Kurzer Realitätscheck: Starke Kundenauthentifizierung ist längst Pflicht. In der EU gilt SCA seit der PSD2 mit schrittweiser Umsetzung ab 2019, flächendeckend für E‑Commerce in der Praxis seit 2021. Im Vereinigten Königreich zog die Branche spätestens am 14. März 2022 nach. Wer heute Online‑Zahlungen anbietet, muss SCA sauber unterstützen, sonst lehnen Herausgeber die Zahlung ab. [1][2]
Was müssen Onlinehändler beachten?
SCA ist kein „Projekt mit Deadline“ mehr, sondern Tagesgeschäft. Für Kartenzahlungen heißt das in der Praxis: EMV 3‑D Secure 2 einsetzen und die SCA‑Flows der Acquirer/PSPs nutzen. Ohne SCA oder gültige Ausnahme steigt die Ablehnungsquote, weil die kartenausgebende Bank Authentifizierung verlangt. [10][11][2]
Wichtig: Ausnahmen sind eng definiert und liegen am Ende in der Entscheidung des Issuers. Beispiele: Kleinbeträge bis 30 Euro mit Zählregeln, Transaktionen mit Transaktionsrisikoanalyse (nur unterhalb definierter Betrugs‑Schwellen), „Trusted Beneficiaries“ oder wiederkehrende Zahlungen. Überschreiten PSPs die Schwellen, müssen sie die Ausnahme aussetzen. [3][12][9]
Außerhalb des Geltungsbereichs liegen unter anderem MOTO‑Vorgänge (Mail Order/Telephone Order) sowie echte Merchant‑Initiated Transactions nach Erteilung eines gültigen Mandats. Auch einbeinige Zahlungen (Issuer oder Acquirer außerhalb EWR/UK) sind „out of scope“. [7][8]
Für Lastschriften gilt: SCA kann bei der elektronischen Mandatserteilung fällig werden, wenn sie unter direkter Einbindung des Zahlungsdienstleisters des Zahlers erteilt wird. [20]
Gute Nachricht: SCA wirkt. EBA und EZB bescheinigen in aktuellen Berichten sinkende Betrugsraten bei SCA‑authentifizierten Transaktionen. [5][21]
Wie funktioniert die Zwei‑Faktor‑Authentifizierung?
SCA verlangt zwei unabhängige Faktoren aus Wissen, Besitz und Inhärenz plus dynamische Verknüpfung von Betrag und Empfänger bei Remote‑Zahlungen. Beispiele: Passwort oder PIN, ein bestätigtes Gerät bzw. eine Banking‑App und biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung. [4][6]
Was bedeutet die starke Kundenauthentifizierung für Ihren Onlineshop?
Ihr normales Kunden‑Login im Shop fällt nicht unter die PSD2‑SCA‑Pflicht. SCA greift, wenn Zahlungen ausgelöst werden, beim Zugriff auf Zahlungskonten oder bei riskanten Aktionen über Remote‑Kanäle. [6]
Marktplätze: Bei eBay wickelt der Marktplatz die Zahlungen über eigene Zahlungsdienstleister ab („Managed Payments“). Die SCA‑Pflichten liegen damit bei den eBay‑Payment‑Entities und ihren Partnern, nicht bei Ihnen als Verkäufer. [13]
Hood.de ist als Marktplatz aktiv und wurde 2024 von The Platform Group übernommen. Die Plattform kommuniziert weiterhin Reichweiten‑ und Händlerzahlen; Zahlungen laufen je nach Angebotskonfiguration über integrierte Provider mit SCA‑Unterstützung. Achtung Hinweis: Übernahmen können Konditionen verändern, prüfen Sie aktuelle Zahlungsoptionen in Ihrem Verkäuferkonto. [18][19]
Amazon Marketplace: Die Käufer‑Zahlung läuft über Amazons Zahlungsdienste. Für Kartenzahlungen gilt SCA, Amazon setzt die Authentifizierung über seine Flows um; nicht authentifizierbare Transaktionen können abgelehnt werden. [2]
Für Shop‑Zahlarten wie PayPal oder Amazon Pay gilt: Die Anbieter sind an PSD2 gebunden und fordern bei Bedarf SCA an. [14][2]
Rechnungskauf, Barzahlung und Nachnahme bleiben vom SCA‑Schritt im Checkout unberührt. Bei einer nachgelagerten Online‑Überweisung authentifiziert der Kunde im Online‑Banking. Für SEPA‑Lastschriften kann SCA bei der elektronischen Mandatserteilung relevant werden. [4][20]
Einfache und schnelle Umstellung mit Afterbuy
Afterbuy bindet die gängigen Zahlungsdienstleister an; die SCA‑Flows laufen über den jeweiligen PSP. Heißt für Sie: Plugin/Integration aktuell halten, 3‑D Secure 2 aktivieren und Testzahlungen fahren. [15][16]
Für Amazon Pay gilt: Nutzen Sie Checkout v2. Amazon stellt klar, dass nicht kompatible Integrationen in einen SCA‑Fallback wechseln können, was unnötige Reibung erzeugt. Gute Nachricht für Afterbuy‑Nutzer: Amazon dokumentiert, dass Afterbuy die nötigen SCA‑Änderungen implementiert hat. [17][5][22]
PayPal ist SCA‑fähig, dennoch sollten Sie in Ihrem Shop die aktuellen PayPal‑Integrationsrichtlinien einhalten und Betragsänderungen nach der Authentifizierung vermeiden, da sonst eine erneute SCA fällig wird. [14][23]
Afterbuy selbst ist etabliert und wird von der ViA‑Online GmbH betrieben. Das System zählt über 40.000 registrierte Kunden, die Integrationen und Zahlungsflüsse laufend nutzen. Für Detailfragen steht der Support bereit. [16][24]
Ihr schneller Praxis‑Fahrplan
- Zahlungswege prüfen: Karten via 3‑D Secure 2, Wallets (Apple/Google/Amazon Pay), PayPal und SEPA‑Flows testen. [10][2]
- Exemptions sinnvoll anfragen, aber Issuer‑Entscheid akzeptieren. Ablehnungen und Betrugsquote monitoren. [9][12]
- Kunden aufklären: kurze Hinweise im Checkout, was bei einer SCA‑Abfrage zu tun ist, senken Abbrüche. [2]
Referenzen
[1] European Commission: SCA requirement comes into force
[2] Amazon Pay Hilfe: PSD2 und SCA, EWR 2021, UK 2022
[3] EUR‑Lex: Delegierte Verordnung (EU) 2018/389, konsolidiert
[4] BSI: SCA und dynamische Verknüpfung
[5] EBA/EZB 2025: Bericht zu Zahlungsbetrug
[6] EBA: Anwendung von SCA (u. a. Wallet‑Klarstellungen)
[7] EBA Q&A 2019_4866: Out‑of‑Scope (MIT, One‑Leg)
[8] EBA Opinion 2024: MOTO out of scope
[9] UK Finance Guidance 2025: Issuer entscheidet über Ausnahmen
[10] Visa Secure: EMV 3‑D Secure für Händler
[11] Adyen: 3‑D Secure unter PSD2
[12] EBA Q&A 2024_6989: TRA‑Betrugsraten
[13] eBay Payments Terms of Use
[15] Afterbuy: Features und Zahlungsanbindung
[16] Afterbuy: Unternehmen (ViA‑Online GmbH)
[18] AIM Group: The Platform Group übernimmt Hood.de
[19] neuhandeln.de: Hood.de wird 25 (Nutzerzahlen)
[20] IHK Rheinhessen: PSD2, SCA und Lastschrift‑Hinweis
[21] EZB/EBA 2024: SCA senkt Betrugsrisiko
[22] Amazon Pay: SCA‑Upgrade‑Info (inkl. Afterbuy)
