PSD2

Hat die Sepa-Lastschrift das Zeug zu einem europaweiten Zahlungsmittel?

Dr. Susanne Grohé, Foto: Aderhold

Eigentlich könnte die Sepa-Lastschrift für Online-Händler eine Alternative zur Zwei-Faktor-Authentifizierung sein. Dennoch ist die Zukunft des Verfahrens ungewiss. Die Durchsetzung des IBAN-Diskriminierungsverbots könnte zu seinem Verschwinden führen. Auf dieses Kuriosum weist Susanne Grohé hin. Wenn nämlich der EuGH entscheidet, dass es von diesem Verbot auch dann keine Ausnahmen geben kann, wenn aus einem Land keine Bonitätsinformationen zu erhalten sind, dann kann die Lastschrift für Händler zum unkalkulierbaren Risiko werden. Auch die Einschaltung eines Zahlungsdienstleisters kann da eher keine Lösung sein. Red.

Hat die Sepa-Lastschrift das Zeug zu einem europaweiten Zahlungsmittel? Diese Frage mag merkwürdig anmuten, beruht doch die Sepa-Lastschrift auf europäischen Vorgaben, nämlich der Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates vom 14. März 2012 zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009 ("Sepa VO").

Sie ist damit im gesamten Sepa-Raum einsetzbar, das sind neben den 28 EU-Mitgliedstaaten auch die EWR-Länder Island, Liechtenstein und Norwegen und dazu noch die Schweiz, Monaco, San Marino, Andorra und der Vatikan. Beste Voraussetzungen also für die Sepa-Lastschrift als paneuropäisches Zahlungsmittel.

Nicht überall beliebt

Und doch: Die Sepa-Lastschrift ist nicht überall beliebt. In manchen EU-Ländern wird sie nur sehr wenig verwendet, wie der Blick in die Statistik der Europäischen Zentralbank zeigt. Anders sieht dies in Deutschland aus: Hier wurden im Jahr 2017 10 229,7 Millionen1) Sepa-Lastschriften getätigt, das macht ungefähr die Hälfte aller Sepa-Lastschriften in der EU aus. Dahinter kommen mit einigem Abstand Frankreich und Spanien.

Natürlich spielt auch die Größe des Landes eine Rolle und hier sticht Österreich hervor, das im Verhältnis zur Bevölkerungszahl ebenfalls ein großes Sepa-Lastschrift-Aufkommen aufweist.

Zahlen mit Tradition

Woran liegt das? Das Bezahlen ist nicht nur ein technischer, sondern auch ein kultureller Vorgang. Eingeübte Verhaltensweisen ändern sich nicht so leicht. Dem deutschen Zahler ist es geläufig, ein Sepa-Mandat zu erteilen, sei es an der Ladenkasse oder beim Online-Shopping. Das ist in anderen EU-Ländern nicht der Fall, wo zum Beispiel Kreditkarten oder andere, lokale Zahlungsmethoden beliebter sind. Auch Paypal zum Beispiel fand in Deutschland erst so richtig Verbreitung, als es möglich wurde, die E-Geldbörse per Lastschrift aufzuladen. In vielen Kulturen ist für die Menschen hingegen kaum vorstellbar, einem Händler die Ermächtigung zu erteilen, auf das eigene Konto zuzugreifen.

Dennoch könnten die regulatorischen Neuerungen, die durch Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG ("PSD2") eingeführt wurden, der Verbreitung der Sepa-Lastschrift einen Aufschwung geben.

PSD2: Mit der einen Hand geben mit der anderen nehmen

Während die PSD2 auf der einen Seite mit Regelungen zum Zugang zu Online-Konten für Kontoinformationsdienste und Zahlungsauslösedienste für eine Öffnung des Zahlungsmarkts sorgt, enthält sie gleichzeitig restriktivere Vorgaben zur Autorisierung von Zahlungen, die unter anderem das Zahlen im Internet, wie wir es heute kennen, verändern werden.

Gemäß Art. 97 PSD2 beziehungsweise der Umsetzung in deutsches Recht durch § 55 Zahlungsdiensteaufsichtsgesetz ("ZAG") muss eine sogenannte starke Kundenauthentifizierung erfolgen, wenn der Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet. Die starke Kundenauthentifizierung muss zwei der drei Elemente "Wissen" (zum Beispiel Passwort), "Besitz" (zum Beispiel ein bestimmtes Gerät oder eine Karte) und "Inhärenz" (zum Beispiel Fingerabdruck) enthalten. Dabei ist die Umsetzung in der Praxis das Problem: Ein Käufer im Internet kann nicht mehr bequem und schnell mit einem Klick zahlen, sondern muss etwa ein Passwort (das erfahrungsgemäß gerne vergessen wird) und eine TAN (für die man vermutlich aufstehen und das Mobiltelefon suchen muss) eingeben. Bereits heute zeigen die Statistiken für das bei den Kreditkartenzahlungen eingeführte Verfahren 3D Secure hohe Abbruchraten.

Hier kann aber die Chance der Sepa-Lastschrift liegen, denn unter Art. 97 PSD2 beziehungsweise § 55 ZAG fallen nur Zahlungen, die durch den Zahler ausgelöst werden. Bei der Sepa-Lastschrift erteilt jedoch der Zahler dem Zahlungsempfänger die Ermächtigung, von seinem Konto den entsprechenden Betrag einzuziehen und seiner Bank die Weisung (und Autorisierung), das Konto entsprechend zu belasten. Dementsprechend löst der Zahlungsempfänger die Zahlung aus und nicht der Zahler, sodass der Anwendungsbereich von § 55 ZAG nicht eröffnet ist.

Hier unterscheidet sich die Sepa-Lastschrift von der Zahlung mit Kreditkarte, denn bei der Kreditkarte löst der Zahler die Zahlung über den Zahlungsempfänger (durch Eingabe der Karte in dessen Terminal) aus.

Klarstellung durch BaFin und EBA

Ganz so klar war das jedoch nicht immer. Ende Februar 2019 überraschte die Europäische Bankaufsichtsbehörde EBA mit der Antwort auf die Frage, ob beim Aufsetzen eines elektronisch erteilten Sepa-Lastschriftmandats eine starke Kundenauthentifizierung eingesetzt werden müsse. Die EBA führte nämlich aus, es bestehe beim Aufsetzen des elektronisch erteilten Mandats das Risiko, dass per Fernzugang eine Handlung vorgenommen wird, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet. Diese Antwort überraschte deswegen, weil die EBA stets vertreten hatte, dass für Lastschriften keine starke Kundenauthentifizierung notwendig ist, außer die Bank des Zahlers ist bei Erteilung des Lastschriftmandats involviert. Das letzte Kriterium schien nun bei der neu gegebenen Antwort keine Rolle mehr zu spielen.

Tatsächlich ist die Bank des Zahlers jedoch bei Erteilung von Sepa-Lastschriftmandaten nach heutigem Stand der Technik nicht involviert. Im Sepa-Regelwerk des EPC (European Payments Council) ist ein sogenanntes E-Mandat vorgesehen, bei dem der Zahler sich gegenüber seiner Bank authentifiziert und sozusagen im Bereich seines Online-Banking das Mandat erteilt. Die dafür notwendige technische Infrastruktur hat die deutsche Kreditwirtschaft jedoch nicht flächendeckend umgesetzt. Die Antwort der EBA hätte damit dafür gesorgt, dass die Sepa-Lastschrift für Online-Zahlungen nicht mehr genutzt werden kann.

Dementsprechend groß war der Aufschrei, insbesondere auch bei deutschen Online-Händlern, für die die Sepa-Lastschrift eine wesentliche beliebte Zahlungsmethode ist. Die BaFin stellte daraufhin im April 2019 klar, dass nur beim E-Mandat nach dem Sepa-Regelwerk des EPC eine starke Kundenauthentifizierung notwendig ist.

Interessanterweise bat die BaFin ebenfalls die EBA um Klarstellung, indem sie eine Frage im Q & A Tool der EBA einreichte. Dazu stellte dann auch die EBA im Juni 2019 klar, dass eine starke Kundenauthentifizierung nur notwendig sei, wenn der Zahlungsdienstleister des Zahlers in die Mandatserteilung einbezogen ist. Ob es sich bei der ganzen Aufregung um ein Missverständnis oder um einen Versuch handelte, den Vorteil der Sepa-Lastschrift gegenüber den Kreditkarten nicht zuzulassen, muss wohl offen bleiben.

Online-Mandatserteilung weiter zulässig

Die Bequemlichkeit für den Zahler ist ein schlagendes Argument für die Sepa-Lastschrift. Einmal aufgesetzt und gespeichert, kann sie der Händler immer wieder benutzen und ein "Klick" reicht zur Bezahlung aus. Das Problematische an den im Internet erteilten Mandaten ist jedoch, dass ein sicherer Nachweis der Autorisierung nicht möglich ist.

Das Sepa-Regelwerk des EPC sieht vor, dass ein Mandat nur schriftlich, das heißt auf Papier oder mit einer qualifizierten elektronischen Unterschrift erteilt werden kann. Dies hätte bedeutet, dass die Erteilung eines Online-Mandats, wie sie heute noch üblich ist, nicht möglich gewesen wäre.

Auch hier gab es wieder auf Druck der Online-Händler im deutschsprachigen Raum eine Klarstellung. In einer Presseerklärung des Bundesministeriums der Finanzen und der Bundesbank, erklärten diese, dass nach deutscher Auffassung Online-Mandate weiterhin zulässig seien.2) Auch der EPC stellte daraufhin in einem Brief an die Mitglieder klar, dass das EPC-Regelwerk im Hinblick auf die für das Mandat geforderte Form nicht abschließend sei.3)

Möglichkeit der Rücklastschrift ist das größte Risiko

Aufgrund der fehlenden Beweiskraft eines online erteilten Mandats bleibt aber die Gefahr, dass sich der Zahler darauf beruft, dieses nicht erteilt und damit die Zahlung nicht autorisiert zu haben. Das gibt dem Zahler die Möglichkeit, dies seiner Bank innerhalb von 13 Monaten gemäß § 676b BGB anzuzeigen und Ersatz zu verlangen. Letztlich haftet dafür dann der Zahlungsempfänger, der für die Rücklastschrift aufkommen muss.

Die Möglichkeit der Rücklastschrift ist aus Sicht des Zahlungsempfängers daher auch der größte Nachteil der Sepa-Lastschrift. Interessanterweise sind es aber nicht die Fälle, in denen der Zahler geltend macht, das Mandat nicht wirksam erteilt zu haben, sondern eine fehlende Deckung auf dem Konto oder einfach die Möglichkeit des Zahlers, innerhalb von acht Wochen eine Rücklastschrift ohne Angabe von Gründen zu widerrufen, die Online-Händlern zu schaffen machen.

Risikomanagement durch "gesicherte Lastschrift"

Als Vorteil der Sepa-Lastschrift werden häufig die im Vergleich zu anderen Zahlungsmethoden relativ geringen Transaktionskosten angeführt. Die Ersparnis kann allerdings durch ein paar größere Rücklastschriftbeträge schnell schmelzen. Nur große Online-Händler haben Datenbanken, die es ihnen ermöglichen, gute Kunden von möglichen Betrügern zu unterscheiden.

Dieses Risikomanagement für Online-Händler, die dies nicht selbst können, ist ein eigenes Geschäftsfeld geworden. Dabei bietet ein Zahlungsdienstleister dem Online-Händler eine "gesicherte Lastschrift" an. In diesem Fall tritt der Online-Händler im Wege des Factorings seine Kaufpreisforderung an den Zahlungsdienstleiter ab. Der Käufer erteilt dem Zahlungsdienstleister das Sepa-Mandat und dieser zieht die Zahlung in der Regel dann ein, sobald der Online-Händler den Versand meldet.

Die gesicherte Lastschrift ist für den Händler teurer, aber sie beinhaltet das Risikomanagement und die Sicherheit, das Geld im Regelfall behalten zu können. Der Zahlungsdienstleister wiederum nutzt zum Risikomanagement eigene Daten, das können Listen mit bereits als betrügerisch bekannten IBANs oder Auskunfteien sein, wie zum Beispiel einen Schufacheck.

Die Sepa-Verordnung könnte der Tod der Sepa-Lastschrift werden

Im Lastschrift-Land Deutschland gestaltet sich das Risikomanagement aufgrund einer guten Datenlage und Anbietern wie der Schufa relativ einfach. Im EU-Ausland kann das anders aussehen, teilweise sind Bonitätsauskünfte nur teuer oder gar nicht zu bekommen. Dies wiederum veranlasst viele Online-Händler dazu, die Sepa-Lastschrift nur einigen Kunden anzubieten, deren Bonität sich einfach prüfen lässt.

Problematisch ist dabei, dass die Sepa-VO in Art. 9 Abs. 2 festlegt, dass kein Zahlungsempfänger vorschreiben darf, aus welchem Land das Zahlungskonto kommen muss, das für die Lastschrift angegeben wird. Dieses Verbot der IBAN-Diskriminierung4) ist wichtig, um im Sepa-Raum die Akzeptanz des Regelwerks herzustellen. Das hat sich leider noch nicht bei allen Zahlungsempfängern rumgesprochen. So findet man noch häufig Vorgaben, dass nur deutsche Konten akzeptiert werden. Auch, dass bei einer Online-Lastschrift die Länderkennung "DE" bereits vorgegeben ist, trifft man noch häufig an. Dies ist nicht zulässig und Beschwerden können von Verbrauchern sowohl bei der Wettbewerbszentrale als auch bei der BaFin eingereicht werden.

Ein Zahlungsempfänger tut daher gut daran, das Lastschriftangebot nicht davon abhängig zu machen, welche IBAN der Zahler einträgt. Allerdings war es bislang Konsens, dass ein Zahlungsdienstleister verantwortungsvolles Risikomanagement betreiben darf und muss - und daher auch eine Zahlungstransaktion ablehnen darf, wenn dabei ein erhöhtes Risiko des Zahlungsausfalls besteht. Dies kann zum Beispiel der Fall sein, wenn keine Bonitätsdaten aus einem bestimmten Land zu erhalten sind.

Verbotene IBAN-Diskriminierung: keine Ausnahmen zulässig

In einem dem EuGH vorliegenden Fall (C-28/18) hat der Generalanwalt in seinem Schlussantrag5) allerdings festgestellt, dass die Sepa-VO keine Ausnahmen zulässt und wirtschaftliche Gründe wie das Risikomanagement nicht ausreichen, um das öffentliche Interesse an einer diskriminierungsfreien Sepa-Nutzung zu überwiegen.

Die Deutsche Bahn, die von einem österreichischen Verbraucherschutzverein in dieser Sache verklagt worden war, hatte nämlich eingewandt, dass sie österreichische Kunden aus wirtschaftlichen Gründen ablehne, weil die Bonitätsauskünfte zu teuer seien.

Als Argument führte die Deutsche Bahn dabei die Verordnung (EU) 2018/302 des Europäischen Parlaments und des Rates vom 28. Februar 2018 über Maßnahmen gegen ungerechtfertigtes Geoblocking und andere Formen der Diskriminierung aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden innerhalb des Binnenmarkts und zur Änderung der Verordnungen (EG) Nr. 2006/2004 und (EU) 2017/2394 sowie der Richtlinie 2009/22/EG ("Geoblocking VO") an. In der Geoblocking-VO6) wird nämlich die Bonitätsprüfung als ein legitimer Grund angesehen, zum Beispiel statt einer Sepa-Lastschrift einem Kunden nur eine Sepa-Überweisung anzubieten. Außerdem gilt die Geoblocking-VO nicht für Zahlungsdienstleister.

Der Generalanwalt ließ diese Argumente allerdings nicht gelten. Er stellte sich auf den Standpunkt, dass ein Händler entscheiden muss, ob er die Sepa-Lastschrift anbietet oder nicht und führt dazu aus: "In einer solchen Situation darf es keine Diskriminierung geben. Wenn dies zur Folge hat, dass ein Zahlungsempfänger sich dafür entscheidet, anstatt einer diskriminierenden Bezahlmöglichkeit eine bestimmte Form der Bezahlung überhaupt nicht anzubieten, ist dies eine wirtschaftliche Realität, die man wird akzeptieren müssen." 7)

Sollte der EuGH dieser Argumentation folgen, hieße dies, dass ein Händler entscheiden muss, ob er die Sepa-Lastschrift allen Kunden (also auch denen, bei denen eine Bonitätsauskunft nicht oder nicht wirtschaftlich zu erlangen ist) oder gar nicht mehr anbietet. Eine interessante Entwicklung, dass die Durchsetzung der Nichtdiskriminierung als abstraktes Prinzip dazu führen könnte, dass die Sepa-Lastschrift als Zahlungsmethode verschwindet.

In dem streitgegenständlichen Fall hatte die Deutsche Bahn die Sepa-Lastschriften selbst entgegengenommen und keinen Zahlungsdienstleister zum Risikomanagement eingeschaltet. Von einigen wird dies nun als Lösung gesehen.

Einschalten eines Zahlungsdienstleisters als Lösung?

Richtig ist, dass für Zahlungsdienstleister die Geoblocking-VO nicht gilt, die SepaVO allerdings schon. Bleibt der EuGH bei der vorgezeichneten harten Linie, dürfte auch ein Zahlungsdienstleister sich nicht darauf berufen, aus Risikogründen Endkunden aus bestimmten Ländern abzulehnen. Und nun kann sicher auch kein Zahlungsdienstleiter gezwungen werden, das Einziehen von Sepa-Lastschriften, sei es gesichert oder ungesichert, in sämtlichen EU-Ländern anzubieten, denn dazu bedarf es der Erlaubnis im jeweiligen Land im Wege des EU-Passportings.

Wird es aber dem Händler reichen, der nur für bestimmte Länder die Sepa-Lastschrift anbietet, dem Kunden zu erklären, dass sein Zahlungsdienstleiter leider nicht alle Länder bedient? Wird man nicht auf der Linie des Generalanwalts fordern müssen, dass der Händler, wenn er sich für die Sepa-Lastschrift entscheidet, dann auch Zahlungsdienstleister suchen muss, die sämtliche Sepa-Länder abdecken?

Fraglich auch, ob es Zahlungsdienstleister gibt, die ausreichend kosteneffizient ein Risikomanagement für sämtliche Sepa-Länder anbieten können. Hinzukommt, dass das für die gesicherte Lastschrift übliche Factoringmodell nicht in allen EU-Ländern mit einer Zahlungsdiensterlaubnis betrieben werden kann, sondern gegebenenfalls eine Vollbankerlaubnis erfordert.

Unterschätzt werden darf auch nicht, dass ein paneuropäisches Risikomanagement nicht von jetzt auf gleich hergestellt werden kann. Es kann ebenso gut sein, dass wir inzwischen alle mit Libra bezahlen, bis dies steht.

Es bleibt nun abzuwarten, ob der EuGH die Sepa-Lastschrift am Leben erhält oder ihre Chance, sich gegen andere Zahlungsmittel wie Kreditkarten und Paypal zu behaupten, mit der Auslegung der europäischen Regularien erschlägt.

Fußnoten:

1) Zahlen basieren auf der Statistik der EZB für 2017, wie sie auf der Seite des EPC dargestellt sind: www.europeanpaymentscouncil.eu

2) Presseerklärung des Bundesministerium der Finanzen und der Deutschen Bundesbank vom 12. September 2013, online verfügbar unter: www.bundesbank.de, abgerufen am 7.7.2019.

3) Brief des EPC vom 1. Oktober 2013 an die Teilnehmer es Sepa Direct Debit Verfahrens, online unter: www.europeanpaymentscouncil.eu, abgerufen am 7.7.2019.

4) Weitere Informationen zur IBAN-Diskriminierung finden Sie hier: paytechlaw.com

5) Schlussantrag vom 2. Mai 2019, online unter: curia.europa.eu

6) Weitere Informationen zur Geoblocking-VO finden Sie auch hier: paytechlaw.com/geoblocking-vo

7) Schlussantrag vom 2. Mai 2019 a.a.O.

Dr. Susanne Grohé, Partnerin der Aderhold Rechtsanwaltsgesellschaft mbH, München
Dr. Susanne Grohé , Partnerin der Aderhold Rechtsanwaltsgesellschaft mbH, München
Noch keine Bewertungen vorhanden


X