Schon im September 2019 berichteten wird von den neuen Regeln für Kreditkartenzahlungen bei Online-Käufen. Nach einer 18-monatigen Nachfrist der BaFin und einer weiteren im Dezember 2020 beschlossenen Schonfrist ist es nun wirklich so weit: Die Zwei-Faktor-Authentifizierung wird zur Pflicht für alle Kreditkartenzahlungen im Internet.
Folgende Stichtage sind von der BaFin festgelegt worden:
Ab dem 15. Januar 2021 müssen Zahlungen ab 250 Euro per Zwei-Faktor-Authentifizierung freigegeben werden.
Ab dem 15. Februar gilt das auch für Zahlungen ab 150 Euro.
Ab dem 15. März greift die Regel für alle Zahlungen. Ausnahmen für geringe Beträge unter 30 Euro oder bei wiederholten Zahlungen im gleichen Online-Shop werden diskutiert.
Durch neue Regularien für einen sicheren Zahlungsablauf wird Betrug zunehmend entgegengewirkt und das Online-Shopping sicherer für alle – egal ob für Privatpersonen oder Unternehmen.
Die Europäische Union hat mit der Zahlungsrichtlinie PDS2 (Payment Service Directive 2) klare Richtlinien für Online-Zahlungen geschaffen. Die Regularien zielen darauf ab sicherzustellen, dass die Person, die die Zahlung autorisiert auch wirklich der Karteninhaber ist.
Gute Neuigkeiten also für Unternehmen, die nun noch sicherer sein können, dass Firmenkreditkarten für keine zwielichtigen Transaktionen genutzt werden.
Gleichzeitig müssen sich einige Gewohnheiten ändern. Für Unternehmen mit einem eher lockeren Umgang mit Kreditkarten (z. B. geteilte Kreditkarten für ganze Abteilungen), wird der neue Authentifizierungs-Prozess zu Sand im Getriebe führen.
In diesem Artikel gehen wir auf die Neuerungen ein und erklären, was Sie tun sollten, wenn Sie sich immer noch auf ein paar Firmenkreditkarten für das gesamte Unternehmen verlassen.
TL;DR
Keine Zeit für den ganzen Artikel? Wir teilen zwar viele interessante Fakten und Handlungsempfehlungen im späteren Verlauf, aber hier finden Sie schon einmal die allerwichtigsten Punkte zusammengefasst:
- Sie müssen jetzt beim Online-Einkauf den Nachweis erbringen, dass Sie der Karteninhaber sind. Das gilt auch für Firmenkreditkarten.
- Dies bedeutet in der Regel, dass Sie eine Kreditkarte registrieren und an der Kasse einen Code (z. B. eine photoTAN, SMS-TAN oder Push-Nachricht) zum Checkout erhalten.
- Eine Kreditkarte mit mehreren Personen zu teilen, wird sich recht umständlich gestalten, da der Code immer nur an ein Mobiltelefon gesendet werden kann.
- Ihre Bank oder das Kreditkarteninstitut kann nichts gegen diese Regelung tun.
Nun zu den Details rund um PSD2.
Die Zahlungsrichtlinie PSD2 sieht Zwei-Faktor-Authentifizierung schon seit 2016 vor
PSD2 ist die zweite Version der ursprünglichen PSD-Zahlungsdiensterichtlinie. Mit dieser 2007 verabschiedeten Verordnung wurde ein einheitliches System für die Zahlungsabwicklung innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) geschaffen.
Kurz gesagt besteht das Ziel darin, ein einheitliches Regelwerk für Banken und Kreditkartenunternehmen sowie moderne Zahlungsmethoden zu haben, die in den letzten Jahrzehnten entstanden sind. PSD ermöglicht es diesen neuen Anbietern, auf dem gleichen Niveau zu agieren wie etablierte, traditionelle Unternehmen, und mit diesen zu konkurrieren.
PSD vs PSD2
PSD2 ist die Aktualisierung der ursprünglichen Zahlungsdiensterichtlinie PSD und ersetzte diese im Jahr 2015. Die Grundsätze und Ziele bleiben die gleichen, aber die Verordnung legt den Schwerpunkt verstärkt auf die Verbrauchersicherheit, die Verringerung von Betrug und die Stärkung des offenen Bankwesens.
Was waren die wichtigsten Änderungen unter PSD2?
Die PSD2-Richtlinie (und die ursprüngliche PSD) richten sich in erster Linie an Zahlungsdienstleister. Sie enthalten Regeln, die festlegen, welche Anforderungen Unternehmen erfüllen müssen, um als Zahlungsdienstleister tätig zu werden, welche Dienstleistungen sie erbringen können sowie weitere technische Details.
Es werden aber auch "Business Conduct Rules" festgelegt, die regeln, WIE die Anbieter diese Dienste erbringen. Und diese haben direkte Auswirkungen auf Verbraucher und Unternehmen.
Viele der Regeln existierten bereits in der ursprünglichen PSD-Richtlinie und gelten mittlerweile als Selbstverständlichkeit. Wir gehen daher auf die grundlegenden Änderungen ein, die einen großen Einfluss auf Online-Zahlungen haben.
Starke Kundenauthentifizierung (Strong customer authentication, SCA)
Die Updates unter PSD2 fordern eine Multi-Faktor-Authentifizierung von den Zahlungsdienstleistern. Das kommt besonders bei Online-Zahlungen zum Tragen, bei denen sich die Identität der Käufer nur schwer verifizieren lässt.
Es ist Ihnen vielleicht schon aufgefallen, dass viele Online-Zahlungen mittlerweile einen zweiten Schritt eingebaut haben, bevor die Zahlung abgewickelt werden kann. Normalerweise erfordert dies die Eingabe eines vier- bis sechsstelligen Codes, der per SMS oder als mobileTAN versandt wird.
Dieses Protokoll ist als 3D-Secure (3D-S) bekannt und stellt sicher, dass die Transaktion auch wirklich vom Inhaber der Kreditkarte ausgeführt wird und nicht etwa von einem Dieb oder Hacker.
Wie funktioniert das mit physischen Karten? Normalerweise verfügen haptische Karten schon von vornherein über eine Zwei-Faktor-Authentifizierung: Chip und PIN. Kontaktlose Zahlungen funktionieren nur bei geringen Beträgen, was das Risiko im Schadensfall minimiert.
Fun Fact: Vom Passwort zur mobileTAN und photoTAN – wie 3D-S sich verändert hat
Die meisten Zahlungsdienstleister und Banken nutzen den Weg über 3D-S, der sich mittlerweile als Industriestandard herauskristallisiert hat. Doch die Authentifizierung hat dabei einige Evolutionsschritte durchlaufen. Die erste Version des Verfahrens (3D-S 1.0) erforderte die Eingabe eines sicheren Passwortes, das jeder Nutzer sich merken musste. Es war eine Weiterleitung auf eine wenig ansprechende Seite notwendig, die wenig Seriosität und Vertrauen ausstrahlte und Nutzer verunsicherte.
Um diese unangenehme Hürde zu umgehen, erlaubte es 3D-S 2.0, dynamische Codes zu erstellen. Dabei haben sich mobileTANs, also SMS, photoTANs und Push-Nachrichten per App als beliebte Optionen etabliert. Auch biometrische Authentifizierungen über die Bank-App sind denkbar.
Die PSD2 Richtlinie spricht zwar von „starker Kundenauthentifizierung”, definiert aber keine spezifische Methode. Daher sind der Kreativität der Kreditkarteninstitute und dem technischen Fortschritt keine Grenzen gesetzt. Hier der genaue Wortlaut der PSD2:
30. „starke Kundenauthentifizierung“ eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist.
Wer ist für die Umsetzung und Konformität mit PSD2 verantwortlich?
Interessanterweise ist der Zahlungsdienstleister für die Umsetzung der Richtlinie verantwortlich, nicht etwa die Bank oder das Kreditkartenunternehmen.
Wenn Sie also beispielsweise auf Amazon einkaufen, kann es passieren, dass Sie beim Checkout einen Identitätsnachweis erbringen müssen. Es ist aber nicht Ihre Bank, die diese Anforderung stellt, sonder Amazon selbst. Kann die Authentifizierung nicht erfolgen, akzeptiert Amazon die Kreditkarte nicht.
Das bedeutet auch, dass die Kreditkartenunternehmen (inklusive Banken) die Technologie implementieren müssen, die eine entsprechende Authentifizierung zulässt. Sonst können ihre Kunden online kein Geld mehr ausgeben. Das ist der Grund dafür, dass Sie wahrscheinlich eine Telefonnummer bei Ihrer Bank registrieren mussten.
Trotzdem ist es der Online-Händler (und sein Zahlungsdienstleister), der die Authentifizierung einfordert. Manche Webseiten fragen nach dem Identitätsnachweis, andere nicht. Das ist davon abhängig, inwieweit die Händler sich bereits auf die neue Vorschrift eingestellt haben.
Wann treten die Änderungen bezüglich PSD2 in Kraft?
Die PSD2 ist bereits in Kraft getreten. Sie wurde 2015 im Wissen verabschiedet, dass die Umsetzung die Länder und Unternehmen einige Zeit kosten würde. 2018 trat die Richtlinie dann wirklich in Kraft, aber auch dann war noch eine Kulanzfrist vorgesehen.
Der wichtigste Termin für Online-Shopper und -Händler ist der 14. September 2019. Ab diesem Datum sollte jedes in der EU tätige Unternehmen PSD2-konform sein. Sie haben es wahrscheinlich an den zahllosen Aufforderungen zur Authentifizierung und den Identitätsnachweisen gemerkt.
Ist die PSD2 bereits in vollem Umfang wirksam?
Nicht ganz. Um den Unternehmen Zeit zur Anpassung zu geben, haben die meisten der betroffenen Länder (einschließlich Großbritannien, Frankreich und Deutschland) eine Nachfrist von 18 Monaten gesetzt. Während die Vorschriften also live sind, werden die Finanzregulierungsbehörden (etwa die BaFin in Deutschland) sie nicht wirklich durchsetzen.
Es liegt also ganz bei den Zahlungsdienstleistern, ob sie die SCA (Starke Kundenauthentifizierung) bereits heute einfordern oder nicht. Viele Unternehmen sind davon ausgegangen, dass die Frist zum 14. September 2019 gelten würde und haben die entsprechenden Vorkehrungen daher bereits vorgenommen.
Mit anderen Worten: einige Händler sind schon compliant, andere eben nicht. In den nächsten Wochen und Monaten werden die Änderungen sich aber überall durchsetzen. Daher bereiten Sie sich am besten schon heute auf den Wechsel vor.
Die Auswirkungen von PSD2 auf Ihre Zahlungsgewohnheiten im Unternehmen
Nun zum wichtigsten Teil: was das eigentlich für Sie bedeutet. Als Unternehmer müssen Sie ständig Online-Transaktionen abwickeln – ob für Software-Abos, Dienstreisen, Bürobedarf oder Weiterbildungen.
Zu Beginn des Jahres 2020, als die Welt noch eine andere war, konnte sich Ihre Marketingabteilung vielleicht noch eine Kreditkarte teilen. Oder der Assistent der Geschäftsführung hatte eine einzige Karte mit den Namen der CEOs in einer streng geheimen Schublade versteckt, die bei Bedarf abgeholt werden konnte.
Vielleicht flogen sogar irgendwo Post-Its mit Kreditkartendetails und Passwörtern herum. Zum einen ist das natürlich extrem riskant, zum anderen heute so nicht mehr praktikabel. Dafür gibt es zwei Gründe:
Die Authentifizierung für jede Kreditkarte erfolgt durch die Verbindung mit einer (und wirklich nur einer) Telefonnummer oder mobilen App, mit der sich der Online-Einkäufer verifizieren kann.
Corona-bedingt sitzt Ihr Team wahrscheinlich nicht mehr in einem Raum zusammen, sodass Managerin Sarah den Code nicht mehr schnell zu Mitarbeiter Thomas rüber rufen kann.
Was sind also Ihre Optionen?
Alles bleibt, wie es ist – mit traditionellen Firmenkreditkarten
Theoretisch können Sie das bisherige System weiter nutzen, bei dem sich Mitarbeiter für Zahlungen an Office-Manager oder Vorgesetzte wenden, von diesen die Karte erhalten und sich ebenfalls den Code durchgeben lassen.
Ein kleines Team kann sich vielleicht noch bei jeder Online-Transaktion zusammentelefonieren und die 3D-S-Codes am Telefon durchgeben. Aber was passiert, wenn die Person mit der Firmenkarte im Urlaub ist? Selbst wenn Sie die Kartendaten haben, kann die Zahlung nicht abgewickelt werden.
Wenn Sie sich für diese Option entscheiden, müssen Sie also für ausreichend viele Karten sorgen, um immer mindestens einen Karteninhaber vor Ort haben zu können. Oder Sie müssen ein paar Tage lang warten, bis eine Zahlung autorisiert werden kann.
Pro: Die Zahlungen werden von den Karteninhabern kontrolliert.
Contra: Sehr ineffizient; viele fehlgeschlagene Zahlungen
Geben Sie Firmenkreditkarten an mehr Mitarbeiter aus
Dies kann einigen Unternehmen Angst bereiten – zurecht. Die Firmenkreditkarte hat oft kein Limit und lässt somit nur ein geringes Maß an Kontrolle zu. Es braucht sehr klare Richtlinien, was Mitarbeiter damit bezahlen können und was nicht.
Auch hier gilt: Wenn das Unternehmen klein genug ist, können Sie Ihren Mitarbeitern eher vertrauen bzw. die Nutzung der wenigen Kreditkarten einfach kontrollieren. Ein Restrisiko besteht trotzdem. Zudem entsteht eine zusätzliche Belastung für Ihr Finanzteam, das all die Kreditkartenzahlungen monatlich überprüfen muss.
Pro: Die Mitarbeiter haben direkten und unkomplizierten Zugang zu Firmengeldern.
Contra: Mangelnde Kontrolle; mehr Arbeit für das Finanz- und Rechnungswesen
Probieren Sie es mit einem Tool zur Ausgabenverwaltung
Die dritte (und beste) Option ermöglicht Ihren Teammitgliedern einen kontrollierten und effizienten Zugang zu Firmengeldern. Eine Plattform für das Ausgabenmanagement ermöglicht es jedem Mitarbeiter, Online-Zahlungen mit einer einzigartigen virtuellen Kreditkarte (VCC) durchzuführen. Dies kann direkt vom eigenen Computer aus geschehen, überall auf der Welt. Manager und Finanzteams behalten den Überblick über Zahlungen und die Möglichkeit, "nein" zu sagen.
Und so funktioniert es:
Jeder Mitarbeiter hat ein Profil mit eigenem Login auf der Plattform. Mitarbeiter sind Teil eines zugewiesenen Teams mit einem Budgetverantwortlichen und festgesetzten Limits, innerhalb derer sie sich bewegen können.
Als Teil des Profils registriert jeder Mitarbeiter eine Telefonnummer im System.
Bei einer Zahlung wird die Genehmigung vom Vorgesetzten beantragt. Ganz bequem vom eigenen Schreibtisch aus.
Nach der Genehmigung werden den Mitarbeitern einmalige, virtuelle Kreditkartendetails angezeigt. Diese verlieren nach der Zahlung ihr Gültigkeit, sodass das Betrugsrisiko im Grunde genommen nicht existent ist. Alternativ lassen sich auch Karten zur mehrmaligen Nutzung für wiederkehrende Zahlungen (Abonnements) erstellen.
Beim Check-Out erhalten sie einen geheimen PIN-Code auf ihrem Handy.
Die Zahlung wird autorisiert.
Die Zahlungsdaten und die Genehmigung werden automatisch an das Finanzteam gesendet, das diese sofort an das Buchhaltungstool weiterleiten kann.
Das war es auch schon. Der Prozess kommt ganz ohne physische Karte aus und kann von überall aus durchgeführt werden.
Fazit: Es ist Zeit für eine Alternative zur Firmenkredikarte
Die Tage der Online-Zahlungen ohne Zwei-Faktor-Authentifizierung sind gezählt. Gleichzeitig arbeiten die Angestellten der meisten Unternehmen so wenig standortgebunden wie nie zuvor. Gemeinsam sorgen diese beiden Umstände für einen gewaltigen Aufwand für Businesses, die an den verstaubten geteilten Firmenkarten festhalten.
Stattdessen sollten Sie sich besser direkt für ein modernes Tool zur Ausgabenverwaltung entscheiden, das Ihrem gesamten Team in einer sicheren, kontrollierten Umgebung Zugang zu Firmengeldern bietet. Nicht nur heute, sondern auch in Zukunft.
Plattformen wie Spendesk bieten außerdem folgende Vorteile.
Physische Karten für Zahlungen in Geschäften und unterwegs
Tools für das Rechnungsmanagement, mit denen Sie jede Rechnung innerhalb von Sekunden fehlerfrei übermitteln können.
Automatisierung der Spesenabrechnung für Mitarbeiter, die ihre Karte gerade nicht zur Hand haben.
Genehmigungs-Workflows, die es Managern erlauben, die Budgets genau im Auge zu behalten.
Buchhaltungsintegrationen, z. B. mit DATEV, die am Ende eines jeden Monats viele Stunden sparen.
Finden Sie heraus, ob Spendesk die richtige Lösung für Ihr Unternehmen ist:
Hier finden Sie weitere Informationen zu Firmenkreditkarten: