Erst die Datenschutz-Grundverordnung (DSGVO), dann die Pauschalreiserichtlinie – und nun PSD2. Die neue Vorgabe wirkt sich beträchtlich auf den Hotelier-Alltag aus. Im Gespräch erklärt ein Experte, was das genau bedeutet.
Jetzt also PSD2. Die Abkürzung steht für „Payment Service Directive 2“, eine Verordnung, die seit dem 14. September 2019 gilt. Mit der Einführung hat sich im Hotel einiges geändert, sobald Gäste per Karte zahlen. Denn PSD2 geht einher mit der „Starken Kundenauthentifizierung“ (SCA). Das stellt Hoteliers vor große Herausforderungen. Christian Meissner, Director Distribution bei der HSMA Deutschland klärt die wichtigsten Fragen.
Christian, was hältst Du prinzipiell von PSD2?
In jedem Fall ist das eine gute Sache! Die neue Verordnung ist zwar eine gewaltige Abkehr von bisherigen Zahlungsabläufen, aber sie bringt auch mehr Sicherheit und Transparenz – für alle.
Werden wir konkret: Wie ist das nun, wenn der Gast seine Hotelrechnung per Karte zahlen möchte?
Alles bleibt beim Alten, wenn der Gast im Hotel ist und er seine Karte in das Kartenterminal steckt. Diese Art des Zahlens ist seit geraumer Zeit durch die Eingabe von Sicherheitsmerkmalen (PIN) abgesichert und erfüllt somit die Anforderungen der sogenannten „Starken Kundenauthentifizierung“. Solange es noch Kreditkarten im Umlauf gibt, die nur mit einer Unterschrift als Absicherung ausgestattet sind, gelten diese als ebenso sicher.
Und was ist durch PSD2 anders geworden?
Garantierte Buchungen haben Hoteliers bislang abgesichert, in dem sie Zahlungskartendaten in einer Reservierung hinterlegen und meist vor der Anreise des Gastes belasten oder autorisieren. Das ist jetzt so nicht mehr möglich. Ebenfalls nicht mehr so einfach können No-Shows oder verspätete Stornierungen abgerechnet werden. Grund hierfür ist, dass diese heute als manuelle Eingaben über die Zahlungsterminals abgewickelt sowie vom Gesetz klar als elektronische Zahlung identifiziert werden – und somit eine sogenannte Starke Kundenauthentifizierung benötigen.
Das heißt?
Jede Belastung und/oder Vorautorisierung, bei der der Karteninhaber mitsamt seiner Karte nicht anwesend ist, muss durch die Starke Kundenauthentifizierung gesichert werden. Dabei müssen zwei von drei Faktoren ausgewählt werden: Etwas, was Du weißt (zum Beispiel Passwort), etwas, was Du besitzt (etwa Smartphone) oder etwas, was Du bist (etwa Fingerabdruck).
Bei Online-Buchungen ist das nur schwer möglich. Was sollten Hoteliers jetzt tun?
Sich – wenn sie es denn noch nicht getan haben – intensiv mit dem Thema auseinandersetzen und gemeinsam mit ihrem Payment Service Provider (PSP) Lösungen besprechen. Sinnvoll ist zum Beispiel zu prüfen, ob die Zahlungsabwicklung direkt in den Buchungsprozess integriert werden kann. Bei Buchungen über die eigene Webseite kann dies technisch vergleichsweise einfach, etwa über 3D Secure 2.0, integriert werden. Ebenfalls kann erwogen werden, eine Zahlungsinfrastruktur durch Payment Links zu schaffen.
Wie schnell müssen Hoteliers handeln?
Möglichst schnell. Allerdings hat die Bundesanstalt für Finanzdienstaufsicht (BaFin) darauf verwiesen, dass sie bis auf weiteres auch nach dem Stichtag 14. September 2019 bei Kartenzahlungen im Internet die Starke Kundenauthentifizierung nicht einfordert. Damit haben Hoteliers jetzt die Möglichkeit, sich nach Lösungen umzusehen. Die Entscheidung der BaFin betrifft natürlich nur deutsche Zahlungsinstitute – Transaktionen aus dem Europäischen Wirtschaftsraum (EWR) sind möglicherweise bereits an die Starke Kundenauthentifizierung gebunden.
Die Starke Kundenauthentifizierung ist bei den sogenannten Mail-Orders-and-Telephone-Orders (MOTO Transaktionen) nicht nötig. Macht es denn Sinn, alle Zahlungen über MOTO abzuwickeln?
Nein, das ist nicht ratsam. Das duldet der PSP in der Regel auch nur begrenzt.
Gibt es weitere Ausnahmen von der Starken Kundenauthentifizierung?
Ja, eine ganze Reihe. Zum Beispiel ist am Parkscheinautomat keine Starke Kundenauthentifizierung nötig. Gleiches gilt für Kleinstbeträge oder bei sogenannten Interregionalen Zahlungen, also, wenn das kartenausgebende Institut nicht innerhalb des EWR sitzt.
Was spricht aus Hotelier-Sicht sonst noch für PSD2?
Hotelgäste haben nicht mehr die Möglichkeit, eine von ihnen autorisierte Zahlung so ohne weiteres wie früher zu widerrufen – das ist ein klarer Vorteil für Hoteliers!
