Der Europäische Gerichtshof muss sich – wie berichtet – mit der Frage befassen, ob eine Bank die Haftung für missbräuchliche Zahlungen mit kontaktlosen Karten bis zur Grenze von 25 Euro auf ihre Kunden abwälzen kann. So sehen es die AGB der Deniz Bank in Österreich vor. Am Donnerstag hat der Generalanwalt seine Schlussanträge zum Fall vorgelegt. Hier die Zusammenfassung des frisch veröffentlichten Votums.
Welche Entscheidung hat der Generalanwalt, dem der „EuGH in der Regel folgt“ in seinen Schlussanträgen vorgeschlagen?
Die Kurzfassung: (tl;dr)
(1) Der Oberste Gerichtshof in Wien muss die Frage klären, ob es technische unmöglich ist, NFC-Karten zu sperren. „Dies festzustellen, ist Sache des vorlegenden Gerichts, aber alles deutet darauf hin, dass es nach dem Stand der Technik möglich ist, dass ein Kreditinstitut eine personalisierte multifunktionale Zahlungskarte sperrt“ (Rn 62 der Schlussanträge). Wenn die Sperrung der NFC-Karte aber technisch unmöglich ist, ist die Haftungsübertragung auf den Kunden von dem Regel-Ausnahme-Gestrüpp der Zahlungsdienste-Richtlinie gedeckt und mithin zulässig.
(2) Die Möglichkeit der AGB-Änderung per Zustimmungsfiktion ist eng auszulegen und kann auf wesentliche Änderungen des Rahmenvertrags – „wie solche, die die Aufnahme der NFC-Funktion in eine Zahlungskarte betreffen“ – nicht angewandt werden (Rn 90).
Die Langfassung:
Die Älteren und Weiseren unter Euch können sich noch an die dickbäuchige Werbung „Ich bin zwei Öltanks“ erinnern. Ähnliches dürfen NFC-Karten nun auch von sich behaupten, nämlich „Ich bin zwei Zahlungsinstrumente“. Jedenfalls, wenn es nach der Lesart von Generalanwalts (GA) am EuGH geht.
NFC-Karten beinhalten seiner Auffassung nach zwei verschiedene Zahlungsinstrumente: Ein personalisiertes Instrument, das die Verwendung von einem oder zwei Sicherheitselementen (starke Authentifizierung) erfordere und Zahlungen ab einer bestimmten Höhe vorbehalten sei und zweitens einen Verfahrensablauf für die Ausführung von Kleinbetragszahlungen ohne Rückgriff auf diese Sicherheitselemente durch Verwendung der NFC-Funktion. (Rn 47).
Die NFC-Funktion falle unter die Kategorie des anonymen Zahlungsinstruments im Sinne von Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 dar (Rn 38). Der erhöhte Schutz der Verbraucher (Nutzer von Karten mit NFC-Funktion) und die Förderung eines fairen und transparenten Wettbewerbs zwischen den sie ausgebenden Finanzinstituten sprächen dafür, diese Karten als Zahlungsinstrumente einzustufen, die unter die Zahlungsdienste-Richtlinie fallen. Mit diesem kleinen Kunstgriff eröffnet der GA den Anwendungsbereich der Garantien aus der Richtlinie zum Schutz der Verbraucher für die NFC-Karten (Rn 42). Und beantwortet die Vorlagefragen 2 a. und b. mit „ja“.
Haftungsbeschränkung bei Unmöglichkeit der Kartensperrung
Zu Frage 3 weist der Generalanwalt darauf hin, dass Art. 63 Abs. 1a der Zahlungsdienste-Richtlinie eine abgeschwächte Haftung der kartenausgebenden Bank erlaube (RN 57). Wenn die Karte weder gesperrt noch ihre „weitere Nutzung“ verhindert werden könnten (beispielsweise bei Verlust, Diebstahl, missbräuchlicher Verwendung oder nicht autorisierter Nutzung), könne das Kreditinstitut mit seinen Kunden vereinbaren, dass die in der Richtlinie geregelten allgemeinen Verpflichtungen, die Sperrung der Karte und das Verhindern ihrer weiteren Nutzung bei zweckwidriger Verwendung zu erleichtern, es nicht treffen (Rn 58). Damit wäre die Haftungsklausel der Deniz Bank theoretisch zulässig.
Nach Meinung des GA kann sich ein Kreditinstitut, das eine Karte mit NFC-Funktion ausgebe, auf diese Ausnahmen nur berufen, wenn es nachweise, dass es technisch nicht möglich sei, die Karte zu sperren oder ihre weitere Nutzung zu verhindern. (Rn 59, 61)
„Dies festzustellen, ist Sache des vorlegenden Gerichts, aber alles deutet darauf hin, dass es nach dem Stand der Technik möglich ist, dass ein Kreditinstitut eine personalisierte multifunktionale Zahlungskarte sperrt. Einige Bestimmungen der Richtlinie (u. a. die Art. 69, 70 und 74) setzen diese Möglichkeit voraus. Es ist daher nicht ersichtlich, dass diese Karten wegen der Integrierung der NFC-Funktion nicht gesperrt werden können“, schreibt der GA in seinem Schlussantrag (Rn 62).
Ich bin mir da nicht so sicher. Laienhaft gesprochen: Eine kontaktlose Kartenzahlung – egal ob Debit oder Kredit – beruht doch gerade darauf, dass keine Abfrage an zentraler Stelle erfolgt, bei der eine Sperrinformation hinterlegt sein könnte. Bis zu Erschöpfung des PIN-Eingabe-Zähler oder dem Erreichen des 150 Euro-Limits läuft eine NFC-Karte doch einfach weiter und kann eben nicht gesperrt werden. Ich lasse mich da aber gerne eines Besseren belehren. Der GA des EuGH sicher auch.
Reichweite der Zustimmungsfiktion bei AGB-Änderungen
Die ursprünglich erste Frage nach der Reichweite der Zustimmungsfiktion, beantwortet der GA dann zuletzt. Das machen sie in Luxemburg sehr gerne und geradezu als Sport. Den vorlegenden Gerichten – in der Regel bzw. nicht selten – immerhin die oberste Instanz eines Mitgliedsstaates erstmal erklären, dass sie die falschen Fragen gestellt haben oder zumindest in der falschen Reihenfolge.
Wenn der EuGH dem GA hier folgt und nicht klar formuliert, dann können Banken ihren Kunden demnächst nicht mehr einfach eine NFC-Karte zuschicken und einen Hinweis auf die neuen AGB. Dann braucht es eine explizite Zustimmung. Der GA will eigentlich nur verhindern, dass die (kundenunfreundliche und branchenweit unübliche) Haftungsregel der Deniz Bank den Kunden per Zustimmungsfiktion in den AGB untergeschoben wird. Er formuliert aber anders:
„Die Möglichkeit einer stillschweigenden Zustimmung zu den Änderungen der Bedingungen eines Rahmenvertrags, die nach Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 bei Vorliegen einer Vereinbarung zwischen dem Nutzer und dem Zahlungsdienstleister erlaubt ist, ist eng auszulegen und kann auf Änderungen der wesentlichen Bestandteile dieses Rahmenvertrags wie solche, die die Aufnahme der NFC-Funktion in eine Zahlungskarte betreffen, nicht angewandt werden.“ (Rn 90).
NFC-Funktion nur mit Zustimmung der Kunden
Durch die Integrierung der NFC-Funktion für die kontaktlose Zahlung von Kleinbeträgen werde dieser Karte ein neues Zahlungsinstrument hinzugefügt. In diesem Umfang handele sich mithin entweder um eine neue Dienstleistung, die Gegenstand eines neuen ergänzenden Vertrags sein müsste, oder eine wesentliche Änderung der Bedingungen des früheren Rahmenvertrags (Rn 88).
In diesem Fall müsse der Verbraucher, nachdem er über die Vorteile und Risiken, die die NFC-Funktion seiner Karte mit sich bringe, informiert worden sei, unzweideutig seine ausdrückliche Zustimmung zu diesem Zahlungsinstrument erteilen, was mit einer stillschweigenden Zustimmung nicht vereinbar sei. Mal schauen, was der EuGH aus dieser Vorlage macht und ob die Banken ihre Praxis, NFC-Karten zu emittieren, deshalb künftig ändern müssen.
Der EuGH entscheidet üblicherweise einige Monate nach Veröffentlichung des GA-Votums. Ob dies auch in Zeiten von Corona so ist, weiß ich nicht.
Und ja, die Deniz Bank steht mit ihren ABG, die den Kunden bis zu 25 Euro für NFC-Transaktionen haften lässt, ziemlich alleine da. In Deutschland trägt die Bank generell das Risiko von missbräulichen NFC-Transaktionen. In Österreich wohl auch fast alle anderen Banken, wie aus den Gerichtsakten hervorgeht.
Soweit ich es, damals bei Einführung der kontaktlos Funktion in unserem Hause, mitbekommen habe, wird der Betrag < 25/50 € nach wie vor am Konto autorisiert. Eine Sperre der Karte/Konto ist demnach wirksam! In der Karte selbst sind nur die Zähler implementiert (5 mal bis 100/150 €). Diese Aussage gilt für die deutsche Girocard.
(Berater/Vorstände hatten gefragt, ob diese neue Funktion auch für „bonitätsschwache“ Kunden gilt oder dort abgestellt werden muss)
Für Kreditkarten lassen sich hostseitig beim Prozessor definitiv NFC Zahlungen erkennen und demach könnte dort auch eine pauschale „Decline Rule“ hinterlegt werden. Die PSD2 „Lower Exemption“ von 50/150 für NFC lässt sich sowieso am besten hostseitig implementieren, wenn die Tendenz weiter wie bei Visa zu „Zero-Floor-Limits“ und online Anbindung der Terminals geht. Nicht hostseitig sperrbar wären Karten mit NFC Offline- Zahlungen/Limiten.
Revolut bietet in seiner App die Möglichkeit an für
– Maestro
– Visa
– Mastercard
die NFC Zahlung zu aktivieren bzw zu sperren.
In Europa werden ja praktisch keine Zahlungen mehr offline abgewickelt (mal von ELV abgesehen, aber da trägt die Bank ja generell nicht das Risiko und außerhalb Deutschlands ist das ja eh kein Thema), und NFC-Zahlungen werden immer bei der Bank autorisiert, ansonsten wäre bei NFC keine PIN-Abfrage möglich. Dementsprechend ist es zwar nicht möglich die Karte selbst zu sperren, es ist jedoch sehr wohl möglich, dass dahinterstehende „Zahlungsinstrument“ zu sperren indem von der Bank einfach keine Zahlung mehr autorisiert wird.