EuGH: Banken haften für unbefugte Transaktionen mit gestohlenen Karten

Spätestens die Corona-Krise hat das kontaktlose Bezahlen in Deutschland zum Mittel der Wahl gemacht, um beim Einkaufen das Infektionsrisiko so gering wie möglich zu halten. Auch die Skepsis der Verbraucher in Sachen Sicherheit scheint weitgehend verflogen. Die Technik, die dem Bezahlvorgang ohne Anfassen zugrunde liegt, die sogenannte Near Field Communication (NFC), gilt als sicher und ausgereift. Banken verzichten daher beim Bezahlen mit NFC-Karten oder einem Smartphone bei Beträgen bis 25 Euro auf die Eingabe eines PIN-Codes.

Sichere Technik schützt nicht vor Missbrauch

Da der Abstand der Bankkarte oder eines Smartphones zum Bezahlterminal nur wenige Zentimeter betragen darf, können Unbefugte den übertragenen Datensatz nicht aus der Ferne abfangen. Das unterscheidet NFC unter anderem von Bluetooth-Technologien. Weiterer Vorteil: Der verschlüsselt übertragene Datensatz ist nur für einen Bezahlvorgang gültig. Die mehrfache Verwendung scheidet also aus. Allerdings lässt sich auch die ausgereifteste Technologie missbrauchen, wenn sie in die falschen Hände gerät. Zum Beispiel, weil der rechtmäßige Inhaber der Karte seinen Geldbeutel nebst Plastikgeld verloren hat oder weil ihm seine Karten gestohlen wurden.

In solchen Fällen stellt sich die Frage, wer für etwaige Schäden haftet. Der Europäische Gerichtshof (EuGH) hat sie nun beantwortet – und ein positives Urteil für Verbraucher gesprochen. Sie müssen demnach zumindest dann nicht für Verluste durch unbefugte Transaktionen aufkommen, wenn diese vorgenommen werden, nachdem sie den Verlust der Karte bei der ausgebenden Bank gemeldet haben (EuGH, Rechtssache C 287/19).

Unwirksame Klauseln in den Geschäftsbedingungen

Den vorteilhaften Richterspruch erstritten hatte der österreichische Verein für Konsumenteninformation (VKI). Er rügte die allgemeinen Geschäftsbedingungen, die die DenizBank für die Verwendung ihrer NFC-Karten einsetzte, als unzulässig. In den vorformulierten Regeln schließt die Bank unter anderem ihre Haftung für nicht autorisierte Zahlungen aus. Zudem weist sie darauf hin, dass der Konto­inhaber beim Verlust der Karte das Risiko eines NFC-Missbrauchs trage und die Sperrung der Funktion zum kontaktlosen Zahlen beim Verlust der Karte nicht möglich sei. Diese Aussage ist nachweislich falsch. Im Prozess vor dem Obersten Gerichtshof Österreichs bestritt die DenizBank „das Vorbringen des VKI, dass eine solche Sperrung technisch möglich sei“, dem EuGH zufolge daher auch nicht. Dennoch mussten die Luxemburger Richter noch einige europarechtliche Grundsatzfragen klären.

Klare Ansage aus Luxemburg

Grundsätzlich ist das kontaktlose Bezahlen laut EuGH ein anonymisiertes Zahlungsinstrument im Sinne der europäischen Zahlungsdienst-Richtlinie. Entsprechend dürften sich Banken auf gewisse Haftungserleichterungen berufen. Nicht zulässig sei es aber, wahrheitswidrig zu behaupten, eine Sperrung der NFC-Funktion sei technisch nicht möglich.

Um für unautorisierte Zahlungen nicht geradestehen zu müssen, muss der Kunde daher lediglich den Verlust oder die missbräuchliche Verwendung der Karte unverzüglich der Bank melden. Danach dürfen ihm keine finanziellen Nachteile mehr entstehen – es sei denn, er hat in betrügerischer Absicht gehandelt.