Stellen Sie sich vor, Sie wollen am 1. Januar 2021 im Internet einkaufen, doch der Onlineshop akzeptiert Ihre Kreditkarte nicht mehr. Sie werden sich dann wohl wundern und eben auf Rechnung bestellen.

Doch der Handelsverband Deutschland (HDE) schlägt Alarm: Umsätze im E-Commerce von bis zu 12,8 Milliarden Euro seien gefährdet - und das alles wegen der sogenannten starken Kundenauthentifizierung (SKA), auch Zwei-Faktor-Authentifizierung genannt. Mit Beginn des Jahres 2021 soll die SKA auch beim Onlineshopping mit Kartenzahlung Pflicht werden - das soll mehr Sicherheit bringen.

Wenn Sie Ihr Girokonto online führen, kennen Sie das schon. Seit Herbst 2019 brauchen Sie für den Log-in in Ihr Konto nicht mehr nur Zugangsnummer und PIN, sondern auch noch etwas Zusätzliches wie eine Frei­gabe per App oder mobiler TAN. Das schreibt die EU-Zahlungsdiensterichtlinie PSD II vor. Eigentlich hätten auch Onlineshops in Europa schon seit Herbst 2019 die neuen Anforderungen erfüllen müssen. Doch weil etliche nicht rechtzeitig darauf eingestellt waren, gab es eine Übergangsfrist bis Ende 2020.

Jetzt erklärt die deutsche Finanzaufsicht Bafin, es sei keine Verlängerung dieser zusätzlichen Migrationsfrist geplant. "Daher sollten alle Beteiligten ab diesem Zeitpunkt für die starke Kundenauthentifizierung bereit sein."

Doch es sieht nicht danach aus, dass alle Onlineshops im Corona-Jahr 2020 die Schonfrist genutzt haben. Der Handelsverband HDE malt ein Schreckgespenst an die Wand und erwartet "Friktionen, die bislang nicht einschätzbar sind".

Bisher ging Onlineshopping mit der Kreditkarte meistens so: Zum Be­zahlen Kartennummer, Gültigkeitsdatum und den Sicherheitscode von der Rückseite eintippen - und gut. Es gibt aber schon heute viele Shops, die bei Kartenzahlungen ein sogenanntes 3-D-Secure-Verfahren nutzen, also eine zusätzliche Sicherheitsabfrage machen.

Je nachdem, welche Freigabevariante die Bank des Verbrauchers anbietet, erhalten Sie zum Beispiel eine TAN aufs Handy, die dann zur Freigabe online eingegeben werden muss. Wer ein Smartphone nutzt, kann je nach Bank seine Identität auch über die Banking-App bestätigen oder biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung nutzen.

Aber ein verpflichtender Standard war das eben bisher nicht. Nach Erkenntnissen der Online-Payment-Studie des EHI Retail Instituts war im Frühjahr 2020 erst knapp jeder zweite der 1000 größten Onlinehändler in Deutschland auf die starke Kundenauthentifizierung eingestellt. Derweil beobachtet man beim EHI eine Verschiebung im Mix der angebotenen Bezahlverfahren. Mancher Händler, darunter Branchenriese Amazon, führte zum Beispiel den guten alten Kauf auf Rechnung wieder ein, der auch im digitalen Zeitalter bei deutschen Kunden im Onlineshopping besonders beliebt ist.

Der HDE versucht, den schwarzen Peter von den Händlern wegzuschieben: Die Ursachen für die schleppende Umsetzung der PSD-II-Anforderungen seien "nicht nur im Handel zu finden", meint HDE-Zahlungsexperte Ulrich Binnebößel. "Viele Banken und Dienstleister haben ihre Systeme noch nicht so umgerüstet, dass Handelsunternehmen die neuen Autorisierungsverfahren ausgiebig testen können. Zudem sind viele Karteninhaber noch nicht informiert und haben sich für das neue Verfahren nicht registriert." Der HDE hofft daher auf ein Einlenken der Aufsichtsbehörden, beispielsweise indem der Einsatz der starken Kundenauthentifizierung in einem Übergangszeitraum ab 2021 nach Einkaufshöhen gestaffelt wird.

Vorab informieren


Verbraucher, die gerne online mit Kreditkarte bezahlen, sind jedenfalls gut beraten, wenn sie sich schon einmal über das von ihrer Bank vorgesehene 3-D-Secure-Verfahren informieren, sagt David Riechmann, Finanz­experte bei der Verbraucherzentrale Nordrhein-Westfalen. "Wenn Sie bis jetzt noch nichts von Ihrer Bank gehört haben, sollten Sie selbst auf die Bank zugehen und nachhorchen. Wichtig ist, sich mit dem Verfahren vertraut zu machen, damit man reibungslos online einkaufen kann."

Übrigens ist nicht bei jedem Onlineeinkauf ab 2021 eine zusätzliche Freigabe nötig. Denn die PSD-II-Richtlinie erlaubt Ausnahmen. Inwiefern sie angewendet werden, "liegt in der Entscheidung des jeweiligen Kredit­instituts", sagt eine Sprecherin des Bundesverbands deutscher Banken. Sie verweist auf das sogenannte White­listing: "Man kann als Kunde teilweise im Onlinebanking hinterlegen, dass man bei bestimmten Händlern häufig einkauft und diese als vertrauenswürdig eingeschätzt werden."