Die zunehmende Digitalisierung in Zeiten der Corona-Pandemie lässt sich auch in der Entwicklung des kontaktlosen Zahlungsverkehrs ablesen. Zur Vermeidung des Kontakts mit möglichen Infektionsquellen bei Bargeldzahlungen oder der PIN-Eingabe am Zahlungsterminal sowie zur Beschleunigung von Zahlungsvorgängen mit Kleinstbeträgen bis zu einem Limit von 25 bis 50 Euro werden kontaktlose Zahlungen mit Girocard und Kreditkarten sowie dem Smartphone immer beliebter. Doch welchen Haftungsrisiken sind Zahlungsdienstleister, Händler und Zahler bei Verwendung und Ermöglichung des kontaktlosen Zahlungsverkehrs ausgesetzt?
Was zu Beginn des Jahres für viele Händler und ihre Kunden noch schwer vorstellbar war, ist Alltag geworden: kontaktloses Bezahlen im Supermarkt, beim Bäcker oder in der Gastronomie. Besonders die Unsicherheiten der heraufziehenden Corona-Pandemie und die damit einhergehenden Ängste vor Berührungen von nicht desinfizierten Gegenständen, wie zum Beispiel Bargeld oder Kartenlesegeräten, befeuerten den raschen Aufstieg kontaktloser Zahlungsmöglichkeiten. Die Bereitschaft der Kunden zu kontaktlosen Zahlungen wuchs rasant.
Technische Grundlage kontaktloser Zahlungen ist häufig die sogenannte Nahfeldkommunikation (Near Field Communication, kurz NFC). Sie läuft über einen Mikrochip in der Girocard und Kreditkarte oder eine NFC-Schnittstelle im Smartphone. Mittels der NFC werden kontaktlos Daten über kurze Strecken, das heißt wenige Zentimeter, ausgetauscht und der Betrag wird dem Bankkonto des Zahlers belastet sowie dem Händler gutgeschrieben.
Risiken bei Zahlung ohne PIN-Eingabe
Sowohl bei Girocard und Kreditkarte als auch bei mobilen, kontaktlosen Zahlungsvorgängen ist eine PIN-Eingabe oder sonstige Authentifizierung meist dann nicht erforderlich, wenn definierte Zahlungsbeträge nicht überschritten werden. Die Grenzen liegen hier derzeit bei 25 Euro (die Anhebung auf Euro 50 läuft gerade) und bei maximal 150 Euro für mehrere Zahlungsvorgänge. Werden diese Limits überschritten, muss der Kunde zur Sicherheit seine PIN eingeben. So wird die Zahlung autorisiert und das Einsatzlimit der Karte wieder auf "Null" gesetzt. Erst danach kann wieder auf die kontaktlose Zahlungsfunktion ohne PIN zurückgegriffen werden.
Tatsächliche Risiken im kontaktlosen Zahlungsverkehr bestehen insbesondere bei Zahlungen mit der Girocard oder Kreditkarte, wenn keine PIN-Abfrage oder sonstige Authentifizierung des Zahlers erfolgt. Wird die Karte entwendet oder nach einem sonstigen Verlust verwendet, besteht auch hier die Möglichkeit einer kontaktlosen Zahlung. Allerdings sind kontaktlose Zahlungen nicht unbegrenzt möglich, sondern unterliegen den genannten Höchstbeträgen und der Maximalanzahl von Verwendungen ohne Authentifizierung.
Auch im Bereich mobiler Zahlungen ist im Bereich der Kleinstbetragszahlungen eine starke Authentifizierung (2-Faktor-Authentifizierung, zum Beispiel durch Besitz des Smartphones und PIN-Eingabe) regelmäßig seitens der Zahlungsdienstleister nicht vor geschrieben. Das Aktivieren des Smartphone-Bildschirms reicht aus. Lediglich einzelne Anbieter (zum Beispiel Apple Pay) lassen eine Zahlung unabhängig von der Höhe des Betrags nur bei Nutzung von Face-ID oder Touch-ID zu.
Risiko des Auslesens sehr gering
Das Risiko des Auslesens der Daten durch Betrüger oder Hacker ist sowohl bezüglich der Verwendung von NFC bei Bankkarten als auch bezüglich Smartphones sehr gering. Nur spezielle Lesegeräte können die NFC-Signale empfangen und entschlüsseln. Kriminelle müssten dem jeweiligen Karteninhaber oder Smartphone-Besitzer über einen Zeitraum von mehreren Sekunden sehr nahe kommen, um überhaupt eine NFC-Übertragung zu ermöglichen. Zudem dürften keine störenden Signale vorhanden sein, zum Beispiel durch andere NFC-fähige Karten. Auch spezielle Kartenhüllen bieten eine wirksame Schutzmöglichkeit.
Doch was passiert, wenn es doch zu einem Verlust der Bankkarte oder einem unbemerkten Zugriff auf die NFC-Funktion kommt? Wie sind die Haftungsrisiken zwischen Zahler, Zahlungsdienstleister und Händler verteilt?
Haftungsgrundsätze im Zahlungsverkehr
Das Recht der Zahlungsdienstleistungen ist europarechtlich geprägt und wird in verschiedenen europarechtlichen Rechtsakten kodifiziert. Diese hat der deutsche Gesetzgeber in den §§ 675c ff. des Bürgerlichen Gesetzbuches (BGB) umgesetzt.
Händler tragen grundsätzlich keine Haftungsrisiken im Zusammenhang mit nicht autorisierten NFC-Zahlungen. Bei kontaktlosen Zahlungen von Kleinstbeträgen (egal ob Girocard, Kreditkarte oder Smartphone) handelt es sich um garantierte Zahlungsverfahren für den Händler. Das heißt, dass die bezahlten Beträge den Händlerkonten in jedem Fall gutgeschrieben werden.
Gemäß § 675u BGB erfolgt bei nicht autorisierten Zahlungsvorgängen, also zum Beispiel der unbefugten Verwendung von gestohlenen Bankkarten, eine Erstattung der abgebuchten Beträge durch den Zahlungsdienstleister gegenüber dem Zahler. Der Zahlungsdienstleister seinerseits kann keinen Ersatz seiner Aufwendungen gegenüber dem Zahler geltend machen. Der Zahler beteiligt sich nach den haftungsrechtlichen Grundsätzen des § 675v BGB mit einem Betrag in Höhe von maximal 50 Euro, wenn es zu nicht autorisierten Zahlungsvorgängen gekommen ist. Grundlage ist, dass die Zahlung auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments beruht.
Ausnahmen von diesem Grundsatz gelten unter anderem, wenn der Zahler den Verlust des Zahlungsinstruments nicht bemerken konnte und unverzüglich eine Verlustanzeige bei seinem Zahlungsdienstleister erstattet hat. Dann erfolgt eine vollständige Erstattung gegenüber dem Zahler und der Zahlungsdienstleister trägt den Verlust.
Eine unbegrenzte Haftung des Zahlers für den nicht autorisierten Zahlungsvorgang greift nur dann, wenn der Zahler zum Beispiel in betrügerischer Absicht handelt oder vorsätzlich eine Verlustanzeige bei seinem Zahlungsdienstleister unterlässt und dadurch den Schaden herbeiführt.
Die Banken sehen in ihren Allgemeinen Geschäftsbedingungen (AGB) in aller Regel vor, dass auch die Zahler Haftungsrisiken für eine unbefugte Verwendung der Zahlungsinstrumente tragen müssen. Allerdings setzen sie regelmäßig ausschließlich die gesetzlichen Regelungen um, ohne davon abzuweichen. Abweichungen von den Haftungsgrundsätzen des § 675v BGB sind ohnehin nur gegenüber den Kunden möglich, die keine Verbraucher im Sinne des BGB sind.
Erstes EuGH-Urteil zu NFC-Zahlungen
Diese für die Zahlungsdienstenutzer komfortable Rechtslage gilt derzeit auch bei sogenannten Kleinbetragsinstrumenten, wie beispielsweise die Girocard kontaktlos oder vergleichbaren Funktionen bei Kreditkarten. Die aktuellen AGB der Zahlungsdienstleister sehen - soweit ersichtlich - durchweg vor, dass der Zahlungsdienstenutzer in aller Regel nicht für den missbräuchlichen Einsatz seines Zahlungsinstruments haftet. Dies ist auch darauf zurückzuführen, dass die ganz überwiegende Verwaltungspraxis davon ausging, dass eine Haftungsverlagerung auf den Zahlungsdienstenutzer nicht zulässig sei.
Das hat sich allerdings mit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 11. November 2020 geändert. In dieser Entscheidung beschäftigte sich der EuGH erstmals ausführlich mit dem Zahlungsverkehr im Zusammenhang mit NFC-Kleinstbetragszahlungen.
Ein eigenständiges Kleinbetragsinstrument
Die NFC-Technologie stellt danach ein eigenständiges Kleinbetragsinstrument dar und nicht lediglich eine von mehreren Funktionen des "Zahlungsinstruments" Bankkarte. Auch auf die Nutzung der NFC mit Smartphones im Bereich von Kleinstbetragszahlungen lässt sich die Argumentation übertragen.
Der EuGH hat zudem entschieden, dass es sich bei der Nutzung von NFC zu Kleinstbetragszahlungen um einen "anonymen" Zahlungsvorgang im Sinne des § 675i Abs. 2 Nr. 3 BGB beziehungsweise der entsprechenden europarechtlichen Vorschrift handelt, da der Besitz einer Bankkarte für die Auslösung von Transaktionen ausreicht. Der Zahlungsdienstleister kann daher nicht nachweisen, ob und dass eine Zahlung autorisiert wurde, also mit Einverständnis des Karteninhabers erfolgte.
Gemäß § 675i Abs. 2 Nr. 3 BGB dürfen für Kleinbetragsinstrumente Ausnahmen von den allgemeinen Haftungsgrundsätzen des § 675v BGB vorgesehen werden. Da allerdings eine starke Kundenauthentifizierung bei kontaktlosen Zahlungen von Kleinstbeträgen nicht von den Zahlungsdienstleistern verlangt wird, sondern die Zahlungen allein durch den Besitz der Bankkarte oder des Smartphones ermöglicht werden, ist gemäß § 675v Abs. 4 BGB für Haftungserleichterungen zugunsten der Zahlungsdienstleister kein Raum. Denn ohne starke Kundenauthentifizierung soll der Zahler kein Haftungsrisiko tragen.
Weg für Haftungsverschärfung bereitet
Das Urteil des EuGH ermöglicht jedoch trotzdem - möglicherweise unbeabsichtigt - eine erhebliche Verschärfung der Haftung des Zahlers bei Kleinbetragsinstrumenten. Denn gemäß § 675i Abs. 2 Nr. 3 BGB darf auch eine Ausnahme von der Erstattungspflicht des Zahlungsdienstleisters gegenüber dem Zahler (§ 675u BGB) für nicht autorisierte Zahlungsvorgänge vereinbart werden. An diesem Schaden des Zahlungsdienstleisters beteiligt sich der Zahler unter Anwendung von § 675v Abs. 1 BGB grundsätzlich bis zu einer Höhe von 50 Euro. Jetzt ist allerdings eine von § 675u BGB abweichende Vereinbarung zwischen Zahlungsdienstleister und Zahler möglich.
Mit anderen Worten: In den AGB der Banken kann eine Erstattungspflicht gegenüber dem Zahler für nicht autorisierte Zahlungsvorgänge ausgeschlossen werden. Der Zahler bleibt dann auf den entstandenen Schäden sitzen. Einen Ersatz seines Schadens kann er nur von dem nicht autorisierten Dritten, also zum Beispiel dem Kartendieb, verlangen, was in der Realität häufig nicht durchsetzbar sein dürfte.
Diese Rechtsprechung des EuGH hat bislang keine Umsetzung in den AGB der Banken gefunden. Ob dies geschehen wird, ist bezogen auf die begrenzte Höhe möglicher Schäden für die Zahlungsdienstleister und eine mögliche Gefährdung der Popularität von NFC-Zahlungen unklar. Deshalb bleibt zudem abzuwarten, ob der Europäische Gesetzgeber reagiert und den potenziell bedrohten Verbraucherschutz wiederherstellen will. Für eine Haftungsüberwälzung auf den Zahler - ob Verbraucher oder nicht - hat der EuGH jedenfalls den Weg bereitet.
Die neue Normalität des kontaktlosen Zahlungsverkehrs ist bereits jetzt fest etabliert. Eine Rückkehr zu den "alten" Zahlungsmethoden im Bereich der Kleinstbetragszahlungen ist kaum vorstellbar und das trotz der neu eröffneten Haftungsrisiken für die Zahler. Eine Haftung für Verbraucher im Bereich der Zahlungen mit Kleinbetragsinstrumenten war bislang ausgeschlossen. Die Rechtsprechung des EuGH könnte diese Situation bei Aufnahme entsprechender Regelungen in den Banken-AGB massiv verändern.
Trotzdem bleiben die Haftungsrisiken der Zahler tatsächlich und rechtlich aufgrund der Begrenzungen bei Kleinstbetragszahlungen überschaubar. Es ist deshalb nicht anzunehmen, dass dieser Gesichtspunkt die fortschreitende Verbreitung der NFC-Technologie im Zahlungsverkehr bremsen wird.
