SCA für Non-Profits im Digital Fundraising, welche Ausnahmen gibt es?

681

Wir möchten unseren Kunden und Interessierten Klarheit verschaffen und Sicherheit geben, damit auch mit starker Kundenauthentifizierung weiterhin alle im digitalen Fundraising erfolgreich sein können.

Es ist es noch ein wenig Zeit sich vorzubereiten, denn der SCA-Starttermin am 14. September wurde von der BaFin etwas aufgeweicht. Falls eine Vorbereitung überhaupt nötig ist, denn unseren Kunden machen wir es so leicht wie möglich. Im besten Fall müssen sie nämlich fast gar nichts machen, das testen wir im Moment. Zum Anderen gibt es Lösungen, die bereits im Online-Handel im Einsatz sind, und ähnliche Anwendungen sich bereits in unseren intelligenten Spendenformularen finden werden.

Je nach eigenem Wissensstand zu SCA könnt Ihr entweder den gesamten Artikel lesen, überfliegen oder direkt zu den Fragen scrollen, die Euch im Speziellen interessieren und wir uns in Bezug auf starke Kundenauthentifizierung (SCA = Strong Customer Authentication) gestellt haben.

Was bedeutet SCA?
Stichwort: Rückblick DSGVO und Ausblick SCA
Was ändert sich durch SCA für Non-Profits?
Was ändert sich genau bei der Online-Spende durch SCA für die Unterstützer?
Welche Zahlungsarten sind durch SCA betroffen?
Welche Ausnahmen gibt es bei SCA, die auch für die Non-Profit Organisationen gelten?
Ist das nun alles in Bezug auf starke Kundenauthentifizierung für Non-Profits?

Was bedeutet SCA?

SCA steht für Strong Customer Authentication, zu deutsch, starke Kundenauthentifizierung. SCA hat das Ziel, elektronische Zahlungen auf eine sichere Weise durchzuführen.

Eigentlich wäre an dieser Stelle alles gesagt, denn SCA gibt es bereits in vielen Online-Payment-Bereichen. Dennoch gibt es eine Verunsicherung. Warum?

Es kommt immer auf die Fragestellung und die Branche an:

Wie verhält es sich bei Online-Spenden?
Muss ich als Non-Profit Organisation etwas anpassen?

Erinnern wir uns zurück an 2018 und die DSGVO. Unzählige E-Mails wurden verschickt, um sich doppelt und dreifach abzusichern. Die Grundidee personenbezogene Daten zu schützen ist per se gut, dennoch ist DSGVO nach wie vor aufwendig und bindet Ressourcen. War es aber die ganze Aufregung wert? Nun ja, viele Unternehmen würden es bestimmt rückblickend anders machen. Auch wenn man glaubt, dass ein Vergleich von DSGVO zu SCA hinkt, so ist doch alles miteinander verbunden, denn es geht schließlich um personenbezogene Daten und diese müssen geschützt werden.

Stichwort:

Rückblick DSGVO und Ausblick SCA

 

Im direkten Vergleich, so scheint und zeigen es die Suchanfragen, ist SCA noch weit von der gleichen Intensität entfernt. Das ist gut so, weil es in erster Linie mehr die Zahlungsdienstleister betrifft. Unternehmen bzw. Non-Profit Organisationen müssen jedoch eine Möglichkeit bzw. Funktion schaffen, dass eine starke Authentifizierung erfolgen kann.

Beim Blick auf Deutschland dominiert nach wie vor das Interesse an DSGVO, denn es gibt nach wie vor viel zu tun. Ein Blick auf die einzelnen Bundesländer ist durchaus interessant.

Wir arbeiten bereits an einer standardmäßigen Integration für eine starke Kundenauthentifizierung für Non-Profit Organisationen und befinden uns aktuell im Testing. An dieser Stelle ein Tipp für unsere Kunden, die unsere FundraisingBox Form-API im Einsatz haben. Hier sollte geprüft werden, ob eine Redirect-URL (Für Entwickler Option: autoRedirect) auch bei Kreditkarten berücksichtigt wurde. Ist diesbezüglich autoRedirect auf true gesetzt, dann müsst Ihr nichts anpassen.

Option: autoRedirect
Default: true
Description: Redirect to nextUrl if set or to payment provider if redirect payment or to successUrl after successful donation.

Natürlich wird unser Customer Success Team all unsere Kunden zusätzlich zeitnah persönlich informieren, sodass wir alle bestmöglich auf die starke Authentifizierung vorbereitet sind. Vorab können wir sagen, es wird eine standardmäßige Lösung integriert, die viele Nutzer bereits vom Online-Payment, oder auch durch unsere Payment Cloud Lösung kennen.

Was ändert sich durch SCA für Non-Profits?

Der Schutz für Ihre Unterstützerinnen und Unterstützer wird erhöht. Kurz und knapp: SCA ist erforderlich, wenn die Unterstützer online auf ihr eigenes Zahlungskonto zugreifen und/oder Spende mittels einer elektronischen Zahlungsweise tätigen möchten.

Es muss für Spendende eine Möglichkeit geschaffen werden, dass überhaupt eine starke Kundenauthentifizierung erfolgreich durchgeführt werden kann. Dies ist in all unseren FundraisingBox Online-Spendenformularen gewährleistet und so wird es auch für SCA sein.

Wer sich im Detail informieren will, sollte sich die Richtlinie durchlesen. Unser Blogbeitrag dient zur unverbindlichen Information und soll Euch Sicherheit geben, wenn Ihr unsere Spendenformulare bereits einsetzt. Die Thematik ist sehr komplex, deswegen versteht bitte die nachfolgenden Informationen ohne Garantie vor allem auf Vollständigkeit, denn sonst müsste der Beitrag mindestens genauso lang oder noch länger als die EU-Richtlinie selbst werden. Danke für Euer Verständnis.

TIPP:

Falls Ihr am genauen Wortlaut interessiert seid, findet Ihr hier die EU-Richtlinie zur SCA: Richtlinie (EU) 2015/2366 des Europäischen Parlements und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (PDF).

Unser SCA für Non-Profits Beitrag fokussiert sich auf die Punkte, die den Spenden-Bereich insbesondere Spendenformulare betreffen. Natürlich ist unser Ziel, dass wir Euch verständlicher an die Thematik heranführen, denn es erwarten Euch im Amtsblatt der Europäischen Union folgende Formulierungen, wie der nachfolgende Auszug zeigt:

“ … „starke Kundenauthentifizierung“ eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist; …”

Diese Formulierungen sind nicht immer einfach zu verstehen. Ob Ihr diese zweimal lesen wollt, überlassen wir Euch.

Was ändert sich genau bei der Online-Spende durch SCA für die Unterstützer?

Sollte eine Spende eine starke Authentifizierung erfordern, sieht der Spendenprozess  folgendermaßen aus,

Der Spender/in füllt das Spendenformular aus und klickt auf “Jetzt spenden” Button.

Ist eine starke Authentifizierung (je nach Bank und Zahlungsweise) notwendig, erfolgt eine Weiterleitung zur Webseite des Bankinstituts. Die Spenderin oder der Spender führt auf der Website der Bank die starke Authentifizierung (kann ein persönlicher Code oder biometrische Eingabe, etc. sein) durch.

Bei erfolgreicher starken Authentifizierung wird der Spender oder die Spenderin wieder auf die Website Ihrer Organisation weitergeleitet und sieht Ihre Dankesseite!

Welche Zahlungsarten sind durch SCA betroffen?

Grundsätzlich lässt sich sagen, dass erstmal alle elektronischen Zahlungsweisen (Fernzahlungen) wie zum Beispiel Kreditkarten betroffen sind, aber es gibt auch Ausnahmen.

Welche Ausnahmen gibt es bei SCA, die auch für die Non-Profit Organisationen gelten?

Da fängt die Thematik an spannend zu werden, weil SCA-Ausnahmen auch für Non-Profits gelten. Einerseits soll durch die Ausnahmen nicht immer eine starke Kundenauthentifizierung (SCA) seitens des Kreditinstituts der Spendenden abgefragt werden. Andererseits kann diese trotz der nachfolgenden Ausnahmen jedes Mal abgefragt werden. Klingt irgendwie nicht einleuchtend, ist aber de facto so, weil dies wiederum je nach individuellen Präferenzen und Sicherheitsbedürfnissen der einzelnen Bankkunden wie auch eines Bankinstituts zusammenhängt.

Wir beschränken uns auf die Ausnahmen aus Sicht der Unterstützer, wenn diese eine Spende via Spendenformular tätigen.

Lastschrift
Lastschrift ist von SCA ausgenommen, weil es sich um sogenannte MIT (Merchant Initiated Transaction) handelt.

Kleine Beträge
“Kleine” Beträge, die mittels einer elektronischen Fernzahlung getätigt werden, sind in der Regel von SCA ausgenommen, wenn

  • der Betrag nicht höher als EUR 30,- ist und
  • alle Transaktionen seit der letzten stattgefundenen Anwendung der SCA kumuliert nicht höher als EUR 100,- sind und
  • zugleich nicht mehr als fünf Zahlungen ohne eine Anwendung der SCA getätigt wurden.

Dabei spielt auch eine Befreiung auf Basis einer Transaktionsrisikoanalyse (TRA) eine Rolle. Dies hängt von einer vordefinierten Befreiungsschwelle seitens der EBA (Europäische Bankenaufsichtsbehörde) ab, die auf festgelegten Betrugsraten basiert und bis zu einer Höhe von EUR 500,- angewendet wird. Die Befreiungsschwelle unterscheidet hierbei zwischen Kartenzahlung im Fernabsatzgeschäft und SEPA-Überweisung.

Daueraufträge
Daueraufträge unterliegen nur am Anfang einer starken Authentifizierung, die nachfolgenden einzelnen Zahlungen nicht. Wir empfehlen am Anfang oder zumindest mindestens während der ersten drei Monate nach Inkrafttreten der Richtlinie am 14. September genau zu prüfen, ob die Zahlungen, die mittels Dauerauftrag angestoßen werden, tatsächlich auch Eure Non-Profit Organisation erreichen. Falls doch ein bestehender Dauerauftrag wegen SCA fehlschlägt, werden unsere Kunden natürlich automatisch von uns darüber informiert.

Whitelist
Das Thema Whitelist könnte im Non-Profit Bereich eine wichtige Rolle spielen. Hier ist es möglich als Organisation proaktiv tätig zu werden. Eine Non-Profit Organisation kann sich auf eine vertrauenswürdige Zahlungsempfänger-Liste bei ihrer eigenen Bank setzen lassen. Zugleich kann die Non-Profit Organisation ihre Unterstützerinnen und Unterstützer bitten, dass sie diese Organisation ebenfalls auf ihre eigene vertrauenswürdige Zahlungsempfänger-Liste setzen.

Sollten Euch Eure Unterstützerin oder Unterstützer als vertrauenswürdigen Zahlungsempfänger führen, dann ist eine starke Authentifizierung in der Regel nicht mehr notwendig. Nur beim Anlegen einer solchen Liste muss seitens der Spendenden eine einmalige Legitimation mittels SCA erfolgen. Fragt am Besten bei Eurem eigenen Bankinstitut nach, ob Eure Non-Profit Organisation auf so einer Liste geführt werden kann.

Ist das nun alles in Bezug auf starke Kundenauthentifizierung für Non-Profits?

Ja, aber das ist auch schon genug, wie wir meinen, denn es bringt bereits eine Menge an Veränderung mit sich.

Abschließend möchten wir nur noch auf eine Frage eingehen, die sehr nahe liegt: Ist die SCA ein Conversion-Killer?

Da mit SCA bis auf die oben genannten Ausnahmefälle bei jeder Spende eine zweite Authentifizierung hinzu kommt, wird das Spenden geringfügig aufwändiger, aber natürlich auch sicherer. Sicherheit fördert grundsätzlich die Conversion, aber eine verpflichtende starke Authentifizierung verträgt sich nicht besonders gut mit einer 1-Click-Spende.

Daran arbeiten wir auch in Zukunft, damit das Geben mit tiefer Dankbarkeit für die eigene Situation in Verbindung stehen kann, wie Philipp Rosenthal in unserem “Wir sind, was wir geben.” Interview ausgedrückt hat.

Bei SCA geht es nicht nur im Non-Profit Bereich um Sicherheit und diese fördern wir. Wir bieten unseren Kunden eine sichere wie auch zukunftsorientierte Lösung an. Nach der Strong Customer Authentication ist bekanntlich vor einer anderen Richtlinie oder eventuellen weiteren Änderungen innerhalb dieser.

Solltet Ihr noch die eine oder andere Frage haben, kontaktiert uns gerne über unser Kontaktformular und wir versuchen, Euch zeitnah eine Antwort zu geben. In diesem Sinne bleibt uns wohlgesonnen.