Acquiring Bank

Als Acquiring Bank (auch Händlerbank, Kreditkartenbank, Acquirer) werden die unabhängigen Finanzinstitute bezeichnet, die Kreditkartenzahlungen für Händler autorisieren, abwickeln und abrechnen. Dafür schließt die Acquiring Bank einen sogenannten Kreditkartenakzeptanzvertrag mit dem Händler sowie einen Lizenzvertrag mit der gewünschten Kreditkartenorganisation (z. B. Visa oder MasterCard). Nur durch einen solchen Kreditkartenakzeptanzvertrag mit einer abrechnenden Acquiring Bank darf ein Händler Kreditkarten als Zahlungsmittel für seine Waren und Dienstleistungen anbieten und akzeptieren.

Weiterführende Informationen zu Acquiring Bank:

  1. Begriffsursprung: „Akquirierender Zahlungsdienstleister“
  2. Erklärungsschema: Wer ist alles an einer Kreditkartentransaktion beteiligt?
  3. Unterschied zwischen Acquiring Bank und Payment Service Provider (PSP)
  4. Risiken einer Acquiring Bank: Stornierungen und Rückbelastungen
  5. Sicherheit: Vorschriften und Regelwerke für Kreditkartenbanken
  6. Sonderfall Komplettanbieter: Issuer, Acquirer und PSP in einem

1. Begriffsursprung Acquiring Bank: Vermittler zwischen Kreditkartengesellschaft und Händler

Acquiring Bank bedeutet ins Deutsche übersetzt „akquirierende Bank“. Der Name bezieht sich dabei allerdings nur auf eine der zwei Hauptaufgaben dieser Finanzinstitute. Aus Sicht der Kreditkartengesellschaft ist eine der beiden Kernaufgaben das Gewinnen („Akquirieren“) neuer Händler und damit Kreditkartenakzeptanzstellen im stationären Handel vor Ort sowie im Onlinehandel. Denn mit jedem neuen Händler vergrößert sich auch die Verbreitung und der Umsatz mit dieser Kreditkartenmarke. Die zweite Kernaufgabe einer Acquiring Bank besteht dann darin, alle Kreditkartenzahlungen für die von ihr akquirierten Händler abzuwickeln und abzurechnen. Gemessen an diesen beiden zentralen Aufgaben im Kreditkartenzahlungskreislauf wäre eine vollständige Bezeichnung daher „akquirierende und abwickelnde Händlerbank“.

2. Erklärungsschema: Wer ist alles an einer Kreditkartentransaktion beteiligt?

Der Bezahlvorgang mit einer Kreditkarte benötigt das Zusammenspiel mehrerer Parteien und vollzieht sich in verschiedenen einzelnen Schritten. Hier ein Überblick über alle in eine Kreditkartentransaktion involvierten Parteien und welche Aufgabe sie dabei übernehmen:

  • Kreditkartenorganisation (Credit Card Association): Die Dachmarkengesellschaften der Kreditkarten sind in der Regel nach dem Prinzip eines Vereins aufgebaut. Die Kreditkartenorganisationen vergeben die Lizenzen für die Herausgabe ihrer Kreditkarte an eine Issuing Bank und legen die Regelungen für die Nutzung (Verbraucher) sowie Abwicklung und Abrechnung (Acquiring Bank) fest. Internationale Kreditkarten sind z. B. American Express, Diners Club, MasterCard und Visa. Bedeutende regionale Kreditkarten sind zudem China UnionPay (Volksrepublik China), Discover Card (USA) und JCB (Japan Credit Bureau).
  • Issuing Bank (kreditkartenausgebende Bank, Kundenbank): Die Issuing Bank ist das Finanzinstitut, mit dem der Verbraucher den Kreditkartenvertrag abschließt und das diesem die Kreditkarte auch letztendlich aushändigt (Kundenbank). Dafür benötigt der Issuer eine Lizenz der Kartengesellschaft. Die Issuing Bank ist somit auch für die Abrechnung mit dem Kunden zuständig.
  • Kreditkarteninhaber (Kunde): Der Kunde hat nicht nur die Wahl zwischen den verschiedenen Kreditkartenmarken, sondern auch zwischen den jeweils herausgebenden Banken und den entsprechenden Konditionen. Seine Kreditkartenzahlungen rechnet der Karteninhaber ausschließlich mit seiner Issuing Bank ab, die auch für die Ausstellung seiner Abrechnungsbelege zuständig ist. Wenn der Karteninhaber bei einem Händler mit Kreditkarte bezahlt, prüft die Acquiring Bank des Händlers die Berechtigung dieses Zahlungsvorgangs und autorisiert dann gegebenenfalls die Kundenbank des Karteninhabers, den entsprechenden Betrag von dessen Konto zu überweisen.
  • Händler (Vertragspartner): Der Händler ist aus dieser Perspektive eine weitere Kreditkartenakzeptanzstelle im Handel, an der Kreditkarten als Zahlungsmittel akzeptiert werden. Damit ein Händler Kreditkartenzahlungen für seine Kunden anbieten darf, muss er einen sogenannten Kreditkartenakzeptanzvertrag mit einer Acquiring Bank abschließen, in dem die Abrechnungs- und Sicherheitsmodalitäten sowie die anfallenden Gebühren geregelt werden. Der Acquirer wickelt dann alle Kreditkartenzahlungen des Händlers mit einer bestimmten Kreditkarte und gegebenenfalls weiteren E-Payment-Möglichkeiten ab und verrechnet diese mit den verschiedenen Issuing Banken der Karteninhaber.
  • Acquiring Bank (Händlerbank): Die Acquiring Bank ist das Finanzinstitut, das die Autorisierung und die Abrechnung aller Kreditkartentransaktionen eines akquirierten und vertraglich gebundenen Händlers mit einer bestimmten Kreditkartenmarke abwickelt. Dafür bekommt sie vom Händler einen festgelegten Prozentsatz des Gesamtumsatzes (Disagio: in der Regel 1,5–5 % des Transaktionsvolumens). Die Händlerbank muss dann ihrerseits wiederum einen festen Anteil davon an die Issuing Bank des Karteninhabers abführen. Diese „Interchange-Gebühren“ sind in der Europäischen Union seit Dezember 2015 von bis zu 2,2 % des Transaktionsumsatzes auf 0,2 % bei Debitkarten (EC-Karte und Girocard) und 0,3 % bei Kreditkarten gedeckelt. Die Zahlungsbeträge schreibt der Acquirer dem Händler dann in regelmäßigen Abständen auf dessen Konto bei dessen Hausbank gut.

3. Was ist der Unterschied zwischen Acquiring Bank und Payment Service Provider?

  • Zahlungsterminaldienstleister und Payment Service Provider (PSP):

    Zahlungsterminaldienstleister stellen die technische Infrastruktur (u. a. Kreditkartenlesegeräte) am Point of Sale zur Verfügung, mit der Händler Kreditkarten annehmen und die Daten an die abrechnende Acquiring Bank übermitteln können. Payment Service Provider sind analog die Zahlungsdienstleister im E-Commerce. Statt „physischer“ Kreditkartenlesegeräte bieten und betreuen sie elektronische Zahlungsmethoden über gesicherte Gateways für Onlineshops (auch als E-Payment, Micropayment oder Prozessoren bezeichnet). Neben Kreditkartenzahlungen sind das überwiegend Lastschrift, E-Banking, Wallets und PayPal. Die Transaktionsdaten werden dann ebenfalls an die betreffenden weiterverarbeitenden Finanzinstitute weitergeleitet. Für die Erfassung und Übermittlung der Zahlungsinformationen berechnen beide Dienstleister üblicherweise eine feste Gebühr pro Bezahlvorgang („Gateway Fee“).
  • Acquirer können auch PSP sein, aber nicht umgekehrt:

    Das rasante Wachstum des Onlinehandels führt auch zu einer immer stärkeren Nachfrage nach sicheren Internetzahlmethoden. Einige große Acquiring Banken bieten diese Dienstleistung daher ebenfalls an. Sie übernehmen damit faktisch auch die Aufgaben eines Payment Service Provider und bieten die Integration elektronischer Bezahllösungen und die Abwicklung aller bargeldlosen Zahlungen aus einer Hand an (siehe unten). Eine große Acquiring Bank kann damit immer zugleich auch ein Payment Service Provider sein, ein PSP kann jedoch nicht die Aufgaben einer Händlerbank übernehmen.

4. Risiken einer Acquiring Bank: Stornierungen und Rückbelastungen

Im Falle einer nachträglichen Stornierung (Refund) durch den Karteninhaber oder aufgrund der Kulanz des Händlers im Falle einer Rückgabe führt die Rückbelastung des Betrages (Chargeback) zu einem erhöhten Verwaltungsaufwand entlang der gesamten Kreditkartenzahlungskette. Die Kosten, die dadurch bei der Kreditkartengesellschaft, der Issuing und der Acquiring Bank entstehen, können sich auf bis zu 20–60 € addieren und gehen vertraglich vereinbart in der Regel zu Lasten des Händlers. Händler können sich mit einer speziellen Chargeback-Versicherung gegen diese finanziellen Risiken schützen. Ab einer Chargebackquote von üblicherweise 1 % werden Händler von der Acquiring Bank als Risiko eingestuft, was dann in der Regel Strafzahlungen, höhere Gebühren und einen höheren Sicherheitseinbehalt (Deposit) zur Folge hat. Der Sicherheitseinbehalt liegt je nach Einstufung bei 5–15 % des über 6 Monate gerechneten Gesamtumsatzes.

5. Sicherheit: Welche Vorschriften und Regelwerke gelten für Acquiring Banken?

Aufgrund der hohen Risiken im elektronischen Zahlungsverkehr müssen Acquiring Banken und alle am Kreditkartenzahlungsprozess beteiligten Dienstleister strenge IT-Sicherheitsstandards und Vorschriften zur Betrugsvermeidung einhalten. Die entsprechenden Regelungen sind in dem „Payment Card Industry Data Security Standard“ zusammengefasst (kurz: PCI-DSS), den alle großen Kreditkartenvereinigungen unterstützen.

  • Der Payment Card Industry Data Security Standard basiert auf den Sicherheitsstandards der großen internationalen Kreditkartenorganisationen Visa (AIS und CISP), MasterCard (SDP), American Express (DSOP), Discover (DISC) und den Sicherheitsstandards von JCB.
  • Alle Finanzinstitute, Dienstleister, Unternehmen und Händler, die an der Kreditkartenzahlungskette beteiligt sind und diese speichern, abwickeln oder übermitteln, benötigen eine PCI-DSS-Zertifizierung. Dafür müssen sie in regelmäßigen Intervallen die Sicherheit ihrer Rechnernetze nachweisen und sich zumeist vierteljährlich externen Sicherheitsscans unterziehen.
  • Der strenge PCI-DSS-Sicherheitsstandard gilt auch für die Händler: Sie müssen alle Voraussetzungen erfüllen, um von ihrer Acquiring Bank eine PCI-DSS-Zertifizierung zu erhalten. Im E-Commerce werden daher üblicherweise PCI-DSS-zertifizierte Payment Service Provider mit der Integration, Erfassung und Übermittlung der Internetzahlungen beauftragt.
  • Das PCI-DSS-Regelwerk besteht aus 12 dezidierten Sicherheitsanforderungen an die Rechnernetzwerke aller an den Kreditkartenzahlungen beteiligten Parteien. Bei Verstößen drohen hohe Geldstrafen und Restriktionen bis hin zum Entzug der Kreditkartenakzeptanzerlaubnis: 1. die Installation und Pflege einer Firewall; 2. explizite Vorschriften für Kennwörter und Sicherheitseinstellungen; 3. Regelungen zur Sicherheit der gespeicherten Kundendaten; 4. die Verschlüsselung der Datenübertragung; 5. die Aktualität des Virenschutzes; 6. die Pflege der verwendeten Software und Apps; 7. die Beschränkung der Zugriffsrechte; 8. eine eindeutige Benutzererkennung für alle beteiligten Rechner; 9. Einschränkung der physikalischen Zugriffsmöglichkeiten; 10. Protokollpflicht für alle Datenzugriffe; 11. turnusmäßige Prüfintervalle und externe Sicherheitsscans, abhängig von der Höhe des jährlichen Transaktionsvolumens; 12. Einführung und Pflege weiterer IT-Sicherheitsrichtlinien.

6. Sonderfall Komplettanbieter: Issuing Bank, Acquiring Bank und PSP in einem

Einige große Kreditkarten-Händlerbanken bieten ihren Firmenkunden (Händlern) mittlerweile einen umfassenden Komplettservice an. Als Komplettanbieter vereinen sie alle Kompetenzen im Bereich der Kreditkartenzahlungen unter einem Dach und sparen durch die Synergien Zeit, Arbeitsaufwand, Kosten und Gebühren. Von besonders großem Nutzen für die Händler ist dabei die Kombination aus kreditkartenausgebender (Issuing) Bank für den Kunden, der zahlungsabwickelnden Acquiring Bank für den Händler sowie dem datenerfassenden und übermittelnden Payment Service Provider.

Einer der weltweit führenden Komplettanbieter ist Wirecard:

  • globales Netzwerk
  • Issuing Bank, Acquiring Bank, PSP-Bezahllösungen und E-Commerce-Gateways
  • Mitglied von Visa, MasterCard und JCB International
  • unterliegt den Sicherheitsstandards einer deutschen Vollbank und wird durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt
  • Mitglied im Einlagensicherungsfonds deutscher Banken

→ Mehr zur Wirecard Bank und zur Wirecard Group