Einer Entscheidung des EuGH folgend sind Klauseln in den AGB eines Zahlungsdiensteanbieters, mit denen er seine Haftung für nicht autorisierte Zahlungen mittels NFC-Funktion einer Bankkarte beschränkt, mit der Zahlungsdienste-Richtlinie vereinbar. Demgegenüber sind in AGB vorgesehene Haftungsbeschränkungen für den Fall einer dem Zahlungsdiensteanbieter technisch nicht möglichen Sperre der NFC-Funktion unzulässig, wenn eine solche Sperre nach dem Stand der Technik sehr wohl möglich wäre.
Infolge eines Vorabentscheidungsersuchens des Obersten Gerichtshofes (OGH) hatte sich der Europäische Gerichtshof (EuGH) jüngst mit Klauseln in den Allgemeinen Geschäftsbedingungen (AGB) der DenizBank AG in Bezug auf die „Near Field Communication“-Funktion (NFC) einer Zahlungskarte auseinanderzusetzen.
Im konkreten Fall konnten mit dieser Funktion an technisch dafür ausgerüsteten Kassen kontaktlos Kleinbeträge bis EUR 25 ohne Eingabe eines PIN-Codes bezahlt werden; die Zahlung höherer Beträge erforderte eine zusätzliche Authentifizierung durch einen PIN-Code.
Die AGB sahen unter anderem vor, dass bei den Kleinbetragszahlungen ohne Eingabe des PIN-Codes keine Verpflichtung der DenizBank besteht, im Falle eines nicht autorisierten Zahlungsvorgangs den betreffenden Betrag zu erstatten und das belastete Konto wieder auf den Stand zu bringen, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte. Das Risiko eines Missbrauchs der Bezugskarte für Kleinbetragszahlungen ohne Eingabe des persönlichen Codes trage der Kontoinhaber.
Zusätzlich enthielten die AGB eine Klausel, wonach eine Sperre der Bezugskarte für Kleinbetragszahlungen „technisch nicht möglich“ sei. Bei Abhandenkommen (z.B. Verlust oder Diebstahl) der Bezugskarte könnten daher weiterhin Kleinbetragszahlungen ohne Eingabe des persönlichen Codes bis zu insgesamt EUR 75,00 vorgenommen werden; auch diese Beträge würden nicht erstattet.
Zur Rechtfertigung dieser Klauseln berief sich die DenizBank auf die Zahlungsdienste-Richtlinie, die die Möglichkeit vorsieht, dass der Zahlungsdienstleister mit seinen Zahlungsdienstnutzern eine abgeschwächte Haftung für die anonyme Nutzung eines Zahlungsinstruments sowie für den Fall vereinbart, dass das Zahlungsinstrument nicht gesperrt oder eine weitere Nutzung nicht verhindert werden kann (vgl. Art 63 Abs 1 lit a und b der RL 2015/2366).
Im konkreten Fall stellten sich die Fragen, ob die NFC-Funktion als „Zahlungsinstrument“ und „anonyme“ Nutzung im Sinne der Zahlungsdienste-Richtlinie zu verstehen ist. Zur Klärung dieser Fragen stellte der OGH ein Vorabentscheidungsersuchen an den EuGH (8 Ob 24/18i).
In seiner Entscheidung C-287/19 kommt der EuGH zum Ergebnis, dass es sich bei der NFC-Funktion einer personalisierten multifunktionalen Bankkarte, mit der Kleinbetragszahlungen zu Lasten des verknüpften Kundenkontos getätigt werden können, um ein „Zahlungsinstrument“ im Sinne der Richtlinie handelt.
Die Verwendung der NFC-Funktion zur Zahlung von Kleinbeträgen stelle selbst dann eine „anonyme“ Nutzung dar, wenn die mit dieser Funktion ausgestattete Karte mit dem Bankkonto eines bestimmten Kunden verknüpft ist. In einer solchen Situation sei es dem Zahlungsdienstleister nämlich objektiv unmöglich, die Person, die mit diesem Mittel gezahlt hat, zu identifizieren und damit zu überprüfen oder gar nachzuweisen, dass der Vorgang vom betreffenden Kontoinhaber autorisiert war.
Nach den Schlussfolgerungen des Generalanwalts des EuGH bedeutet das, dass die Klauseln in den AGB eines Bankinstituts, die dessen Haftung für nicht autorisierte anonyme Kleinbetragszahlungen beschränken, mit der Zahlungsdienste-Richtlinie durchaus vereinbar sind.
In Bezug auf die abgeschwächte Haftung eines Bankinstituts für den Fall der Unmöglichkeit einer Sperre des Zahlungsinstruments hielt der EuGH demgegenüber fest, dass sich das Bankinstitut nicht auf die bloße Behauptung beschränken dürfe, das betreffende Zahlungsinstrument könne nicht gesperrt oder seine weitere Nutzung nicht verhindert werden, obwohl dies nach dem objektiven Stand der Technik nicht nachweislich unmöglich ist.
Andernfalls hätte es der Zahlungsdiensteanbieter nämlich in der Hand, durch ein technisch minderwertiges Angebot das Haftungsrisiko für nicht autorisierte Zahlungen zu Lasten des Zahlungsdienstnutzers zu verschieben. Bei der Beurteilung der mangelnden Sperrbarkeit ist daher auf die (objektive) technische Machbarkeit abzustellen. Laut Generalanwalt des EuGH deute alles darauf hin, dass eine solche Sperre nach dem Stand der Technik möglich ist, weshalb die betreffende Klausel der DenizBank gegen die Zahlungsdienste-Richtlinie verstoße.
In Bezug auf die in Frage stehenden Klauseln der DenizBank steht eine Entscheidung des OGH auf Basis der Vorabentscheidung des EuGH noch aus. Der EuGH hat damit aber bereits wesentliche Fragen in Bezug auf die immer populärer werdende Zahlungsform des kontaktlosen Zahlens beantwortet: Zwar darf ein Zahlungsdiensteanbieter seine Haftung für nicht autorisierte Zahlungen mittels NFC-Funktion beschränken, nicht aber für den Fall, dass er die NFC-Funktion nicht sperren kann, obwohl eine solche Sperre technisch (objektiv) möglich wäre. Diesfalls wäre eine Haftungsbeschränkung bis zur Verlustanzeige möglich, nicht aber für nicht autorisierte Zahlungen, die danach vorgenommen werden.
Zum Autor
Mag. Clemens Irrgeher ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte
1 Kommentar zu “Kontaktloses Zahlen – Klarstellungen des EuGH zu Haftungsbeschränkungen in AGB von Bankinstituten”