# 3DS-Mandat in Japan

Letzte Aktualisierung: 25. Juni 2025
Am 15.&nbsp;März&nbsp;2024 wurden einige Branchenrichtlinien zu Sicherheitsmaßnahmen für Unternehmen, die Kartenzahlungen in Japan abwickeln, die sogenannten „Sicherheitsrichtlinien für Kreditkarten“, überarbeitet ([Credit Card Security Guidelines Version 6.0](https://www.meti.go.jp/press/2024/03/20250305002/20250305002.html)).
Gemäß den Sicherheitsrichtlinien für Kreditkarten müssen Händler/innen, die Online-Verkäufe tätigen (Stripe-Nutzer/innen), zur Bekämpfung von Betrug bis Ende März&nbsp;2025 die 3D Secure-Authentifizierung aktivieren. Dies gilt für alle japanischen Unternehmen, die Online-Zahlungen im In- und Ausland akzeptieren.
[Die Authentifizierung mit 3D&nbsp;Secure (3DS)](https://stripe.com/jp/guides/3d-secure-2) ist ein Sicherheitsverfahren, das eine zusätzliche Authentifizierungsebene für Kreditkartenzahlungen bietet und Unternehmen vor Haftungsansprüchen bei betrügerischen Kartenzahlungen schützt.
## Zeitplan für die Einführung von 3DS bei Stripe
Seit Januar 2025 verlangt Stripe zunächst 3DS für einen kleinen Prozentsatz der Zahlungen und hat diesen Prozentsatz bis zum 31. März 2025 schrittweise auf 100&nbsp;% der Zahlungen erhöht (mit Ausnahme von Zahlungen, die von den 3DS-Anforderungen ausgenommen sind).
Ab April 2025 ist für Kreditkartenzahlungen über ältere APIs, die 3DS nicht unterstützen (Charges API und Orders API), 3DS erforderlich. Nach dem 30. Juni 2025 schlagen alle Kreditkartenzahlungen über diese APIs fehl.
## Betroffene Zahlungen
Es gibt Fälle, in denen Sie entscheiden können, ob Sie 3DS verwenden möchten oder nicht. Wenn Zahlungen ohne 3DS im Rahmen einer Ausnahmeregelung durchgeführt werden, entfällt die Haftungsverlagerung für betrügerische Zahlungen. Weitere Informationen zur Implementierung von 3DS-Ausnahmen durch Stripe finden Sie in unserer [Dokumentation](https://docs.stripe.com/payments/3d-secure/japan-exemptions).
## Integration prüfen
Wir empfehlen die Verwendung der Testkartennummern von Stripe, um zu prüfen, ob Ihre Integration auch mit 3DS kompatibel ist. Mehr über die Tests erfahren Sie in unserer [Dokumentation](https://stripe.com/docs/testing#regulatory-cards).
### Wenn Sie die Charges API oder die Orders API verwenden
Weder die [Charges API](https://stripe.com/docs/payments/charges-api) noch die Orders API unterstützt 3D&nbsp;Secure&nbsp;2. Wenn Ihr Konto diese veralteten APIs verwendet, schlagen Kreditkartenzahlungen folglich fehl. Zur Vermeidung von fehlgeschlagenen Zahlungen empfehlen wir Ihnen dringend, schnellstmöglich zur [Payment Intents API zu migrieren](https://stripe.com/docs/payments/payment-intents/migration).
### Wenn Sie die Payment Intents API verwenden
Sie müssen sicherstellen, dass Ihre Integration den Status [`requires_action`](https://docs.stripe.com/api/payment_intents/object#payment_intent_object-status) verarbeiten kann, um Ihre Kundinnen und Kunden zur Authentifizierung ihrer Zahlungen auffordern zu können. Gegebenenfalls müssen Sie [Ihre Integration aktualisieren, um Kartenauthentifizierungen abzuwickeln](https://docs.stripe.com/payments/3d-secure/authentication-flow).
Auch wenn Sie [Zahlungen auf dem Server finalisieren](https://docs.stripe.com/payments/finalize-payments-on-the-server?platform=web&type=payment#submit-payment), müssen Sie für die Anzeige des Ablaufs der 3DS-Authentifizierung auf dem Client zusätzliche Schritte durchführen. Weitere Informationen finden Sie in diesem [Leitfaden](https://docs.stripe.com/payments/3d-secure/authentication-flow#confirm-payment-intent).
### Wenn Sie Billing verwenden
Weitere Informationen finden Sie unten im Abschnitt „Was muss ich tun, wenn ich Abonnements annehme?“.
### Wenn Sie Billing mit einer älteren API-Version als der vom 04.03.2019 verwenden
Sie müssen entweder ein Upgrade auf die Version vom [14.03.2019](https://docs.stripe.com/upgrades#2019-03-14) oder auf eine aktuellere Version der API durchführen oder den in [diesem Leitfaden](https://docs.stripe.com/billing/migration/strong-customer-authentication#scenario-1) beschriebenen Parameter [`payment_behavior`](https://docs.stripe.com/api/subscriptions/create#create_subscription-payment_behavior) verwenden. So können Sie sicherstellen, dass die ersten Zahlungen für die Abonnements Ihrer Kundschaft authentifiziert werden.
Wenn Sie Stripe über die Integration eines Drittanbieters bzw. die Plattform eines Drittanbieters verwenden, müssen Sie sich unmittelbar bei diesem über dessen Bereitschaft informieren.
## Mit Kundinnen und Kunden kommunizieren
Bereiten Sie sich auf Fragen Ihrer Kundschaft zum Thema 3DS vor. Bei Bedarf sollten Sie auch sicherstellen, dass alle erforderlichen Support-Inhalte für Ihre Kundinnen und Kunden die 3DS-Anforderungen beschreiben.
## Radar und Radar for Fraud Teams verwenden
Mit Stripe Radar können Sie Betrugsfälle verhindern, indem die Zahlungsdaten von über einer Million Unternehmen weltweit analysiert und betrügerische Zahlungen erkannt und blockiert werden. Radar nimmt Risikobewertungen mithilfe von maschinellem Lernen vor. Als Bewertungsgrundlage dienen mehrere Hundert Faktoren, darunter Kartentyp, Nutzungsland, Gerät und Verhalten. Stripe bietet [drei Standardregeln für Radar](https://stripe.com/docs/payments/3d-secure?platform=web#three-ds-radar) an, mit denen 3DS dynamisch angefordert wird. Durch Festlegung dieser Regeln im Dashboard kann eine zusätzliche Authentifizierung von Kundinnen und Kunden angefordert werden, wenn deren Kartenaussteller 3DS verlangt.
Mit Radar for Fraud Teams, das individuelle Regeleinstellungen ermöglicht, können Unternehmen ihre eigenen, individuellen Einstellungen zum Risikomanagement für 3DS festlegen. [3DS-Anfragen](https://stripe.com/docs/payments/3d-secure?platform=web#custom-rules-for-3d-secure-and-liability-shift) lassen sich anhand von Risikostufen oder spezifischen Metadaten stellen. So wird ein übermäßiges Blockieren rechtmäßiger Zahlungen verhindert, der Anteil abgelehnter Zahlungen reduziert und der Umsatz maximiert.
Mithilfe von Radar können Verluste bei der Konversion verringert und gleichzeitig risikobasierte Maßnahmen zur Betrugsbekämpfung ermöglicht werden. Darüber hinaus kann Radar zur Durchführung der erforderlichen Risikoanalyse für kundenseitig initiierte Zahlungen mit gespeicherten Karten verwendet werden.
# FAQ
## Sind persönliche Kreditkartentransaktionen ausgenommen?
Transaktionen, bei denen persönlich mit einer physischen Karte gezahlt wird, sind von dieser Maßnahme nicht betroffen.
## Händler in Japan müssen gemäß dem „Installment Sales Act“ Sicherheitsmaßnahmen ergreifen. Aber werden sie auch bestraft, wenn sie diese Anforderungen nicht erfüllen?
Es wird zwar keine Geldstrafe verhängt, aber es kann eine Untersuchung des Händlers über Stripe oder den Acquirer beantragt werden. Dabei kann der Händler angewiesen werden, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, falls er keine geeigneten Schritte unternommen hat, um eine betrügerische Nutzung zu verhindern und Kreditkartennummern zu schützen. Ergreift der Händler die Sicherheitsmaßnahmen trotz dieser Anweisung nicht, kann die Person als Händler ausgeschlossen werden.
## Fallen für die Verwendung von 3DS Gebühren an?
In den meisten Fällen fallen für die Verwendung von 3DS keine zusätzlichen Gebühren an. Wenn Sie für Ihr Konto jedoch einen individuellen Preisplan nutzen, können ggf. Gebühren für die einzelnen 3DS-Versuche anfallen.
## Was ist, wenn ich Stripe über eine Drittanbieterintegration nutze?
Wenn Sie Stripe über eine Integration oder ein Plugin eines Drittanbieters nutzen, müssen Sie gegebenenfalls noch Änderungen vornehmen, um den neuen 3DS-Anforderungen zu entsprechen. Die einzelnen Schritte hängen von der Implementierung Ihres Drittanbieters ab. Wir empfehlen Ihnen, sich schnellstmöglich von Ihrem Drittanbieter oder Plugin-Anbieter bestätigen zu lassen, dass die Vorbereitungen für die entsprechenden Vorschriften getroffen werden. Gleichzeitig sollten Sie sich darüber informieren, welche Aktualisierungen auf Ihrer Seite ggf. vorgenommen werden müssen.
## Wie kann ich testen, ob 3DS ordnungsgemäß funktioniert?
Sie können einen Test-API-Schlüssel zusammen mit [Testkarten](https://docs.stripe.com/testing#regulatory-cards) verwenden, um Testtransaktionen zu erstellen. Durch die Verwendung von Testkarten, die eine Authentifizierung erfordern, können Sie die 3DS-Authentifizierung validieren. Stripe bietet keine spezielle Umgebung zum Testen der 3DS-Mandatsregeln für Japan an und unser Support-Team kann Ihre Integration nicht für Sie überprüfen.
## Ist dies auch dann verpflichtend, wenn ich Zahlungen von Kundinnen und Kunden außerhalb Japans akzeptiere?
Für Konten in Japan müssen Sie die neuen 3DS-Anforderungen für inländische und internationale Karten erfüllen.
## Ist dies für Unternehmen von außerhalb Japans, die an Kundinnen/Kunden in Japan verkaufen, verpflichtend?
Nein, Konten außerhalb Japans unterliegen dieser Anforderung nicht.
## Wie kann ich 3DS manuell auslösen?
Auch wenn es [Ausnahmen für 3DS](https://docs.stripe.com/payments/3d-secure/japan-exemptions) gibt, kann es wünschenswert sein, eine [Haftungsverlagerung](https://docs.stripe.com/payments/3d-secure/authentication-flow#disputed-payments) herbeizuführen, indem 3DS bei Betrugsverdacht manuell ausgelöst wird. Verwenden Sie dazu die Radar-Regeln im Dashboard oder die API.
* Stripe bietet [Standard-Radar-Regeln](https://docs.stripe.com/radar/rules#request-3d-secure), und Sie können [nutzerdefinierte 3DS-Regeln](https://docs.stripe.com/radar/rules#request-3d-secure) mit Radar for Teams hinzufügen.
* Bei Verwendung der API können Sie beim Erstellen oder Bestätigen eines PaymentIntent oder SetupIntent oder beim Erstellen einer Checkout-Sitzung [payment_method_options[Karte][request_three_d_secure]](https://docs.stripe.com/api/payment_intents/create#create_payment_intent-payment_method_options-card-request_three_d_secure) je nach Ihrem Optimierungsziel auf „Beliebig“ oder „Anfechten“ setzen, um 3DS manuell auszulösen.
## Wird die Authentifizierung im abfragebasierten oder im „reibungslosen“ Ablauf stattfinden?
Letztendlich wird dies durch die Risikobewertung des Kartenausstellers bestimmt.
* Der abfragebasierte Ablauf ist eine zusätzliche Authentifizierung, die durchgeführt wird, wenn die Transaktion als risikoreich eingestuft wird. Normalerweise wird ein Einmalpasswort per E-Mail vom Kartenaussteller an den/die Karteninhaber/in gesendet, der/die das Passwort dann auf dem Zahlungsbildschirm eingibt.
* Wenn der Kartenaussteller die Transaktion als risikoarm einstuft, kann er auf eine zusätzliche Authentifizierung verzichten, was als „reibungsloser“ Ablauf bezeichnet wird.
Beide Szenarien führen zu einer [Haftungsverlagerung](/questions/liability-shift-with-frictionless-flow-for-3d-secure-v2-%283ds2%29). Wenn Sie den abfragebasierten Ablauf in der Payment Intents API angeben möchten, setzen Sie „[request_three_d_secure](https://docs.stripe.com/api/payment_intents/create#create_payment_intent-payment_method_options-card-request_three_d_secure)“ auf „Abfrage“.
## Was muss ich tun, wenn ich im Voraus Kartendaten von Kundinnen und Kunden erfassen und diese später in Rechnung stellen möchte?
Wenn Ihre Geschäftsabläufe das Speichern von Karten im Voraus umfassen, müssen Sie überprüfen, ob der Kunde/die Kundin, der/die sich anmeldet, tatsächlich der/die Kontoinhaber/in ist. Sie müssen eine strenge Kontoverwaltung und Maßnahmen gegen nicht autorisierte Anmeldungen umsetzen.
Sie können dies mithilfe der [Setup Intents API](https://docs.stripe.com/api/setup_intents) umsetzen, wobei Stripe 3DS unter den folgenden Bedingungen automatisch auslöst, oder den [Einrichtungsmodus](https://docs.stripe.com/payments/checkout/save-and-reuse) in Checkout verwenden, um 3DS standardmäßig während der Kartenregistrierung auszulösen.
* Nutzung: off_session (Standard)
* Nutzung: on_session & payment_method_options.card.request_three_d_secure: beliebig
Wenn die 3DS-Authentifizierung während der Kartenregistrierung abgeschlossen wurde, ist sie für nachfolgende Transaktionen ausgenommen. Sie sollten jedoch bei jeder Transaktion das Betrugsrisiko auf der Grundlage des Transaktionsbetrags, der Waren/Dienstleistungen, der Attribute und der Verhaltensanalyse bewerten und, falls erforderlich, die 3DS-Authentifizierung erneut durchführen. Verwenden Sie in solchen Fällen erneut SetupIntent.
## Was sollte ich tun, wenn mein Geschäftsmodell einmalige Zahlungen von Kundinnen und Kunden vorsieht?
Bitte überprüfen Sie zunächst, ob Ihr bestehender Zahlungsablauf mit [3DS-Testkarten](https://docs.stripe.com/testing#regulatory-cards) ordnungsgemäß funktioniert.
- Checkout / Payment Links
- Keine Änderung erforderlich
---
- Payment Intents API
- Stellen Sie sicher, dass Sie Zahlungen im Status „[requires_action](https://docs.stripe.com/payments/3d-secure/authentication-flow#when-to-use-3d-secure)“ verarbeiten können.
---
- Rechnungsstellung
- Keine Änderung erforderlich
---
- Charges API
- [Migration zur Payment Intents API](https://stripe.com/docs/payments/payment-intents/migration) ist erforderlich
---
- Dashboard
- Es wird empfohlen, ohne Code [zu bezahlen](https://docs.stripe.com/payments/checkout) oder eine Rechnung zu erstellen.
---
- Billing
- Weitere Informationen finden Sie unten im Abschnitt „Was muss ich tun, wenn ich Abonnements annehme?“.
Auch wenn keine grundlegenden zusätzlichen Arbeiten erforderlich sind, ist es ratsam, zu überprüfen, ob Ihr System [3DS verarbeitet](https://docs.stripe.com/payments/3d-secure/authentication-flow).
## Was muss ich tun, wenn ich Abonnements annehme?
Bitte überprüfen Sie zunächst, ob Ihr bestehender Zahlungsablauf mit [3DS-Testkarten](https://docs.stripe.com/testing#regulatory-cards) ordnungsgemäß funktioniert.
* Wenn Sie 3DS beim Eingeben von Kartendaten auslösen möchten, lesen Sie bitte den Abschnitt „Was muss ich tun, wenn ich im Voraus Kartendaten von Kundinnen und Kunden erfassen und diese später in Rechnung stellen möchte?“
* Wenn Sie 3DS nicht beim Eingeben der Kartendaten auslösen, sondern bei der ersten Zahlung auslösen möchten, geben Sie die Verwendung als on_session an.
Wenn Sie die Subscriptions API verwenden und nach der Karteneingabe nicht manuell ein SetupIntent-Objekt erstellen, wird eines für Sie erstellt, wenn 3DS erforderlich ist. Sie müssen dies auf Ihrer Frontend-Seite [durchführen](https://docs.stripe.com/billing/subscriptions/overview#authentication-failures), damit Ihr/e Nutzer/in die 3DS-Authentifizierung abschließen kann.
Bei wiederkehrenden Zahlungen kann die 3DS-Authentifizierung, wenn sie zum Zeitpunkt der Kartenregistrierung oder der ersten Zahlung abgeschlossen wurde, für nachfolgende Zahlungen entfallen, und Sie müssen keine 3DS-Authentifizierung durchführen. Wenn es jedoch zu Kundeninteraktionen im Zusammenhang mit Vertragsänderungen oder zusätzlichen Käufen kommt, müssen Sie die 3DS-Authentifizierung erneut durchführen.