Zahlungsverkehr
Auswirkungen der PSD2 auf die Zahlungsprozesse in der Hotellerie
Die Zweite EU-Zahlungsdiensterichtlinie (PSD2) und mit ihr die Starke Kundenauthentifizierung (SCA) bei Kartenzahlungen sind zum 1. Januar 2021 in Deutschland endgültig in Kraft getreten. Wie eine IHA-Umfrage nun ergab, überschatteten die Corona-Pandemie und der monatelange Lockdown der Hotellerie verständlicherweise die Einführung der PSD2 und deren Umsetzung in der Hotellerie.
Insgesamt beteiligten sich über 500 Hotelbetriebe an unserer Umfrage, von denen 84% der Individualhotellerie angehören. Kettenhotels machen einen Anteil von 7,9% aus und Hotels, die Mitglied in einer Kooperation sind, stellten 8,1% der Teilnehmer. Herzlichen Dank allen Teilnehmern für diese hohe Beteiligung!!
Die wichtigsten Erkenntnisse:
Umstellung auf PIN-basierte Terminals
Mit Inkrafttreten der PSD2 ist bei vielen Zahlungsauslösungen eine Starke Kundenauthentifizierung (SCA) mit Zwei-Faktor-Authentifizierung (2FA) nötig.
Dafür müssen zwei von drei Faktoren genutzt werden:
- Wissen: etwas, das nur der Kunde weiß, z.B. ein Passwort oder eine PIN
- Besitz: etwas, das dem Kunden gehört, z.B. ein Smartphone, Kreditkarte
- Inhärenz: eine Eigenschaft des Kunden, z.B. der Fingerabdruck, Stimmerkennung oder ein Gesichtsscan
Geschieht die Transaktion an der Rezeption mit Kartenlesegerät und PIN-Eingabe, handelt es sich um eine sog. cardholder-present Transaktion, da der Karteninhaber bei der Bezahlung vor Ort ist. Dann greift automatisch die Haftungsumkehr vom Hotel auf den Kunden und die Zahlung kann im Nachhinein nicht reklamiert werden.
Über zwei Drittel (70,4%) der teilnehmenden Hotels haben Ihren Betrieb mittleiweile mit PIN-basierten Terminals ausgestattet. 7,6% bereiten diese Umstellung derzeit noch vor. Knapp 22% haben noch nicht auf PIN-basierte Terminales umgestellt.
Die Umstellung auf ein PIN-basiertes Terminal ist notwendig, da nach der neuen PSD2 und den Anforderungen der Starken Kundenauthentifizierung (SCA) eine Unterschrift des Gastes auf dem Kreditkartenbeleg nicht mehr ausreichend ist, sondern die Eingabe der PIN erfolgen muss.
Umsetzung auf der hoteleigenen Webseite / Internet Booking Engine (IBE)
Bevor die PSD2 in Kraft trat, war es möglich, über die eigene Internet Booking Engine (IBE) Kreditkartendetails des Gastes für eine Garantie zu verlangen. Dafür war keine Authentifizierung notwendig. Es ist zwar immer noch möglich, die Kartendetails für eine Garantie zu verlangen, doch will man sich als Hotel der Erlaubnis sicher sein, sofort oder später Zahlungen auslösen zu dürfen, ist eine Zwei-Faktor-Authentifizierung (2FA) schon zum Zeitpunkt der Online-Buchung notwendig. Ohne 2FA besteht das Risiko, dass Onlinetransaktionen (wie z.B. die Vorauszahlung des Aufenthalts oder die Blockierung einer Garantiesumme) abgelehnt werden.
Anfangs kann dies Onlinetransaktionen erschweren, da Gäste nicht daran gewöhnt sind, schon für eine bloße Garantie eine 2FA durchzuführen. Sobald sich die PSD2 jedoch etabliert und von Gästen als normal empfunden wird, bringt dies für Hotels einen wichtigen Vorteil.
Durch die 2FA bei Onlinetransaktionen (sog. cardholder-not-present transaction) entsteht eine Haftungsumkehr (liability shift). Das heißt, ein Gast kann seine Transaktion nach der 2FA nicht mehr rückgängig machen, auch nicht über einen Einspruch bei der Bank bzw. dem Kreditkarteninstitut. Dies gibt Hotels bei garantierten Buchungen mehr Sicherheit und Schutz vor Chargebacks bei Stornierungen oder NoShows.
Heute nutzen PSD2-konforme Zahlungsanbieter 3D Secure 2.0 (3DS2), um 2FA auszuführen. Das heißt, Buchende werden zur Website ihrer Bank weitergeleitet, um die Zahlungen dort zu autorisieren.
Sollte bei einer Buchung auf der hoteleigenen Webseite eine vollständige oder Teilzahlung notwendig sein, muss die Buchungsmaske PSD2 konform sein und 2FA mit 3D Secure 2.0 nutzen, um die Transaktion ausführen zu können. Alternativ kann erwogen werden, eine Zahlungsinfrastruktur durch Payment Links zu schaffen.
Ist die 2FA erfolgreich, wird der Nachweis darüber als sogenannter Authentication Token im System gespeichert und die Zahlung kann ausgeführt werden. Der Authentication Token hat eine Gültigkeit von 90 Tagen und kann somit auch für spätere Transaktionen (Nachbuchungen) verwendet werden, wenn der Gast diesem Vorgehen zustimmt.
Laut unserer Umfrage haben bisher 45,6% der teilnehmenden Hotels ihre Webseite bzw. die IBE an die Anforderungen der PSD2 (sprich 2FA mit 3D Secure 2.0) angepasst. Bei 54% steht diese Anpassung noch aus.
Von den Hotels, die ihre Webseite / IBE noch nicht PSD2-konform ausgerichtet haben, berichten etwa 20% von Störungen oder Komplikationen im Geschäftsbetrieb. Bei 80% sind bisher keine Störungen aufgetreten.
Es ist allerdings damit zu rechnen, dass die Banken in nächster Zeit die PSD2-Anforderungen strikter als bisher umsetzen, so dass es zu vermehrten Ablehnungen seitens der Banken kommen kann, wenn die PSD2-Anforderungen nicht erfüllt werden.
Hotels, die 3D Secure überhaupt nicht einsetzen, können seit dem 1. Januar 2021 keine Kreditkartenzahlungen mehr akzeptieren. Hotels, die nur 3D Secure 1 verwenden, zwingen ihre Kunden, jede Transaktion einzeln authentifizieren zu müssen. Außerdem hat VISA bereits angekündigt, das veraltete Verfahren nach dem 17. Oktober 2021 nicht mehr zu unterstützen. Andere Kartenmarken werden sehr wahrscheinlich nachziehen.
Die meisten IBE-Anbieter haben mittlerweile PSD2-konforme Buchungsstrecken im Angebot, so dass eine Umstellung ohne allzu große Schwierigkeiten möglich ist.
Transaktionen ohne Anwesenheit des Karteninhabers - Merchant Initiatet Transaction (MIT)
Transaktionen außerhalb des Hotelaufenthalts, bei denen der Karteninhaber nicht anwesend ist, sind in verschiedenen Situationen nötig. Dazu zählen alle Online-Buchungen ebenso wie die manuelle Eingabe der Kartendetails durch den Hotelmitarbeiter, um z.B. eine Garantie zu erwirken, oder die Belastung der Karte aufgrund einer kurzfristigen Stornierung oder einer No-Show. Früher konnte die Zahlung leicht ausgelöst werden, wenn die Kreditkartendaten des Gastes im PMS gespeichert waren.
Dies geht zwar auch heute noch (durch sog. MoTo Transaktionen), doch bei Transaktionen ohne den Karteneigentümer, gibt es keine Haftungsumkehr. Der Gast kann eine ausgelöste Stornogebühr also über seine Bank zurückfordern. Zudem besteht das Risiko, dass diese Transaktion vom System abgelehnt wird. Um das zu vermeiden, kann das Hotel bei oder nach der Buchung eine 2FA durchführen.
Beispielsweise kann das Hotel dem Gast eine E-Mail schicken, über die er zur Web-Buchungsmaske gelangt. Dort kann er seine Kreditkartendetails mit 2FA hinterlegen, um seine Buchung zu garantieren. Je nach Anreisetag kann diese Nachricht direkt nach der Reservierung oder kurz vor dem Aufenthalt verschickt werden, um die 90-tägige First des SCA Tokens einzuhalten.
Von den an der Umfrage teilnehmenden Hotels haben bisher 23,6% ihre Prozesse so angepasst, dass sie die Anforderungen für Merchant Initiatet Transactions (MIT) erfüllen. Bei 12,9% ist die Anpassung in Vorbereitung. 34,3% haben noch keine Anpassungen in diesem Bereich vorgenommen und 23,6% wissen nicht, was genau zu tun ist.
Online-Buchungsportale (OTA)
Bucht der Gast über ein Online-Buchungsportal und hat das Hotel die Zahlungsabwicklung an das Buchungsportal abgegeben, liegt die Verantwortung für die ordnungsgemäße Ausführung der Zahlungstransaktion beim Online-Buchungsportal.
Wenn die Zahlungsabwicklung allerdings nicht komplett vom OTA abgewickelt wird und durch das Hotel erfolgt, muss das Hotel gegebenenfalls selbst eine starke Kundenauthentifizierung durchführen.
Booking.com bietet seinen Hotelpartnern z.B. an, zum Zeitpunkt der Buchung zu prüfen, ob für die Zahlung eines Gastes eine starke Kundenauthentifizierung benötigt wird. Wenn nach Meinung von Booking.com eine starke Kundenauthentifizierung notwendig ist, müssen die Gäste den Service der Online-Zahlungen nutzen (Zahlungsabwicklung über Booking.com). Wird nach Ansicht von Booking.com keine Starke Kundenauthentifizierung benötigt, können die Gäste entweder bei Booking.com oder direkt beim Hotel bezahlen. Voraussetzung dafür ist, dass das Hotel bereits Online-Zahlungen von Booking.com akzeptiert und einige der Zahlungen von Booking.com abgewickelt werden.
Die Expedia Group bietet ein sog. Gebührenverwaltungstool für Stornierungsgebühren an. Wenn ein Reisender eine Hotel-Collect-Buchung vornimmt, validiert die Expedia Group die Karte des Kunden und erfasst die Authentifizierungsinformationen. Das Hotel erhält anstelle der Kartennummer des Gastes mit der Buchungsbenachrichtigung eine Expedia-Virtual-Card-Nummer (EVC). Der Betrag wird auf der EVC erst nach dem Abgleich verfügbar gemacht und sollte nur verwendet werden, wenn eine kostenpflichtige Stornierung vorliegt oder eine Nichtanreisegebühr erhoben wird.
Laut unserer Umfrage sind 26,3 % der Hotels mit der Umsetzung der PSD2 bei den Online-Buchungsportalen zufrieden. 24,3% sind mit der Umsetzung nicht zufrieden. Die Mehrheit der Befragten (49,4%) ist bei dieser Frage unentschlossen, bzw. weiß nicht wie die Umsetzung bei den OTAs erfolgt.
Für Hotels gilt es zu beachten, dass eine komplette Auslagerung der Zahlungsabwicklung an die Online-Buchungsportale auch dazu führen kann, dass die OTAs die Raten des Hotels eigenmächtig herabsetzen (Sponsored Discounts, Early Payment Benefits, etc.) indem sie auf einen Teil ihrer Provision verzichten.
