Payment Security: Wie Onlineshops ihren Kunden sichere Bezahlmethoden bieten können
Was ist mit Payment Security im E-Commerce gemeint?
Payment Security bedeutet im E-Commerce, dass Onlineshops ihren Kunden sichere Online-Zahlungsmethoden zur Verfügung stellen müssen. Dabei gilt es, bestimmte Richtlinien zur Zahlungssicherheit einzuhalten, z. B. den PCI DSS-Standard. Diese Vorgaben befassen sich in erster Linie mit dem Datenschutz der Käufer. Denn im Zuge einer Bestellung geben Kunden ihre Zahlungsinformationen an, die als sensible Daten besonders schützenswert sind.
Im Zuge der Payment Security ist es zudem wichtig, den Bestell- und Zahlungsprozess für Kunden möglichst transparent und übersichtlich zu gestalten. Käufer müssen erkennen, dass sie sicher bezahlen können, um dem Webshop zu vertrauen. Sonst besteht die Gefahr, dass sie frühzeitig im Bestellprozess abspringen. Dieses Vertrauen können Onlinehändler u. a. durch Zertifizierungen für sichere Zahlungsmethoden im Internet gewinnen.
Warum sind Zertifizierungen für sichere Zahlungsmethoden wichtig für Verkäufer?
Ein elementarer Grund dafür, Kunden zertifizierte Zahlungssicherheit zu bieten, ist das Vertrauen. Durch vertrauensbildende Maßnahmen können Onlinehändler auf unterschiedliche Weise ihren Umsatz steigern. Gewährleisten sie ihren potenziellen Kunden Payment Security, wirkt sich dies positiv auf wichtige Kennzahlen aus, z. B.:
- gesteigerte Conversion-Rate im Checkout-Prozess
- mehr Traffic
- höhere Kaufsumme der Kunden
- größere Bereitschaft, ein händlerfreundliches Zahlungsverfahren zu nutzen, wie etwa Vorkasse
Die Effektivität von vertrauensbildenden Maßnahmen
Kunden schrecken oft vor Bezahlverfahren zurück, bei denen sie in Vorleistung gehen müssen, etwa bei Kreditkartenzahlungen. Hier besteht die Sorge, dass die Ware trotz Bezahlung nicht geliefert oder das Geld bei Ausübung des Widerrufsrechts nicht gutgeschrieben wird. Für größere Zahlungssicherheit bevorzugen Verbraucher daher den Kauf auf Rechnung. Dieser birgt wiederum ein höheres Ausfallrisiko für Händler. Bonitätsprüfungen im Vorfeld, um dieses Risiko zu begrenzen, sind allerdings oft kostenintensiv.
Durch Online-Gütesiegel und Zertifizierungen können Onlinehändler nachweislich ein hohes Maß an Vertrauen schaffen und eine Veränderung im Kauf- und Zahlungsverhalten ihrer Kunden bewirken. Laut einer experimentellen Studie vom E-Commerce-Center Handel im Jahr 2012 ist etwa eine Steigerung der Conversion-Rate um mehr als 23 Prozent möglich. Die E-Commerce-Agentur Elaboratum findet bestätigend dazu im “Shopsiegel Monitor 2017/18” heraus, dass 45 Prozent der befragten Online-Käufer gezielt nach Gütesiegeln suchen. Wer möchte, dass seine Kunden auf sichere Zahlungsmethoden für Verkäufer zurückgreifen, sollte sich daher intensiv mit vertrauensbildenden Maßnahmen auseinandersetzen.
Welche Gütesiegel zertifizieren sichere Zahlungsmethoden im Internet?
Es gibt verschiedene Payment-Security-Anbieter, die Onlineshops auf ihre Zahlungssicherheit überprüfen. Dabei bewerten sie, ob das E-Commerce-Unternehmen die geforderten Standards zu den verschiedenen Bezahlmethoden im Internet befolgt. Anschließend vergeben sie ein entsprechendes Gütesiegel, das Onlinehändler in ihren Shop einbinden können. Dieses signalisiert potenziellen Käufern, dass sie hier sicher bezahlen können.
In der folgenden Tabelle ist eine Auswahl gängiger Zertifizierungen für Onlineshops aufgeführt:
| Anbieter von Payment-Security-Zertifizierungen | Name des Gütesiegels |
| eKomi Ltd. | eKomi |
| EHI Retail Institute GmbH | Geprüfter Online-Shop |
| datenschutz cert GmbH | Internet Privacy Standards |
| TÜV SÜD Management Service GmbH | Safer Shopping |
| Shopauskunft.de GmbH & Co. KG | Shopauskunft.de |
| Trusted Shops GmbH | Trusted Shops |
Richtlinien für sichere Zahlungsmethoden im Internet, die Onlinehändler kennen müssen
Es gibt verschiedene Payment-Security-Standards, die E-Commerce-Händler beachten sollten, um sichere Zahlungsmethoden im Internet zu bieten. Anbieter von Payment-Security-Zertifizierungen überprüfen diese, wenn Onlineshops ein entsprechendes Gütesiegel für die Zahlungssicherheit erwerben möchten.
PCI DSS-Standard für Kreditkartenzahlungen
PCI DSS steht für Payment Card Industry Data Security Standards. Dabei handelt es sich um Payment-Security-Vorgaben für die Kreditkartenzahlung. Verschiedene Kreditkartenorganisationen haben das weltweit geltende PCI DSS-Regelwerk für mehr Datensicherheit bei Zahlungsvorgängen entwickelt. So ist es Onlinehändlern nur dann gestattet, Kreditkartendaten zu speichern, wenn sie nach den PCI DSS-Standards zertifiziert sind.
Onlinehändler sind angehalten, die Einhaltung der Sicherheitsvorgaben regelmäßig nachzuweisen. Folgende Sicherheitsnachweise sind für die Zertifizierung der PCI DSS-Standards zu erbringen:
- Jährliche Selbstauskunft: Darin geben Händler allgemeine Daten zum Unternehmen, zu ihren Verbindungen zu anderen Unternehmen sowie technische Details zur Verarbeitung von Karteninformationen an.
- Quartalsweise Schwachstellenscans: Hierbei gilt es, etwaige Schwachstellen in den Systemen und Websites aufzudecken, durch die Angreifer an Kreditkartendaten gelangen könnten. Dabei werden u. a. Netzwerkkomponenten, Betriebssysteme und Applikationen überprüft.
- Jährliche Onsite-Audits: Diese Sicherheitsprüfung vor Ort richtet sich vornehmlich an große Unternehmen mit millionenfachen Transaktionen pro Jahr. Sie beinhaltet u. a. die Besichtigung der Serverräume, Mitarbeiterinterviews, Prüfung der Prozessdokumentationen und Härtungsrichtlinien sowie eine Prüfung der Systemkonfiguration.
PSD 2
Die Payment Services Directive 2 (PSD 2) ist eine Zahlungsrichtlinie, die größtenteils für Zahlungen in EU/EWR-Währungen gilt. Sie dient dazu, die Payment Security im digitalen Zahlungsverkehr zu erhöhen und den Verbraucherschutz zu stärken. Um den Vorgaben der PSD 2 nachzukommen, haben die Kartenorganisationen Visa und Mastercard gemeinsam mit der Branchenvereinigung EMVCo das 3D-Secure-Sicherheitsverfahren weiterentwickelt. Das sogenannte 3D Secure 2 ist PSD 2-konform und gilt sowohl für EU-Länder als auch für die Schweiz.
Zwei-Faktor-Authentifizierung: mehr Zahlungssicherheit für Kunden
Onlinehändler müssen demnach seit dem 01.01.2021 alle Transaktionen mit einer Strong Customer Authentication (SCA) absichern. Diese basiert auf einer Zwei-Faktor-Authentifizierung durch mindestens zwei dieser drei Faktoren:
- Wissen: etwas, das nur dem Käufer persönlich bekannt ist, z. B. ein Passwort
- Possession: something physically in the customer’s possession, such as a smartphone used to receive a transaction PIN
- Inhärenz: ein einzigartiges, personengebundenes Merkmal wie ein Fingerabdruck
Beispiel: Möchten Kunden per Überweisung zahlen, geben sie zunächst ihr Passwort im Onlinebanking ein. Anschließend ist die Identität per Gesichtserkennung auf dem Smartphone zu bestätigen, bevor der Bezahlprozess abgeschlossen ist.
Zusätzliche Payment Security für Händler
Die Zwei-Faktor-Authentifizierung sorgt jedoch nicht nur für erhöhte Payment Security für Kunden, sondern auch für Verkäufer. So lässt sich einfach, schnell und kosteneffizient die Nutzeridentität überprüfen und dadurch das Betrugsrisiko senken. Zudem ermöglicht die Richtlinie größere Zahlungssicherheit für Instant-Payment-Services wie EPS. Dabei handelt es sich um besonders sichere Zahlungsmethoden für Verkäufer, denn …
- … the goods are paid for immediately and the payment process is directly authenticated. This allows the order to be processed and shipped faster.
- … Customers cannot withdraw the authenticated payment immediately. This reduces the risk of withdrawn payments for online retailers.
Allerdings ist es aufgrund der erhöhten Payment Security durch PSD 2 für Onlineshops noch wichtiger, Zahlungsvorgänge möglichst kurz zu halten und klar zu strukturieren. Denn zu viele Klicks stellen für User eine größere Hürde dar, den Checkout-Prozess abzuschließen.
Zumutbarkeit von Bezahlmöglichkeiten
Laut §312a Abs. 4 BGB besteht für Onlineshops die Pflicht, mindestens eine gängige und zumutbare kostenlose Bezahlmöglichkeit anzubieten. Diese Vorgabe ist auch im Hinblick auf Payment Security wichtig. Denn ein Urteil des Landgerichts Frankfurt a. M. ergab, dass die Zahlungsmethode Sofortüberweisung als nicht zumutbar einzustufen ist. Verbraucher müssen hier ihre Kontozugangsdaten einschließlich PIN und TAN eingeben – und zwar nicht in ihrer gewohnten Onlinebanking-Umgebung. Dieser Umstand erhöht das Risiko eines Datenmissbrauchs. Möchten Verkäufer sichere Zahlungsmethoden in ihr Shopsystem einbinden, ist darauf zu achten, welche Daten Kunden an Dritte weitergeben müssen.
Vor diesem Hintergrund gelten u. a. folgende Zahlungsmethoden als gängig und zumutbar:
- Kauf auf Rechnung
- Zahlung per Vorkasse, z. B. Überweisung
- SEPA-Lastschrift
- PayPal
- Gängige Kreditkartenformate
Payment-Security-Tipps: sichere Zahlungsmethoden für Verkäufer und Kunden
Um die Conversion-Rate zu erhöhen, empfiehlt es sich, Kunden eine möglichst große Auswahl an Zahlungsmethoden zu bieten. Dabei ist es wichtig, seine Zielgruppe und die von ihr favorisierten Zahlungsarten zu kennen. In der Regel bevorzugen Kunden den Kauf auf Rechnung. Hier erhalten sie zuerst die Ware und haben dann bis zu 14 Tage Zeit, um den offenen Betrag zu begleichen. Als sichere Zahlungsmethoden für Verkäufer gelten solche, bei denen Kunden erst zahlen und die Ware erst nach Zahlungseingang verschickt wird.
Um die Payment Security zu erhöhen und Kunden gleichzeitig nicht vom Kauf abzuschrecken, bedarf es bei der Wahl der Bezahlmethoden im Internet vorab eines Risikomanagements. Daher ist es wichtig für Webshop-Betreiber, das Risiko für etwaige Zahlungsausfälle je Zahlungsmethode zu kennen und den damit verbundenen zeitlichen Aufwand abzuwägen.
Handelt es sich bei der Zielgruppe jedoch zum Großteil um Rechnungskäufer, können diese Tipps für mehr Payment Security im E-Commerce sorgen:
Tipp 1: Rechnungskauf zuletzt aufführen
Bieten Sie den Rechnungskauf nicht als Erstes in der Liste der Zahlungsarten an. Dadurch besteht die Chance, dass Kunden eine andere sichere Zahlungsmethode wählen, die auch dem Onlineshop mehr Zahlungssicherheit bietet, z. B. einen Instant-Payment-Service.
Tipp 2: Bonität prüfen
Machen Sie beim Kauf auf Rechnung eine Bonitätsprüfung zur Pflicht, um sich gegen Zahlungsausfälle durch Illiquide abzusichern.
Tipp 3: Zahlungsdienstleister nutzen
Setzen Sie auf Zahlungsdienstleister: Diese minimieren das Risiko und den Aufwand für E-Commerce-Unternehmen. Sie wickeln den Rechnungskauf mit dem Kunden ab, übernehmen das Zahlungsausfallrisiko und leiten bei Bedarf weitere Schritte ein. Mit Mollie fallen dabei für E-Commerce-Unternehmen nur geringe Gebühren und ausschließlich für erfolgreiche Transaktionen an.
Fazit zur Payment Security im E-Commerce
Payment security specifications ensure more payment security – for both sellers and customers. For web shop operators, it is particularly important to consider the PCI DSS standards and the 3D Secure 2 process. Anyone who offers secure payment methods on the Internet can have this certified by a payment security seal of approval. As a result, merchants create trust with their potential customers and increase their conversion rate.
Neben einem optimalen Zahlungsmix und Payment-Security-Zertifizierungen gibt es noch weitere vertrauensbildende Maßnahmen. Diese sind in der folgenden Checkliste übersichtlich für Sie zusammengefasst:
| Rechtliche Rahmenbedingungen für vertrauensvollen Onlineshop | Impressumspflicht |
| Rechtliche Rahmenbedingungen für vertrauensvollen Onlineshop | Widerrufs- bzw. Rückgaberecht |
| Rechtliche Rahmenbedingungen für vertrauensvollen Onlineshop | Vorgaben zur Preiswahrheit und -klarheit |
| Rechtliche Rahmenbedingungen für vertrauensvollen Onlineshop | Allgemeine Geschäftsbedingungen (AGB) |
| Rechtliche Rahmenbedingungen für vertrauensvollen Onlineshop | Datenschutzgrundsätze |
| Basisanforderungen | Hochwertige Gestaltung der Website |
| Basisanforderungen | Clear structure |
| Basisanforderungen | Good Usability and technical implementation, e.g. B. fast loading times |
| Basisanforderungen | Umfangreiche Informationsbereitstellung zum Unternehmen, den Produkten etc. |
| Basisanforderungen | Umfassende Kontaktmöglichkeiten |
| Gezielte Maßnahmen zur Vertrauensbildung | Gütesiegel und Zertifizierungen |
| Gezielte Maßnahmen zur Vertrauensbildung | Einbindung von Kundenbewertungen |
| Gezielte Maßnahmen zur Vertrauensbildung | Sichere Zahlungsverfahren nach PCI DSS-Standard und 3D Secure 2 |