Nach den Diskussionen um die Ratenparität, der Einführung einer EU-Pauschalreiserichtlinie und den Ärgernissen rund um die Datenschutzgrundverordnung (DSGVO) durfte sich die Hotellerie dann auch noch mit der PSD2-Richtlinie auseinandersetzen, deren Ziel es ist, den Online-Zahlungsverkehr neu zu regeln.
Was regelt die Zahlungsdiensterichtlinie?
Die PSD (Payment Service Directive) ist eine EU-Richtlinie der Europäischen Kommission zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern in der gesamten Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR). Ziel der Richtlinie ist es, den europaweiten Wettbewerb (und die Teilnahme an der Zahlungsbranche auch von Nichtbanken) zu erhöhen und durch die Harmonisierung des Verbraucherschutzes und der Rechte und Pflichten für Zahlungsdienstleister und Nutzer gleiche Wettbewerbsbedingungen zu schaffen. Kurz: Online-Zahlungen sollen sicherer werden.
Von der PSD 1 zur PSD 2
Mit der Einführung der ersten Richtlinie über Zahlungsdienste (PSD1) wurde ein Meilenstein zur Schaffung eines EU-weiten Binnenmarktes für den Zahlungsverkehr erreicht. Die PSD2 soll diese Grundlagen nun hinsichtlich des Anwendungsbereichs und des Einbezugs von bisher nicht regulierten Drittanbietern (Third Party Provider = TPP) erweitern sowie Vorgaben für Sicherheit und Authentifizierung ergänzen.
Der Regulator verfolgt dabei u.a. folgende Ziele:
- Verbesserter Verbraucherschutz
- Steigerung des Wettbewerbs
- Sicherstellung von Wettbewerbsgleichheit
- Förderungen von Innovationen
Zahlungsdiensterichtlinie PSD 2
- Von der PSD2 sind alle „elektronischen Zahlungsvorgänge unter Einbeziehung des Karteninhabers“ betroffen.
- Der Missbrauch bei Kartenzahlungen soll durch diese Maßnahmen sinken.
- Zahlungen, die durch eine SCA gesichert sind, können nicht mehr ohne Weiteres zurückgerufen werden und dadurch sollten die Chargebacks zurückgehen.
Die gängige Praxis in der Hotellerie, garantierte Buchungen durch die Hinterlegung der Kreditkartendaten in der Reservierung abzusichern, wird bald nicht mehr (bzw. nur sehr eingeschränkt) möglich sein. Mit September 2019 wurde die sogenannte „starke Kundenauthentifizierung“ (Strong Customer Authentication – SCA) schlagend, welche für alle elektronischen Transaktionen in der EU verpflichtend ist. Der Bezahlvorgang muss seither vom Gast mittels 2-Faktor-Authentfizierung freigegeben werden. Das Einrichten dieses Sicherheitsstandards (3DS) ist seit September 2019 gesetzlich vorgeschrieben. Die Umstellungsphase für den e-Commerce-Bereich ist am 31.12.2020 ausgelaufen.
Gültige Authentifizierungen setzen sich aus zwei der folgenden drei Bereiche zusammen:
- Wissen (Passwort, PIN, …)
- Besitz (Kreditkarte, Mobiltelefon, …)
- Inhärenz (Fingerabdruck, Spracherkennung, …)
Zahlungen, die nicht den Regeln entsprechen, werden abgelehnt und gestohlene Kreditkarten innerhalb Europas somit de facto wertlos, wodurch auch der Kreditkartenmissbrauch bedeutend abnehmen wird.
SCA-Anforderungen
Die SCA soll sicherstellen, dass es sich beim bezahlenden Nutzer auch tatsächlich um den Kontoinhaber handelt. Kunden müssen auch beim Login oder Zugriff auf sensible Daten eine 2-Faktor-Authentifizierung (2FA) nutzen. Für Überweisungen und/oder Kartenzahlungen sind nur noch dynamische Verfahren zulässig (TAN-Listen haben ausgedient).
Sobald Zahlungsdienstleister alle Systeme auf die starke Kundenauthentifizierung umgestellt haben, müssen sich zahlende Personen anhand von zwei Faktoren identifizieren. Das heißt beispielsweise:
- Auf ein Online-Konto kann zum Beispiel mit Passwort und Fingerprint zugegriffen werden, somit sind die Faktoren Wissen (Passwort) und Inhärenz (Fingerprint) erfüllt.
- Eine Kartenzahlung im E-Commerce-Bereich (Online-Handel) kann zum Beispiel mit Passwort und einem Code der am Handy empfangen wird, durchgeführt werden, somit sind die Faktoren Wissen (Passwort) und Besitz (Handy) erfüllt.
- Eine Kartenzahlung im Geschäft kann zum Beispiel mit Karte und PIN durchgeführt werden, somit sind die Faktoren Besitz (Karte) und Wissen (PIN) erfüllt.
Wird alles anders?
Herausforderungen ergeben sich bspw. bei No-Shows und Late-Cancellations, sowie bei der Vorab-Autorisierung von Kreditkarten. Das bedeutet, dass die Absicherung von Buchungen durch das Hinterlegen von Kreditkartendaten des Gastes obsolet sein wird, da eine hinterlegte Kreditkarte im Falle eines No-Shows nicht mehr belastet werden kann.
Ebenfalls wird die manuelle Eingabe von Zahlungsdaten in die Kartenterminals nicht mehr möglich sein. Die Kartennummer allein berechtigt künftig also nicht mehr zur Zahlung und verliert damit ihren Wert.
Was sind die nächsten Schritte?
Zunächst sollte umgehend der jeweilige Partner im Bereich der Zahlungsabwicklung kontaktiert werden, um mögliche Lösungswege zu erörtern.
- Es gilt zu prüfen, ob das derzeit im Einsatz befindliche Bezahlsystem den neuen Anforderungen entspricht.
- Eventuell bedarf es vertraglicher Erweiterungen durch die verpflichtende Einführung des 3DS-Standards für alle Online-Shops (dazu zählt auch die Hotel Booking Engine).
Einen wichtigen Punkt stellt auch der Umgang mit bereits erfolgten Belastungen im Zuge einer Stornierung dar. Operativ muss die Rückabwicklung der Zahlungen innerhalb der geltenden Fristen gewährleistet sein.
Außerdem sollten alle Formulare (online und offline), die zum Abfragen von Kreditkartendaten genutzt wurden, eingestellt werden.
Sind alle Kartenzahlungen von der neuen Richtlinie betroffen?
Kein Gesetz ohne „Aber“, daher wurden auch im Falle der PSD2-Richtlinie einige Ausnahmen formuliert, die für die Hotellerie in den meisten Fällen nur am Rande relevant sind. Diese betreffen unter anderem kontaktlose Zahlungen mit geringem Wert, Virtual Credit Cards, Zahlungen zwischen Unternehmen und globale Transaktionen unter bestimmten Voraussetzungen, sowie Mail-Orders und Telephone Orders (MOTO-Transaktionen) unter der Voraussetzung, dass ein spezielles MOTO Terminal (Webanwendung) zum Einsatz kommt.
Ebenfalls ausgenommen sind Zahlungen in Form von Abonnements, sogenannte Merchant Initiated Transactions (MIT). Durch diese könnten allenfalls auch die Themen No Shows und Zusatzverkauf (bspw. die Nachverrechnung der Minibar) abgedeckt werden, falls bei der Speicherung oder ersten Nutzung der Kartendaten die Authentifikation nach den neuen Kriterien erfolgreich durchgeführt wurde.
Preismanagement als Erfolgsfaktor
Mit den richtigen Buchungsbedingungen, Restriktionen und Zahlungsabläufen kann auch weiterhin der Zahlungsfluss gewährleistet und die Liquidität erhalten bleiben. Bei garantierten Direktbuchungen empfiehlt sich die Verlagerung des Zahlungszeitpunktes – in der Praxis könnte dies bedeuten, dass Gäste bereits mit der Buchungsbestätigung aufgefordert werden, online eine Anzahlung zu leisten.
Da es zusätzlich zur Preis- und Vertriebspolitik auch durch die neue Zahlungsrichtlinie PSD2 vermehrt zu An- und Vorauszahlungen kommen wird, können durch attraktive Versicherungslösungen dem Gast die Ängste vor (aus Sicht des Gastes oft) ungerechtfertigten Stornogebühren genommen werden.
Ob, und wenn ja, wie stark der einzelne Hotelbetrieb von der neuen Zahlungsrichtlinie betroffen ist, hängt auch von der bestehenden Preis- und Vertriebsstruktur ab. Vorauszahlungen, Stornoregelungen und nicht-stornierbare Raten sind Elemente im Revenue Management, mit denen sich erfolgreiche Hoteliers nun mehr denn je beschäftigen müssen.
