zahlungsdiensterichtlinie in Kraft. Ab dann ist die Authentifizierung für Zahlungsmittel über die Strong Customer Authentification (SCA) obligatorisch. Das heißt, dass ein Kunde die Nutzung bestimmter Zahlungsmittel, insbesondere Kreditkarten, zunächst in einem separaten Prozess gegenüber der Kartenausgabestelle (Issuer) zur Verwendung durch einen Zahlungsempfänger freigeben muss.
„Die Umsetzung der neuen Vorschriften wird ein Kraftakt für die gesamte Branche, da sie neben technischen Änderungen auch den Zahlungsprozess nachhaltig verändert: Ab September ist eine aktive Mitwirkung des Kunden im Rahmen der SCA unvermeidlich, sonst können SCA-pflichtige Zahlungstransaktionen nicht mehr korrekt durchgeführt werden“, mahnt Michael Althoff, Projektleiter der DRV-Expertengruppe. Ob die Umsetzung gelingt, hänge zudem nicht nur von den beteiligten Reisemittlern, Reiseveranstaltern und Leistungsträgern ab, sondern insbesondere auch von den Kreditkarten-Ausgabestellen (Issuern). Einer Erhebung von Mastercard aus dem Februar 2019 zufolge bestehen hier zu Recht Bedenken, dass alle im deutschen Markt vertretenen Issuer die Vorgaben rechtzeitig umsetzen können.
Die DRV-Expertengruppe hat für die Reisebrache mögliche Umsetzungsprozesse erarbeitet – vor allem für die Authentifizierung: Für die SCA ist es erforderlich, dass sich der Kunde, bevor die Zahlung ausgeführt wird, mit dem Zahlungsmittel gegenüber seinem Issuer hinsichtlich Betrag und Zahlungsempfänger authentifiziert. Hierzu wird ein Code vergeben, der so genannte Authentification Approval Value (AAV), der neben der Authentifizierung auch den freigegebenen Betrag beinhaltet. Ohne diesen AAV kann die Kreditkarte nicht ohne Zahlungsausfallrisiko belastet werden. Damit insbesondere im Online-Geschäft die neuen Vorschriften nicht potentielle Käufer verschrecken, hat die Expertengruppe verschiedene Varianten zur Umsetzung erarbeitet.
Varianten zur Umsetzung
Aus Sicht der Experten ist es am einfachsten, wenn der SCA-Prozess am Point of Sale beginnt. Hierzu müssen die vorhandenen Buchungsstrecken um eine entsprechende Funktion erweitert werden. So können über das Online-Reisebüro – oder direkt am Counter – die für die Einholung einer SCA erforderlichen Daten an den jeweiligen Issuer weitergeleitet und eine vom Kunden erteilte Genehmigung empfangen werden.
Für die Reservierungssysteme bedeutet dies, dass hier ebenfalls Erweiterungen erforderlich sind, damit der so erhaltene AAV und der Zahlungskanal an die Reiseveranstalter und Leistungsträger übergeben werden können.
Laut Auskunft der großen Reservierungssysteme laufen die technischen Vorbereitungen dafür gut. Alles deutet auf eine zeitliche Punktlandung hin, so Althoff. Die beschriebene Einholung der SCA kann auch diesem Weg entweder pro einzelnem Reiseveranstalter und Leistungsträger innerhalb einer Buchung erfolgen oder über eine Gesamtanfrage für alle in einer Buchung zusammengefassten Leistungen.
Besonderheit Direktinkasso
In diesem Zusammenhang weist der DRV nochmals darauf hin, dass gemäß der seit 1. Juli 2018 umgesetzten neuen Pauschalreiserichtlinie für den deutschen Markt erreicht werden konnte, dass die Durchführung von mehreren Zahlungen in einer Transaktion die Reisevertriebsstelle nicht in die Veranstalterrolle bringt. In anderen EU-Staaten gelten hier abweichende Bestimmungen.
Alternativ kann, so die DRV-Expertengruppe, die Einholung der SCA beim Direktinkasso auch durch die jeweiligen Leistungsträger und Reiseveranstalter erfolgen – sofern diese jedoch Voraussetzung für eine Buchung ist, kann dies zu einer erhöhten Abbruchquote innerhalb der Buchungsstrecken führen. Einfacher ist es, bei dieser Variante die Buchung zunächst mit einer nicht SCA-pflichtigen Zahlungsart anzunehmen (beispielsweise Zahlung per Rechnung) und dann in einer separaten Transaktion direkt zwischen Anbieter und Kunde eine Änderung auf eine SCA-pflichtige Zahlungsart einzuleiten.
Positiv: Keine Authentifizierung für SEPA-Lastschriften
Entwarnung gibt es bei der Anwendung von SEPA-Lastschriften: Nachdem die Europäische Bankenaufsicht EBA zunächst verkündete, dass auch diese Zahlungsart SCA-pflichtig sei, hat die deutsche Bankenaufsicht BAFIN kürzlich bekanntgegeben, dass die in der Touristik weit verbreitete klassischen SEPA-Basismandate hiervon nicht betroffen seien. Dies Regelung gilt ausschließlich für Banken, die dem Geltungsbereich der BAFIN unterliegen.
Auch im Bereich IATA-Linienflug sieht der DRV noch Handlungsbedarf. Mit Einführung des DISH (Data Interchange Specifications Handbook) 23.0 sollen die neuen Vorgaben umgesetzt werden. Die IATA hat jedoch ohne Rücksprache einseitig festgelegt, dass die Einholung der SCA nicht über die Airlines, sondern durch die Reisevertriebsstellen zu erfolgen habe. Bedenken bestehen aus Verbandssicht zudem angesichts der Tatsache, dass die Umsetzung im deutschen Markt erst für Oktober 2019 vorgesehen sei, während die PSD2 bis zum 14. September umgesetzt sein müsse. Zudem unterstützt die IATA nach eigenen Aussagen dann lediglich auf 3D Secure 1.0 basierende Authentifizierungsverfahren, während die deutsche Kreditkartenwirtschaft bereits seit April 2019 die für die SCA entwickelte neue Version 3D Secure 2.x umsetzen muss.
„Wenn unsere Branche rechtzeitig mit den Vorbereitungen fertig sein will, sind in den verbleibenden rund drei Monaten gewaltige Kraftanstrengungen aller Partner – vom Reisemittler über Veranstalter und Leistungsträger bis hin zu den Zahlungsdienstleistern und Kreditkarten-Ausgabestellen – erforderlich, anderenfalls drohen gerade im Online-Verkauf erhebliche Einbrüche,“ fasst DRV-Projektleiter Althoff den aktuellen Stand zusammen. In vielen Bereichen der Umsetzung fehle zudem Klarheit, beispielsweise bei der Umsetzung der Ausnahmeregelungen zur PSD2 über White Listing oder Card on File, so eine weitere Erkenntnis der DRV Expertengruppe. Der DRV wird das Thema daher gemeinsam mit der Expertengruppe weiter begleiten, beim nächsten Treffen Anfang Juli wollen die Teilnehmer die Umsetzung der neuen Vorschriften durch die beteiligten Systemhäuser analysieren. Ergänzend wird der DRV im Juni eine Aktualisierung seines im vergangenen September veröffentlichten Prozessmodells mit Empfehlungen zur Umsetzung der neuen Vorschriften im Mitgliederbereich seiner Website veröffentlichen.