Ab dem 01. Januar 2021 ist es nun endgültig soweit – die letzten Regelungen des Zahlungsdiensteaufsichtsgesetzes treten in Deutschland in Kraft. Die damit einhergehende Starke Kundenauthentifizierung (SCA) wirft die gelebte Praxis ordentlich über den Haufen – bringt aber auch mehr Sicherheit, Transparenz und öffnet den Markt für Innovatoren.

Lange wurde verhandelt und diskutiert, bis letztendlich im September 2019 eine Fristverlängerung für die Umsetzung erwirkt werden konnte. Ausreichend Zeit, sich auf das Kommende vorzubereiten, möchte man meinen.

Gemeinsam mit dem Hotelverband Deutschland (IHA) e.V. und dem Verband Internet Reisevertrieb e.V. (VIR) sowie der Unterstützung derer namhaftesten Mitglieder haben wir als HSMA Deutschland e.V. eine Zusammenfassung der jetzt anstehenden Herausforderungen und die mögliche Unterstützung von Partnern auf diesem Gebiet zusammengefasst.

Was ist die aktuelle Herausforderung in Bezug auf PSD2?

Seit jeher sichern wir als Hoteliers garantierte Buchungen dadurch ab, dass wir Zahlungskartendaten in einer Reservierung hinterlegen und zu einem bestimmten Zeitpunkt, meist vor der Anreise des Gastes, belasten oder vorautorisieren – dieser Prozess wird künftig so nicht mehr möglich sein.

Grund hierfür ist die Tatsache, dass jede Belastung und/oder Vorautorisierung, bei der Karteninhaber und Karte nicht anwesend sind (Credit Card not present) künftig durch die Starke Kundenauthentifizierung im Zwei-Faktor-Prinzip gesichert werden muss. Hierbei gilt es zwei Faktoren aus den nachstehenden Punkten auszuwählen:

• etwas was Du weißt
(z. B. ein Passwort)

• etwas was Du besitzt
(z. B. Smartphone)

 • etwas was Du bist
(z. B. Fingerabdruck)

Wie ändert sich unsere tägliche Arbeit?

Gehen wir davon aus, dass ein Großteil der Zahlungstransaktionen zum heutigen Tage direkt im Hotel und über physische Kartenterminals in Anwesenheit von Karteninhaber und Karte abgewickelt werden (sog. POS-Zahlungen/Swiped Transactions), so sind diese nicht von der PSD2 betroffen. Diese Zahlungen werden seit geraumer Zeit durch die Eingabe von Sicherheitsmerkmalen (PIN) abgesichert. Dieser Umstand führt auch direkt zu einem der wichtigsten Punkte, sich gut für die kommende Zeit aufzustellen – jeder Hotelier ist ab dem 01. Januar 2021 gut beraten, ungesicherte Zahlungen direkt bei Anreise vom Gast unter Eingabe der PIN autorisieren zu lassen.

Die Herausforderungen entstehen, wenn Zahlungen ohne Anwesenheit des Karteninhabers und der Karte erfolgen sollen. Das ist zum einen auf allen Internetseiten mit Direktbuchungsfunktion der Fall, aber auch bei allen Reservierungen, welche durch das Hinterlegen einer Zahlungskarte gesichert werden sollen. Ebenfalls betroffen von der Regelung sind alle Buchungen über unsere Vertriebspartnerportale – die OTA – oder GDS. Zu den einzelnen Lösungsansätzen werden die einzelnen Vertriebsportale im Laufe dieses Artikels Stellung beziehen und Möglichkeiten einer zielführenden Zusammenarbeit aufzeigen.

Dass das Abfragen von Zahlungsdaten über Formulare (die Form ist hierbei zweitrangig), am besten noch per Fax oder E-Mail schon heute nicht als sichere Methode gilt und eingestellt werden sollte, steht außer Frage. Das es gängige Praxis ist aber auch. Die hinterlegten Zahlungskarten vor Anreise zu autorisieren oder direkt zu belasten, Abrechnung von No-Show oder verspäteter Stornierungen wird so einfach wie heute nicht mehr länger möglich sein, denn es bedarf der starken Kundenauthentifizierung durch den Karteninhaber. Ebenfalls als gängige Praxis und von den Kreditkarteninstituten geduldet gilt die manuelle Eingabe von Zahlungsdaten in die Kartenterminals – auch das ist mit Ablauf der Frist nicht mehr möglich.

Für alle Markteilnehmer bringt die neue Regelung vor allem eines – mehr Sicherheit.

Denn ist eine Zahlung korrekt durchgeführt worden, so ist diese auch nicht mehr so einfach wie heute vom Karteninhaber zurückzurufen.

Folgende Ausnahmen (Auswahl der für die Hotellerie relevanten Punkte) wurden durch den Gesetzgeber formuliert:

1. Zahlungen an unbedienten Terminals 
Der Parkscheinautomat wird weiterhin auch ohne SCA auskommen.

2. Interregionale Zahlungen
Das kartenausgebende Institut sitzt nicht innerhalb der EU bzw. des Europäischen Wirtschaftsraumes (EWR).

3. Corporate Payments 
Buchungen und Zahlungen über gesicherte Firmenbuchungsportale können ebenfalls ausgenommen werden. Die Ausgestaltung dieser Ausnahme erfolgt zwischen BaFin (Bankenaufsicht) und Systemanbieter. Als Beispiel kann der AirPlus Business Account genannt werden.

4. Virtual Credit Cards
Virtuelle Zahlungskarten sind ebenfalls von der SCA ausgenommen, sofern der Inhaber keine natürliche Person ist.

5. MOTO-Transaktionen
Echte sogenannte Mail-Orders-and-Telephone-Orders sind ebenfalls ausgenommen.

6. Merchant Initiated Transactions (MIT)
Hierbei handelt es sich um eine nachträgliche Belastung der Zahlungskarte, die direkt vom Händler ausgelöst wird. Voraussetzung hierfür ist aber eine bereits erfolgreich durchgeführte SCA. Wird dieses Kriterium erfüllt, kann hiermit eine No Show oder Late Cancellation abgedeckt werden.

7. Whitelisted Merchant
Hierbei handelt es sich um eine Art Positivliste des Karteninhabers bei seinem Zahlungsinstitut. Aus Gesprächen mit anderen Verbänden und Firmenkunden ist dies wohl ein Weg, welcher künftig sehr aktiv von größeren Firmen genutzt werden wird, um die SCA für die Reisenden zu umgehen.

Wie machen wir weiter?

Solltet Ihr es noch nicht getan haben, so kontaktiert bitte umgehend euren Partner im Bereich Kartenzahlungsabwicklung. Die meisten Anbieter haben Lösungen für ihre Händler erarbeitet und gehen mit Euch gemeinsam die bestehenden Prozesse durch. Mögliche Ansätze reichen von Zahlungslinks bis hin zu digitalen MOTO-Terminals.

Außerdem ist es an jedem von uns, die Prozesse zu prüfen, wie wir heute mit Zahlungsdaten umgehen und wann wir diese erfragen und wann wir sie belasten. Es sollte das Ziel sein, die Abfrage und die Belastung zeitlich so nah wie möglich zusammenzubringen. Ist dies nicht möglich, so sollte die Zahlung direkt bei Anreise durch die PIN-Eingabe gesichert werden, um mögliche Ausfälle auszuschließen.

Welche Maßnahmen treffen meine Partner für mich?

EXPEDIA:

Die neue Regelung wirkt sich insbesondere dann aus, wenn Sie Gästen einen Betrag in Rechnung stellen, ohne dass diese direkt vor Ort sind, z.B. bei Anzahlungen vor dem Aufenthalt, Stornierungsgebühren und Gebühren aufgrund von Nichtanreise. Wenn Gäste die Zwei-Faktorauthentifizierung nicht abschließen können, kann diese dazu führen, dass Banken die Zahlungen ablehnen. Expedia hat Lösungen entwickelt, damit Sie auch weiterhin Stornierungsgebühren und Gebühren aufgrund von Nichtanreise oder Anzahlungen in Rechnung stellen können.

Gebührenverwaltungstool

Gebührenerhebung

Um die Erhebung von Gebühren zu regeln, bietet die Expedia Group ein kostenloses Stornierungsgebühren-Verwaltungstool an. Wie bei allen Kreditkartentransaktionen können jedoch Kreditkartengebühren für Sie anfallen. Wenn Sie sich für die Verwendung dieses Gebührenverwaltungstools entscheiden, können Sie Abgleiche für Hotel-Collect-Buchungen nicht mehr zurücksetzen. Und so funktioniert es:

1. Wenn ein Reisender eine Hotel-Collect-Buchung vornimmt, validiert die Expedia Group die Karte des Kunden und erfasst die Authentifizierungsinformationen.
2. Anstelle der Kartennummer des Gastes erhalten Sie mit der Buchungsbenachrichtigung eine Expedia-Virtual-Card-Nummer (EVC).
   Der Betrag wird auf der EVC erst nach dem Abgleich verfügbar gemacht und sollte nur verwendet werden, wenn eine kostenpflichtige Stornierung vorliegt oder eine Nichtanreisegebühr erhoben wird.
3. Wenn Sie einen Abgleich für eine Buchung in Partner Central vornehmen, geben Sie einfach die Gebühr ein, die wir berechnen sollen. Wir werden versuchen, die Kreditkarte des Reisenden zu belasten.
4. Wenn die Belastung erfolgreich ist, wird der entsprechende Gebührenbetrag auf die virtuelle Karte gebucht. Die Expedia Group wird die Kommission für die Gebühr in Ihre nächste Hotel-Collect-Rechnung aufnehmen.
5. In einigen Fällen können wir die Karte möglicherweise nicht belasten, weil sie nicht ausreichend gedeckt oder ungültig geworden ist. In diesem Fall entfernen wir die Gebühr und die Kommission in der Buchung.

Entscheiden Sie sich für das Gebührenverwaltungstool

Wenn Sie das neue Stornierungsgebühren-Verwaltungstool verwenden möchten, melden Sie sich in Partner Central an. Für andere Optionen können Sie sich auch an Ihren Market Manager wenden.

• Wenn Sie derzeit in unserem Vorabvalidierungsprogramm angemeldet sind, wird dieses durch das Stornierungsgebühren-Verwaltungstool ersetzt.
• Wenn Sie sich für dieses kostenlose Programm nicht anmelden möchten, können Sie Karten von Gästen weiterhin mit den Gebühren belasten. Die Bank kann die Transaktionen jedoch ablehnen.
• Expedia Traveler Preference-Unterkünfte: Banken unterstützen Anzahlungen ohne SCA möglicherweise nicht mehr. Vergewissern Sie sich, dass alle Ratentypen, für die Anzahlungen erforderlich sind, über das Expedia-Collect-Modell angeboten werden. Ratentypen ohne Anzahlung können bei Hotel Collect verbleiben.

Eine Schritt-für-Schritt-Anleitung zum Abgleich stornierter Hotel-Collect-Buchungen finden Sie in unserem Leitfaden zum Herunterladen.

Weitere Informationen finden Sie in folgenden ähnlichen Artikeln:

• Stornierte Hotel-Collect-Buchungen abgleichen
• Eine Hotel Collect-Buchung als Nichtanreise markieren
• Hotel Collect-Buchungen abgleichen

Hier geht´s zum Artikel auf Expedia Partner Central

Booking.com:

Booking.com hat alle notwendigen Maßnahmen getroffen, um den neuen Richtlinien zu entsprechen und die starke Kundenauthentifizierung durchzuführen. Dies gilt für alle Buchungen, bei denen ein "Zahlungsservice von Booking.com" genutzt wird.

Booking.com unterscheidet:

1) Teilweise von Booking.com verwaltete Zahlungen
Wenn Sie bereits Online-Zahlungen* verwenden und einige Ihrer Zahlungen von Booking.com abgewickelt werden, unterstützt Booking.com Sie folgendermaßen:

(*Online-Zahlungen: Sie können Gästen anbieten, über Booking.com oder auch bei Ihnen direkt zu zahlen. Wenn Gäste sich entscheiden, online zu bezahlen, dann wickelt das System die Zahlung ab und schickt Ihnen das Geld über eine virtuelle Kreditkarte oder per Überweisung.)

Wann ist keine starke Kundenauthentifizierung notwendig:

Wenn Gäste den Service der Online-Zahlungen nutzen, wird Booking.com deren Zahlung authentifizieren und Sie erhalten eine virtuelle Kreditkarte, die Sie wie zuvor belasten können. Virtuelle Kreditkarten von Booking.com fallen nicht in den Geltungsbereich der starken Kundenauthentifizierung, d.h. diese dürfen von der Bank nicht gesperrt werden.

Wenn Gäste Sie direkt bezahlen und Sie deren Karte beim Check-in oder Check-out in deren Gegenwart belasten, können Sie dies auch weiterhin tun. In diesem Fall ist keine starke Kundenauthentifizierung nötig.

Wann ist eine starke Kundenauthentifizierung notwendig:

Wenn Sie den Betrag von der Karte Ihrer Gäste per Fernzugriff einziehen (z.B. für Voraus-/Anzahlungen, Kautionen oder Gebühren bei Nichtanreise), kann eine starke Kundenauthentifizierung notwendig sein.

Obwohl Booking.com diese Zahlungen nicht abwickelt, werden Sie unterstützt, dass die Auswirkungen auf Ihren Betrieb durch die starke Kundenauthentifizierung so gering wie möglich bleiben. Zum Zeitpunkt der Buchung prüft Booking.com, ob für die Zahlung eines Gastes eine starke Kundenauthentifizierung benötigt wird:

Wenn nach Meinung von Booking.com eine starke Kundenauthentifizierung benötigt werden könnte, müssen die Gäste den Service der Online-Zahlungen nutzen.

Wenn unserer Meinung nach keine starke Kundenauthentifizierung benötigt wird, können Ihre Gäste entweder online oder direkt an das Hotel bezahlen. Falls Sie die Karte eines Gastes dennoch nicht per Fernzugriff belasten können, können Sie diese als ungültig markieren und Booking.com wird versuchen, die Zahlung einzuziehen.

2) Alle von Booking.com verwaltete Zahlungen
Wenn alle Ihre Zahlungen von Booking.com abgewickelt werden, müssen Sie nichts weiter tun. Wir kümmern uns darum, den Zahlungsverkehr Ihrer Kundinnen und Kunden für Buchungen auf Booking.com zu authentifizieren.

3) Sie nutzen keinen der vorher genannten Serviceleistungen von Booking.com
Was ist, wenn ich Online-Zahlungen oder Zahlungen über Booking.com nicht nutzen möchte?

Wir können Sie bei der starken Kundenauthentifizierung nur unterstützen, wenn Sie sich für ein Zahlungsprodukt anmelden. Wenn Sie sich nicht für ein Zahlungsprodukt anmelden, müssen Sie die Zahlungen Ihrer Gäste selbst abwickeln und gegebenenfalls eine starke Kundenauthentifizierung durchführen. Weitere Informationen erhalten Sie von Ihrer Bank oder Ihrem Zahlungsdienstleister.

Weitere Informationen finden Sie im PartnerHub.
Dort werden stets weitere Informationen zu diesem Thema veröffentlicht, die Ihnen dabei helfen sollen, besser zu verstehen, welchen Einfluss diese Gesetzgebung auf Sie haben kann und wie Sie sich auf die Einführung vorbereiten können.

HRS:

HRS agiert primär als Vermittlungsplattform und tritt in diesem Zusammenhang nicht als Händler auf. Die neue Zahlungsrichtlinie hat daher keine unmittelbare rechtliche Anforderung an HRS. Im B2C-Kontext nutzen Kunden physische Kreditkarten für den Zweck der Vorauszahlung oder Buchungsgarantie. Belastet wird die Karte jedoch vom jeweilig gebuchten Hotel, wodurch der Authentifizierungsnachweis in letzter Instanz dort geliefert werden muss. Im B2B-Kontext agiert HRS als "Lodging as a Service"-Anbieter zur Optimierung der Hotelprogramme von Firmenkunden. Neben der herkömmlichen Bezahlung über physische Kreditkarten bietet HRS als Mehrwert virtuelle Bezahlmethoden via Lodged Cards und Virtual Cards in Zusammenarbeit mit den Kreditkartennetzwerken an, um die Kartenakzeptanz global zu gewährleisten. Während virtuelle Karten von der neuen Richtlinie nicht betroffen sind, kommen auch im Firmenkundenumfeld noch physische Kreditkarten zum Einsatz.

Auch wenn die neue Zahlungsrichtlinie keine direkte rechtliche Anforderung an HRS als Vermittler und Lösungsanbieter stellt, ist HRS in dieser Situation entschlossen, die Brücke zwischen Buchern und Hotels optimal sowie unter Einhaltung der neuen Marktregeln zu schlagen. Daher ermöglicht HRS die PSD2-konforme starke Kundenauthentifizierung (Strong Customer Authentication, SCA), indem die Sicherheitsabfrage mittels 3D Secure in allen HRS-eigenen Buchungskanälen während des Buchungsprozesses zum Einsatz kommt. Ebenso bietet HRS PSD2/SCA-konforme Schnittstellen für OBT-Partner, und passt die Verbindungen in Richtung ca. 120 Channel Manager sowie einer Vielzahl von CRS und GDS Systemen an. Die Daten aus dem Authentifizierungsprozess werden über die eigene, bereits PCI-DSS-konforme Lösung im Extranet abrufbar sein. Die Buchungswege werden somit nicht verändert.

Für die von HRS zusätzlich angebotenen, virtuellen Bezahlmethoden (HRS Invisible Pay), findet die starke Kundenauthentifizierung keine Anwendung, da diese von der PSD2-Richtlinie nicht betroffen sind.

Concardis:

Der Terminal-Provider bzw. Payment Service Provider und der Acquirer gehen in enger Abstimmung miteinander vor, um zu gewährleisten, dass auch nach dem 01.01.2021 die Transaktionen weiterhin SCA-konform abgewickelt werden. Hierzu werden aufgrund der besonderen Situation bei der Umsetzung in der Reise- und Hotelbranche Lösungen etabliert, die ohne Veränderung der Infrastruktur in den Hotels eine Weiterführung des Geschäfts in bekannter Art und Weise fristgerecht zum 01.01.2021 ermöglichen.

Derartige Lösungen müssen den mitunter dezentralen Ankauf von Dienstleistungen in der Reisebranche berücksichtigen. Software-Dienstleister in diesem Sektor sind vielfach schon jetzt darum bemüht, derart übergreifende Lösungen zu implementieren. Das wichtigste ist, dass Hotelbetreiber jetzt den ersten Schritt machen und sich an ihre Zahlungsdienstleister wenden, um dafür zu sorgen, ab dem neuen Jahr Zahlungen SCA-konform abwickeln zu können. Gemeinsam wird dann ein entsprechender Fahrplan entwickelt und identifiziert, welche Maßnahmen auf Seiten des Hotels und bei den Zahlungsdienstleistern nötig sind.

Hier geht´s zum Download des gesamten Dokumentes im pdf-Format