312 75 2MB
German Pages 372 Year 2019
Philipp Schmalenbach Die Digitalisierung des Zahlungswesens
Schriften zum Europäischen und Internationalen Privat-, Bank- und Wirtschaftsrecht
Herausgegeben von Professor Dr. Horst Eidenmüller, LL.M. (Cambridge), München; Professor Dr. Dr. Stefan Grundmann, LL.M. (Berkeley), Berlin; Professor Dr. Susanne Kalss, LL.M. (Florenz), Wien; Professor Dr. Wolfgang Kerber, Marburg; Professor Dr. Karl Riesenhuber, M.C.J. (Austin/Texas), Bochum; Professor Dr. Heike Schweitzer, LL.M. (Yale), Berlin; Professor Dr. HansPeter Schwintowski, Berlin; Professor Dr. Reinhard Singer, Berlin; Professor Dr. Christine Windbichler, LL.M. (Berkeley), Berlin
EIW Band 61
Philipp Schmalenbach
Die Digitalisierung des Zahlungswesens
Innovative Bezahlverfahren im Lichte des novellierten Zahlungsdiensterechts
Dr. iur. Philipp Schmalenbach, Hamburg.
ISBN 978-3-11-066803-2 e-ISBN (PDF) 978-3-11-067162-9 e-ISBN (EPUB) 978-3-11-066814-8 Library of Congress Control Number: 2019947325 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Angaben sind im Internet über http://dnb.dnb.de abrufbar. © 2019 Walter de Gruyter GmbH, Berlin/Boston Printing and binding: CPI books GmbH, Leck www.degruyter.com
Vorwort Die vorliegende Arbeit wurde im Sommersemester 2018/2019 vom Fachbereich Rechtswissenschaft der Humboldt-Universität zu Berlin als Dissertation angenommen. Das Manuskript wurde im April 2019 abgeschlossen. Rechtsprechung und Literatur wurden bis zu diesem Zeitpunkt berücksichtigt. Ich danke meinem Doktorvater Herrn Prof. Dr. Dr. Stefan Grundmann, LL.M. (Berkeley), der mein Dissertationsvorhaben mit großem Interesse verfolgt und mit wertvollen Denkanstößen weiterentwickelt hat. Herrn Prof. Dr. Lars Klöhn, LL.M. (Harvard) danke ich für die Erstellung des Zweitgutachtens und die spannende Diskussion im Rahmen der Disputation. Darüber hinaus möchte ich auch meinem Vater Dank für viele interessante und förderliche Gespräche aussprechen. Für die Aufnahme in die Schriftenreihe danke ich den Herausgebern sehr herzlich. Hamburg, Mai 2019
https://doi.org/10.1515/9783110671629-001
Inhaltsübersicht Abkürzungsverzeichnis Einleitung
XXIII
1
Teil : Der moderne Zahlungsverkehr im Überblick 5 5 . Abschnitt: Konventionelle Zahlungsinstrumente A. Barzahlungsverkehr 6 8 B. Bargeldloser Zahlungsverkehr . Abschnitt: Zahlungskarten 12 A. Girokarte 13 13 B. Kreditkarte C. Geldkarte 16 16 . Abschnitt: Innovative Zahlungsinstrumente A. Bezahlverfahren im E-Commerce 17 B. Innovative Bezahlverfahren im stationären Handel 34 . Abschnitt: Ergebnis
29
36 Teil : Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts . Abschnitt: Der normative Rahmen des Zahlungsdiensterechts 36 A. Europäische Vorgaben 37 43 B. Nationale Gesetzgebungsakte C. Verwaltungsrechtliche Vorgaben der Europäischen 44 Bankaufsichtsbehörde . Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts 45 45 A. Anwendungsbereich des Zahlungsdiensterechts 49 B. Zahlungsdienstrechtliche Begriffsbestimmungen C. Organisationsrahmen der Vertragsparteien 60 D. Autorisierung von Zahlungsaufträgen sowie Rechte und Pflichten 72 der Parteien E. Ausführung von Zahlungsaufträgen 81 87 F. Risikoverteilung und Haftung Teil : Giralgeldzahlungen im E-Commerce 120 . Abschnitt: Online-Überweisungen im E-Commerce A. Anwendbarkeit des Zahlungsdiensterechts 120 B. Organisationsrahmen der Parteien
120 120
VIII
Inhaltsübersicht
C. Der Zahlungsvorgang im Online-Banking 132 D. Missbrauch und Haftung im Online-Banking 142 161 E. Ergebnis der Analyse von Online-Überweisungen 162 . Abschnitt: Online-Lastschrift A. Anwendbarkeit des Zahlungsdiensterechts 162 162 B. Vertragliche Abrede über die Online-Nutzung 163 C. Formerfordernis im E-Commerce D. Autorisierung und Beweislast 165 167 E. Notwendigkeit einer starken Kundenauthentifizierung F. Das Haftungsregime bei Lastschriftzahlungen 167 G. Ergebnis der Betrachtung der Online-Lastschrift 170 171 . Abschnitt: Online-Kreditkarten-Zahlung A. Anwendbarkeit des Zahlungsdiensterechts 171 B. Gesonderter Abschluss eines Kreditkartenvertrags 173 C. Zahlungsdienstrechtliche Besonderheiten der 3D Secure Verfahren 173 D. Autorisierung und das Erfordernis der starken 175 Kundenauthentifizierung E. Risikoverteilung und Haftung 176 . Abschnitt: Gesamtbetrachtung der klassischen Zahlungsdienste im 180 Internet Teil : Zahlungsauslösedienste 182 . Abschnitt: Anwendbarkeit des Zahlungsdiensterechts 182 184 . Abschnitt: Der Tatbestand des Zahlungsauslösedienstes A. Wortlaut und Gesetzessystematik 184 186 B. Telos der Norm 187 C. Zwischenergebnis . Abschnitt: Organisationsrahmen der Parteien 187 188 A. Kontrahierungszwang durch die PSD II? B. Rechtliche Einordnung der Funktion des Zahlungsauslösedienstleisters 189 190 C. Rechte und Pflichten der beteiligten Parteien . Abschnitt: Besonderheiten des Zahlungsvorgangs 198 198 A. Unwiderruflichkeit des Zahlungsvorgangs 199 B. Autorisierung und starke Kundenauthentifizierung C. Auswirkungen auf die Autorisierung im Deckungsverhältnis 200
Inhaltsübersicht
IX
. Abschnitt: Risikoverteilung und Haftung 202 A. Spezielle Missbrauchsrisiken bei der Nutzung von Zahlungsauslösediensten 202 B. Haftung von Zahlungsauslösedienstleistern gegenüber Zahlungsdienstnutzern 203 C. Regressansprüche des kontoführenden 203 Zahlungsdienstleisters D. Haftung des Kunden für Schäden des 207 Zahlungsauslösedienstleisters . Abschnitt: Ergebnis 208 210 Teil : Online-Zahlungssysteme auf E-Geld-Basis . Abschnitt: Anwendbarkeit des zivilrechtlichen Zahlungsdiensterechts 210 A. PayPal-Geschäftstätigkeiten im deutschen Zahlungsdiensterecht 212 B. Prepaid-Guthaben als E-Geld-Beträge i. S. d. § 1 Abs. 2 S. 3 ZAG 214 n. F. C. Bereichsausnahmen des E-Geld-Tatbestands gem. § 1 Abs. 2 S. 4 ZAG n. F. 216 217 . Abschnitt: Organisationsrahmen der Parteien 217 A. „PayPal Law“ im deutschen Rechtssystem B. Vereinbarungen über die Ausgabe von E-GeldZahlungsinstrumenten 233 235 . Abschnitt: Zahlungsvorgänge auf E-Geld-Basis A. PayPal-Zahlungsvorgänge 235 246 B. E-Geld-Zahlungsvorgänge im Paysafecard-Verfahren 247 . Abschnitt: Risikoverteilung und Haftung A. Haftung im Zusammenhang mit der Nutzung des PayPalZahlungssystems 247 B. Haftungsverteilung bei der Nutzung von PrepaidZahlungssystemen 255 257 . Abschnitt: Ergebnis Teil : Remote Payments im E-Commerce 260 260 . Abschnitt: Anwendbarkeit des Zahlungsdiensterechts A. Remote Payments an den App-Store-Betreiber 260 B. Zahlungen im Direct Carrier Billing-Verfahren 274 279 C. Zwischenergebnis
X
Inhaltsübersicht
. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing 280 A. Die Vertragsparteien und der Payment Provider als Vertragspartner 280 B. Organisationsrahmen und Zahlungsinstrumente des Direct Carrier Billing 282 283 C. Autorisierung und starke Kundenauthentifizierung 285 D. Risikoverteilung und Haftung . Abschnitt: Ergebnis 291 Teil : M-Payments im Präsenzverfahren 293 . Abschnitt: Kartengestützte M-Payments 293 294 A. Anwendbarkeit des Zahlungsdiensterechts B. Autorisierung und das Erfordernis der starken Kundenauthentifizierung 295 296 C. Risikoverteilung und Haftung . Abschnitt: Smartphone-gestützte M-Payments 305 305 A. Anwendbarkeit des Zahlungsdiensterechts B. Organisationsrahmen und Vertragsbeziehungen 308 C. Autorisierung smartphonegestützter Zahlungen 310 313 D. Risikoverteilung und Haftung 319 . Abschnitt: Ergebnis Teil : Kryptowährungen im Zahlungsdiensterecht
320
322 Teil : Ergebnis und Fazit . Abschnitt: Stärken und Schwächen der einzelnen Zahlungsdienste 322 322 A. Internet-Zahlungssysteme B. Smartphone-gestützte Zahlungssysteme 325 327 C. Kryptowährungen . Abschnitt: Handlungsempfehlungen für die Anbieter von Zahlungsverfahren 327 . Abschnitt: Legislative Versäumnisse und Bewertung des neuen 329 Rechtsrahmens Literaturverzeichnis
332
Inhalt Abkürzungsverzeichnis Einleitung
XXIII
1
Teil : Der moderne Zahlungsverkehr im Überblick 5 5 . Abschnitt: Konventionelle Zahlungsinstrumente A. Barzahlungsverkehr 6 8 B. Bargeldloser Zahlungsverkehr I. Scheck und Wechsel 9 II. Giralgeldsystem 10 10 . Transfer von Giralgeld mittels Überweisung . Transfer von Giralgeld mittels Lastschrift 11 12 . Abschnitt: Zahlungskarten A. Girokarte 13 B. Kreditkarte 13 16 C. Geldkarte . Abschnitt: Innovative Zahlungsinstrumente 16 17 A. Bezahlverfahren im E-Commerce I. Varianten des Giralgeldtransfer im E-Commerce 18 . Online-Überweisung und Online-Lastschrift 18 20 . Kartengestützte Online-Zahlungen . Überweisungen unter Einschaltung eines 21 Zahlungsauslösedienstleisters II. Zahlungsinstrumente auf E-Geld-Basis 22 . Online-Wallets wie PayPal, Skrill und Neteller 22 25 . Sonstige Prepaid-Zahlungsinstrumente 25 III. Kryptowährungen IV. Mobile Zahlungsinstrumente 27 29 V. Zwischenergebnis 29 B. Innovative Bezahlverfahren im stationären Handel I. Zahlungskarten mit Near-Field-Communication-Chip 30 31 II. Smartphone-Bezahlverfahren 32 . NFC-Smartphone-Zahlungen . Anwendungsbasierte Bezahlverfahren 33 III. Zwischenergebnis 34 . Abschnitt: Ergebnis 34
XII
Inhalt
Teil : Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts 36 . Abschnitt: Der normative Rahmen des Zahlungsdiensterechts 36 37 A. Europäische Vorgaben 37 I. Erste Zahlungsdiensterichtlinie (PSD I) . Ziele und Prinzipien 38 39 . Struktur und Regelungskomplexe . Auslegungsgrundsätze im europäischen 39 Sekundärrecht 40 II. Zweite Zahlungsdiensterichtlinie (PSD II) III. E-Geld-Richtlinien 41 IV. Verordnungen i. S. d. Art. 288 Abs. 2 AEUV 42 42 V. Sonstige Rechtsakte B. Nationale Gesetzgebungsakte 43 I. Umsetzung von sekundärem EU-Recht 43 II. National bedeutsame Rechtsvorschriften im Zahlungsverkehr 44 C. Verwaltungsrechtliche Vorgaben der Europäischen 44 Bankaufsichtsbehörde . Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts 45 45 A. Anwendungsbereich des Zahlungsdiensterechts 46 I. Sachlicher Anwendungsbereich II. Persönlicher Anwendungsbereich 47 III. Kollisionsrechtlicher Anwendungsbereich 48 49 B. Zahlungsdienstrechtliche Begriffsbestimmungen I. Bedeutung und Umsetzung des Begriffs des Zahlungsinstruments 50 . Auslegung unter maßgeblicher Berücksichtigung der deutschen Umsetzung 51 52 . Richtlinienorientierte Auslegung 53 . Stellungnahme und Streitentscheid . Auswirkungen der PSD II auf die Auslegung des Begriffs des Zahlungsinstruments 57 II. Charakteristika des personalisierten Sicherheitsmerkmals 58 60 C. Organisationsrahmen der Vertragsparteien I. Änderungen durch die PSD II und nationale Umsetzung 60 II. Inhalt der vertraglichen Vorgaben 61 . Reichweite und Rechtsnatur des 62 Zahlungsdienstevertrags
Inhalt
.
D.
E.
F.
XIII
Vorvertragliche Informationspflichten und zulässiger Vertragsinhalt 63 . Vertragliche Informationspflichten des 64 Zahlungsdienstleisters . Haupt- und Nebenleistungspflichten, insbesondere Entgeltvereinbarungen 65 . Änderung und Anpassung des 70 Zahlungsdiensterahmenvertrags 71 . Kündigung eines Zahlungsdiensterahmenvertrags Autorisierung von Zahlungsaufträgen sowie Rechte und Pflichten der Parteien 72 I. Allgemeine Bestimmungen und Anwendungsbereich des Titel 72 IV II. Vorschriften zur Autorisierung von Zahlungsaufträgen 73 73 . Rechtsnatur und Form der Autorisierung . Widerruf der Autorisierung 74 . Begrenzung der Nutzung des 75 Zahlungsinstruments III. Pflichten des Zahlungsdienstnutzers gem. § 675l BGB 76 . Schutzgüter der Verwahrungspflicht des § 675l Abs. 1 76 S. 1 BGB n. F. . Inhalt und Umfang der Sorgfaltspflicht nach § 675l Abs. 1 S. 1 BGB n. F. 78 . Sorgfaltspflichten im Umgang mit einem 78 Zahlungsinstrument IV. Pflichten des Zahlungsdienstleisters gem. § 675m BGB 79 81 Ausführung von Zahlungsaufträgen 81 I. Zugang und Ablehnung von Zahlungsaufträgen II. Ausführungsmodalitäten und Ausführungsfristen 82 . Ungekürzte Weiterleitung des Zahlungsbetrags, § 675q 82 BGB . Identifikation des Zahlungsempfängers, § 675r BGB 83 . Ausführungs- und Weiterleitungsfristen, § 675s BGB 85 . Verfügbarkeit und Wertstellung von Geldbeträgen, 675t 86 BGB Risikoverteilung und Haftung 87 I. Die Haftung für nicht autorisierte Zahlungsvorgänge gem. 87 § 675u BGB
XIV
Inhalt
II.
III. IV. V.
Die Haftung des Zahlungsdienstnutzers 88 . Haftung für autorisierte Zahlungsvorgänge 88 . Die beschränkte Haftung für unautorisierte 89 Zahlungsvorgänge . Die unbeschränkte Haftung für unautorisierte Zahlungsvorgänge 92 95 . Ausschluss der unbeschränkten Haftung Beweislast in Haftungsfragen, § 675w BGB 115 Weitere Ansprüche des Zahlungsdienstnutzers und Regelung der Haftungsmodalitäten, §§ 675x – 676 BGB 116 Gesamtbewertung des Haftungskonzepts der PSD II 118
120 Teil : Giralgeldzahlungen im E-Commerce . Abschnitt: Online-Überweisungen im E-Commerce 120 120 A. Anwendbarkeit des Zahlungsdiensterechts B. Organisationsrahmen der Parteien 120 I. Kontrahierungszwang nach dem 121 Zahlungskontengesetz II. Anspruch auf Zugang zum Online-Banking? 122 123 III. Gewöhnlicher Vertragsinhalt . Reichweite und Beschränkungen des 124 Bankgeheimnisses . Zinsen und Entgelte 126 IV. Vertragliche Besonderheiten des Online-Bankings 126 . Personalisierte Sicherheitsmerkmale und Zahlungsinstrumente im Online-Banking 126 . Besondere Pflichten des Zahlungsdienstleisters gem. 129 § 675m BGB n. F. . Besondere Pflichten des Zahlungsdienstnutzers gem. § 675l BGB n. F. 129 132 C. Der Zahlungsvorgang im Online-Banking I. Anmeldung zum Online-Banking 132 II. Autorisierung des Zahlungsauftrags und 134 Kundenauthentifizierung . Anwendbarkeit der Anscheinsvollmacht bei der 134 Autorisierung von Zahlungsaufträgen . Zulässigkeit der Anwendung des Anscheinsbeweises im Online-Banking 137 . Einfluss der MaSI und der PSD II auf die 140 Authentifizierungsverfahren
Inhalt
XV
III. Zugang und Ausführung 141 D. Missbrauch und Haftung im Online-Banking 142 142 I. Missbrauchsszenarien im Online-Banking 142 . Phishing und Spoofing . Pharming und Domain-Spoofing 143 144 . Man-in-the-Middle-Angriff 144 . Man-in-the-Mobile-Angriff II. Risikoverteilung und Haftung 145 145 . Haftung des Zahlungsdienstleisters . Haftung des Zahlungsdienstnutzers 147 E. Ergebnis der Analyse von Online-Überweisungen 161 162 . Abschnitt: Online-Lastschrift A. Anwendbarkeit des Zahlungsdiensterechts 162 B. Vertragliche Abrede über die Online-Nutzung 162 163 C. Formerfordernis im E-Commerce D. Autorisierung und Beweislast 165 167 E. Notwendigkeit einer starken Kundenauthentifizierung F. Das Haftungsregime bei Lastschriftzahlungen 167 I. Der bedingte Erstattungsanspruch des § 675x Abs. 1 BGB n. F. 168 II. Das bedingungsfreie Erstattungsrecht des § 675x Abs. 2 BGB 169 n. F. III. Sonstige Ansprüche des Zahlungsdienstnutzers nach §§ 675y, 675z BGB und Rechtsfolgen eines Betrugs 170 170 G. Ergebnis der Betrachtung der Online-Lastschrift . Abschnitt: Online-Kreditkarten-Zahlung 171 171 A. Anwendbarkeit des Zahlungsdiensterechts 173 B. Gesonderter Abschluss eines Kreditkartenvertrags C. Zahlungsdienstrechtliche Besonderheiten der 3D Secure Verfahren 173 I. Vertragliche Vereinbarungen über das zusätzliche Authentifizierungsverfahren 173 174 II. Passwortgestütztes Authentifizierungsverfahren III. App oder mTAN-basiertes Authentifizierungsverfahren 174 D. Autorisierung und das Erfordernis der starken 175 Kundenauthentifizierung I. Rechtslage unter Geltung der MaSI 175 II. Neue Rechtslage unter Geltung der PSD II ab dem 14. 09. 2019 175 E. Risikoverteilung und Haftung 176
XVI
Inhalt
I.
Anscheinsbeweis und die Haftung des Zahlungsdienstleisters 176 177 II. Haftung des Zahlungsdienstnutzers 177 . Einsatz der Kreditkarte mit 3D Secure Verfahren . Einsatz der Kreditkarte ohne Sicherheitsverfahren 178 . Abschnitt: Gesamtbetrachtung der klassischen Zahlungsdienste im 180 Internet Teil : Zahlungsauslösedienste 182 . Abschnitt: Anwendbarkeit des Zahlungsdiensterechts 182 184 . Abschnitt: Der Tatbestand des Zahlungsauslösedienstes A. Wortlaut und Gesetzessystematik 184 B. Telos der Norm 186 187 C. Zwischenergebnis . Abschnitt: Organisationsrahmen der Parteien 187 188 A. Kontrahierungszwang durch die PSD II? B. Rechtliche Einordnung der Funktion des Zahlungsauslösedienstleisters 189 190 C. Rechte und Pflichten der beteiligten Parteien I. Vertragliche Pflichten des 190 Zahlungsauslösedienstleisters II. Gesetzliche Informations- und Mitteilungspflichten 191 III. Pflichten nach dem ZAG 192 193 . Beantragung einer Tätigkeitserlaubnis . Anfangskapital und Eigenmittelanforderungen 193 193 . Vorgaben zum Datenschutz . Sonstige spezifische Pflichten nach § 49 Abs. 1 ZAG n. F. 197 IV. Rechtsverhältnis zum kontoführenden 197 Zahlungsdienstleister . Abschnitt: Besonderheiten des Zahlungsvorgangs 198 198 A. Unwiderruflichkeit des Zahlungsvorgangs B. Autorisierung und starke Kundenauthentifizierung 199 200 C. Auswirkungen auf die Autorisierung im Deckungsverhältnis 202 . Abschnitt: Risikoverteilung und Haftung A. Spezielle Missbrauchsrisiken bei der Nutzung von Zahlungsauslösediensten 202 B. Haftung von Zahlungsauslösedienstleistern gegenüber 203 Zahlungsdienstnutzern
Inhalt
XVII
C.
Regressansprüche des kontoführenden Zahlungsdienstleisters 203 204 I. Tatbestand der Regresshaftung II. Beweislastverteilung zwischen den beteiligten Zahlungsdienstleistern 205 206 III. Rechtsfolge des Regressanspruchs 207 IV. Sonstige zivilrechtliche Ansprüche D. Haftung des Kunden für Schäden des 207 Zahlungsauslösedienstleisters . Abschnitt: Ergebnis 208 210 Teil : Online-Zahlungssysteme auf E-Geld-Basis . Abschnitt: Anwendbarkeit des zivilrechtlichen Zahlungsdiensterechts 210 A. PayPal-Geschäftstätigkeiten im deutschen Zahlungsdiensterecht 212 I. Anwendbarkeit der nationalen Umsetzungsvorschriften zur 212 PSD I und PSD II II. PayPal-Guthaben als E-Geld-Beträge i. S. d. Art. 2 Nr. 2 E-GeldRL 213 B. Prepaid-Guthaben als E-Geld-Beträge i. S. d. § 1 Abs. 2 S. 3 ZAG 214 n. F. C. Bereichsausnahmen des E-Geld-Tatbestands gem. § 1 Abs. 2 S. 4 ZAG n. F. 216 217 . Abschnitt: Organisationsrahmen der Parteien A. „PayPal Law“ im deutschen Rechtssystem 217 219 I. Besondere Rechte und Pflichten 219 . Vertragliches Stundungsrecht, Nr. 6c PayPal-AGB . Gründe für eine fristlose Kündigung durch PayPal, Nr. 7 PayPal-AGB 219 . Sicherheitsmaßnahmen nach Nr. 9.2 PayPalAGB 222 . Käufer- und Verkäuferschutz gem. Nr. 11 und 13 PayPal223 AGB . Vereinbarkeit des Zurückhaltens von Zahlungen mit 228 § 675t Abs. 1 S. 1 BGB n. F.? . Recht zur Guthabensperre gem. Nr. 10.2 PayPalAGB 229 232 II. Datenschutzvereinbarung III. Gebühren und Entgelte 232
XVIII
Inhalt
B.
Vereinbarungen über die Ausgabe von E-GeldZahlungsinstrumenten 233 233 I. Paysafecard-Zahlungsverfahren 234 II. Prepaid-Kreditkarten . Abschnitt: Zahlungsvorgänge auf E-Geld-Basis 235 235 A. PayPal-Zahlungsvorgänge I. Indirekte Geltung luxemburgischen Rechts im zivilrechtlichen 235 Deckungsverhältnis? 237 II. Zugriff auf das PayPal-Konto III. Autorisierung und das Erfordernis der starken Kundenauthentifizierung 238 . Verwaltungsrechtliche Authentifizierungspflicht nach den 239 Circulaire CSSF 15/603 . Verstärkte Authentifizierung nach Art. 97 PSD II 240 244 IV. Zugang und Ausführung eines Zahlungsauftrags V. Anwendung der Grundsätze des Anscheinsbeweises 245 246 B. E-Geld-Zahlungsvorgänge im Paysafecard-Verfahren . Abschnitt: Risikoverteilung und Haftung 247 A. Haftung im Zusammenhang mit der Nutzung des PayPalZahlungssystems 247 247 I. Haftung von PayPal . Haftung für unautorisierte Zahlungsvorgänge i. S. d. § 675u S. 1 BGB n. F. 247 . Haftung für Nicht-, Schlecht- oder Spätleistungen i. S. d. 248 § 675y BGB n. F. II. Haftung des Zahlungsdienstnutzers i. S. d. § 675v BGB n. F. 249 . Das Smartphone als Zahlungsinstrument i. S. d. Zahlungsdiensterechts? 249 . Beschränke Haftung i. S. d. § 675v Abs. 1 und 2 BGB 250 n. F. . Unbeschränkte Haftung i. S. d. § 675v Abs. 3 BGB n. F. 250 . Haftungsausschluss und -wechsel gem. § 675v Abs. 4 BGB n. F. 251 . Auswirkungen von Betrug im Valutaverhältnis auf die 252 Haftung des Nutzers III. Exkurs: Einlagensicherung und PayPal – Risiken für den Verwender? 253
Inhalt
Haftungsverteilung bei der Nutzung von PrepaidZahlungssystemen 255 I. Redaktioneller Fehler im Verweis des Art. 63 PSD II? 257 II. Haftung bei Verlust der Paysafecard-Daten . Abschnitt: Ergebnis 257
XIX
B.
255
260 Teil : Remote Payments im E-Commerce . Abschnitt: Anwendbarkeit des Zahlungsdiensterechts 260 260 A. Remote Payments an den App-Store-Betreiber I. Zahlungsdienstrechtliches Drei-Personen-Verhältnis 261 . Vertragspartner des App-Store-Kunden bei App- oder In261 App-Käufen . Zahlungsdienstrechtliche Irrelevanz des Valutaverhältnisses 263 II. Rechtliche Qualifikation von Remote Payments im AppStore 264 264 . E-Geld-Geschäft i. S. d. § 1 Abs. 2 S. 2 ZAG n. F. . Akquisitionsgeschäft i. S. d. § 1 Abs. 1 S. 2 Nr. 5 ZAG n. F. 265 . Finanztransfergeschäft i S. d. § 1 Abs. 1 S. 2 Nr. 6 ZAG 266 n. F. 269 III. Inanspruchnahme einer Bereichsausnahme des ZAG . Privilegierung als Handelsvertreter gem. § 2 Abs. 1 Nr. 2 ZAG n. F. 269 . Anwendbarkeit der Bereichsausnahme des begrenzten Netzes gem. § 2 Abs. 1 Nr. 10 lit. a Var. 1 ZAG n. F. auf virtuelle Geschäftsräume? 272 . Qualifizierung des App-Store-Sortiments als limitierte Produktpalette i. S. d. § 2 Abs. 1 Nr. 10 lit. b ZAG 273 n. F.? 274 B. Zahlungen im Direct Carrier Billing-Verfahren I. Der Wegfall des digitalisierten Zahlungsgeschäfts in der PSD II 275 II. Privilegierung von Mobilfunkanbietern gem. § 2 Abs. 1 Nr. 11 ZAG n. F. 276 III. Direct Carrier Billing als E-Geld-Geschäft gem. § 1 Abs. 2 S. 3 277 ZAG n. F.? IV. Die Zahlungstätigkeiten von Payment Providern 278 279 C. Zwischenergebnis
XX
Inhalt
. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing 280 A. Die Vertragsparteien und der Payment Provider als Vertragspartner 280 B. Organisationsrahmen und Zahlungsinstrumente des Direct Carrier Billing 282 283 C. Autorisierung und starke Kundenauthentifizierung I. Autorisierung des Direct Carrier Billing 283 Zahlungsvorgangs II. Zusätzliche Autorisierung im Hinblick auf das hinterlegte Zahlungsmittel 283 III. Erfordernis der starken Kundenauthentifizierung für den 284 Finanztransfer D. Risikoverteilung und Haftung 285 I. Haftung für unautorisiertes Direct Carrier Billing 285 286 II. Haftung des Zahlungsdienstnutzers . Aufwendungsersatzanspruch des 286 Zahlungsdienstleisters . Schadensersatzansprüche des Zahlungsdienstleisters 289 III. Flankierender zahlungsdienstrechtlicher Schutz des 290 Mobilfunkkunden 291 . Abschnitt: Ergebnis Teil : M-Payments im Präsenzverfahren 293 293 . Abschnitt: Kartengestützte M-Payments A. Anwendbarkeit des Zahlungsdiensterechts 294 B. Autorisierung und das Erfordernis der starken 295 Kundenauthentifizierung C. Risikoverteilung und Haftung 296 296 I. Missbrauchsszenarien 297 II. Haftung des Zahlungsdienstleisters . Anwendbarkeit der §§ 675u, 675v BGB n. F. auf E-GeldKreditkarten 297 . Abdingbarkeit der §§ 675u, 675v BGB n. F. 297 . Anscheinsbeweis und Haftung für unautorisierte 299 Zahlungsvorgänge III. Haftung des Zahlungsdienstnutzers 302 . Beschränke Haftung nach § 675v Abs. 1 und 2 BGB n. F. 302
Inhalt
.
Unbeschränkte Haftung nach § 675v Abs. 3 BGB n. F. 303 . Haftungsausschluss bei fehlender starker 304 Kundenauthentifizierung . Abschnitt: Smartphone-gestützte M-Payments 305 305 A. Anwendbarkeit des Zahlungsdiensterechts 305 I. Digitalisiertes Kreditkartengeschäft II. Zahlungskettensystem bei Verwendung des Vodafone307 Wallet . Der Mobilfunkanbieter als technischer Dienstleister 307 307 . Die Rolle des Payment Providers . Der Zahlungsdienstleister der hinterlegten Zahlungsquelle 308 308 B. Organisationsrahmen und Vertragsbeziehungen I. Digitalisiertes Kreditkartengeschäft 308 309 II. Zahlungskettensysteme C. Autorisierung smartphonegestützter Zahlungen 310 I. Das Smartphone als Zahlungszugangsmedium oder Zahlungsinstrument? 310 II. Doppelter Autorisierungsgehalt bei 311 Zahlungskettensystemen? III. Erforderlichkeit und Ausnahmen der starken Kundenauthentifizierung 311 313 D. Risikoverteilung und Haftung I. Anwendbarkeit der §§ 675u, 675v BGB n. F. 313 313 II. Missbrauchsszenarien 314 III. Haftung des Zahlungsdienstleisters . Richtiger Anspruchsgegner bei Zahlungskettensystemen 314 . Anwendung der Grundsätze des Anscheinsbeweises 315 316 IV. Haftung des Zahlungsdienstnutzers . Beschränkte Haftung nach § 675v Abs. 1 und 2 BGB n. F. 316 . Unbeschränkte Haftung nach § 675v Abs. 3 BGB 317 n. F. . Abschnitt: Ergebnis 319
XXI
XXII
Inhalt
Teil : Kryptowährungen im Zahlungsdiensterecht
320
Teil : Ergebnis und Fazit 322 . Abschnitt: Stärken und Schwächen der einzelnen Zahlungsdienste 322 322 A. Internet-Zahlungssysteme 325 B. Smartphone-gestützte Zahlungssysteme C. Kryptowährungen 327 . Abschnitt: Handlungsempfehlungen für die Anbieter von Zahlungsverfahren 327 . Abschnitt: Legislative Versäumnisse und Bewertung des neuen 329 Rechtsrahmens Literaturverzeichnis
332
Abkürzungsverzeichnis aA aaO a. F. ABl. EG ABl. EU Abs. AEUV AG AGB AktG Anm. API App Art. Aufl. BaFin BB Bd. BDSG BeckRS BGB BGBl. BGH BGHZ BKA BKR BLE BT BT-Drs. bzw. ca. CB CVC CR CRR-Kreditinstitut d. h. DB ders. Diss. DKW DNS DuD Drucks.
andere Auffassung am angegebenen Ort alte Fassung Amtsblatt der Europäischen Gemeinschaft Amtsblatt der Europäischen Union Absatz, Absätze Vertrag über die Arbeitsweise der Europäischen Union Aktiengesellschaft / Amtsgericht Allgemeine Geschäftsbedingungen Aktiengesetz Anmerkung Application-Programming-Interface Applikation Artikel Auflage Bundesanstalt für Finanzdienstleistungsaufsicht Betriebsberater Band Bundesdatenschutzgesetz BeckOnline Rechtsprechung, elektronische Entscheidungsdatenbank Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Entscheidungen des Bundesgerichtshofs in Zivilsachen, Zeitschrift Bundeskriminalamt Zeitschrift für Bank- und Kapitalmarktrecht Bluetooth-Low-Energy Bundestag Bundestag Drucksache Beziehungsweise Circa Compliance Berater, Zeitschrift Card Validation Code Computer und Recht, Zeitschrift Capital-Requirements-Regulation-Kreditinstitut (Einlagenkreditinstitut) das heißt Der Betrieb, Zeitschrift Derselbe Dissertation Deutsche Kreditwirtschaft Domain Name System Datenschutz und Datensicherheit, Zeitschrift Drucksache
https://doi.org/10.1515/9783110671629-002
XXIV
DSGVO EBA EBA-VO EGBGB E-Geld-RL EG EGV EL EPC EU EuCML EUGH EUV EUZW EWG EWIR EZB f. FAZ ff. FinTechs Fn. FS gem. GewArch ggf. GmbH GRUR GWR HBCI (HBCI)-FinTS HCE hM HGB Hg. i. d. R. ID iE IP IRZ i. S. d. i. S. v. iTAN i. V. m. jurisPR-BKR Kap.
Abkürzungsverzeichnis
Datenschutzgrundverordnung European Banking Authority Verordnung zur Errichtung einer Europäischen Bankaufsichtsbehörde Einführungsgesetz zum BGB Zweite E-Geld Richtlinie Europäische Gemeinschaft Vertrag zur Gründung der Europäischen Gemeinschaft Ergänzungslieferung European Payments Council Europäische Union Journal of European Consumer and Market Law Europäischer Gerichtshof Vertrag über die Europäische Union Europäische Zeitschrift für Wirtschaftsrecht Europäische Wirtschaftsgemeinschaft Entscheidungen zum Wirtschaftsrecht, Zeitschrift Europäische Zentralbank Folgend Frankfurter Allgemeine Zeitung Folgende Finanztechnologie-Unternehmen Fußnote Festschrift Gemäß Gewerbearchiv, Zeitschrift Gegebenenfalls Gesellschaft mit beschränkter Haftung Gewerblicher Rechtsschutz und Urheberrecht, Zeitschrift Gesellschafts- und Wirtschaftsrecht, Zeitschrift Homebanking Computer Interface, Authentifizierungsverfahren Financial Transaction Services, Weiterentwicklung des HBCI-Verfahrens Host-Card-Emulation herrschende Meinung Handelsgesetzbuch Herausgeber in der Regel Identifikation Im Ergebnis Internet Protokoll Zeitschrift für Internationale Rechnungslegung im Sinne des/der im Sinne von Indizierte Transaktionsnummer in Verbindung mit Presserundschau des Rechtsportals juris im Bereich des Bank- und Kapitalmarktrechts Kapitel
Abkürzungsverzeichnis
KG Kom. KWG K&R LG lit. lt. Ltd. MaSI MMR mTAN mwN n. F. n. rkr. NFC NJOZ NJW NJW-RR Nr. OLG PCIDSS PIN POS PSD I PSD II PSP P2P QR-Code RegBeg RegE RL Rn. RTS RTS-E S. SE SEPA SEPA-VO SigG sog. StRspr SZ TAN TKG UAbs. u. a.
Kammergericht (Europäische) Kommission Gesetz über das Kreditwesen Kommunikation und Recht, Zeitschrift Landgericht Littera (Buchstabe) laut Limited (die angelsächsische GmbH) Mindestanforderungen an die Sicherheit von Internetzahlungen MultiMedia und Recht, Zeitschrift mobile TAN mit weiteren Nachweisen Neue Fassung nicht rechtskräftig Near-Field-Communication Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift, Zeitschrift Neue Juristische Woche – Rechtsprechungsreport Nummer Oberlandesgericht Payment Card Industry Data Security Standards Personal Identification Number Point of Sale Payment Services Directive I (Erste Zahlungsdiensterichtlinie) Payment Services Directive II (Zweite Zahlungsdiensterichtlinie) Payment Services Provider Peer-to-Peer Quick-Response-Code Regierungsbegründung Regierungsentwurf Richtlinie Randnummer Regulatory Technical Standards (technische Regulierungsstandards der Europäischen Kommission i. S. d. Art. 98 Abs. 4 PSD II = VO 2018/389) RTS-Entwurf der Europäischen Bankaufsichtsbehörde Seite Secure Element Single European Payments Area SEPA-Verordnung Signaturgesetz sogenannte/r/s Ständige Rechtsprechung Süddeutsche Zeitung Transaktionsnummer Telekommunikationsgesetz Unterabsatz unter anderem
XXV
XXVI
Urt. USA v. vgl. VO Vorbem VuR WM WpHG ZAG ZAG-E z. B. ZBB ZD Ziff. ZIP zit. ZPO ZVertriebsR ZVI
Abkürzungsverzeichnis
Urteil Vereinigte Staaten von Amerika vom vergleiche Verordnung Vorbemerkungen Verbraucher und Recht (Zeitschrift) Wertpapier-Mitteilungen (Zeitschrift) Gesetz über den Wertpapierhandel Zahlungsdiensteaufsichtsgesetz Regierungsentwurf für das neue Zahlungsdiensteaufsichtsgesetz Zum Beispiel Zeitschrift für Bankrecht und Bankwirtschaft Zeitschrift für Datenschutz Ziffer Zeitschrift für Wirtschaftsrecht zitiert Zivilprozessordnung Zeitschrift für Vertriebsrecht Zeitschrift für Verbraucher- und Privat-Insolvenzrecht
Einleitung Die Digitalisierung ist eines der großen Themen der heutigen Zeit. Kaum ein Tag vergeht, an dem nicht über Vor- und Nachteile sowie über Chancen und Risiken debattiert wird. Auch im Bundestagswahlkampf 2017 war die Digitalisierung wesentlicher Bestandteil einiger Wahlprogramme. Schließlich geht es neben dem Aufbau der notwendigen digitalen Infrastruktur insbesondere darum, die Menschen und die Industrie auf den digitalen Wandel vorzubereiten. Die digitalisierte Industrie, auch als Industrie 4.0. bezeichnet, soll nach der Ansicht zahlreicher Experten einen ähnlichen Effekt wie die letzte Industrierevolution im 19. Jahrhundert haben. Daher steht die Politik in der Verantwortung, die notwendigen rechtlichen Weichen zu stellen, damit die positiven Aspekte der Digitalisierung die negativen Folgen auch in Zukunft überwiegen. Aktuell besteht noch reichlich Nachholbedarf. Denn beim digitalen Fortschritt liegt die Bundesrepublik im internationalen Vergleich, wie eine Studie des IMD World Competitiveness Centers zeigt, deutlich hinter Ländern wie Schweden, Finnland, Dänemark oder den USA.¹ Im Vergleich zum Vorjahr hat Deutschland sogar zwei Plätze eingebüßt und belegt im globalen Ranking nur noch Platz 17.² Möglicherweise ist das bisherige Nachsehen sowohl Ursache als auch Folge der Skepsis, mit der die deutsche Bevölkerung der Digitalisierung entgegensteht. Dabei haben sich die Deutschen längst an die vielen Vorteile gewöhnt. Klassische Bankgeschäfte, wie etwa die Bargeldabhebung oder die Überweisung, werden in der Regel nicht mehr am Bankschalter oder mit einem papiergebundenen Überweisungsträger, sondern elektronisch am Bankautomaten erledigt. Die Digitalisierung der Kommunikationswege macht sich auch im Bereich stationärer Zahlungen bemerkbar, wo beleggebundene Zahlungsverfahren immer häufiger einer digitalisierten Variante weichen. Internet- und Smartphonegestützte Zahlungssysteme sind überhaupt erst durch die Digitalisierung möglich geworden, weshalb sie als Produkt des digitalen Fortschritts auch den maßgeblichen Untersuchungsgegenstand bilden. Die Erfolgsgeschichte des Online-Handels, zu neudeutsch E-Commerce, hat an dieser Entwicklung einen erheblichen Anteil. Mittlerweile werden fast 9 % des gesamten Einzelhandelsumsatzes über das Internet erwirtschaftet. Die Tendenz
IMD World Competitiveness Center, World Digital Competitiveness Yearbook 2017 Results, abrufbar unter: https://www.imd.org/globalassets/wcc/docs/release-2017/world_digital_competi tiveness_yearbook_2017.pdf, zuletzt abgerufen am 10.04. 2019. IMD World Competitiveness Center,World Digital Competitiveness Yearbook 2017 Results, S. 28. https://doi.org/10.1515/9783110671629-003
2
Einleitung
ist steigend.³ Der E-Commerce bietet dem Nutzer schließlich viele Annehmlichkeiten. Bücher, Kleidung und Haushaltsgeräte müssen nicht mehr in unterschiedlichen Geschäften erworben werden, sondern können mit einem einfachen Mausklick per Post nach Hause bestellt werden. In den Anfängen des E-Commerce wurden Online-Bestellungen regelmäßig per Rechnung oder durch Erteilung eines Lastschriftmandats bezahlt. Beiden Verfahren ist gemein, dass ein Zahlungseingang erst nach einigen Tagen verbucht werden kann, sodass das Bestellverfahren inklusive der Lieferung per Post oftmals einige Tage in Anspruch nahm. Lediglich die Bezahlung mittels Kreditkarte im Mail-Order-Verfahren, also der Übermittlung der Kreditkartendaten zur Erstellung eines Leistungsbelegs, ermöglichte eine zeitnahe Abbuchung. Neben der Etablierung der klassischen Bezahlverfahren in Gestalt von Überweisung, Lastschrift und Kreditkarte als Online-Zahlungssysteme, haben sich seit der Jahrtausendwende zahlreiche reine Online-Bezahlverfahren entwickelt. Prominentester Anbieter ist dabei das kalifornische Unternehmen PayPal, das als ursprünglich auf die Online-Auktionsplattform eBay zugeschnittenes Bezahlverfahren mittlerweile universell im Netz Anwendung findet. Des Weiteren existieren seit einigen Jahren Anbieter wie die Sofortüberweisung GmbH, welche die Online-Überweisung dadurch beschleunigen, dass sie dem Zahlungsempfänger Gewissheit über die Auslösung verschaffen, sodass dieser zur Abwicklung nicht mehr den Zahlungseingang abwarten muss. Anbieter innovativer Bezahlverfahren beschränken sich jedoch nicht mehr ausschließlich auf den Markt des E-Commerce. Schließlich wird der dominierende Anteil am gesamten Umsatz des Einzelhandels weiterhin stationär erwirtschaftet. Die Ziele der Anbieter sind daher hochgesteckt. So soll nicht nur das Bargeld faktisch überflüssig gemacht werden. Auch Portemonnaies sollen der Vergangenheit angehören, indem Zahlungskarten, Bonuskarten und Gutscheine digital auf dem Smartphone hinterlegt werden können. Die Verlagerung des Zahlungsverkehrs in die digitale Welt lockt jedoch nicht nur Nutzer und Zahlungsdienstleister, sondern auch Kriminelle an. Mit anfangs noch rudimentären, mittlerweile aber äußerst raffinierten Methoden versuchen Betrüger, an Zahlungsdaten zu gelangen, Zahlungsströme umzuleiten oder mit gefälschten Websites ahnungslose Nutzer zu schädlichen Zahlungstransfers zu bewegen. Das Spannungsfeld zwischen Sicherheit auf der einen und Nutzerfreundlichkeit auf der anderen Seite tritt im entpersonalisierten und anonymen
Cornelia Dörries, Online-Handel: Grenzen des Wachstums in Sicht, erschienen am 06.01. 2016, abrufbar unter: https://handelsjournal.de/2016/01/06/markt/dwolf/onlinehandel-grenzen-deswachstums-in-sicht/, zuletzt abgerufen am 10.04. 2019.
Einleitung
3
Umfeld der virtuellen Welt besonders zutage. Mit der Frage der Sicherheit hängt überdies untrennbar die Frage nach der Haftung zusammen, soweit erfolgreiche Cyberattacken auf Zahlungssysteme oder Zahlungsdienstnutzer durchgeführt werden. Diese Fragen sollen für die bereits erwähnten Internet- und Smartphone-basierten Zahlungslösungen im Rahmen dieser Arbeit beantwortet werden. Das zugrunde liegende Recht ist stark durch die europäische Gesetzgebung geprägt. Mit nunmehr zwei Zahlungsdiensterichtlinien aus den Jahren 2009 und 2015 hat der europäische Gesetzgeber ein europaweit harmonisiertes Zahlungsdiensterecht geschaffen. Infolge der Überarbeitung des bestehenden Rechtsrahmens der ersten Zahlungsdiensterichtlinie erfolgte neben der Anpassung in sachlicher Hinsicht sowie der Erweiterung des räumlichen Anwendungsbereichs, insbesondere die Regulierung von Unternehmen, die nicht den klassischen Kredit- und Zahlungsinstituten entsprechen und daher vom alten Zahlungsdiensterecht nicht erfasst wurden. Aufgrund der am 13.01. 2018 abgelaufenen Umsetzungsfrist für die zweite Zahlungsdiensterichtlinie betrachtet diese Arbeit nicht nur die Änderungen, die die neuen Vorgaben mit sich bringen, sondern beleuchtet auch den erfolgten Umsetzungsprozess auf nationaler Ebene. Maßgeblicher Untersuchungsgegenstand sind daher die zahlungsdienstrechtlichen Vorgaben, die im Schwerpunkt das zwischen Zahlungsdienstleister und Zahlungsdienstnutzer bestehende Vertragsverhältnis zum Gegenstand haben. Deliktische und bereicherungsrechtliche Fragen sind nicht Bestandteil dieser Arbeit. Aufsichtsrechtliche Vorgaben, die im Verhältnis der Zahlungsdienstleister zur jeweiligen Aufsichtsbehörde von Bedeutung sind, werden an den für die zivilrechtliche Untersuchung relevanten Stellen berücksichtigt. Räumlich beschränkt sich die Arbeit auf den innerdeutschen beziehungsweise innereuropäischen Zahlungsverkehr, sodass unionsgrenzüberschreitende Zahlungen sowie Zahlungen in Drittstaatenwährungen unbetrachtet bleiben. Die Untersuchung stellt im ersten Teil mit einer übersichtsartig die bestehenden Zahlungssysteme dar. Im zweiten Teil wird das Grundgerüst des Zahlungsdiensterechts, also die europarechtlichen Vorgaben, die Änderungen durch die zweite Zahlungsdiensterichtlinie sowie die nationale Umsetzung näher beleuchtet, um in den Teilen 3 – 5 eine konkrete Betrachtung von Online-Zahlungssystemen vornehmen zu können. Hierunter fallen Giralgeldzahlungen – Online-Überweisung, Online-Lastschrift und Online-Kreditkartenzahlung, Zahlungen über Zahlungsauslösedienstleister und Online-Zahlungen auf E-Geld-Basis. Teil 6 und 7 beinhalten die Untersuchung von Zahlungen, die über mobile Geräte wie Smartphone oder Smartwatch erfolgen, jedoch nicht den vorgenannten Zahlungen entsprechen. Online-Zahlungen können zwar von jedem internetfä-
4
Einleitung
higen Gerät, also auch mittels Smartphones, initiiert werden, umgekehrt jedoch sind bestimmte Zahlungen nur dem Smartphone vorbehalten. Dabei handelt es sich insbesondere um kontaktlose Zahlungen im stationären Handel oder um Zahlungen per Prepaid-Guthaben oder über die Handyrechnung. Die Differenzierung zwischen echter Mobile-Zahlung und einer Online-Zahlung erfolgt dabei geräteunabhängig anhand des Einsatzortes. Echte Mobile-Zahlungen sind daher nur Zahlungen im stationären Handel, während Zahlungen über die Handyrechnung eine größere Nähe zum Online-Zahlungsverkehr aufweisen. Abschließend werden in Teil 8 die in letzter Zeit sehr populären Kryptowährungen beleuchtet. Im Anschluss erfolgt eine Zusammenfassung der gefundenen Ergebnisse, um so einerseits Handlungsempfehlungen für Zahlungsdienstleister sowie für die am legislativen Prozess beteiligten Organe herauszuarbeiten und andererseits die Vor- und Nachteile der jeweiligen Zahlungssysteme gegeneinander abzuwägen. Zudem soll die Frage beantwortet werden, ob der europäische Rechtsrahmen bestehende Zahlungsverfahren interessengerecht erfasst und gleichzeitig für zukünftige Zahlungsverfahren ausreichend gerüstet ist.
Teil 1: Der moderne Zahlungsverkehr im Überblick Der moderne Zahlungsverkehr beinhaltet eine Vielzahl von Zahlungsinstrumenten, welche aufgrund des voranschreitenden technologischen Fortschritts sowohl in ihrer technischen Ausgestaltung als auch in ihrer Funktionsweise stark voneinander divergieren. Der Gesetzgeber kann bei dem Tempo der Weiterentwicklung bestehender Zahlungsinstrumente und den zahlreichen Neuentwicklungen nicht immer Schritt halten, weshalb die rechtliche Behandlung zuweilen den Ansprüchen hinterherhinkt. Insbesondere Legaldefinitionen sind nur partiell aufzufinden. Dessen ungeachtet ist allen Zahlungsinstrumenten eines gemeinsam. Sie verfolgen den Zweck, Eigentumsrechte und eigentumsähnliche Rechte an Zahlungsmitteln zu übertragen. Hieran historisch anknüpfend, lassen sich verschiedene Gruppen von Zahlungsinstrumenten bilden, da das Recht des Zahlungsverkehrs Spiegelbild seiner technischen Evolution ist.⁴ Die Etablierung neuer Zahlungsverfahren setzt denknotwendig die Akzeptanz der Nutzer voraus, die wiederum eng mit der Rechtssicherheit einer entsprechenden Rechtslage zusammenhängt. Die historische Betrachtung ermöglicht eine Abgrenzung von jahrhundertealten Zahlungsarten wie Bargeldzahlung, Scheck und Wechsel gegenüber den Zahlungsmitteln der jüngeren Vergangenheit wie Überweisung, Lastschrift und Kartenzahlung bis hin zu den modernen internet- oder mobiltelefonbasierten Zahlungsmitteln. Auf diese Weise lässt sich nicht nur die Entwicklungsgeschichte des Zahlungsverkehrs, sondern auch die Funktionsweise der verschiedenen Zahlungsinstrumente beurteilen, die oftmals nur eine effiziente und innovative Weiterentwicklung der zum Entstehungszeitpunkt bereits vorhandenen Zahlungsinstrumente sind.
1. Abschnitt: Konventionelle Zahlungsinstrumente Die althergebrachten Bankgeschäfte, die den Zahlungsverkehr seit Jahrhunderten prägen, bilden einen Grundpfeiler des Bankwesens. Sie sind neben der Kreditvergabe das Herzstück der traditionellen Geschäftstätigkeit der Banken.⁵ Es handelt sich dabei einerseits um die Ermöglichung des Barzahlungsverkehr durch die Vgl. Omlor, ZIP 2016, 558 (559). BaFin, Merkblatt: „Bezahlverfahren im Internet“, 01.01. 2014, abrufbar unter: https://www.ba fin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2014/fa_bj_1404_bezahlverfahren_im_ internet.html, zuletzt abgerufen am 10.04. 2019. https://doi.org/10.1515/9783110671629-004
6
Teil 1: Der moderne Zahlungsverkehr im Überblick
Ausgabe barer Zahlungsmittel und andererseits um die Durchführung des bargeldlosen Zahlungsverkehrs durch das Vorhalten entsprechender Verrechnungsstellen.
A. Barzahlungsverkehr Die Ursprünge des baren Zahlungsverkehrs, wie wir ihn heute kennen, gehen bis in das 7. Jahrhundert vor Christus zurück.⁶ Damals lösten aus Edelmetall bestehende Barren die Bezahlung mittels Naturalien ab.⁷ Zur Erleichterung der Bezahlung wurden aus den Barren gleichschwere Teile hergestellt, sodass das Wiegen der einzelnen Platten entbehrlich wurde.⁸ Der Wertgehalt der damaligen Metallplatten bestimmte sich nach Gewicht und Feingehalt, sodass weiterhin die Feststellung dieser Merkmale für einen Bezahlvorgang erforderlich war.⁹ Um diesen Vorgang zu beschleunigen, wurden mit der Zeit die wertgebenden Merkmale auf die Metallplatten geprägt: die Geburt der uns heute bekannten Münzen.¹⁰ Damals wie heute galt jedoch, dass ein Zahlungsmittel nur dann von der Gesellschaft akzeptiert wird, wenn die Zahlungsmittelnutzer ausreichend Vertrauen in dessen Werthaltigkeit haben. Indem staatliche Stellen die Prägung vornahmen, war das Vertrauen in die Integrität des Staates unabdingbare Voraussetzung für die Akzeptanz der Münzen. Da Rechtsstaatlichkeit im Altertum noch nichts besonders verbreitet war, verlief die Etablierung des Münzgeldes zunächst schleppend.¹¹ Der florierende Handel der Neuzeit bedingte die nächste große Evolution des Geldmarktes. Die Bezahlung mittels Münzen wurde den Anforderungen des Zahlungsverkehrs nicht mehr gerecht. So entstand im 17. Jahrhundert das Bedürfnis, ein umlauffähigeres und vom Metall unabhängiges Surrogat für Münzen zu schaffen. Die Entstehungsgeschichte von Papiergeld, Scheck und Wechsel lässt
Gerloff, Die Entstehung des Geldes und die Anfänge des Geldwesens, S. 77; Häde, in: Hahn/ Häde, Währungsrecht, § 1 Rn. 9; Helfferich, Das Geld, S. 25; Kaulla, Rechtsstaat und Währung, S. 18. Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 8; Helfferich, Das Geld, S. 20; MünchKommBGBGrundmann, § 245 Rn. 5. Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 8. Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 9. Gerloff, Die Entstehung des Geldes und die Anfänge des Geldwesens, S. 76 f; Häde, in: Hahn/ Häde, Währungsrecht, § 1 Rn. 9; Helfferrich, Das Geld, S. 25. Ausführlicher zum Zusammenhang von Münzgeld und Rechtsstaatlichkeit: Kaulla, Rechtsstaat und Währung, S. 18 ff.
1. Abschnitt: Konventionelle Zahlungsinstrumente
7
sich zwar kaum voneinander trennen, jedoch stellte ihr Auftreten die Weichen für die Abkehr vom Metallismus im Zahlungsverkehr. Mit der Verleihung der staatlichen Anerkennung für Banknoten als gesetzliches Zahlungsmittel im 19. und 20. Jahrhundert wurde die Unabhängigkeit vom Münzgeld im alltäglichen Zahlungsverkehr vollzogen.¹² Die endgültige Abkehr von Gold- und Silberwährungen vollzog sich erst mit Beginn des 1. Weltkriegs. Die kriegsführenden Nationen waren gezwungen die hohen Militärausgaben durch die Notenpresse zu finanzieren. Eine Rücktauschbarkeit in Edelmetalle war aufgrund der Geldschwemme nicht mehr zu gewährleisten. Der Verlust des Goldstandards wurde mit einem gesetzlich angeordneten Annahmezwang für Bargeld kompensiert. Seither sind bare Zahlungsmittel nur noch rein repräsentativer Natur, das von festgeschriebenen Gegenwerten unabhängig ist.¹³ Die allgemeine Verfügbarkeit von Bargeld wird seit einigen Jahrhunderten durch Banken sichergestellt. Auch wenn in der jüngeren Vergangenheit immer häufiger das Ende des Bargeldverkehrs angekündigt oder sogar gefordert wurde, ist Bargeld in Deutschland immer noch mit großem Abstand das meistverwendete Zahlungsmittel. Nach einer repräsentativen Studie der Bundesbank aus dem Jahr 2014 werden immer noch 53,2 % aller Umsätze im stationären Handel mit Bargeldmitteln beglichen, während die Girocard an zweiter Stelle lediglich einen Anteil von 29,4 % hat.¹⁴ Selbst unter Berücksichtigung des Online-Handels in dem Bargeldzahlungen nur über Umwege möglich sind,¹⁵ beträgt der Anteil von Bargeldzahlungen immer noch 48,7 %.¹⁶ Im Hinblick auf innovative Zahlungsinstrumente, die auf Giral- und E-Geld-Basis funktionieren, spielt Bargeld hingegen keine große Rolle. Die meisten Unternehmen, die auf moderner IT basierende Finanzdienstleistungen erbringen – neudeutsch „Fintechs“, als Akronym für Finanztechnologie¹⁷ –, verfolgen schließlich das Ziel, Bargeld zu ersetzen.¹⁸
Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 12 ff; Omlor, ZIP 2016, 558 (559). Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 11. Deutsche Bundesbank, „Zahlungsverhalten in Deutschland 2014“, veröffentlicht am 19.03. 2015, abrufbar unter: http://www.bundesbank.de/Redaktion/DE/Downloads/Veroeffentlichun gen/Studien/zahlungsverhalten_in_deutschland_2014.html, zuletzt abgerufen am 10.04. 2019. Siehe hierzu das Geschäftsmodell „Barzahlen“ des Unternehmens Cash Payment Solutions GmbH, bei dem man Zahlungsverpflichtungen aus Online-Einkäufen im stationären Handel begleichen kann, abrufbar unter: https://www.barzahlen.de/de/privatkunden/so-funktionierts, zuletzt abgerufen am 10.04. 2019. Der Anteil des E-Commerce am Umsatz des Einzelhandels beträgt 8,5 %, siehe: Cornelia Dörries, Online-Handel: Grenzen des Wachstums in Sicht, erschienen am 06.01. 2016, abrufbar unter: http://handelsjournal.de/2016/01/06/markt/dwolf/onlinehandel-grenzen-des-wachstumsin-sicht/, zuletzt abgerufen am 10.04. 2019. Kunz, in: Bräutigam/Rücker, E-Commerce, 12. Teil, A., Rn. 1; Jiménez, EuCML 2016, 219.
8
Teil 1: Der moderne Zahlungsverkehr im Überblick
B. Bargeldloser Zahlungsverkehr Zentrales Merkmal von baren Geldwerten ist ihre sofortige Verfügbarkeit. Der Begriff „bar“ hat seine Wurzeln in der germanischen Sprache und bedeutete ursprünglich „offen vor den Augen liegend“.¹⁹ Bei der Barzahlung wird also stets ein greifbarer Geldwert übereignet. Das Antonym „unbar“ beschreibt hingegen das Verschaffen eines Geldwertes auf eine andere Art und Weise als durch Bargeldübereignung. Der Empfänger gelangt dabei nicht unverzüglich an den monetären Wert, erhält jedoch ein gleichwertiges Äquivalent und erspart sich die Bargeldübereignung. Im Gegensatz zum Bargeldverkehr bedürfen die meisten unbaren Zahlungsinstrumente sowohl auf Seite des Zahlungspflichtigen als auch des Zahlungsempfängers Stellen, die das Verschieben von unbaren Geldwerten überhaupt erst ermöglichen. Erstmals überliefert wurde die Existenz solcher Stellen ca. 1700 vor Christus. Damals übergaben Vorratshäuser auf Anweisung des Inhabers Vorräte an Dritte.²⁰ Wirklich durchsetzen konnten sich jedoch die damaligen Verfahren nicht,²¹ sodass erst mit dem Entstehen der ersten Bankhäuser in Oberitalien im 12. Jahrhundert der heutige bargeldlose Zahlungsverkehr seinen Ursprung fand.²² Zur Verrechnung unbarer Geldwerte erschufen damals Kaufleute und Warenhändler eine auf Buchgeld basierende Infrastruktur.²³ Buchgeld bezeichnet daher die jederzeit abrufbaren Geldforderungen gegen Kreditinstitute.²⁴ Um diese Geldforderungen potentiellen Zahlungsempfängern
Es gibt hiervon auch Ausnahmen. In den USA gibt es eine App namens „Abra“, bei der Nutzer, die Bargeld benötigen, dieses bei anderen Nutzern der App, die sich in ihrer Nähe befinden, empfangen können. Der herausgebende Nutzer erhält vom Empfänger eine E-Geld-Zahlung über die App und fungiert wie ein Bankautomat; siehe Simon Zhen, New Startup to become the Uber of banks? Abra turns everyday people into ATMs, 17.06. 2015, https://www.mybanktracker.com/ news/new-startup-to-be-uber-of-banks-abra-turns-everyday-people-into-atms, zuletzt abgerufen am 10.04. 2019. DUDEN – Die deutsche Rechtschreibung, 26. Auflage, Berlin 2014; Wiktionary zu „bar“, abrufbar unter: https://de.wiktionary.org/wiki/bar, zuletzt abgerufen am 10.04. 2019; siehe auch Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 2. Klein, Deutsche Bankengeschichte, S. 14. BankR Hdb-Schmieder, § 46 Rn. 1. Omlor, ZIP 2016, 558 (559). Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 17 mwN; Münch, Giralgeld, S. 30; Köndgens, ZIP 2011, 481. MünchKommBGB-Grundmann, § 245 Rn. 6, wo Giralgeld auch als „Bankgeld“ bezeichnet wird; Münch, Giralgeld, S. 25 ff; Spareinlagen sind im Gegensatz zu Sichteinlagen sowie Kreditlinien kein Giralgeld (aA damals noch Münch, Giralgeld, S. 28, der jedoch bereits die Einebnung des Unterschieds zwischen Sichtguthaben und Kreditlinie aufgrund der Einführung elektronischer
1. Abschnitt: Konventionelle Zahlungsinstrumente
9
zugänglich zu machen, war ursprünglich die gleichzeitige Anwesenheit der beteiligten Personen zur Verrechnung der Guthaben erforderlich.²⁵ Die Ineffizienz dieser Methode führte jedoch schon bald dazu, dass die schriftliche Weisung des Zahlenden die physische Anwesenheit der Beteiligten ersetzte.²⁶
I. Scheck und Wechsel Zeitglich zur Entstehung des Bargeldes entwickelten sich im 12. und 13. Jahrhundert verbriefte Wertpapiere in Form von Scheck und Wechsel, die der Verbesserung der Umlauffähigkeit des Buchgeldes beziehungsweise bargeldloser Zahlungsverfahren dienten.²⁷ Der Scheck ist die erste Form der „Pull-Zahlung“.²⁸ Der Zahlungsimpuls geht dabei nicht vom Zahlungspflichtigen, sondern vom Zahlungsempfänger aus. Dieser erhält gegen Vorlage des vom Zahlungspflichtigen ausgestellten Schecks bei dem bezogenen Bankier gem. Art. 8, 54 ScheckG die vereinbarte Geldsumme vom Konto des Ausstellers in bar oder als Gutschrift auf seinem Konto. Der Wechsel, der zeitlich gesehen etwas früher entstand,²⁹ vollzieht sich als verbriefte Forderung ohne Rückgriff auf das Giralgeldsystem, da als Bezogener jede natürliche und juristische Person in Betracht kommt.³⁰ Der Inhaber des Wechsels – der Zahlungsempfänger – ist berechtigt, von einer Person zu einem bestimmten Zeitpunkt einen bestimmten Geldbetrag zu fordern. Scheck und Wechsel haben als Zahlungsmittel heute nur noch geringe Bedeutung.³¹ Angesichts des hohen Personalaufwands zur Herstellung und Abwicklung der urkundlichen Wertpapiere wird immer häufiger auf die kostengünstigeren bargeldlosen Zahlungsinstrumente zurückgegriffen.
Kassensysteme gesehen hat). Sie sind jedoch ohnehin für den Zahlungsverkehr gerade wegen der fehlenden flexiblen Abrufbarkeiten von geringem Interesse. Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 17; Münch, Giralgeld, S. 31. Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 17; Münch, Giralgeld, S. 31. Der Scheck entstand: im 13./14. Jahrhundert: Baumbach/Hefermehl/Casper, Scheckrecht Rn. 1; der Wechsel entstand: bereits im 12. Jahrhundert: Baumbach/Hefermehl/Casper, Wechselrecht Rn. 1. Staudinger-Omlor, § 675 f Rn. 31; die Begriffe „Pull“- (englisch für ziehen) und „Push“-Zahlung (englisch für schieben) beziehen sich auf den Zahlungsimpuls. Der Zahlungsempfänger „zieht“ die Zahlung an sich, während der Zahlende die Zahlung zum Zahlungsempfänger „schiebt“. Baumbach/Hefermehl/Casper, Wechselrecht Rn. 1. Bülow, in: WechselG, ScheckG, AGB, WG Rn. 2, 17. Baumbach/Hefermehl/Casper, Wechselrecht Rn. 70; Kilian/Heussen-Neumann, Teil 11 Rn. 2; Staub-Grundmann, Bd. 10/2, Dritter Teil, Rn. 1.
10
Teil 1: Der moderne Zahlungsverkehr im Überblick
II. Giralgeldsystem Der Grundstein des heutigen bargeldlosen Zahlungsverkehrs wurde im 16. Jahrhundert mit dem Entstehen der Girobanken gelegt. Ihre damalige Funktion bestand hauptsächlich in der Abwicklung des bargeldlosen Zahlungsverkehrs unter Kaufleuten. Ihre Bezeichnung erhielten die Banken von dem italienischen Begriff „giro“, was Kreis oder Umlauf bedeutet und die Funktion der Girobanken als Verrechnungsstellen für Forderungen und Gutschriften wiederspiegelt.³² Hieraus entwickelte sich im Laufe der Zeit der Begriff „Giralgeld“, der die heutige meist elektronische Form der Bankguthaben im Vergleich zum plastischen Begriff „Buchgeld“ besser erfasst.³³ Giralgeldguthaben wurden seinerzeit per Überweisung, also auf Anweisung des Zahlenden, übertragen. ³⁴ Im 20. Jahrhundert wurde als weitere Übertragungsmöglichkeit das Lastschriftverfahren entwickelt.³⁵ Der Giralgeldverkehr ist im Vergleich zum Bargeldverkehr wesentlich bedeutsamer für innovative Zahlungsinstrumente. Giralgeld bildet neben der dritten Form des Geldes, dem E-Geld,³⁶ oftmals die Grundlage innovativer Zahlungsinstrumente. Bill Gates, der Gründer des Technologiekonzerns Microsoft, hat 1994 folgenden vielzitierten Gedanken geäußert: „Banking is necessary. Banks are not“.³⁷ Ob diese Aussage eines Tages zutreffen wird, ist nicht Thema dieser Arbeit. Dennoch lässt sich der erste Satz dieser Aussage ohne Weiteres auf alle innovativen Zahlungsinstrumente übertragen. Ohne Banking, also insbesondere der Abwicklung des Giralgeldverkehrs, ist ein funktionierendes Finanzwesen nicht vorstellbar. Aus diesem Grund bedarf der Giralgeldverkehr einer genaueren Betrachtung.
1. Transfer von Giralgeld mittels Überweisung Bei einer Überweisung von Giralgeld handelt es sich nach Art. 2 Nr. 1 SEPA-VO³⁸ um einen Geschäftsvorgang, bei dem auf Initiative des Schuldners Giralgeld von seinem Konto auf ein Konto des Gläubigers übertragen wird. Die Überweisung Münch, Giralgeld, S. 21 mwN. Zur Begrifflichkeit und Vorzugswürdigkeit des Begriffes siehe: Münch, Giralgeld, S. 22 ff. BuB-Krepold/Escher-Weingart, 6/1. BankR Hdb–Schmieder, § 46 Rn. 1; BuB-Krepold/Escher-Weingart, 6/1. Häde, in: Hahn/Häde, Währungsrecht, § 1 Rn. 24. Marc Brost, „Offline-Banking“, 7. Dezember 2000, abrufbar unter: http://www.zeit.de/2000/ 50/Offline-Banking, zuletzt abgerufen am 10.04. 2019. Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates vom 14.03. 2012 zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009, ABl.EU 2012 L 94/ 22.
1. Abschnitt: Konventionelle Zahlungsinstrumente
11
stellt daher eine „Push-Zahlung“ dar.³⁹ Der Schuldner gibt seinem Kreditinstitut den Auftrag, einen bestimmten Giralgeldbetrag zu einem bestimmten Zeitpunkt an den Zahlungsempfänger zu übertragen. Unterhält dieser das Zielkonto bei derselben Bank, handelt es sich um eine institutsinterne Überweisung. Verwaltet hingegen ein anderes Kreditinstitut das Konto des Empfängers, handelt es sich um eine institutsübergreifende Überweisung.⁴⁰ Die Kommunikation zwischen den Banken erfolgt per SWIFT.⁴¹ Die Verrechnung erfolgt über zentrale Clearingstellen der Bundesbank. Das Empfängerkreditinstitut ist verpflichtet, den gegenständlichen Betrag nach Erhalt dem Konto des Zahlungsempfängers gutzuschreiben.⁴²
2. Transfer von Giralgeld mittels Lastschrift Die Lastschrift ist hinsichtlich der Initiierung das Gegenstück zur Überweisung. Es handelt sich um eine Pull-Zahlung, die auch als „rückläufige Überweisung“ bezeichnet wird.⁴³ Auf Initiative des Gläubigers wird Giralgeld vom Konto des Schuldners auf das Konto des Gläubigers überwiesen. Der Zahlungsempfänger reicht hierfür das vom Schuldner erstellte Lastschriftmandat bei seinem Kreditinstitut ein, welches das Mandat im SWIFT-Verfahren an das Kreditinstitut des Schuldners übermittelt. Der geschuldete Betrag wird sodann im SEPA-Clearingsystem zwischen den Kreditinstituten verrechnet. Die Bank des Zahlers begleicht ihre Aufwendungen durch Abbuchung vom Konto des Zahlers. Das Kreditinstitut des Zahlungsempfängers schreibt dem Zahlungsempfänger den erhaltenen Betrag gut. Bis zum 01.02. 2016 gab es in Deutschland verschiedene Lastschriftverfahren. Neben den lediglich national anwendbaren Verfahren, dem Abbuchungsauftrags- und dem Einzugsermächtigungsverfahren, existiert seit dem 01.02. 2014
EBJS-Grundmann, Rn. II 23; Staudinger-Omlor, § 675 f Rn. 31. Daneben existiert noch die mehrgliedrige Überweisung, die sich durch die Beauftragung zwischengeschalteter Banken im Interbankenverhältnis kennzeichnet. Derartige Überweisungen kommen nur noch bei sehr großen Beträgen oder bei Überweisungen in Drittstaaten vor und werden daher nicht näher beleuchtet, siehe: Casper/Terlau-Casper, § 1 Rn. 31; ausführlich EBJSGrundmann, Rn. II 25; MünchKommBGB-Casper, § 675 f Rn. 69; BeckOK BGB-Schmalenbach, § 675 f Rn. 56. Society for Worldwide Interbank Financial Telecommunication: Kommunikationssystem von Banken. EBJS-Grundmann, Rn. II 29. BGH, Urt. v. 28.02.1977 – II ZR 52/75, NJW 1977, 1916; Köndgen, ZIP 2011, 481 (482); StaudingerOmlor, Vorbem zu §§ 675c – 676c Rn. 80 spricht von einer „rücklaufenden“ und „umgekehrten“ Überweisung.
12
Teil 1: Der moderne Zahlungsverkehr im Überblick
das europäische SEPA-Lastschriftverfahren.⁴⁴ Mit dessen Einführung verloren zunächst inkompatible nationale Bezahlverfahren, wie etwa das Abbuchungsauftragsverfahren, die für grenzüberschreitende Zahlungen nicht geeignet waren, zum 01.02. 2014 ihre Geltung.⁴⁵ Das Einzugsermächtigungsverfahren durfte aufgrund einer Ausnahmeregelung in Art. 16 Abs. 4 SEPA-VO noch bis zum 01.02. 2016 angewendet werden.⁴⁶ Seither existiert nur noch das SEPA-Lastschriftverfahren. Funktional hat sich durch die Umstellung, die eher formeller Natur ist, wenig geändert. Der europäische Gesetzgeber unterscheidet bei der SEPA-Lastschrift zwischen der Basis- und Firmenlastschrift. Letztere kann zwischen Unternehmern vereinbart werden und sieht einige Erleichterungsmöglichkeiten für den Geschäftsverkehr vor. Kennzeichnend für beide SEPA-Lastschriftverfahren ist der doppelte Erklärungsinhalt des Lastschriftmandats: So wird nicht nur der Zahlungsempfänger ermächtigt, den geschuldeten Geldbetrag vom Konto des Schuldners einzuziehen, sondern auch der eigene Zahlungsdienstleister per Generalanweisung angewiesen, die entsprechende Zahlung auszuführen.⁴⁷
2. Abschnitt: Zahlungskarten Zahlungskarten wie Kredit-, Geld- oder Debitkarten – in Deutschland als Girokarte und ec-Karte bekannt – sind trotz ihrer umgangssprachlichen Bezeichnung als „Plastikgeld“⁴⁸ de facto keine eigenständigen Zahlungsinstrumente. Sie ermöglichen seit ihrer Einführung im 20. Jahrhundert den bargeldlosen Zahlungsverkehr im stationären Handel.⁴⁹ Mit Zahlungskarten können Überweisungen und Lastschriften standortunabhängig ausgelöst werden, soweit der Händler über die
MünchKommBGB-Casper, § 675 f Rn. 74; Palandt-Sprau, § 675 f Rn. 32, 39 ff; Staudinger-Omlor, Vorbem zu §§ 675c – 676c Rn. 80, 101. Casper/Terlau-Casper, § 1 Rn. 36; Palandt-Sprau, § 675 f Rn. 32, 39; die SEPA-Firmenlastschrift ist ein gleichwertiger Nachfolger des Auftragsabbuchungsverfahrens. Vgl. § 7c Abs. 1 ZAG a. F.; siehe auch Palandt-Sprau, § 675 f Rn. 39; Walter, DB 2013, 385 (388). BankR Hdb-Ellenberger, § 57 Rn. 45; EFN-Hartmann, SEPA-Lastschrift Rn. 348; Obermüller/ Kuder, ZIP 2010, 349 (351); seit 2012 entsprach es der Bankpraxis auch beim Einzugsermächtigungsverfahren eine „Doppelweisung“ (siehe: Staudinger-Omlor,Vorbem zu §§ 675c – 676c Rn. 80, 101) anzunehmen, siehe: Casper/Terlau-Casper, § 1 Rn. 39. Vorher ging man von einer nachträglichen, meist stillschweigend erteilten Genehmigung aus. EBJS-Grundmann, Rn. II 46. Die Kreditkarte ist dabei mit Abstand die „älteste“ Zahlungskarte, siehe: Köndgen, ZIP 2011, 481 (482).
2. Abschnitt: Zahlungskarten
13
nötige Infrastruktur für die Akzeptanz der jeweiligen Karte verfügt. Die Kartenzahlung wirkt als gleichwertiges Substitut für die Zahlungspflicht.⁵⁰
A. Girokarte Die Girokarte wird meist bei Eröffnung eines Girokontos ausgegeben. Neben Bargeldabhebungen am Bankautomaten ermöglicht sie zwei weitere Funktionen im elektronischen Zahlungsverkehr. Die Girokarte kann zum einen im Präsenzverfahren eingesetzt werden. Auf Grundlage einer Vereinbarung zwischen Kartenemittent und Händler – dem Vertragsunternehmen – werden zunächst die rechtlichen und technischen Voraussetzungen für die Annahme von Girokarten geschaffen, etwa die Vereinbarung einer Zahlungsgarantie durch den Emittenten und die Bereitstellung eines Kartenlesegeräts. Die Initiierung des Zahlungsvorgangs erfolgt durch das Scannen der Girokarte mittels Kartenlesegeräts. Anschließend muss der Karteninhaber die PIN auf dem Zahlenfeld des Kartenlesegeräts eingeben. Der Zahlungsauftrag wird von dem Gerät elektronisch als Datensatz an den Kartenemittenten übermittelt. Dieser prüft, ob die PIN korrekt ist, der Zahlungsrahmen eingehalten wurde und die Karte nicht gesperrt ist. Bei positivem Ergebnis löst der Kartenemittent über das Clearingsystem der Bundesbank eine Überweisung zu Gunsten der Bank des Vertragsunternehmens aus. Es handelt sich damit um eine elektronisch ausgelöste Überweisung im Präsenzverfahren. Die Girokarte kann darüber hinaus auch im elektronischen Lastschriftverfahren zur Erstellung eines Lastschriftmandats eingesetzt werden.⁵¹ Im Gegensatz zum Präsenzverfahren beinhaltet das elektronische Lastschriftverfahren in der Regel keine Zahlungsgarantie des Emittenten. Unter Auslesung der Kontodaten erstellt das Kartenlesegerät lediglich einen Lastschriftbeleg,⁵² welcher mit der Unterschrift des Kunden zum Lastschriftmandat erstarkt.
B. Kreditkarte Die Ausgabe einer Kreditkarte ist grundsätzlich nicht Bestandteil des Leistungsportfolios eines gewöhnlichen Bankkontos. Hierfür bedarf es einer gesonderten
EBJS-Grundmann, Rn. II 46. BeckOK BGB-Schmalenbach, § 675 f Rn. 95. Ggf. wird noch eine händlereigene Sperrdatei abgefragt.
14
Teil 1: Der moderne Zahlungsverkehr im Überblick
Vereinbarung entweder direkt mit einem Kreditkarteninstitut wie American Express oder mit dem hauseigenen Kreditinstitut, das als Lizenzpartner von VISA oder MasterCard agiert. Die Kreditkarte weist wie auch die Girokarte zwei Einsatzmöglichkeiten auf. Zum einen gibt es das mittlerweile veraltete Belegverfahren, bei dem das Kartenlesegerät ähnlich dem elektronischen Lastschriftverfahren die Kundendaten ausliest und damit einen zu unterzeichnenden Zahlungsbeleg erstellt.⁵³ Mit diesem sogenannten Slip kann das Vertragsunternehmen beim Kreditkartenunternehmen den fälligen Betrag einziehen. Verbreiteter ist die Bezahlung am POSTerminal mit Kreditkarte und PIN. Das Kartenlesegerät fragt nach dem Einführen der Karte zunächst beim Kartenunternehmen Verfügungsrahmen, PIN sowie die Sperrdatei ab. Gleichzeitig werden die Kreditkartendaten übermittelt. Um ein Abfangen der sensiblen Daten zu vermeiden, greifen die Kreditkartenunternehmen immer häufiger zur sogenannten „Tokenization“ zurück. Die Kreditkartendaten werden verschlüsselt, sodass Gegenstand der Übertragung nur ein einmalig verwendbarer „Token“ ist, der wiederum nur vom Kreditkartenunternehmen entschlüsselt werden kann. Wird die Zahlung freigegeben, ist das Kartenunternehmen aus dem Akquisitionsvertrag verpflichtet, die Zahlung des geschuldeten Betrages zu garantieren und auszuführen. Anschließend überweist das Kartenunternehmen den geschuldeten und garantierten Betrag an das Vertragsunternehmen beziehungsweise dessen Zahlungsdienstleister. Die Abrechnung bei der Bezahlung mittels Kreditkarte folgt im Gegensatz zur Girokarte einem anderen Muster. Dem Karteninhaber wird bei jedem Einsatz der Karte faktisch ein Kredit gewährt, indem die durch den Kartenemittenten getätigten Aufwendungen bis zu einem festgelegten Abrechnungstermin auf dem Kreditkartenkonto gestundet werden. Dabei handelt es sich nicht um ein klassisches Konto, sondern lediglich um ein Verrechnungskonto. Zum vereinbarten Abrechnungszeitpunkt wird der Sollbetrag des Kreditkartenkontos meist durch Lastschrifteinzug des ausstehenden Betrags vom Abrechnungskonto⁵⁴ beglichen. Im Gegensatz zum Präsenzverfahren der Girokarte handelt es sich daher nicht um eine Paynow-Zahlung, bei der unmittelbar nach dem Clearing das Konto des Karteninhabers mit dem geschuldeten Betrag belastet wird, sondern um eine Paylater-Zahlung.⁵⁵
Zwade/Mühl, WM 2006, 1225 (1226). Da Bank und Emittent meist personenidentisch sind, handelt es sich hierbei um ein gewöhnliches Girokonto. MünchKommBGB-Casper, § 675 f Rn. 104.
2. Abschnitt: Zahlungskarten
15
Ursprünglich spielte sich die Kreditkartenzahlung im 3-Personen-Verhältnis ab.⁵⁶ Die Kartenunternehmen emittierten Kreditkarten an Karteninhaber und akquirierten gleichzeitig Vertragsunternehmen als Akzeptanzstellen. Mittlerweile sind zwischen Karteninhaber und Kartenunternehmen zum einen als Kartenemittenten sogenannte „Issuer“ und zwischen Vertragsunternehmen und Kartenunternehmen sogenannte „Acquirer“ getreten.⁵⁷ Die großen Kreditkartenunternehmen sind meist nur noch Lizenzgeber, während die Issuer Emissionsverträge über die Ausgabe von Kreditkarten mit den potentiellen Karteninhabern abschließen. Issuer und Acquirer sind in der Regel personenverschieden, da Kreditinstitute mittlerweile ihre eigenen Kreditkarten im Universalkreditkartensystem der großen Kreditkartenunternehmen (VISA, Mastercard) ausgeben.⁵⁸ Hierbei wird von Co-Branding im weiteren Sinne gesprochen.⁵⁹ Die AcquiringSäule des Kreditkartengeschäfts wird insbesondere für kleinere Vertragsunternehmen von Acquirern vorgenommen, die bessere Konditionen bieten können als die Kreditkartenunternehmen. Dennoch stehen sie faktisch im Lager des Kartenunternehmens, weshalb sich die Säule des Acquiring immer noch im Kreis der Kartenunternehmen befindet.⁶⁰ An den Abläufen des Zahlungsvorgangs ändert sich beim viergliedrigen System letztlich wenig.⁶¹ Für die Zahlungsverpflichtung des Karteninhabers tritt anstelle des Kartenunternehmens zunächst der Acquirer ein und begleicht die Forderung abzüglich eines vom Vertragsunternehmen zu zahlenden Disagios, das in der Regel 3 bis 6 % des Umsatzes beträgt.⁶² Das Disagio wurde durch die im Jahr 2015 in Kraft getretene Interbankenentgelte-Verordnung⁶³ der EU für die großen Kreditkartenunternehmen auf 0,3 % des Umsatzes beschränkt. Im Clearing-Verhältnis zwischen Acquirer und Issuer erfolgt der Zahlungsaustausch durch interne
Baumbach/Hefermehl/Casper, Kartenzahlungen Rn. 86. Zu den Vertragsbeziehungen siehe: Auer-Reinsdorff/Conrad-Kociok, § 27 Rn. 41; Baumbach/ Hefermehl/Casper, Kartenzahlungen Rn. 86; BeckOK BGB-Schmalenbach, § 675 f Rn. 82; EBJSGrundmann, Rn. II 46. BankR Hdb-Martinek/Omlor, § 67 Rn. 5; MünchKommHGB-Hadding, Rn. G 3; StaudingerOmlor, Vorbem zu §§ 675c – 676c Rn. 133. Staudinger-Omlor, Vorbem zu §§ 675c – 676c Rn. 86. Baumbach/Hefermehl/Casper, Kartenzahlungen Rn. 110. Baumbach/Hefermehl/Casper, Kartenzahlungen Rn. 110; Langenbucher/Bliesener/SpindlerJungmann, 6. Kap, Vor §§ 675 f ff Rn. 1, die personalen Differenzen werden im Bereich der Haftung interessant. BankR Hdb-Martinek/Omlor, § 67 Rn. 5; MünchKommHGB-Hadding, Rn. G 1; Staudinger-Omlor, Vorbem zu §§ 675c – 676c Rn. 133. Verordnung (EU) 2015/751 des Europäischen Parlaments und des Rates vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge, ABl.EU 2015 123/1.
16
Teil 1: Der moderne Zahlungsverkehr im Überblick
Buchungsvorgänge, die als „Interchange“ bezeichnet werden.⁶⁴ Der Kartenemittent hat in jedem Fall gegenüber Acquirer oder Kartenunternehmen für alle Aufwendungen, die sich aus der Kartenzahlung ergeben, einzutreten.⁶⁵
C. Geldkarte Die Geldkarte ist eine Erfindung der deutschen Kreditwirtschaft und agiert mittlerweile vor allem im Bereich der Kleinbetragszahlungen als unbares Konkurrenzprodukt zum Bargeld.⁶⁶ Es handelt sich bei der Geldkarte nicht um eine Karte im technischen Sinn, sondern um einen Chip, der sich auf fast allen im deutschen Raum ausgegebenen Girokarten befindet. Die Geldkarte kann an einem Bankautomaten ähnlich einer Auszahlung mit einem monetären Wert aufgeladen werden.⁶⁷ Im Hintergrund verbucht die Bank den aufgeladenen Betrag auf einem Börsenverrechnungskonto. Für Zahlungszwecke muss die Karte lediglich ausgelesen werden. Die Eingabe einer PIN ist nicht erforderlich. Das Kartenlesegerät prüft, ob der auf dem Chip gespeicherte Betrag zur Begleichung der jeweiligen Geldschuld ausreicht. Der tatsächliche Zahlungsvorgang erfolgt jedoch erst nach Kassenschluss, indem die jeweiligen Zahlungsdaten an eine Verrechnungsstelle übermittelt werden.⁶⁸ Diese überweist den geschuldeten Betrag vom Börsenverrechnungskonto an den Zahlungsempfänger.
3. Abschnitt: Innovative Zahlungsinstrumente Das Phänomen Internet- und mobiltelefonbasierter Zahlungsinstrumente tauchte erst mit Einführung des World Wide Web im Jahre 1995 und der Etablierung von Mobiltelefonen auf. Während sich im Bereich des Giralgeldverkehrs Kategorisierung und Definitionen aufgrund der jahrelangen Rechtspraxis sowie der europäischen Gesetzgebung manifestiert haben, ist dies im Bereich innovativer Zahlungsinstrumente noch nicht der Fall. Ständige Neurungen und Weiterentwicklungen geben Gesetzgeber, Literatur und Rechtsprechung nur wenig Gele-
BankR Hdb-Martinek/Omlor, § 67 Rn. 5; Staudinger-Omlor, Vorbem zu §§ 675c – 676c Rn. 133; zum Begriff „Clearing“-Verhältnis siehe: BeckOK BGB-Schmalenbach, § 675 f Rn. 93. BeckOK BGB-Schmalenbach, § 675 f Rn. 93. MünchKommBGB-Casper, § 675i Rn. 17. Siehe hierzu und für weitere Auflademöglichkeiten: BankR Hdb-Koch, § 68 Rn. 23 f. Staudinger-Omlor, Vorbem zu §§ 675c – 676c Rn. 215.
3. Abschnitt: Innovative Zahlungsinstrumente
17
genheit, trennscharfe Abgrenzungen und Definitionen zu entwickeln. Der Begriff der innovativen Zahlungsinstrumente ist daher allenfalls einer Negativabgrenzung zugänglich. Er beschreibt eine Vielzahl von Zahlungsmitteln, für die die zuvor dargestellten konventionellen Zahlungsinstrumente weder begrifflich noch funktional eine geeignete Bezeichnung darstellen. Die EZB und Teile der juristischen Fachliteratur nehmen eine Differenzierung innerhalb der innovativen Zahlungsinstrumente anhand des genutzten Endgerätes vor.⁶⁹ Sie unterscheiden zwischen „E‐Payments“ und „M-Payments“. Letzteres soll bei jeder Auslösung eines Zahlungsvorgangs über ein Smartphone vorliegen. Aufgrund der Weiterentwicklung von Mobiltelefonen zu Smartphones ist jedoch ein funktioneller Unterschied zu Laptops, Tablets oder Convertibles nicht mehr auszumachen. Überdies dringen auch Smartwatches in den Bereich der mobilen Zahlungen vor, sodass eine Vorabdifferenzierung ohne eine genaue Untersuchung der verschiedenen Bezahlverfahren nicht möglich ist. Auf erster Stufe ist daher anhand des Einsatzgebiets des Zahlungsmittels zu differenzieren.
A. Bezahlverfahren im E-Commerce Online-Zahlungen werden unabhängig vom Bezahlverfahren meist über Zahlungsportale ausgelöst.⁷⁰ Anbieter wie Concardis oder Wirecard bilden mit ihren Produkten eine technische Schnittstelle zwischen Händler und den für ihn relevanten Zahlungsdienstleistern. Diese IT-Infrastruktur wird meist als „White-Label-Solution“ angeboten. Die Bezahlmaske wird nahtlos in die Website des Online-Händlers integriert und nicht unter der Marke des Betreibers angeboten. Zahlungsportale ermöglichen je nach Vereinbarung mit dem Anbieter den Zugriff auf verschiedenste Bezahlverfahren. Auf funktioneller Ebene hat das Hinzutreten der Zahlungsportalanbieter keine Auswirkungen auf die darzustellenden Bezahlverfahren, da sie lediglich die technische Weiterleitung des Nutzers zu dem jeweiligen Zahlungssystem gewährleisten. Die gängigsten Online-Bezahlmethorden sind einerseits die Online-Überweisung, Online-Lastschrift und Online-Kreditkarte und andererseits E-Geldbasierte Zahlungssysteme wie PayPal, die auch als „Online-Wallets“⁷¹ bezeichnet
EZB, Einheitlicher Euro-Zahlungsverkehrsraum (SEPA), Oktober 2010, Siebter Fortschrittsbericht S. 34; Busch, GewArch 2014, 148 (149); Auer-Reinsdorff/Conrad-Kociok, § 27, Überschrift „E‐Payment“. Bräutigam/Rücker-Steinacker/Krauß, 13. Teil, B., Rn. 72. Der Begriff des „Online-Wallets“ stammt aus dem englischen und bedeutet Online-Portemonnaie.
18
Teil 1: Der moderne Zahlungsverkehr im Überblick
werden. Hinzu treten Zahlungsauslösedienste, Prepaid- und mobile Zahlungssysteme sowie Kryptowährungen. Die rasante Entwicklung neuer FinTechs lässt jedoch keine abschließende oder gar vollständige Darstellung zu, weshalb der Fokus auf die aktuell wichtigsten Bezahlverfahren gelegt wird.
I. Varianten des Giralgeldtransfer im E-Commerce 1. Online-Überweisung und Online-Lastschrift Während Kredit- und Girokarte den standortunabhängigen Zugriff in der realen Welt auf das Konto des Schuldners ermöglichen, sind hierfür in der virtuellen Welt meist keine physischen Instrumente notwendig. Überweisungen können ohne zusätzliche Geräte über das Online-Banking ausgelöst werden. Hierfür ist zunächst eine gesonderte Vereinbarung über die Nutzung der Online-BankingDienste mit dem jeweiligen Kreditinstitut notwendig. Dies kann analog oder digital erfolgen.⁷² Der Bankkunde erhält anschließend einen Online-Zugang zu seinem Bankkonto, der mit Zugangsnummer und PIN oder Passwort gesichert ist. Über die Internetseite des Kreditinstituts kann er dann Kontostände, Kontoauszüge und andere Kontoinformationen abrufen. Eine Online-Überweisung wird durch Eingabe aller relevanten Informationen, wie etwa Empfänger, Betrag und Ausführungsdatum, in eine Bezahlmaske initiiert. Anschließend muss der Nutzer den Auftrag unter Eingabe einer Transaktionsnummer freigeben. Die TAN dient der zusätzlichen Sicherheit des OnlineBankings und kann auf verschiedene Wege erzeugt beziehungsweise abgerufen werden.⁷³ Ursprünglich erhielt der Kunde eine TAN-Liste, aus der beliebig eine TAN ausgewählt werden konnte. Das Verfahren erwies sich im Laufe der Zeit jedoch als nicht besonders sicher und wurde folgerichtig abgeschafft.⁷⁴ Ein ähnliches Schicksal ereilte die Weiterentwicklung der TAN-Liste, die iTAN-Liste.⁷⁵ Hier
Hoeren/Sieber/Holznagel-Werner, Teil 13.5 Rn. 30. Neben den folgend dargestellten TAN-Generierungsverfahren gibt es noch weitere Verfahren, die sich jedoch nicht flächendeckend durchgesetzt haben. Für eine Übersicht siehe: http://www. wikibanking.net/onlinebanking/verfahren/, zuletzt abgerufen am 10.04. 2019. Zur Unsicherheit des Systems siehe: Kind/Werner, CR 2006, 353 (357); Hendel/Barleon, BankPraktiker 2008, 148 (151); zum Mitverschuldensbeitrag siehe: KG Berlin, Urt. V. 29.11. 2010, 26 U 159/09, BeckRS 2010, 31105; zum Rückgang des Verfahrens siehe: Hoeren/Sieber/ Holznagel-Werner, Teil 13.5 Rn. 30; Deutscher Anwaltverein, „Online-Banking: Abschied von der TAN-Liste“, abrufbar unter: http://www.bankundkapitalmarkt.de/unternehmen/1938-online-ban king-abschied-von-der-tan-liste.html, zuletzt abgerufen am 10.04. 2019. Deutscher Anwaltverein, „Online-Banking: Abschied von der TAN-Liste“, abrufbar unter: http://www.bankundkapitalmarkt.de/unternehmen/1938-online-banking-abschied-von-der-tanliste.html, zuletzt abgerufen am 10.04. 2019.
3. Abschnitt: Innovative Zahlungsinstrumente
19
erhielt der Kunde eine Liste mit nummerierten TAN. Die Freigabe des Zahlungsauftrags erforderte die Eingabe einer bestimmten, von der Bank zufällig ausgewählten TAN. Nur diese TAN schaltete den Zahlungsauftrag frei. Die seit 2009 bekannte und ebenfalls große Missbrauchsanfälligkeit des Verfahrens⁷⁶ hat die Kreditinstitute dazu veranlasst, nur noch Chip-TAN, mTAN- und pushTAN-Verfahren einzusetzen.⁷⁷ Beim chipTAN-Verfahren muss der Kunde einen TAN-Generator erwerben. Zur Initiierung des Zahlungsvorgangs erzeugt die Bank nach Eingabe der Überweisungsdaten einen sogenannten Flickercode, aus dem der Generator mit eingeschobener Girokarte die TAN auslesen kann. Das Lesegerät zeigt auf seinem Display zunächst die eingegebenen Überweisungsinformationen an, die der Kunde anschließend per Knopfdruck bestätigen muss. Das Lesegerät erzeugt erst dann eine einmalig gültige TAN, die auch nur den konkreten Zahlungsauftrag freischalten kann und für andere Überweisungen ungültig ist. Beim mTAN-Verfahren werden per SMS an das Mobiltelefon des Nutzers die ebenfalls nur einmal verwendbare TAN sowie die Zahlungsdetails des konkreten Zahlungsauftrags übermittelt. Das pushTAN-Verfahren folgt einem ähnlichen Verfahren, indem eine Nachricht über eine App versendet wird, die der Kunde vorher installiert haben muss. Die App ist meist zusätzlich mit einem Passwort geschützt. Die Nachricht enthält wie auch die SMS im mTAN-Verfahren die Überweisungsdaten. Durch Bestätigung dieser Daten wird anschließend die TAN übermittelt. Eine weiteres TAN-Verfahren, das über das Smartphone abläuft, ist das photoTAN-Verfahren. Hier erzeugt die Bankwebsite eine TAN, die in einem Bild verschlüsselt wird, dass nur mittels einer entsprechenden photoTAN-App auf dem Smartphone entschlüsselt werden kann.⁷⁸ Bei Kleinbetragszahlungen bis zu bestimmten Grenzen bieten einige Banken auch „TAN-lose“ Überweisungen an. Das Erteilen eines SEPA-Lastschriftmandats im Internet gestaltet sich weitaus einfacher. Es genügt die bloße Eingabe der Daten des zu belastenden Kontos in die Maske des Anbieters. Weitere Schritte, mittels derer etwa die Berechtigung des Nutzers überprüft werden könnte, sind nicht nötig.
BKA, IUK-Kriminalität, Bundeslagebild 2009, S. 8, abrufbar unter: https://www.sicherheitin-der-wirtschaft.de/sites/default/files/anhang/bundeslagebild_iuk_2009.pdf, zuletzt abgerufen am 10.04. 2019. Firmenkunden setzen oftmals auf das HBCI oder HBCI-FinTS-Verfahren, siehe hierzu: BankR Hdb-Maihold, § 55 Rn. 21 ff; Privatkunden sind nur selten Nutzer des Systems. Die Deutsche Bank bietet das photoTAN-Verfahren auch für Mobile-Banking an. Es funktioniert dann in etwa wie das pushTAN-Verfahren. Der Sicherheitsgewinn durch das Verwenden zweier getrennter Geräte entfällt jedoch in diesem Fall.
20
Teil 1: Der moderne Zahlungsverkehr im Überblick
2. Kartengestützte Online-Zahlungen Die Girocard spielt im Bereich der Online-Zahlungen keine Rolle.⁷⁹ Die mit ihr am POS auslösbaren Überweisungen und Lastschriften, lassen sich im Internet wie bereits dargestellt mittels Online-Überweisung oder Online-Lastschrift ohne Rückgriff auf die Girocard ausführen. Die Kreditkarte ist daher die einzige Vertreterin des Plastikgeldes, der bei Online-Zahlungen wirklich relevant wird. Ähnlich wie bei der Lastschrifterteilung füllt der Karteninhaber die Bezahlmaske des Zahlungsportals mit seiner Kreditkartennummer, Verfalldatum sowie meist des Card Validation Code aus.⁸⁰ Zusätzlich haben die großen Kreditkartenunternehmen Authentifizierungsmechanismen entwickelt, um potentielle OnlineZahlungen durch Dritte, die in den Besitz der Kreditkartendaten gelangt sind, zu verhindern. Diese Sicherheitsverfahren heißen bei MasterCard „SecureCode“ und bei VISA „Verified by VISA“⁸¹. Es handelt sich dabei um zusätzliche Authentifizierungsverfahren, die in den Bezahlvorgang eingebettet werden.⁸² Hierfür wird der Karteninhaber nach Eingabe der Kreditkartendaten zu den Internetseiten von MasterCard Secure Code oder Verified by VISA weitergeleitet. Dort muss er sich zunächst registrieren, wozu neben den Kreditkartendaten noch weitere Daten, wie die des Referenzkontos, abgefragt werden, von denen ein Dritter nicht ohne Weiteres Kenntnis erlangen kann. Die Sicherheitsverfahren der ersten Generation sahen anschließend vor, dass der Karteninhaber ein individuelles Passwort erstellen musste, dass dann bei jeder zukünftigen Zahlung abgefragt wurde. Da statische Passwörter jedoch auf Dauer kein wirkliches Sicherheitsplus gewährleisten, sehen Verfahren der zweiten Generation einen Rückgriff auf das Smartphone vor. Der Karteninhaber kann die Zahlung entweder über eine spezielle App oder mit dem bekannten mTAN-Verfahren freigeben. MasterCard hat überdies ein System namens „Masterpass“ entwickelt. Es handelt sich dabei um ein digitales Portemonnaie. Der Karteninhaber kann nach erfolgter Registrierung verschiedene Kreditkarten bei Masterpass hinterlegen. Wählt er anschließend die Bezahlung per Masterpass im Zahlungsportal aus, wird er an die Website oder App von Masterpass weitergeleitet. Dort meldet er sich mit dem von ihm ausgewählten Zugangsdaten an und kann anschließend eine der
Maestro-Karten sind prinzipiell für Online-Zahlungen in Verbindung mit MasterCard Secure Code nutzbar; dieser Dienst ist in Deutschland jedoch nicht verfügbar, Bräutigam/Rücker-Steinacker/Krauß, 13. Teil B. Rn. 16. Es handelt sich hierbei um eine dreistellige auf der Rückseite der Kreditkarte befindlichen Nummer. 3D Secure steht für 3 Domain Secure, Bräutigam/Rücker-Steinacker/Krauß, 13. Teil B. Rn. 9. Die Einbettung sowie der Ablauf werden anschaulich bei Bräutigam/Rücker-Steinacker/ Krauß, 13. Teil B. Rn. 12 dargestellt.
3. Abschnitt: Innovative Zahlungsinstrumente
21
registrierten Kreditkarten für die Bezahlung auswählen. Da die Daten gespeichert sind, bedarf es keiner Eingabe der Kreditkartendaten. Gleichzeitig gelangt der Händler nicht in den Besitz der Kreditkartendaten, sodass keine zusätzliche Risikoquelle geschaffen wird. Masterpass leitet nur einen sogenannten „Token“, also pseudonymisierte Daten, an den Händler weiter, welcher den Token wiederum an den Acquirer zur Zahlungsinitiierung übermittelt.⁸³ Dieser tritt mit Masterpass in Kontakt und tauscht Token gegen Kreditkartendaten und löst dann den bereits beschriebenen Ablauf einer Kreditkartenzahlung aus.⁸⁴ Masterpass ist somit kein eigenständiges Zahlungsinstrument, sondern lediglich ein Werkzeug, mit dem der Nutzer unkompliziert und sicher seine Kreditkarte(n) im E-Commerce einsetzen kann. Der Begriff des „digital Wallet“ ist daher nicht mit den nachfolgend dargestellten Online-Wallets zu verwechseln, bei denen es sich um eigenständige Zahlungssysteme handelt.
3. Überweisungen unter Einschaltung eines Zahlungsauslösedienstleisters Während kartengestützte Online-Zahlungen den Vorteil haben, dass E-CommerceHändler aufgrund der Zahlungszusage sofort ein adäquates Zahlungssurrogat erlangen, bedürfen Online-Überweisungen mindestens eines Banktages für die Gutschrift. Soweit der Händler nicht bereit ist, in Vorleistung zu treten, wird die Ware erst mit Eingang des Zahlungsbetrags versendet, was eine weitere Verzögerung des Bestellvorgangs zur Folge hat. Diese zeitliche Lücke wird von Diensten wie SOFORT Überweisung, Paydirekt oder giropay geschlossen. Derartige Dienste überwachen die Auslösung einer Online-Überweisung, indem sie entweder die zur Zahlungsauslösung notwendigen Daten abfragen und an das kontoführende Kreditinstitut weiterleiten oder eine Brücke zur jeweiligen Bank erstellen und über die erfolgte Zahlungsauslösung benachrichtigt werden. Der Zahlungsvorgang ist identisch mit der Auslösung einer Online-Überweisung, findet aber in der Regel auf der Website des Anbieters und somit in einer anderen Umgebung statt. Der Anbieter erlangt jedenfalls durch die Weitergabe oder Überwachung Gewissheit über die Auslösung der Zahlung und teilt dies dem Händler mit. Dieser muss aufgrund der Unwiderruflichkeit eines erteilten Zahlungsauftrags keinen Zahlungsausfall mehr besorgen und kann die geschuldete Ware unverzüglich versenden.
Bräutigam/Rücker-Steinacker/Krauß, 13. Teil B. Rn. 25. Bräutigam/Rücker-Steinacker/Krauß, 13. Teil B. Rn. 25.
22
Teil 1: Der moderne Zahlungsverkehr im Überblick
II. Zahlungsinstrumente auf E-Geld-Basis Elektronisches Geld ist ein auf europäischer Ebene geschaffenes Zahlungsmittel, dass neben Buch- und Bargeld eine weitere Ausprägung des Geldbegriffs darstellt. E-Geld zeichnet sich im Gegensatz zum Giralgeld regelmäßig dadurch aus, dass es erst gegen Zahlung eines Geldbetrags ausgegeben wird und somit meist bei Prepaid-Zahlungsinstrumenten zu finden ist. Auch wenn der Umtauschvorgang mit der Einzahlung von Bargeld auf einem Girokonto vergleichbar ist, wird das E-Geld ausschließlich elektronisch gespeichert und kann daher auch von einem Chip oder einem virtuellen Konto abgerufen werden. Der Chip ist dann kein bloßes Kontozugangsprodukt, sondern zugleich Guthabenträger.
1. Online-Wallets wie PayPal, Skrill und Neteller Dazu zählen zunächst die sogenannten Online-Wallets, zu Deutsch OnlinePortemonnaie, welche im Gegensatz zum „Digital-Wallet“ Masterpass von Mastercard eigenständige Zahlungssysteme darstellen. Es wurde lange Zeit darüber diskutiert, ob virtuelle Konten von Anbietern wie PayPal, Neteller oder Skrill tatsächlich als E‐Geld-Guthaben einzuordnen sind.⁸⁵ Aus der E‐Geld-Definition der ersten E‐Geld-Richtlinie⁸⁶ wurde oftmals das Tatbestandserfordernis einer Verkörperung der E‐Geld-Beträge herausgelesen, welches virtuelle Konten gerade nicht erfüllen konnten.⁸⁷ Mit Inkrafttreten der zweiten E‐Geld-Richtlinie im Jahr 2009⁸⁸ hat sich dieser Streit erledigt. Online-Guthaben sind auch dann als E‐Gelder zu behandeln, wenn sie „räumlich entfernt auf einem Server gespeichert“ sind und vom „E‐Geld-Inhaber über ein bestimmtes Zahlungskonto für E‐Geld verwaltet“ werden.⁸⁹ Die Funktionsweise der Online-Wallets wird anhand des kalifornischen Unternehmens PayPal, dem langjährigen Marktführer im Bereich der Online-Wallets,⁹⁰ näher dargestellt.
Auf die Einordnungsschwierigkeiten hinweisend: Meder/Grabe, BKR 2005, 467 (471). Richtlinie 2000/46/EG des Europäischen Parlaments und des Rates vom 18. September 2000 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten, ABl.EG 2000 L 275/39. Siehe etwa: Hoenicke/Szodruch, MMR 2006, 519 (524). Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates vom 16. September 2009 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten, zur Änderung der Richtlinien 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 2000/ 46/EG, ABl.EU 2009 L 267/7. BT-Drs. 17/3023, S. 40; siehe ausführlich unten: Teil 5, 1. Abschnitt, B. Vgl. Handelsblatt v. 28.11. 2016, „Holpriges Jahr für Paydirekt“, S. 30: 19.6 % aller Zahlungen im E-Commerce erfolgen über PayPal.
3. Abschnitt: Innovative Zahlungsinstrumente
23
a) Registrierung und „Aufladen“ des Wallets Der Nutzer des PayPal-Systems muss sich zunächst auf der Internetseite des Unternehmens registrieren.⁹¹ PayPal bietet zwei verschiedene Konten an: ein Geschäftskonto für gewerbliche und unternehmerische Zwecke und ein Privatkonto für hauptsächlich private Zwecke. Überdies verfügen beide Konten über zwei verschiedene Funktionen. E-Geld-Beträge werden entweder dem Zahlungskonto oder dem Reservekonto gutgeschrieben. Über Beträge auf dem Zahlungskonto kann der Nutzer frei verfügen, also Zahlungen ausführen oder das Guthaben als Giralgeld abbuchen. Guthaben auf dem Reservekonto sind hingegen nicht frei verfügbar. Aus diesem Grund werden hier nur Zahlungen verbucht, die etwa einer Überprüfung durch PayPal bedürfen.⁹² Für die Anmeldung bei PayPal bedarf es neben der Angabe vom Namen und Anschrift einer gültigen E-Mail-Adresse, die durch einen Bestätigungslink verifiziert wird, sowie der Angabe eines Kontos oder einer Kreditkarte, die als Zahlungsquelle dienen sollen. Die ausgewählte Zahlungsquelle kann anschließend verifiziert werden, um ohne ein Sendelimit PayPal nutzen zu können.⁹³ Des Weiteren legt der Kunde ein Passwort für zukünftige Zahlungen fest. Um seinem Konto E-Geld-Guthaben zuzufügen, kann der Kunde eine Überweisung an PayPal tätigen oder über per Giropay eine Überweisung auslösen. PayPal schreibt dann den erhaltenen Betrag dem PayPal-Konto des Kunden gut.
b) Initiierung eines Zahlungsvorgangs Eine Bezahlung via PayPal kann auf drei verschiedenen Wegen ausgelöst werden. So ist zum einen die unmittelbare Initiierung über das Benutzerkonto möglich. Der Nutzer wählt dazu auf der PayPal-Website oder in der PayPal-App den Button „Geld senden“. Sodann kann er zwischen „Waren und Dienstleistungen bezahlen“ und „Geld an Freunde und Familie senden“ auswählen. Unabhängig von der Auswahl bedarf es dann nur noch der Eingabe der E-Mail-Adresse oder der Mobilfunknummer des Empfängers. Ist dieser noch kein PayPal-Kunde wird er über die ausstehende Zahlung benachrichtigt und kann durch Eröffnen eines Kontos den Betrag empfangen und diesen auf sein Girokonto auszahlen lassen. Weitaus häufiger wird eine PayPal-Zahlung über Zahlungsportale im E-Commerce ausgelöst. Dabei wählt der Kunde im Zahlungsportal des E-CommerceHändlers PayPal als Bezahlverfahren aus. Anschließend wird der Kunde über eine Nr. 2.1 der PayPal-AGB (Stand: 29.04. 2019), abrufbar unter: https://www.paypal.com/de/web apps/mpp/ua/useragreement-full, zuletzt abgerufen am 10.04. 2019. Ausführlich hierzu Nr. 2.2 PayPal-AGB. Siehe ausführlich zum Verifizierungsverfahren: Nr. 2.3, 3.3 PayPal-AGB.
24
Teil 1: Der moderne Zahlungsverkehr im Überblick
API-Schnittstelle⁹⁴ zur Website von PayPal weitergeleitet, wo er sich nur noch mit seiner E-Mail-Adresse und seinem Passwort anmelden muss und mit einem Klick auf den Zahlungsbutton die Zahlung auslösen kann. PayPal dringt zusätzlich immer stärker in den Markt des stationären Bezahlens vor. So eröffnet die PayPal-App mittlerweile auch die Möglichkeit, vor Ort mit dem Smartphone zu bezahlen. Dafür ist eine Akzeptanzstelle erforderlich. Die Bezahlung erfolgt nicht, wie etwa in den USA bereits möglich, über eine in der PayPal-App hinterlegte Kreditkarte, sondern über das normale PayPal-Zahlungssystem. Der Kunde wählt dazu in der PayPal-App die Option „Bezahlen vor Ort“ und den für das Bezahlverfahren verfügbaren Shop aus. Der Zahlungswunsch wird anschließend dem jeweiligen Kassenterminal online übermittelt und muss vom Zahlungsempfänger akzeptiert werden. Der gegenständliche Betrag wird dann dem PayPal-Konto des Zahlungsempfängers gutgeschrieben. Der Zahlungsauftrag kann auch vom Zahlungsempfänger über das Kassenportal an den Zahler übermittelt werden. Die Standortdienste des Smartphones ermöglichen eine Lokalisierung durch den Zahlungsempfänger, der anhand des erforderlichen Profilbildes den jeweiligen Zahler identifizieren kann.
c) Ablauf des Zahlungsvorgangs Nach Initiierung des Zahlungsvorgangs, finden je nach Stand des PayPal-Kontos entweder ein oder zwei Geschäftsvorgänge statt. Hat der Kunde kein ausreichendes PayPal-Guthaben auf seinem Konto, wird ihm gegen Bezahlung – Einziehung per Lastschrift oder Belastung der Kreditkarte – E‐Geld gutgeschrieben. Die Gutschrift erfolgt meist – auch bei der Einziehung per Lastschrift – unverzüglich, sodass der Nutzer stets ohne zeitliche Verzögerungen Zahlungen auslösen kann. Soweit sein Konto gedeckt ist, entfällt dieser Schritt. Abschließend wird der fällige E‐Geld-Betrag vom PayPal-Konto des Zahlers auf das PayPal-Konto des Zahlungsempfängers überwiesen und dem Zahlungs- oder Reservekonto gutgeschrieben.
API-Schnittstellen dienen dem Austausch und der Weiterverarbeitung von Daten und Inhalten zwischen unterschiedlichen Websites. Sie ermöglichen Entwicklern, digitalen Inhalt von Websites in das eigene Programm, also das Zahlungsportal, zu integrieren, siehe hierzu ausführlich: http://www.gruenderszene.de/lexikon/begriffe/application-programming-interfaceapi, zuletzt abgerufen am 10.04. 2019.
3. Abschnitt: Innovative Zahlungsinstrumente
25
2. Sonstige Prepaid-Zahlungsinstrumente Neben den virtuell abgespeicherten E-Geldern in Online-Wallets, gibt es auch Anbieter die verkörperte E‐Geld-Instrumente ausgeben. Dazu zählen neben der Geldkarte, die jedoch nicht online eingesetzt werden kann, Prepaid-Kreditkarten. Dabei handelt es sich um gewöhnliche VISA- oder Mastercard-Zahlungskarten, die auf Guthabenbasis operieren. Funktional handelt es sich daher bei Debitkarten um gewöhnliche Kreditkarten mit einem atypischen Verfügungsrahmen. Des Weiteren existieren Zahlungssysteme, bei denen der Nutzer gegen Zahlung von Bar- oder Giralgeldbeträgen virtuell abrufbare E‐Geld-Beträge erhält. Bekanntester Anbieter ist das Unternehmen Paysafe, welches das begrifflich irreführende Produkt „Paysafecard“ ausgibt. Diese kann stationär als Kassenausdruck und online als Datensatz erworben werden. Nach der Bezahlung eines Betrags übergibt der Emittent dem Nutzer eine Zahlenkombination und eine PIN.⁹⁵ Unter bloßer Eingabe dieser Daten bei Akzeptanzstellen kann der eingezahlte Betrag abgerufen werden. Die Hintergrundprozesse werden nicht bekannt gegeben. Prepaid-Zahlungsprozesse laufen in aller Regel jedoch nach demselben Schema ab. Nach dem Erwerb des jeweiligen Instruments schreibt die Bank des stationären Händlers, bei dem die Karte erworben wurde, den geschuldeten Betrag der Bank des Betreibers des Prepaid-Systems gut.⁹⁶ Diese wandelt das Giralgeld in E‐Geld um, indem ein entsprechender Betrag auf einem der Zahlenkombination zugeordnetem Konto gebucht wird. Löst der Kunde einen Zahlungsvorgang aus, wird das E‐Geld-Guthaben durch den Betreiber des PrepaidSystems abgebucht und je nach Vereinbarung einem E‐Geld-Konto des Händlers gutgeschrieben oder als Giralgeld dem Händler übertragen.
III. Kryptowährungen Bezahlungen im E-Commerce bedürfen stets einer zwischengeschalteten Stelle, die den Zahlungsprozess durchführt. Im Gegensatz zur Bargeldzahlung erfolgt der Zahlungsvorgang niemals direkt zwischen den Parteien. Die dritte Partei ersetzt durch das anerkannte Zahlungssystem das Präsenzelement. Das Konzept der seit einigen Jahren existierenden Kryptowährungen sieht eine Umgehung der eigentlich notwendigen Beteiligung eines Dritten vor. Online-Zahlungen sind funktional Bargeldzahlungen gleichgestellt. Den Weg dorthin, beschreibt der Erfinder von der bekanntesten Kryptowährung „Bitcoin“ wie folgt:
Auer-Reinsdorff/Conrad-Kociok, § 27 Rn. 75. Vgl. hierzu auch Bräutigam/Rücker-Steinacker/Krauß, 13. Teil, B., Rn. 58.
26
Teil 1: Der moderne Zahlungsverkehr im Überblick
„What is needed is an electronic payment system based on cryptographic proof instead of trust, allowing any two willing parties to transact directly with each other without the need for a trusted third party.“ ⁹⁷
Das Vertrauen in die Integrität der zwischengeschalteten Stelle soll durch einen kryptographischen Beweis, der den Währungen ihren eigentümlichen Namen verpasst hat, ersetzt werden.⁹⁸ Dieser Beweis wird unter anderem durch das sogenannte Blockchain-Verfahren erbracht. Es handelt sich dabei um ein öffentliches Buchungssystem, auf dem alle bestätigten Buchungen gespeichert werden.⁹⁹ Eine Buchung läuft dabei wie folgt ab. Nutzer des Systems müssen einen BitcoinClient auf ihrem Computer installieren. Dieses Programm ermöglicht den Zugriff auf das Bitcoin-Netzwerk und weist dem Nutzer einen öffentlichen – vergleichbar mit einer Kontonummer – und einen privaten – vergleichbar mit einer PIN – Schlüssel zu.¹⁰⁰ Nutzer können ihre Bitcoins übertragen, indem sie ein Datenpaket schnüren, dass als Adresse den öffentlichen Schlüssel des Empfängers enthält. Nur dieser kann mit seinem privaten Schlüssel das verschlüsselte Datenpaket entschlüsseln und so die Bitcoin-Beträge empfangen. Indem Buchungen öffentlich gemacht werden, kann das Netzwerk stets nachvollziehen, wohin Bitcoins übertragen wurden. Versucht etwa ein Nutzer mit denselben Bitcoins mehrere Überweisungen zu tätigen, erkennt das System nur die zeitlich erste Übertragung an. Alle beteiligten Rechner führen nach jedem neuen Block einen „Proof-of-work“ – eine Überprüfung der Blockkette – durch, sodass sich das System selber vor Betrug schützt. Der Rückgriff auf die Kryptographie sorgt für zusätzliche Sicherheit bei den jeweiligen technischen Prozessen. Eine absolute Sicherheit, wie sie der Erfinder des Verfahrens, der unter dem Synonym Satoshi Nakamoto auftritt, in seinem Expose skizziert, wird dadurch trotzdem nicht gewährt. Zwar ist das Blockchain-Verfahren nicht angreifbar, Wallets und BitcoinHändler werden jedoch immer wieder Opfer von Hackerattacken.¹⁰¹
Satoshi Nakamoto, „Bitcoin: A Peer-to-Peer Electronic Cash System“, S. 1, abrufbar unter: https://bitcoin.org/bitcoin.pdf, zuletzt abgerufen am 10.04. 2019. Auer-Reinsdorff/Conrad-Kociok, § 27 Rn. 88; Beck, NJW 2016, 580 (581). Satoshi Nakamoto, aaO, S. 2. Satoshi Nakamoto, aaO, S. 2. Angriffe auf Bitcoin-Börsen: FAZ, „Bitcoin im Wert von 5 Millionen Dollar gestohlen“, abrufbar unter: http://www.faz.net/aktuell/finanzen/devisen-rohstoffe/bitcoin-im-wert-von-5-mil lionen-dollar-gestohlen-13356366.html, zuletzt abgerufen am 10.04. 2019; Handelsblatt, „65 Millionen Dollar Bitcoins gestohlen“, abrufbar unter: http://www.handelsblatt.com/finanzen/anlage strategie/trends/hackerangriff-65-millionen-dollar-bitcoins-gestohlen/13963284.html, zuletzt abgerufen am 10.04. 2019.
3. Abschnitt: Innovative Zahlungsinstrumente
27
Das öffentliche Bitcoin-Netzwerk besteht ausschließlich aus privaten Servern. Deren Kommunikation wird als „Peer-to-Peer-Communication“ bezeichnet, eine Kommunikation unter gleichen. Aus diesem Grund gibt es keine „zentrale Autoritätsstelle“, die technische Dienstleistungen erbringt oder Zahlungen auslöst, verarbeitet, durchführt oder überwacht.¹⁰² Dies hat denklogisch auch zur Folge, dass es keinen zentralen Bitcoin-Emittenten gibt. Bitcoins werden originär nicht durch Zahlung eines Geldbetrags erschaffen, sondern durch komplexe Rechenprozesse – als mining bezeichnet – generiert.¹⁰³ Dabei lösen Hochleistungsrechner komplizierte Rechenaufgaben, wofür als „Belohnung“ Bitcoins ausgegeben werden. Diese können dann über Kryptobörsen verkauft oder für Zahlungen im ECommerce eingesetzt werden. Der derivative Erwerb erfolgt gegen Zahlung eines Geldbetrags, für das Erbringen einer Dienstleistung oder gegen den Austausch von Waren. Kryptowährungen sind demnach ein eigenständiges, währungsunabhängiges und dezentrales Zahlungsnetzwerk.¹⁰⁴
IV. Mobile Zahlungsinstrumente Mit dem Smartphone, der Smartwatch oder einem Tablet lassen sich mittlerweile diverse Arten von Zahlungen auslösen, welche entweder der Gruppe der „Proximity Payments“ oder der Gruppe der „Remote Payments“ zugeordnet werden können.¹⁰⁵ Erstere bezeichnen, räumlich gesehen, Nahbereichszahlungen. Das mobile Endgerät kommuniziert mittels Bluetooth, Near-Field-Communication oder durch Scannen eines QR-Codes mit einem Kartenlesegerät und kann auf diese Weise Zahlungen auslösen.¹⁰⁶ Es handelt sich dabei um Zahlungen im stationären Handel, mithin nicht im E-Commerce. Aus diesem Grund werden Proximity Payments im nächsten Abschnitt dargestellt. Remote Payments sind Fernzahlungen über das Smartphone.¹⁰⁷ Das Smartphone wird selber zur Zahlstelle, wie etwa ein Computer bei der Ausführung einer Online-Zahlung. Kennzeichnend für Remote Payments sind Einkäufe im E-Commerce, App-Käufe und sogenannte In-App-Käufe, also Einkäufe, die innerhalb einer App getätigt werden.¹⁰⁸ Im App-Store von Apple oder im Play Store von
Auer-Reinsdorff/Conrad-Kociok, § 27 Rn. 88. Hildner, BKR 2016, 485 (487). Auer-Reinsdorff/Conrad-Kociok, § 27 Rn. 88 f. Baumann, GWR 2014, 493 (494); Busch, GewArch 2014, 148 (149); Söbbing, WM 2016, 1066 (1067). Baumann, GWR 2014, 493 (494); Busch, GewArch 2014, 148 (149). Baumann, GWR 2014, 493 (494). Busch, GewArch 2014, 148 (149).
28
Teil 1: Der moderne Zahlungsverkehr im Überblick
Google können Smartphone-Nutzer zahlreiche Apps verschiedenster Anbieter beziehen. Diese Apps können kostenlos oder gegen ein einmaliges oder monatliches Entgelt erworben werden. Voraussetzung hierfür ist das Eröffnen eines Kontos beim jeweiligen Anbieter. Dabei muss der Kunde ein gültiges Zahlungsmittel, wie etwa eine Kreditkarte oder ein PayPal-Konto, hinterlegen. Das Konto wird mit einem vom Nutzer zu wählendem Passwort gesichert. Bei dem Erwerb einer kostenpflichtigen App zieht der Anbieter des App-Stores nach Abfrage des Passworts den geschuldeten Betrag von der hinterlegten Zahlungsquelle ein und leitet diesen an den Anbieter der App, der oftmals nicht personenidentisch mit dem Anbieter des App-Stores ist, weiter. Der Erwerb von Waren oder Dienstleistungen über eine App erfolgt auf ähnliche Weise. Nachdem der Kunde die App erworben hat, gibt es zwei Möglichkeiten, für Dienste oder Produkte der App zu bezahlen. Der Kunde muss sich entweder beim Anbieter der App separat registrieren und ein Zahlungsmittel hinterlegen oder die Bezahlung erfolgt über den App-Store-Betreiber, was bei InApp-Käufen der Regelfall ist. Zum Erwerb wählt der Kunde in der App das gewünschte Produkt aus und muss sich zum Bezahlen gegebenenfalls mittels Passworts oder PIN identifizieren. Der geschuldete Betrag wird entweder vom App-Store-Betreiber oder direkt vom Anbieter der App über das hinterlegte Zahlungsmittel, etwa Kreditkarte oder PayPal, eingezogen. De facto ist somit keine funktionelle Diskrepanz zu den bereits beschriebenen Bezahlverfahren im ECommerce zu erkennen. Einziger Unterschied ist das „Front End“, also das vom Kunden für das Auslösen der Zahlung genutzte Gerät.¹⁰⁹ Davon abzugrenzen sind Remote Payments, welche mit der Mobilfunkrechnung oder vom Prepaid Guthaben eingezogen werden. Diese Verfahren werden als „Direct Carrier Billing“ bezeichnet und haben in den vergangenen Jahren einen starken Aufschwung erlebt.¹¹⁰ Gegenstand des Direct Carrier Billing sind Kleinbetragszahlungen für die Inanspruchnahme von digitalen Diensten oder Produkten Dritter wie etwa Parktickets. Dabei treten in der Regel Payment Provider zwischen Drittanbieter und Mobilfunkanbieter. Diese übernehmen sowohl die technische Umsetzung als auch die Abrechnung der Zahlungsströme. Der Kunde muss für eine Direct Carrier Billing Zahlung „mobiles Bezahlen“ als Bezahlmethode auswählen und bestätigen. Die Eingabe einer PIN oder eines Passworts wird dabei nicht erforderlich.
So auch Brandenburg/Leuthner, ZD 2015, 111 (112); Busch, GewArch 2014, 148. Vgl. Studie von Juniper Research: https://www.juniperresearch.com/press-release/contentbusiness-model-pr, zuletzt abgerufen am 10.04. 2019.
3. Abschnitt: Innovative Zahlungsinstrumente
29
V. Zwischenergebnis Bei den dargestellten Bezahlverfahren handelt es sich unabhängig vom verwendeten Gerät oder der Funktion stets um Zahlungen im E-Commerce, die online ausgelöst und abgewickelt werden. E-Payments sind danach „Zahlungen, bei denen die Zahlungsinformationen und die Zahlungsanweisung zwischen dem Kunden und dessen Zahlungsdienstleister online (d. h. über das Internet) übermittelt und bestätigt werden, wenn der Kunde digitale oder physische Waren und Dienstleistungen bei einem Internethändler kauft“. ¹¹¹ Hinsichtlich der mobilen Zahlungen ist eine gerätebezogene Abgrenzung hingegen nicht sachgerecht.¹¹² App-Einkäufe können auch über Laptops oder Computer getätigt werden. Umgekehrt ist bei Einkäufen mit dem Smartphone im E‐Commerce ebenfalls kein Unterschied zu einem Einkauf über den Computer auszumachen. Die Definition der M‐Payments wird daher im folgenden Abschnitt untersucht.
B. Innovative Bezahlverfahren im stationären Handel Mobile Endgeräte sind nicht nur aufgrund ihres Zugangs zur virtuellen Welt aus einer zahlungsdienstrechtlichen Perspektive interessant. Die jederzeitige Verfügbarkeit im alltäglichen Leben rückt Smartphones auch verstärkt in den Fokus stationärer Bezahlverfahren. Es gibt in Deutschland knapp 49 Millionen Smartphone-Nutzer.¹¹³ Seit 2009 hat sich ihre Anzahl fast verachtfacht. Während die Anzahl der Smartphone-Nutzer weiter steigen wird, wird sich auch der Anteil des E-Commerce am Einzelhandelsumsatz stetig erhöhen. Dennoch wird zumindest mittelfristig der dominierende Anteil weiterhin im stationären Handel umgesetzt werden. So wurden im Jahr 2015 immer noch über 91,5 % des Gesamtumsatzes stationär erwirtschaftet.¹¹⁴ Der Markt für innovative Zahlungsinstrumente im Präsenzverfahren übersteigt damit den EArt. Commerce Zahlungsmarkt um ein Vielfaches. Innovativer Spielraum besteht insbesondere für Verfahren, die schneller und effizienter arbeiten als gängige Präsenzzahlungen mit Karte oder
EZB, Einheitlicher Euro-Zahlungsverkehrsraum (SEPA), Oktober 2010, Siebter Fortschrittsbericht S. 34. Vgl. auch Danwerth, ZBB 2015, 119 (121). Anzahl der Smartphone-Nutzer in Deutschland in den Jahren 2009 – 2016, Statistik, abrufbar unter: https://de.statista.com/statistik/daten/studie/198959/umfrage/anzahl-der-smartphonenut zer-in-deutschland-seit-2010/, zuletzt abgerufen am 10.04. 2019. Cornelia Dörries, Online-Handel: Grenzen des Wachstums in Sicht, erschienen am 06.01. 2016, abrufbar unter: http://handelsjournal.de/2016/01/06/markt/dwolf/onlinehandel-grenzendes-wachstums-in-sicht/, zuletzt abgerufen am 10.04. 2019.
30
Teil 1: Der moderne Zahlungsverkehr im Überblick
Bargeld. Daher sind kontaktlose Zahlungsinstrumente von gesteigertem Interesse für die Zahlungswirtschaft. Neben Smartphones, Smartwatches und Tablets greifen auch Zahlungskartenemittenten auf die Technologien des kontaktlosen Bezahlens zurück.
I. Zahlungskarten mit Near-Field-Communication-Chip Die derzeit meist genutzte Technologie im Bereich der kontaktlosen Zahlungen ist die Near-Field-Communication.¹¹⁵ Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien geht davon aus, dass NFC „die Schlüsseltechnologie“ darstellt, welche dem „Thema Mobile Wallet die nötige Dynamik“ verleihen wird.¹¹⁶ Die drahtlose Kommunikationstechnologie operiert über einen Chip, der auf den meisten neu ausgegebenen Zahlungskarten verbaut ist. Der Chip lässt sich auch als Sticker auf ein Smartphone oder das Portemonnaie kleben. Kurioserweise bietet das Dortmunder Unternehmen „I am ROBOT“ auch NFCChips zum Implantieren an, mit derer Hilfe es möglich sein soll, kontaktlos „mit der Hand“ zu bezahlen.¹¹⁷ Dabei handelt es sich aber noch um Zukunftsmusik. NFC-fähige Zahlungskarten werden mittlerweile von allen großen Kreditkartenunternehmen angeboten. Sowohl die emittierten Kreditkarten als auch die Debitkarten sind mit NFC-Chips ausgestattet und können bis zu einem Betrag von meist 25 Euro ohne Eingabe einer PIN genutzt werden.¹¹⁸ Der Kunde muss nichts weiter tun, als seine Karte an des NFC-fähige Kartenlesegerät zu halten.¹¹⁹ Es sind dabei zwei Übertragungsmöglichkeiten denkbar: entweder eine verbindungslose oder eine verbindungsbehaftete Übertragung der Daten.¹²⁰ Erstere wird auch als „Reader Mode“ bezeichnet, da das mobile Endgerät die Kreditkartendaten aus einem passiven NFC-Tag, der als stationärer Chip eine geringe Datenmenge enthält, ausliest und verarbeitet.¹²¹ Diese Methode gewährt jedoch keine Sicherheit vor Angriffen Dritter,¹²² weshalb die sicherere, verbindungsbehaftete Übertragung
Bräutigam/Rücker-Steinacker/Krauß, 13. Teil, D., Rn. 1. BITKOM, Leitfaden Mobile Wallet, S. 5, abrufbar unter: https://www.bitkom.org/noin dex/Publikationen/2014/Leitfaden/Mobile-Wallet/141105-Mobile-Wallet.pdf, zuletzt abgerufen am 10.04. 2019. I am ROBOT-Website: Einsatzmöglichkeiten des NFC-Chips, abrufbar unter: https://iamro bot.de/nfc-einsatzmoeglichkeiten/, zuletzt abgerufen am 10.04. 2019. Nr. 3 lit. a AGB-Banken Bedingungen für die girocard (Stand: 13.01. 2018). Bräutigam/Rücker-Steinacker/Krauß, 13. Teil, D., Rn. 1; Danwerth, ZBB 2015, 119 (121); Rammos, ZD 2013, 599 (600). Söbbing, WM 2016, 1066 (1069). BITKOM, aaO, S. 24. Söbbing, WM 2016, 1066 (1069).
3. Abschnitt: Innovative Zahlungsinstrumente
31
breitere Verwendung findet. Tauschen zwei NFC-fähige Geräte Daten aus, kann es sich zum einen um die „P2P Mode“ und zum anderen um die „Card Emulation Mode“ handeln.¹²³ In der P2P Mode kommunizieren die Geräte untereinander, indem sie direkt Daten austauschen, also sowohl Senden als auch Empfangen.¹²⁴ Die Card Emulation Mode ist für Bezahlverfahren am relevantesten. Der NFC-Chip emuliert eine virtuelle Zahlungskarte für ein NFC-fähiges Kartenlesegerät.¹²⁵ Im Chip ist hierfür ein Controller enthalten, der die Modellierung der NFC-Signale durchführt.¹²⁶ Ist der Zahlungsbetrag höher als die vereinbarte Betragsgrenze, die meist bei 25 Euro liegt, bedarf es der Eingabe der PIN. Im Hintergrund laufen die bereits beschriebenen Prozesse bei Bezahlung mittels Kredit- oder Debitkarte ab.
II. Smartphone-Bezahlverfahren In Bereich des mobilen Bezahlens mittels Smartphone agierten neben Smartphone Herstellern wie Apple, Samsung und Google auch Mobilfunkprovider wie die Telekom, Vodafone und BASE. Letztere haben ihre Dienste mittlerweile eingestellt.¹²⁷ Aufgrund zahlungsdienstrechtlicher Besonderheiten des VodafoneDienstes ist dennoch eine kurze Betrachtung von Interesse, da derartige Zahlungssysteme auch in Zukunft erneut auftauchen könnten. Die verschiedenen Produkte greifen in der Regel auf die NFC-Technologie zurück. Es gibt auch Bestrebungen die Bluetooth-Technologie für Zahlungszwecke einzusetzen.¹²⁸ Im Gegensatz zur NFC kann die Funkkommunikation über mehrere Meter erfolgen.¹²⁹ Die Technologie hat bisher für Bezahlvorgänge jedoch noch keine Marktreife erlangt.¹³⁰ Stärkster Konkurrent der NFC-Technologie sind momentan daher nur anwendungsbasierte Verfahren, die über den Austausch visuell dargestellter Zahlungsinformationen, meist per QR-Code, operieren.
BITKOM, aaO, S. 24. BITKOM, aaO, S. 24. BITKOM, aaO, S. 24. Rammos, ZD 2013, 599 (600). Thomas Kolkmann, „Mobile Payment: Bargeldlos mit Bezahl-Apps – Anbieter in Deutschland“, 26.06. 2018, abrufbar unter: https://www.giga.de/extra/nfc/specials/mobile-payment-an bieter-in-deutschland-bargeldlos-mit-smartphone-zahlen/, zuletzt abgerufen am 10.04. 2019. Danwerth, ZBB 2015, 119 (122); Jiménez, EuCML, 2016, 219. Danwerth, ZBB 2015, 119 (122). Verwendung findet sie bereits in Museen, in denen mithilfe sogenannter „Beacons“, kleiner BLE-Sender, Informationen über Kunstwerke versendet werden können, siehe: Brandenburg/ Leuthner, ZD 2014, 617; ZD 2015, 111 (112, 113).
32
Teil 1: Der moderne Zahlungsverkehr im Überblick
1. NFC-Smartphone-Zahlungen a) Apple Pay, Samsung Pay und Google Pay Die Apps von Apple, Samsung und Google funktionieren in etwa wie das digitale Portemonnaie Masterpass von Mastercard. Der Nutzer installiert die jeweilige App auf seinem NFC-fähigen Smartphone und hinterlegt unter Angabe von persönlichen Daten eine Kreditkarte als Zahlungsquelle. Die Zahlungsinformationen werden auf dem Gerät, auf der SIM-Karte oder auf einem herausnehmbaren Chip verschlüsselt gespeichert. Das Verschlüsselungssystem nennt sich Secure Element. Der Zahlungsvorgang wird, wie auch bei der NFC-Kreditkarte, durch ein bloßes Heranhalten des Smartphones an das Kartenlesegerät ausgelöst. Der Kunde muss lediglich Zahlungen, die einen bestimmten Betrag – in der Regel 25 € oder 50 € – übersteigen, mit PIN oder Touch ID bestätigen. Anschließend überträgt die jeweilige App die Zahlungsdaten an den Emittenten der hinterlegten Zahlungsquelle, der dann die Zahlung auslöst. Die Wallet projiziert somit die Kreditkarte auf das Smartphone. Aufgrund einiger Schwierigkeiten mit den kartenausgebenden Banken sind die jeweiligen Apps in Deutschland noch nicht voll einsetzbar. Google Pay und Apple Pay sind zwar seit 2018 verfügbar. Allerdings kooperieren die drei größten Banken in Deutschland, die Sparkassen, Volksbanken und die Postbank, noch nicht mit Apple Pay. Dies soll sich im Laufe des Jahres 2019 ändern.
b) Wallet-Apps der Mobilfunkanbieter Dasselbe Prinzip verfolgten auch die Angebote der Mobilfunkprovider. Mangels hinreichender Kundenakzeptanz haben mittlerweile alle Anbieter ihre WalletApps eingestellt.¹³¹ Mobilfunkkunden mussten zunächst über ein NFC-fähiges Smartphones sowie einer NFC-SIM-Karte verfügen. Nach dem Herunterladen der Wallet hinterlegte der Nutzer eine Zahlungsquelle, wie etwa einen PayPal-Account oder eine VISA-Kreditkarte. Zur Zahlungsabwicklung erstellte die Raphaels Bank aus Großbritannien eine virtuelle Kreditkarte, mittels derer die Zahlungen nach Einzug des Geldbetrags über das hinterlegte Zahlungsmittel beglichen wurden.
c) Unabhängige Drittdienste Neben Smartphone-Herstellern und Mobilfunkprovidern gibt es auch unabhängige Drittanbieter wie Boon, ein Dienst der Wirecard Bank. Der einzige relevante
Ulrike Michel, „Bezahler per Handy: Mobile Payment mit NFC“, undatiert, abrufbar unter: https://www.teltarif.de/i/mobile-payment.html#supermarkt, zuletzt abgerufen am 10.04. 2019.
3. Abschnitt: Innovative Zahlungsinstrumente
33
Unterschied zu Apple Pay und Google Pay ist technischer Natur. Das SE, welches entweder von den Mobilfunkanbietern oder den Smartphone-Herstellern stammt, wird aus Sicherheitsgründen Dritten gegenüber nicht zur Verfügung gestellt. Um diese Problem zu umgehen, wurde die sogenannte HCE-Software entwickelt.¹³² Das physische Element des SE wird durch eine virtuelle Kopie der Identifikationskarten ersetzt.¹³³ Die Software emuliert das SE, sodass die dazugehörige App nicht auf physische Sicherheitsmodule und somit das Gerät selbst angewiesen ist. Aus diesem Grund können NFC-Zahlungen unabhängiger Drittdienste meist nur bei eingeschaltetem Smartphone getätigt werden, während bei den zuvor genannten Diensten aufgrund des physischen SE auch „Offline“-Zahlungen technisch möglich sind.
2. Anwendungsbasierte Bezahlverfahren Anwendungsbasierte Bezahlverfahren sind softwarebasierte Weiterentwicklungen von Kundenkarten, wie etwa die vom Unternehmen valuephone entwickelten Bezahl-Apps für Edeka, Netto, Marktkauf, Douglas und andere Unternehmen. Bei der Datenkommunikation mit dem Kassenterminal handelt es sich im Gegensatz zu NFC nicht um eine Funkübertragungstechnologie, sondern um den Austausch visuell dargestellter Informationen. Hierzu braucht der Kunde eine App und der Händler ein Kassenterminal, das das jeweilige Verfahren ermöglicht.¹³⁴ Je nach Ausgestaltung scannt entweder der Kunde oder das Kassenterminal ein vom Gegenüber erzeugten QR- oder Strichcode, der die Zahlungsinformationen enthält.¹³⁵ Anschließend bestätigt der Nutzer über die App die Zahlung. Die Zahlungsabwicklung erfolgt entweder über eine zentrale Clearingstelle, die die geschuldeten Beträge im Lastschriftverfahren einzieht und an den Händler weiterleitet oder über ein E-Geld-Institut, das auf Prepaid-Basis arbeitet und die fälligen E-Geld-Beträge an das Konto des Händlers übermittelt.
BITKOM, aaO, S. 24; Jiménez, EuCML, 2016, 219. Mirko Brandner, „Mobile Payment – Praktisch und sicher dank Host Card Emulation?“, 10.11. 2014, abrufbar unter: http://www.silicon.de/blog/mobile-payment-praktisch-und-sicher-dankhost-card-emulation/, zuletzt abgerufen am 10.04. 2019. Brandenburg/Leuthner, ZD 2015, 111 (113); BITKOM, aaO, S. 25. Bräutigam/Rücker-Steinack/Krauß, 13. Teil, D., Rn. 7; So z. B. bei Paycash, Nr. 3.4 AGB-Paycash, abrufbar unter: https://paycash.eu/agb/ (Stand:12.01. 2014), zuletzt abgerufen am 10.04. 2019.
34
Teil 1: Der moderne Zahlungsverkehr im Überblick
III. Zwischenergebnis Innovative Bezahlverfahren greifen im stationären Handel auf unterschiedlichste Technologien und Verfahren zurück. Dies ist in erster Linie dem Umstand geschuldet, dass sich weder eine Technologie noch ein Anbieter auf diesem Gebiet bisher endgültig hat durchsetzen können. Der gesamte Markt steht noch in den Kinderschuhen und die verfügbaren Verfahren werden daher noch Zeit benötigen, um eine breite Marktakzeptanz zu erreichen. Nichtsdestotrotz wird bei Betrachtung der verschiedenen Verfahren deutlich, dass die Backendprozesse von MPayments den Backendprozessen der E-Payments ähneln, wenn nicht sogar oft gleichen. Elementarer Unterschied ist das Front-End. Aus diesem Grund ist die von der Literatur konkretisierte Definition der EZB in Teilen ungenau. Hiernach liegt mobiles Bezahlen bei der „Verwendung eines mobilen Endgerätes durch den Zahlungspflichtigen für die Initiierung, Autorisierung oder Durchführung von Zahlungsvorgängen“ vor.¹³⁶ Mobile Endgeräte sind alle tragbaren der Sprach- und Datenkommunikation fähigen Benutzergeräte wie Notebooks, Smartphones, Tablets und Smartwatches. Nach dieser Definition fiele damit jede Online-Zahlung mittels Laptop unter die Gruppe der M‐Payments und ließe sich nicht von E‐Payments abgrenzen. Eine gerätespezifische Begrenzung auf Smartphones kommt jedoch wegen der Remote Payments, die als gewöhnliche E‐Payments zu klassifizieren sind, nicht in Betracht. Eine klare Abgrenzung ergibt sich allerdings bei Betrachtung des Einsatzbereiches des Zahlungsinstruments ohne Berücksichtigung des genutzten Endgeräts. Die von Danwerth vorgeschlagene Anknüpfung des Mobilitätsbegriffs an die wechselnden Einsatzorte und nicht an das verwendete Gerät ermöglicht eine trennscharfe Differenzierung. M‐Payments bezeichnen demnach „die berührungslose Initiierung, Autorisierung oder Durchführung eines Zahlungsvorgangs unter Zuhilfenahme eines Zahlungsinstruments im Präsenzverfahren.“ ¹³⁷
4. Abschnitt: Ergebnis Heutige Bezahlverfahren gliedern sich funktionell in drei verschiedene Gruppen auf. Die erste Gruppe bilden konventionelle Zahlungsinstrumente wie Bargeld, Scheck und Wechsel sowie Überweisung und Lastschrift. Diese Bezahlverfahren Baumann, GWR 2014, 493 (494); Müller-ter Jung, Kremer, BB 2010, 1874 (1875); Knops/Wahlers, BKR 2013, 240; Söbbing, WM 2016, 1066 (1067); aA Busch, GewArch 2014, 148 (149), der nur Smartphones als taugliche M-Payment-Geräte einstuft. Anm.: Hervorhebung durch den Verfasser.Vgl. im Übrigen: Danwerth, ZBB 2015, 119 (128); so wohl auch BeckOGK BGB-Köndgen, § 675j Rn. 87.
4. Abschnitt: Ergebnis
35
sind Grundlage des unbaren, nicht elektronischen Giralgeldverkehrs. Zahlungskarten, also Debit-, Kredit- und Geldkarte, charakterisieren die zweite Gruppe. Hierbei handelt es sich um Instrumente, die aufbauend auf Überweisung und Lastschrift, den elektronischen Giralgeldverkehr ermöglichen. Die dritte und letzte Gruppe wird von den innovativen Zahlungsinstrumenten gebildet. Dazu zählen E‐Payments, also Zahlungen im E‐Commerce, und M‐Payments, bei denen es sich um kontaktlose Zahlungen im Präsenzverfahren handelt.
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts 1. Abschnitt: Der normative Rahmen des Zahlungsdiensterechts Der elektronische Zahlungsverkehr hat seit seiner Entstehung stetig an Bedeutung gewonnen und ist in seiner heutigen Form als Massenzahlungsverkehr für das globale Zahlungswesen elementar. Während die Mitgliedsstaaten des Europäischen Wirtschaftsraums den europäischen Waren- und Dienstleistungsbinnenmarkt in den letzten Jahrzehnten des 20. Jahrhunderts durch den Abbau rechtlicher Handelshemmnisse intensiv vorangetrieben haben, wurde dem Aufbau eines europäischen Finanzbinnenmarktes zunächst wenig Aufmerksamkeit geschenkt. Der grenzüberschreitende Zahlungsverkehr erfuhr erst Anfang der 90er Jahre und auch zunächst nur im Wege der Selbstregulierung der Kreditinstitute erste Harmonisierungsbemühungen.¹³⁸ Die europäische Kommission erkannte neben den weiterhin bestehenden erheblichen Defiziten insbesondere die Ineffektivität selbstregulierender, nicht zwingender Maßnahmen und legte daher 1993 einen ersten Entwurf für eine Überweisungsrichtlinie vor, die die Harmonisierung grenzüberschreitender Überweisungen zum Gegenstand hatte.¹³⁹ Mit Verabschiedung der Überweisungsrichtlinie am 27.01.1997¹⁴⁰ wurde der Grundstein für weitere Harmonisierungsmaßnahmen zur Herstellung eines einheitlichen, europäischen Zahlungswesens gelegt. Die Einführung der europäischen Gemeinschaftswährung EURO im Jahr 2002 war ein Meilenstein auf dem Weg zu einem funktionierenden europäischen Finanzbinnenmarkt. Seither wurden weitere Verordnungen und Richtlinien mit dem Ziel verabschiedet, einen einheitlichen europäischen Finanzbinnenmarkt sowie einen einheitlichen Europäischen Zahlungsraum (SEPA) zu schaffen. Mittlerweile ist daher das Zahlungsdiensterecht meist europäischen Ursprungs.¹⁴¹ Der herrschende nationale Flickenteppich der 1990er Jahre ist einem fast vollharmonisierten Zahlungsdiensterecht der EU gewichen.
Koziol, Der Überweisungsvertrag, S. 5 ff. Abgedruckt in Schneider, WM 1994, 478, 479 ff. Richtlinie 97/5/EG des Europäischen Parlaments und des Rates vom 27.01.1997 über grenzüberschreitende Überweisungen, ABl.EU 1997 L 43/25. BeckOK BGB-Schmalenbach, § 675c Rn. 3; Staub-Grundmann, Bd. 10/2, Dritter Teil, Rn. 1. https://doi.org/10.1515/9783110671629-005
1. Abschnitt: Der normative Rahmen des Zahlungsdiensterechts
37
A. Europäische Vorgaben I. Erste Zahlungsdiensterichtlinie (PSD I) Mit Verabschiedung der EG-Zahlungsdienste-Richtlinie am 13.11. 2007 wurde erstmalig das gesamte private Zahlungsdiensterecht harmonisiert.¹⁴² Die Ursprünge der kodifikatorischen Richtlinie reichen bis zur Lissabon Agenda im Jahr 2000 zurück.¹⁴³ Im Zuge dieser Agenda gründeten die europäischen Kreditinstitute 2002 den European Payments Council, der bis heute die Verwirklichung des SEPA zum Ziel hat. Der Selbstregulierungsansatz der Kreditinstitute erzielte nach Ansicht der europäischen Kommission jedoch wie schon die Maßnahmen Anfang der 90er Jahre nicht den gewünschten Erfolg,¹⁴⁴ sodass am 02.12. 2003 ein Konsultationspapier¹⁴⁵ veröffentlicht wurde, in dem auf die Unzulänglichkeiten des Zahlungsverkehrssystems und das damit nicht voll ausgeschöpfte Potential des Binnenmarktes hingewiesen wurde. Das anschließende Konsultationsverfahren führte zu einem ersten Richtlinienvorschlag der Kommission im Dezember 2005. Nach einem knapp anderthalbjährigen Gesetzgebungsverfahren wurde die Richtlinie schlussendlich am 24.04. 2007 vom Europäischen Parlament und am 15.10. 2007 vom Rat angenommen. Am 18.07. 2009 wurde die ursprünglich fehlerhafte Richtlinie nochmal berichtigt und neu veröffentlicht.¹⁴⁶ Der größte Teil des Zahlungsverkehrsrechts, namentlich alle elektronischen Zahlungsverkehrsinstrumente, erfuhr hierdurch eine grundlegende Neuordnung.¹⁴⁷ Die PSD I regulierte einerseits die Zahlungsinstitute und legte andererseits Regelungen für das Verhältnis zwischen Nutzern und Unternehmen auf. Aus deutscher Perspektive gliederte sich die Richtlinie in einen zivilrechtlichen und einen aufsichtsrechtlichen Teil. Mit Ablauf der Umsetzungsfrist für die zweite Zahlungsdiensterichtlinie am 13.01. 2018 wurde die PSD I zwar aufgehoben, ist aber weiterhin durch die Übernahme zahlreicher Vorgaben und vor allem für das grundlegende Verständnis der gesetzgeberischen Intention von wesentlicher Bedeutung.
Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13.11. 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG und 2006/ 48/EG sowie zur Aufhebung der Richtlinie 97/5/EG, Abl.EU 2007 L 319/1; aufgehoben durch die PSD II siehe: Fn. 161. Casper/Terlau-Casper/Terlau, Einleitung Rn. 28; MünchKommBGB-Casper, Vorbem §§ 675c – 676c, Rn. 3. Casper/Terlau-Casper/Terlau, Einleitung Rn. 28; MünchKommBGB-Casper, Vorbem §§ 675c – 676c, Rn. 3; Schäfer/Lang, BKR 2009, 11. KOM (2003) 718 endgültig. ABl.EG 2009 L 187. Grundmann, WM 2009, 1109 (1109/1110); Staub-Grundmann, Bd. 10/2, Dritter Teil, Rn. 2.
38
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
1. Ziele und Prinzipien Mit Verabschiedung der Überweisungsrichtlinie im Jahr 1997 versuchte der europäische Gesetzgeber im Bereich der grenzüberschreitenden Überweisungen einige Mindeststandards festzulegen. Dafür wählte er das Prinzip der Mindestharmonisierung, sodass nicht nur für den sonstigen grenzüberschreitenden Zahlungsverkehr, sondern auch für den nationalen Zahlungsverkehr weiterhin die nationalen Rechtsordnungen Anwendung fanden. Der Harmonisierungserfolg war dadurch begrenzt. Für die PSD I wählte der Richtliniengeber demgegenüber einen universalen Ansatz, von dem sämtliche elektronische und bargeldlose Zahlungsvorgänge mit Ausnahme der wertpapiergebundenen Zahlungsinstrumente sowie einiger Sonderfälle erfasst wurden.¹⁴⁸ Ausfluss dieses horizontalen Ansatzes war auch die Erweiterung des sachlichen Anwendungsbereiches, sodass nicht nur grenzüberschreitende, sondern auch innerstaatliche Transaktionen einem einheitlichen Regelungskomplex unterworfen wurden.¹⁴⁹ Mit der Erweiterung des sachlichen Anwendungsbereiches wurde gleichzeitig der räumliche Anwendungsbereich aus kollisionsrechtlichen Gründen eingeschränkt. Transaktionen, die nicht als EU-Zahlungen, also als Transaktionen zwischen zwei Instituten mit Sitz in der EU, einzuordnen waren, unterfielen nicht der PSD I. In diesen Fällen galt die PSD nur eingeschränkt und konnte von den Vertragsparteien weitgehend vertraglich abbedungen werden.¹⁵⁰ Auch der persönliche Anwendungsbereich differenzierte zur flexiblen Handhabe im Geschäftsverkehr zwischen Verbrauchern und Unternehmen. Einige Vorgaben waren für Letztere nicht zwingend und konnten ebenfalls vertraglich abbedungen werden. Notwendige Folge der universalen Reichweite der PSD I war auch die Wahl der Vollharmonisierung als Umsetzungsvorgabe.¹⁵¹ Den Mitgliedstaaten war es danach nicht gestattet, strengere oder mildere Vorschriften im Wege der Umsetzung zu verabschieden. Ausnahmen gab es nur, soweit dies in der Richtlinie explizit zugelassen war oder es sich um einen ungeregelten Bereich, wie etwa Teile des Interbankenverhältnisses oder dem Valutaverhältnis, handelte.¹⁵² Neben den bereits erwähnten Leitprinzipien des horizontalen Ansatzes sowie der Vollharmonisierung, wurde mit der PSD I die Förderung der ausgewählten Zahlungsinstrumente (Überweisung, Lastschrift und Kartenzahlung) angestrebt, welche schon damals deutliche Kostenvorteile gegenüber Bargeldzahlungen oder
Berechtigterweise spricht Köndgens, ZIP 2011, 481 (483) daher auch von einem „Quantensprung in der Entwicklung des Zahlungsverkehrsrechts“. Köndgen, ZIP 2011, 481 (484). Staub-Grundmann, Bd. 10/2, Dritter Teil, Rn. 9. Siehe Art. 86 PSD I. Staub-Grundmann, Bd. 10/2, Dritter Teil, Rn. 8.
1. Abschnitt: Der normative Rahmen des Zahlungsdiensterechts
39
wertpapiergebundenen Zahlungsinstrumenten aufwiesen.¹⁵³ So sollte neben dem Ziel der Verwirklichung des Binnenmarktes für Zahlungsdienste eine höhere Kosteneffizienz und Innovationskraft durch gesteigerten Wettbewerb erreicht werden.¹⁵⁴ Die Gewährleistung von Sicherheit und Effizienz von Zahlungen war insbesondere aus Verbraucherschutzgesichtspunkten ein weiteres bedeutsames Ziel der Richtlinie.
2. Struktur und Regelungskomplexe Der horizontale Ansatz spiegelte sich in der Struktur des zivilrechtlichen Parts der PSD I wider. Die parallele Regelung der Zahlungsdienste erfolgte durch eine chronologische Gliederung, die sich an den Abläufen einer Transaktion orientierte.¹⁵⁵ Zunächst regelte der Richtliniengeber in den Art. 40 ff PSD I die vertraglichen Beziehungen zwischen Zahlungsdienstnutzern und Zahlungsdienstleistern. Anschließend normierten die Art. 51 ff PSD I die Autorisierung einzelner Zahlungsvorgänge. Dieser Vorgang fiel im Falle eines Einzelzahlungsvertrags mit der Begründung des Vertragsverhältnisses zusammen, vgl. Art. 35 ff PSD I. Das nächste Kapitel regelte in den Art. 64 ff PSD I die Ausführung von Zahlungsvorgängen. Abschließend enthielten die letzten beiden Kapiteln Fragen der Haftung und Risikoverteilung. Selbstverständlich gab es einzelne Normen, die sich ausschließlich einem Zahlungsinstrument widmeten, wie etwa Art. 63 Abs. 1 PSD I, der nur für die Lastschrift Anwendung fand. Bei der Analyse der Zahlungsinstrumente musste daher stets auch ein vertikaler Blick auf die rechtlichen Besonderheiten einzelner Zahlungsverfahren geworfen werden. Des Weiteren war bei der Auslegung der Richtlinie zu berücksichtigen, dass der europäische Gesetzgeber nicht zwischen Aufsichts- und Zivilrecht differenziert. So entschieden etwa die Begriffsbestimmungen der Art. 1 bis 4 PSD I sowohl über die Erlaubnispflichtigkeit als auch über die vertragstypologische Einordnung bestimmter Zahlungsdienste.
3. Auslegungsgrundsätze im europäischen Sekundärrecht Die Wahl des Vollharmonisierungsansatzes hatte auch die europaeinheitliche Auslegung der jeweiligen Richtlinie zur Folge. Das Gebot richtlinienkonformer
Staub-Grundmann, Bd. 10/2, Dritter Teil, Rn. 2 mwN. Casper/Terlau-Casper/Terlau, Einleitung, Rn. 4. Köndgen, ZIP 2011, 481 (484).
40
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Auslegung, welches sich allgemein aus dem Umsetzungsgebot in Art. 288 AEUV sowie dem Grundsatz der Gemeinschaftstreue in Art. 4 Abs. 3 AEUV ergibt, ist in der nationalen und europäischen Rechtsprechung anerkannt, sodass die Letztentscheidungskompetenz in Auslegungsfragen stets beim EuGH liegt.¹⁵⁶ Der Inhalt jeder Richtlinie muss autonom und ohne Rückgriff auf das nationale Verständnis anhand europäischer Kriterien ausgelegt werden.¹⁵⁷
II. Zweite Zahlungsdiensterichtlinie (PSD II) Die EU-Kommission stellte bereits im Jahr 2012 in dem von ihr veröffentlichten Grünbuch „Ein integrierter europäischer Markt für Karten-, Internet- und mobile Zahlungen“ ¹⁵⁸ fest, dass es im Bereich der Karten, Internet- und Mobilzahlungen erhebliche technische Innovationen gegeben hat und entsprechender legislativer Handlungsbedarf bestand.¹⁵⁹ Im Zuge der weiteren Analyse wurde deutlich, dass eine Anpassung der PSD I unausweichlich war, da einige innovative Zahlungsmittel von der Richtlinie nur partiell oder gar nicht erfasst wurden. Am 24.07. 2013 wurde daher bereits ein erster Entwurf für eine Überarbeitung der PSD I vorgestellt, der nach Durchführung des europäischen Gesetzgebungsverfahren und den damit verbundenen Änderungen am 25.11. 2015 vom europäischen Parlament als zweite Zahlungsdiensterichtlinie verabschiedet wurde.¹⁶⁰ Am 12.01. 2016 ist die PSD II in Kraft getreten und hat die PSD I gem. Art. 114 PSD II zum 13.01. 2018 aufgehoben. Bis zu diesem Zeitpunkt waren die Mitgliedstaaten gem. Art. 115 Abs. 1 PSD II aufgefordert, die Richtlinie in nationales Recht umzusetzen. Einige Länder, wie etwa Rumänien, die Niederlande oder Spanien, befanden sich bis zum Abschluss dieser Arbeit immer noch in Verzug.¹⁶¹ Die von der PSD I verfolgten Ziele, die zugrundeliegenden Prinzipien und die Struktur bleiben von der Novellierung unberührt und sind daher uneingeschränkt über-
StRspr des EuGH seit Urt. v. 10.04.1984 – Rs 14/83, NJW 1984, 2021; BGH, Urt. v. 26.11. 2009 – VIII ZR 200/05, NJW 2009, 427 (438), vgl auch Ruffert, in: Calliess/Ruffert, Art. 288 AEUV Rn. 77 ff. Casper/Terlau-Casper/Terlau, Einleitung Rn. 47; Staub-Grundmann, Band 10/2, Rn. 9 mwN. KOM (2011) 904 endgültig. Vgl. Erwägungsgrund 4 PSD II. Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/ EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl.EU 2015 L 337/35. Transposition status PSD 2 zum 12.08. 2018, abrufbar unter: https://ec.europa.eu/info/publi cations/payment-services-directive-transposition-status_en, zuletzt abgerufen am 10.04. 2019.
1. Abschnitt: Der normative Rahmen des Zahlungsdiensterechts
41
tragbar. Selbiges gilt natürlich auch für die Auslegung. Die Änderungen der PSD II sind vornehmlich inhaltlicher Natur.¹⁶² Auf zivilrechtlicher Ebene erfährt der Anwendungsbereich sowohl in sachlicher und personeller als auch in kollisionsrechtlicher Hinsicht Erweiterungen. Des Weiteren wird die Sicherheit von Zahlungsvorgängen im Rahmen der Zahlungsabwicklung durch strengere Authentifizierungsvorschriften verbessert. Verbraucherrechte werden durch eine weitere Haftungsverlagerung auf den Zahlungsdienstleister sowie dem Verbot von Entgelten für die Nutzung besonders gängiger Zahlungsinstrumente gestärkt. Durch die Erweiterung des räumlichen Anwendungsbereichs gelten überdies die bestehenden und erweiterten Verbraucherrechte nun auch bei Zahlungsvorgängen in Drittstaatenwährungen und sogenannten „one-leg-transactions“¹⁶³. Die PSD II enthält für die Europäische Bankaufsichtsbehörde diverse Aufträge, technische Regulierungsstandards zur Konkretisierung verschiedenster Regelungskomplexe auszuarbeiten. Diese Regulierungsstandards werden als delegierte Rechtsakte der Union i. S. d. § 290 Abs. 1 AEUV ohne Umsetzung durch die Mitgliedsstaaten unmittelbar Geltung entfalten. Die wohl wichtigsten RTS präzisieren die Erfordernisse des Verfahrens zur starken Kundenauthentifizierung. Nach einem langen Konsultationsverfahren ist am 27.11. 2017 der finale Entwurf der Europäischen Kommission erlassen worden, der gem. Art. 38 Abs. 2 RTS am 14.09. 2019 unmittelbare und unionsweite Geltung entfalten wird.¹⁶⁴
III. E-Geld-Richtlinien Von großer Relevanz für den heutigen Zahlungsverkehr ist neben den Zahlungsdiensterichtlinien die zweite E‐Geld-Richtlinie, die 2009 in Kraft trat und die erste E‐Geld-Richtlinie aus dem Jahr 2000 ersetzte. E‐Geld hatte bei der Verabschiedung der ersten E‐Geld-Richtlinie noch eine ganz andere Funktion und Relevanz als heute. Der Einsatzbereich beschränkte sich auf die elektronische Durchführung von Kleinbetragszahlungen als elektronischen Ersatz für Münzen und Banknoten, meist in Gestalt der Geldkarte.¹⁶⁵ Erst durch das Auftreten von
Siehe auch für die nachstehende Passage: BT-Drs. 18/11495, 79 ff; Kurzübersicht der Änderungen bei: Baumann, GWR 2017, 275; Omlor, JuS 2017, 626; Werner, WM 2018, 449; Zahrte, NJW 2018, 337; zu den Auswirkungen auf die Realwirtschaft siehe: Conreder/Schild, BB 2016, 1162. Siehe hierzu ausführlich: Teil 2, 2. Abschnitt, A., III. Delegierte Verordnung (EU) 2018/389 der Kommission vom 27.11. 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation, EU.ABl. L 69/23. Siehe: Erwägungsgrund 3 erste E-Geld-Richtlinie.
42
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
internetbasierten E‐Geld-Konten wie Moneybookers und PayPal erlangte das in diesem Zusammenhang auch als Netzgeld bezeichnete E‐Geld seine heutige Bedeutung. Die ebenfalls vollharmonisierend umgesetzte E‐Geld-RL regelt neben der Ausgabe von E‐Geld insbesondere die Beaufsichtigung von E‐Geld-Instituten, sodass die E‐Geld-RL nur für aufsichtsrechtliche Fragen von Bedeutung sein wird. Die zivilrechtliche Behandlung von E‐Geld-Zahlungsvorgängen richtet sich nach den Vorgaben der Zahlungsdiensterichtlinie.
IV. Verordnungen i. S. d. Art. 288 Abs. 2 AEUV Zur weiteren Harmonisierung des EU-Finanzbinnenmarkts hat die EU neben den Zahlungsdienste- und E‐Geld-Richtlinien weitere flankierende normative Vorgaben als unmittelbar geltende Verordnungen auf Grundlage von Art. 288 Abs. 2 AEUV erlassen. Dazu zählen zum einen die im Jahr 2009 erlassene EGZahlungsentgelte-VO¹⁶⁶, die auch die Verfügbarkeit der SEPA-Lastschrift regelt, und zum anderen die im Jahr 2012 in Kraft getretene SEPA-Verordnung¹⁶⁷. Mit der EG-Zahlungsentgelte-VO wurde sich dem starken Gefälle zwischen den Gebühren für inländische und grenzüberschreitende EG-Zahlungen angenommen, indem eine Differenzierung für verboten worden ist. Die SEPA-VO stellt zudem formale Anforderungen für alle auf der Gemeinschaftswährung EURO lautenden Überweisungen und Lastschriften auf.
V. Sonstige Rechtsakte Die bereits beschriebenen europäischen Vorgaben bilden den Großteil des Rechtsrahmens des Zahlungsverkehrs ab. Der Vollständigkeit halber ist auf die Interbankenentgelte-Verordnung¹⁶⁸ sowie die Verbraucherrechte-Richtlinie¹⁶⁹ hin-
Verordnung (EG) Nr. 924/2009 des Europäischen Parlaments und des Rates vom 16.09. 2009 über grenzüberschreitende Zahlungen in der Gemeinschaft und zur Aufhebung der Verordnung (EG) Nr. 2560/2001, ABl.EU 2009 L 266/11. Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates vom 14.03. 2012 zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009, ABl.EU 2012 L 94/ 22. Verordnung (EU) 2015/751 des Europäischen Parlaments und des Rates vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge, ABl.EU 2015 123/1. Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie
1. Abschnitt: Der normative Rahmen des Zahlungsdiensterechts
43
zuweisen. Erstere regelt die zulässige Höhe von Interbankenentgelten sowie Geschäftsregeln für Kartenzahlverfahren. Die Verbraucherrechte-Richtlinie bestimmt unter anderem die zulässige Höhe von Entgelten für die Verwendung bestimmter Zahlungsmittel. Beide Rechtsakte haben somit Einfluss auf den Rechtsrahmen, in dem sich Zahlungsdienstnutzer und Zahlungsdienstleister bewegen.
B. Nationale Gesetzgebungsakte I. Umsetzung von sekundärem EU-Recht Der deutsche Gesetzgeber hat die PSD I durch das am 01.11. 2009 in Kraft getretene Zahlungsdiensteumsetzungsgesetz umgesetzt.¹⁷⁰ Der zivilrechtliche Part wurde in den §§ 675c bis 676c BGB geregelt. Am 08.02. 2017 hat die Bundesregierung einen ersten Entwurf für die Umsetzung der zweiten Zahlungsdiensterichtlinie vorgelegt,¹⁷¹ welcher vom Bundestag am 01.06. 2017 als zweites Zahlungsdiensteumsetzungsgesetz beschlossen worden ist.¹⁷² Das Gesetz ist gem. Art. 7 ZDUG II in weiten Teilen am 13.01. 2018 in Kraft getreten. Lediglich für einige Sondervorschriften gelten Übergangsregelungen. Die E‐Geld-RL wurde durch das am 01.05. 2011 in Kraft getretene Gesetz zur Umsetzung der zweiten E‐Geld-RL umgesetzt.¹⁷³ Hiervon waren maßgeblich Gesetze aufsichtsrechtlicher Natur betroffen.¹⁷⁴ Der deutsche Gesetzgeber hat zudem von seinem durch die SEPA-VO eröffneten Spielraum Gebrauch gemacht und mit dem SEPA-Begleitgesetz¹⁷⁵ vom 03.04. 2013 weitere Regelungen hauptsächlich aufsichtsrechtlicher Natur geschaffen.
85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates, ABl.EU 2011 L 304/64. Art. 1 Nr. 47 VerbrKrRL-UG v. 29.07. 2009, BGBl. I 2355 (Materialien: Gesetzentwurf, BT-Drs. 16/11643) BT-Drs. 18/11495. Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie vom 17.07. 2017, BGBl. I Nr. 48 (Materialien: Gesetzentwurf BT-Drs. 18/11495) 2. EGeldRLUG v. 01.03. 2011, BGBl. I 288. Siehe oben: Teil 2, 1. Abschnitt, A., III. Gesetz zur Begleitung der Verordnung (EU) Nr. 260/2012 zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009 vom 03.04. 2013, BGBl. 2013 I 610.
44
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
II. National bedeutsame Rechtsvorschriften im Zahlungsverkehr Neben dem europäisch geprägten Zahlungsdiensterecht sind einige Teile des Bürgerlichen Gesetzbuches für die folgende Analyse von Bedeutung. Zunächst spielt der allgemeine Teil des BGB bei der Begründung eines zahlungsdienstrechtlichen Vertragsverhältnisses eine Rolle. Ebenfalls relevant wird das in den §§ 305 ff BGB geregelte AGB-Recht bei der Ausgestaltung des Vertragsrahmens zwischen Zahlungsdienstnutzer und Zahlungsdienstleister. Des Weiteren dient das Auftrags- und Geschäftsbesorgungsrecht gem. § 675c Abs. 1 BGB als Auffangrecht für die zahlungsdienstrechtlichen Vorgaben. Dieses Recht war schon vor Erlass der PSD I im Zahlungsrecht nur von untergeordneter Bedeutung. Das Recht von Überweisung, Lastschrift und Kartenzahlung richtete sich primär nach der Interessenlage der Beteiligten, da eine Zuordnung zu den im BGB geregelten Vertragstypen nicht möglich war.¹⁷⁶ Soweit das Zahlungsdiensterecht keine vorrangig anwendbaren Spezialregelungen enthält, kann auch auf Normen des Bereicherungs- sowie Deliktsrechts zurückgegriffen werden.
C. Verwaltungsrechtliche Vorgaben der Europäischen Bankaufsichtsbehörde Die Europäische Bankaufsichtsbehörde hat zur Stärkung der Sicherheit von Internetzahlungen am 19.12. 2014 die „Guidelines on Internet Payments“ verabschiedet.¹⁷⁷ Nach dieser Richtlinie haben die nationalen Bank- und Finanzaufsichtsbehörden sicherzustellen, dass die regulierten Institute bei Internetzahlungen betrugspräventive Maßnahmen ergreifen, effektive Überwachungssysteme vorsehen und zur Autorisierung von Zahlungsvorgängen eine starke Kundenauthentifizierung verlangen. Die BaFin hat die deutschen Zahlungsinstitute durch das Rundschreiben 4/2015 (BA) – Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) vom 05.05. 2015 über die neuen verwaltungsrechtlichen Vorgaben in Kenntnis gesetzt.¹⁷⁸ Den adressierten Instituten wurde eine sechsmonatige Übergangsfrist gewährt, sodass der Inhalt der Vorgaben seit Anfang November 2015 Geltung entfaltet. Bei Richtlinien der Europäischen Bankauf-
Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 73. Hierin wurde erstmals das Konzept der starken Kundenauthentifizierung vorgestellt, siehe: EBA/GL/2014/12_Rev1 v. 19.12. 2014, abrufbar unter: http://www.eba.europa.eu/documents/ 10180/1004450/EBA_2015_DE+Guidelines+on+Internet+Payments.pdf/eff847ff-f1ed-4589-8efc900cd78e2707, zuletzt abgerufen am 10.04. 2019. Rundschreiben 4/2015 v. 05.05. 2015, abrufbar unter: https://www.bafin.de/SharedDocs/Ver oeffentlichungen/DE/Rundschreiben/2015/rs_1504_ba_MA_Internetzahlungen.html, zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
45
sichtsbehörde handelt es sich nicht um Rechtssätze im eigentlichen Sinne.¹⁷⁹ Die oberste Verwaltungsbehörde – hier die EBA – gibt Handlungsrichtlinien für die Verwaltungspraxis der ihr untergeordneten Behörden aus, die diese in ihrem Zuständigkeitsbereich umzusetzen haben. Die betroffenen Institute trifft daher keine gesetzliche Pflicht zur Umsetzung des Richtlinieninhalts. Sie können aber zum Adressat verwaltungsrechtlicher Maßnahmen werden, soweit sie gegen den Inhalt verstoßen. Faktisch haben Richtlinien der EBA daher nur eine mittelbare Wirkung, dienen aber dennoch als Rechtserkenntnisquelle.¹⁸⁰ Das Inkrafttreten der restlichen Vorgaben der PSD II im September 2019 wird zur Gegenstandslosigkeit der MaSI führen, die als (interne) verwaltungsrechtliche Maßnahme hinter dem universal anwendbaren Recht zurücktreten wird.¹⁸¹ Bestimmte Inhalte, wie etwa die Vorgaben zur starken Kundenauthentifizierung, werden jedoch als Übergangsregelung zunächst weiterhin Anwendung finden.¹⁸²
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts Die Vorgaben des europäischen Gesetzgebers in Gestalt der Zahlungsdiensterichtlinien dienen dem Zweck, alle in der Union erbrachten Zahlungsdienste zu erfassen und sie einem einheitlichen Regelungskomplex zu unterwerfen. Die horizontale Struktur beider Zahlungsdiensterichtlinien bedingt einen allgemein abstrakten Rechtsrahmen. Die vorrangige Analyse der Eckpfeiler des europäischen Zahlungsdiensterechts ist daher für die individuelle Betrachtung einzelner innovativer Zahlungsinstrumente zwingende Voraussetzung. Zusätzlich bieten die umgesetzten nationalen Vorschriften im BGB und ZAG die Möglichkeit, das Verständnis des deutschen Gesetzgebers herauszuarbeiten.
A. Anwendungsbereich des Zahlungsdiensterechts Beide Zahlungsdiensterichtlinien sehen jeweils in Art. 2 und 3 die von ihrem Anwendungsbereich erfassten Zahlungsdienste vor. Kapitel 1 (§§ 675c – 675e
Zahrte, ZBB 2015, 410 (411) Vgl. ausführlich zum Inhalt und dem Umfang der MaSI: Zahrte, ZBB 2015, 410; siehe zum Charakter von EBA-Leitlinien: Baur/Boegl, BKR 2011, 177 (183). So auch Terlau, jurisPR-BKR 2/2016, Anm. 1 S. 4, der davon ausgeht, dass die MaSI aufgehoben werden. Siehe: Art. 115 Abs. 4 PSD II – 18 Monate nach Inkrafttreten der RTS.
46
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
BGB)¹⁸³ des zivilrechtlichen Zahlungsdiensterechts legt im Zusammenspiel mit den Bestimmungen des ZAG den Anwendungsbereich der Richtlinie im deutschen Recht fest. Die wichtigsten Änderungen sind sachlicher sowie persönlicher Natur. So werden nunmehr zwei weitere Zahlungsdienste – der Zahlungsauslösedienst und der Kontoinformationsdienst – erfasst und die Anbieter dieser Dienste aufsichtsrechtlich reguliert.
I. Sachlicher Anwendungsbereich Beiden Richtlinien ist gemein, dass der jeweilige Art. 2 Abs. 1 alle Zahlungsdienste, die innerhalb der Union erbracht werden, dem Anwendungsbereich unterstellt. Tätigkeiten, die als Zahlungsdienste einzuordnen sind, werden positiv in Art. 4 Nr. 3 i.V. m. Anhang I PSD I und PSD II definiert. Die Umsetzung findet sich im ZAG wieder, dessen Begriffsbestimmungen über einen Verweis in § 675c Abs. 3 BGB auch im Bereich des Zivilrechts Anwendung finden. Aus diesem Grund können alle Tätigkeiten, die als Zahlungsdienste i. S. d. ZAG zu qualifizieren sind, Gegenstand eines Zahlungsdienstevertrags sein. Der europäische Gesetzgeber hat zur kontinuierlichen Weiterentwicklung des Schutzes der Zahlungsdienstnutzer den Anwendungsbereich der Richtlinie auf neue Erscheinungsformen von Zahlungsdiensten erweitert.¹⁸⁴ Bisher handelte es sich bei Zahlungsdiensten um das Ein- und Auszahlungsgeschäft (Anhang I Nr. 1 und 2 PSD I), das Überweisungs-, Lastschrift- und Zahlungskartengeschäft ohne Kreditgewährung (Anhang I Nr. 3 PSD I), das unter Nr. 3 beschriebene Zahlungsgeschäft mit Kreditgewährung (Anhang I Nr. 4 PSD I), das Zahlungsauthentifizierungsgeschäft (Anhang I Nr. 5 PSD I), das Finanztransfergeschäft (Anhang I Nr. 6 PSD I) und das digitalisierte Zahlungsgeschäft (Anhang I Nr. 7 PSD I). Das neue Akquisitionsgeschäft (Anhang I Nr. 5 PSD II) ersetzt nunmehr das weggefallene Zahlungsauthentifizierungsgeschäft. Die neutrale Fassung des Wortlauts erfasst neben der Annahme und Abrechnung von Kartenzahlungen nunmehr auch andere zahlungskartenunabhängige Geschäftsmodelle.¹⁸⁵ Anstelle des digitalisierten Zahlungsgeschäfts treten Zahlungsauslösedienste (Anhang I
Die Struktur der Umsetzungsvorschriften hat sich durch das ZDUG II kaum geändert, sodass die in diesem Abschnitt bezeichneten Vorschriften inhaltlich dem alten und neuen Zahlungsdiensterecht entsprechen und daher nur bei Neuerungen oder Abweichungen gesondert mit den Abkürzungen a. F. und n. F. gekennzeichnet werden. Vgl. Erwägungsgründe 27, 28 PSD II. Vgl. Erwägungsgrund 10 PSD II sowie BT-Drs. 18/11495, S. 106.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
47
Nr. 7 PSD II).¹⁸⁶ An achter Stelle befinden sich neuerdings Kontoinformationsdienste (Anhang I Nr. 8 PSD II). Gleichzeitig erfolgt in Art. 3 beider Richtlinien eine enumerative Aufzählung von Dienstleistungen, die explizit aus dem Anwendungsbereich ausgeschlossen werden. Der Negativkatalog hat durch die PSD II einige Anpassungen erfahren, die sich vor allem auf die Konkretisierung der bestehenden Ausnahmen konzentrieren. Allgemein dient Art. 3 PSD II dem Zweck, bargeldgestützte und dokumentenbasierte Zahlungsformen sowie risikoarme und damit nicht regulierungsbedürfte Zahlungsdienste aus dem Anwendungsbereich auszunehmen,¹⁸⁷ da primäres Ziel der Richtlinie die Beschleunigung des bargeldlosen, elektronischen Zahlungsverkehrs ist.¹⁸⁸ Der Positiv- und Negativkatalog der Art. 2 und 3 PSD I war bisher gemeinsam mit den Definitionen des Art. 4 PSD I in § 1 ZAG a. F. niedergelegt. Das ZDUG II sieht nunmehr eine der Übersichtlichkeit förderliche separate Umsetzung der Kataloge vor. So enthält § 1 ZAG n. F. neben dem Positivkatalog des Art. 2 PSD II die Definitionen des Art. 4 PSD II. Die aus Art. 3 PSD II folgenden Ausnahmen sind in § 2 ZAG n. F. geregelt. Sachlich sind Zahlungsdienste demnach privatrechtliche Dienstleistungen eines Dritten, welche die Ausführung oder Auslösung einer Zahlung zwischen zwei Parteien zum Gegenstand haben, ohne dabei von einem der Ausnahmetatbestände erfasst zu werden.¹⁸⁹
II. Persönlicher Anwendungsbereich Die in der Regel zwingenden Vorschriften des Zahlungsdiensterechts entfalten sowohl für Verbraucher als auch für Unternehmer als Zahler oder Zahlungsempfänger Geltung. Im Geschäftsverkehr unterliegen einige Rechtsbereiche gem. Art. 38 Abs. 1 und Art. 61 Abs. 1 und 2 PSD II¹⁹⁰ der Disposition der Parteien und können vertraglich abbedungen werden. Explizit ausgenommen von der aufsichtsrechtlichen Regulierung sind Zahlungsinstitute i. S. d. Art. 1 Abs. 1 lit. a, b, c, e und f PSD II. Dies betrifft unter anderem CRR-Kreditinstitute, öffentliche Körperschaften, Postcheckämter und die Europäische Zentralbank, welche zwar regelmäßig Zahlungsdienste erbringen, aber aufgrund ihres deutlich erweiterten Geschäftsfeldes oder ihrer staatli-
Digitalisierte Zahlungen sind weiterhin Zahlungsdienst i. S.d. PSD II, siehe: Teil 6, 1. Abschnitt, B., I., 3. Vgl. auch Erwägungsgrund 6 PSD I. Casper/Terlau-Casper, § 1 Rn. 78. Palandt-Sprau, § 675c Rn. 3. Identisch mit Art. 30 Abs. 1 PSD I und Art. 51 Abs. 1 und 2 PSD I.
48
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
chen Struktur der strengeren Bankenaufsicht i. S. d. KWG unterliegen. Hinsichtlich besonderer staatlicher oder gemeinnütziger Institute verweist Art. 2 Abs. 5 PSD II auf die zweite Eigenkapitalrichtlinie¹⁹¹, sodass weitere Ausnahmen nach Maßgabe der Mitgliedstaaten festgelegt werden können.¹⁹² Auf die zivilrechtliche Behandlung der jeweiligen Rechtsgeschäfte hat die Art der aufsichtsrechtlichen Regulierung jedoch keine Auswirkungen. Die Anwendbarkeit richtet sich ausschließlich nach dem Tatbestandsmerkmal der Erbringung eines Zahlungsdienstes und nicht nach der Erlaubnispflichtigkeit der Tätigkeit.
III. Kollisionsrechtlicher Anwendungsbereich Der kollisionsrechtliche Anwendungsbereich des Zahlungsdiensterechts beschränkte sich nach der PSD I auf unionsinterne Dienste, bei denen gem. Art. 2 Abs. 1 S. 2 PSD I alle beteiligten Zahlungsdienstleister ihren Sitz in der Union hatten. Zudem fanden die zivilrechtlichen Vorschriften der Richtlinie gem. Art. 2 Abs. 2 PSD I nur für Zahlungsdienste Anwendung, die in Euro oder in der Währung eines EU-Mitgliedsstaates außerhalb der Eurozone erbracht wurden. Die zweite Zahlungsdiensterichtlinie erweitert den Anwendungsbereich in Teilen nun auch auf Zahlungsvorgänge in Drittstaatenwährungen, soweit alle beteiligten Zahlungsdienstleister in der Union ansässig sind.¹⁹³ Auch die sogenannten „oneleg-transactions“ unterfallen nunmehr gem. Art. 2 Abs. 4 PSD II¹⁹⁴ dem Zahlungsdiensterecht. Dabei handelt es sich währungsunabhängig um Zahlungen, bei denen nur einer der beteiligten Dienstleister in der Union ansässig ist.¹⁹⁵ Beide Normen beschränken jedoch die erfassten Dienste auf die Bestandteile, die in der Union getätigt werden. Der wesentliche zahlungsdienstrechtliche Unterschied zwischen Zahlungsvorgängen in Drittstaatenwährungen und one-leg-transactions besteht in den von der Anwendung ausgeschlossenen Normen. So sind deutlich weniger Vorschriften auf one-leg-transactions anwendbar, da das gesetzliche
Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG, ABl.EU 2013 L 176/338. Der deutsche Gesetzgeber hat hiervon in § 1 Abs. 12 ZAG für die Kreditanstalt für Wiederaufbau Gebrauch gemacht. Das ZDUG II sieht nunmehr die Nennung der KfW in § 1 Abs. 1 S. 1 Nr. 3 ZAG n. F. vor. Damit ist die KfW weiterhin als privilegierter Zahlungsdienstleister einzuordnen. Vgl. auch BT-Drs. 18/11495, S. 103. Vgl. Art. 2 Abs. 3 PSD II, der in § 675d Abs. 6 S. 1 Nr. 1 lit. a BGB n. F. umgesetzt worden ist. Vgl. § 675d Abs. 6 S. 1 Nr. 1 lit. b BGB n. F. Vgl. BT-Drs. 18/11495, S. 151.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
49
Leitbild weitaus seltener als bei Zahlungsvorgängen in Drittstaatenwährungen den gewöhnlichen Rechtstatsachen entspricht. Die allgemeine Vorschrift des § 675e Abs. 2 BGB n. F. setzt daher nicht die Ausnahmevorschriften der Art. 2 Abs. 3 und 4 PSD II um, sondern befasst sich mit den seltenen Fällen, in denen deutsches Recht aufgrund der Vorschriften des internationalen Privatrechts zur Anwendung kommt, jedoch der jeweilige Zahlungsvorgang nicht der PSD II unterfällt. Dadurch handelt es sich bei § 675e Abs. 2 i.V. m. § 675d Abs. 6 S. 1 Nr. 2 BGB n. F. um eine überschießende, dem Vollharmonisierungsansatz jedoch nicht widersprechende Umsetzung.¹⁹⁶ Schließlich werden nur Fälle erfasst, die ohnehin nicht dem Anwendungsbereich der Richtlinie unterliegen. Der Regierungsentwurf beabsichtigt damit die einheitliche Regelung aller kollisionsrechtlich dem deutschen Zahlungsdiensterecht zuzuordnenden Fälle. Gem. § 675e Abs. 2 Nr. 2 BGB n. F. sind die anzuwendenden Vorschriften freilich dispositiv. § 675e Abs. 2 Nr. 1 BGB n. F. schließt zudem Vorschriften aus, die in Drittstaatensachverhalten zu unangemessenen Ergebnissen führen würden, wie etwa die kurzen Ausführungsfristen des § 675s Abs. 1 BGB n. F. Ob die weitere Einbeziehung von Drittstaatensachverhalten und Drittstaatenwährung in den Anwendungsbereich der Zahlungsdiensterichtlinie erforderlich ist, um einen funktionierenden Finanzbinnenmarkt zu schaffen, wird teilweise angezweifelt.¹⁹⁷ Angesichts der Zielrichtung der Arbeit, das innereuropäische Zahlungsdiensterecht zu betrachten, erübrigt sich eine nähere Erläuterung dieser Thematik.
B. Zahlungsdienstrechtliche Begriffsbestimmungen Die europäischen Vorgaben enthalten einige dem deutschen Recht unbekannte Rechtsbegriffe, von denen ein Großteil bekannten Rechtsinstituten entspricht. So ist beispielsweise der Zahlungsauftrag i. S. d. § 675 f Abs. 4 S. 2 BGB n. F. eine zahlungsdienstrechtlich geprägte Weisung i. S.d. § 665 BGB. Zwei zentrale Begriffe des Zahlungsdiensterechts waren dem deutschen Recht hingegen gänzlich unbekannt. Dabei handelt es sich um das äußerst bedeutsame Zahlungsinstrument und die personalisierte Sicherheitsmerkmale.
Vgl. BT-Drs. 18/11495, S. 151 ff. So auch Spindler/Zahrte, BKR 2014, 265 (266 f).
50
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
I. Bedeutung und Umsetzung des Begriffs des Zahlungsinstruments Dem deutschen Gesetzgeber war der europarechtliche Begriff des Zahlungsinstruments zu ungenau. Aufgrund dessen wurde Art. 4 Nr. 23 PSD I in § 1 Abs. 5 ZAG a. F. mit dem Begriff des „Zahlungsauthentifizierungsinstruments“ umgesetzt.¹⁹⁸ Eine derartige Konkretisierung fand sich in keiner anderen europäischen Rechtsordnung.¹⁹⁹ Es handelte sich um einen Hybrid aus den in der PSD I definierten Begriffen „Zahlungsinstrument“ i. S. d. Art. 4 Nr. 23 PSD I²⁰⁰ und „Authentifizierung“ i. S.d. Art. 4 Nr. 19 PSD I²⁰¹. Der deutsche Gesetzgeber begründete seine Erfindung damit, dass sich die in Anhang I Nr. 4 und Nr. 5 PSD I geregelten Zahlungsdienste andernfalls nicht genau voneinander abgrenzen ließen. Es sei unklar, ob Anhang I Nr. 5 PSD I, welche das Zahlungsauthentifizierungsgeschäft beinhaltet, den Zahlungsvorgang oder das tatsächlich genutzte Instrument meine. Vor dem Hintergrund der bereits geregelten Zahlungsvorgänge in Anhang I Nr. 4 PSD I könne jedoch nur das Instrument und nicht die Transaktion gemeint sein.²⁰² Aus diesem Grund wurde vermeintlich klarstellend das Wortungetüm des Zahlungsauthentifizierungsinstruments geschaffen. Der Gesetzgeber vertrat außerdem die Auffassung, dass das Element der Authentifizierung immanenter Bestandteil des Zahlungsinstruments sei. Dazu zählte er in der Gesetzesbegründung einige Negativ- sowie Positivbeispiele auf. Zahlungsmittel wie Bargeld oder Scheck sowie reine Zahlungsverfahren wie Überweisungen und Lastschriften seien keine Zahlungsinstrumente.²⁰³ Die Nutzung einer Kreditkarte mit PIN oder Unterschrift oder die Nutzung des Online-Bankings unter Verwendung von PIN und TAN seien hingegen von der Regelung erfasst, indem die jeweiligen Instrumente und Verfahren nicht nur der Erteilung von Zahlungsaufträgen dienten, sondern auch einer Authentifizierung durch die Abfrage personalisierter Sicherheitsmerkmalen zugänglich waren.²⁰⁴ Aus der Regierungsbegründung zum Entwurf für das ZAG ergab sich außerdem kein abstrakter Ansatz, was unter einem personalisierten Sicherheitsmerkmal zu verstehen war.²⁰⁵ Zum anderen blieb die Frage unbeantwortet, inwiefern
BT-Drs. 16/11613, S. 36. Hinsichtlich der richtlinienkonformen Umsetzung siehe: Casper/Pfeifle, WM 2009, 2343 ff. Nunmehr unter Art. 4 Nr. 14 PSD II zu finden. Nunmehr unter Art. 4 Nr. 29 PSD II zu finden. BT-Drs. 16/11613, S. 34. BT-Drs. 16/11613, S. 36. BT-Drs. 16/11613, S. 36; BT-Drs. 16/11643, S. 103; in der Literatur wird der Einsatz einer Kreditkarte mit Unterschrift genauso wie der Einsatz einer Kreditkarte im E-Commerce ausführlich diskutiert. Für eine ausführliche Streitdarstellung siehe: Casper/Terlau-Casper, § 1 Rn. 58 ff. BT-Drs. 16/11613, S. 36.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
51
die deutsche Umsetzung den Vorgaben der Richtlinie entsprach. Schließlich wurden dort das Zahlungsinstrument und die Authentifizierung voneinander getrennt definiert. Dabei waren beide Fragen streng voneinander zu trennen, da sie zwei unterschiedliche Themenkomplexe erfassten. Es war daher zunächst zu klären, was tatbestandlich unter den Begriff des Zahlungsauthentifizierungsinstruments fiel. Abschließend war die Frage zu beantworten, die sich allgemein und unabhängig von der ersten Frage stellte, was die Charakteristika eines personalisierten Sicherheitsmerkmals seien. Aufgrund der weitgehenden Konsumption der ersten Zahlungsdiensterichtlinie durch die PSD II ist die Beantwortung dieser Fragen weiterhin von zentraler Bedeutung. Denn abgesehen von den nationalen begrifflichen Besonderheiten sind die in den Richtlinien verwendeten Begriffe identisch.
1. Auslegung unter maßgeblicher Berücksichtigung der deutschen Umsetzung Die auf nationaler Ebene herrschende Meinung orientiert sich weiterhin an der Regierungsbegründung zum Entwurf des ZDUG I.²⁰⁶ Der Gesetzgeber hat im ZDUG II den Begriff des Zahlungsauthentifizierungsinstruments zwar gestrichen, jedoch klargestellt, dass damit keine Änderung der Rechtslage einherginge.²⁰⁷ Aus diesem Grund ist die herrschende Meinung der Auffassung, dass auch ein Zahlungsinstrument nur vorliegen könne, wenn es ein personalisiertes Sicherheitsmerkmal beinhalte.²⁰⁸ Nur unter Verwendung eines personalisierten Sicherheitsmerkmals könne eine ausreichende Authentifizierung gewährleistet werden. Zahlungskarten, wie etwa die Geldkarte oder die Kreditkarte im kontaktlosen NFC-Verfahren, bei denen eine Authentifizierung nicht beziehungsweise ausschließlich über den Besitz oder die Kenntnis der auf der Karte befindlichen Daten erfolgt, stellen nach diesem Verständnis keine Zahlungsinstrumente dar.
Casper/Terlau-Casper, § 1 Rn. 57; Langenbucher/Bliesener/Spindler-Langenbucher, 3. Kap, § 675j Rn. 23. BT-Drs. 16/11613, S. 36; BT-Drs. 18/11495, S. 145; so auch die alte Verwaltungspraxis der BaFin, vgl.: BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, geändert am 29.11. 2017, Nr. 2 lit. d, aa), abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffent lichungen/DE/Merkblatt/mb_111222_zag.html (Stand: November 2017), zuletzt abgerufen am 10.04. 2019. Siehe insbesondere: MünchKommBGB-Jungmann, § 675j Rn. 39; der trotz der Novellierung des Begriffs des Zahlungsauthentifizierungsinstruments weiterhin von einem untrennbaren Zusammenhang mit einem personalisierten Sicherheitsmerkmal ausgeht.
52
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
2. Richtlinienorientierte Auslegung Die Gegenmeinung legt den Begriff zuvorderst unter Anwendung der europäischen Gesetzesmaterialien aus. Das Telos der einschlägigen europäischen Vorgaben sei entscheidend. Selbst Stellungnahmen des deutschen Gesetzgebers seien vor dem Hintergrund des Auslegungsvorrangs des Richtlinientextes nur als Meinungsäußerungen zu verstehen und daher keineswegs bindend.²⁰⁹ Der europäische Gesetzgeber habe in Art. 4 Nr. 23 PSD I den Begriff des Zahlungsinstruments bewusst weit gewählt.²¹⁰ Ein besonderes Sicherheitsverfahren, dass die Identifizierung des Zahlers sicherstelle, sei nicht Bestandteil der Definition. Das nunmehr im Einklang mit der herrschenden Meinung ein personalisiertes Sicherheitsmerkmal, was seiner Natur nach eng auszulegen ist, notwendiger Bestandteil des Zahlungsauthentifizierungsinstruments sein solle, sei nicht ersichtlich. Ganz im Gegenteil: die Entstehungsgeschichte und Systematik der Richtlinie stritten für ein Nebeneinander beider Begriffe. Der erste Richtlinienvorschlag der Kommission sprach noch von einem Zahlungsverifikationsinstrument, was dem Verständnis der herrschenden Meinung vom Zahlungsauthentifizierungsinstrument entsprechen dürfte, da dieses über seine Funktion zur Identifizierung des Zahlers definiert wurde. Der endgültige Richtlinientext wies jedoch nicht nur den Wegfall des Wortbestandteils „-verfikation-“ auf, sondern definierte das Zahlungsinstrument nur noch über die Erteilung eines Zahlungsauftrags.²¹¹ Überdies drücke sich auch in Art. 56 Abs. 2 PSD I das weite Verständnis des Richtliniengebers aus, indem die personalisierten Sicherheitsmerkmale gerade als zusätzlicher Regelungsfall genannt würden. Wären sie ohnehin notwendiger Bestandteil des Zahlungsinstruments, würde eine gesonderte Erwähnung in Art. 56 Abs. 2 PSD I keinen Sinn ergeben. Auch die PSD II führt die begriffliche Trennung beispielsweise in der Art. 56 PSD I entsprechenden Norm des Art. 69 PSD II fort. Hier spricht bereits die Überschrift von den „Pflichten des Zahlungsdienstleisters in Bezug auf Zahlungsinstrumente und personalisierte Sicherheitsmerkmale“. Nach der Gegenauffassung sind daher auch die Kreditkarte im Fernabsatz ohne die 3D Secure Verfahren sowie die Geldkarte als Zahlungsinstrumente zu qualifizieren.
So auch zutreffend Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 248. Vgl. hierzu insbesondere EuGH, Urt. v. 09.04. 2014 – Rs. C-616/11, WuB 2015, 813. So ausdrücklich auch: BeckOGK BGB-Köndgen, § 675j Rn. 43; Staudinger-Omlor, § 675c Rn. 18.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
53
3. Stellungnahme und Streitentscheid Bei Unklarheiten über den Inhalt einer Richtlinie ist aufgrund des Anwendungsvorrangs des Unionsrechts grundsätzlich der richtlinienkonformen Auslegung zu folgen. Insofern erscheint der Ansatz der zuletzt dargestellten Auffassung vorzugswürdig. Aufgrund der Eigentümlichkeit des Unionsrechts sind jedoch die aus der nationalen Methodenlehre üblichen Auslegungsgrundsätze nicht auf europäisches Recht übertragbar. Der Wortlautargumentation kommt etwa aufgrund der sprachlichen Vielfalt und den damit verbundenen Abweichungen, die neben Übersetzungsfehlern zuweilen auch Ausdruck der nationalen Differenzen im Gesetzgebungsverfahren sind, nur ein beschränkter Auslegungswert zu.²¹² Auch die historische Auslegung spielt im europäischen Gesetzgebungsverfahren eine untergeordnete Rolle. Zum einen sind Stellungnahmen von Organen, die lediglich angehört werden müssen, nicht jedoch einen konstitutiven Beitrag zum gesetzgeberischen Akt, etwa durch Zustimmung, leisten, nur von Belang, soweit ein anderes an der Gesetzgebung beteiligtes Organ diese Stellungnahmen ganz oder zum Teil aufnimmt.²¹³ Zum anderen werden die entscheidenden Gesetzesmaterialien, wie zum Beispiel Stellungnahmen des Rates, in der Regel geheim gehalten und können daher keinen Aufschluss über die Willensbildung des Gesetzgebers liefern.²¹⁴ Während demnach der interne Willensbildungsprozess des Gesetzgebers größtenteils verborgen bleibt, treten die objektiven Bewegründe in der Präambel des jeweiligen Rechtsakts zu Tage.²¹⁵ Die Verdrängung der Bedeutung des Willensbildungsprozesses durch die autoritative Festlegung der Erwägungsgründe ist ein weiteres Indiz für den geringen Auslegungswert der Gesetzgebungshistorie. Größere Bedeutung kommt daher der systematischen Auslegung zu. Wie auch im nationalen Recht ist die Stellung eines Rechtsakts oder einer Vorschrift sowohl im hierarchischen Normengefüge als auch in dem einzelnen Rechtsakt sowie im Zusammenspiel mit anderen Verordnungen oder Richtlinien für die Interpretation des Unionsrechts von nicht unerheblichem Gewicht.²¹⁶ Angesichts des begrenzten Aussagegehalts der dargestellten Auslegungsmethoden im Recht der EU ist die teleologische Auslegung die wichtigste Form der Er-
Callies/Ruffert-Wegener, Art. 19 EUV Rn. 13; Grundmann/Riesenhuber, JuS 2001, 529 (530); Mayer in: Grabitz/Hilf/Nettersheim, Das Recht der EU, 60. Ergänzungslieferung 2016, Art. 19 EUV Rn. 53. Grundmann/Riesenhuber, JuS 2001, 529 (530). Callies/Ruffert-Wegener, Art. 19 EUV Rn. 14; Grundmann/Riesenhuber, JuS 2001, 529 (530). Grundmann/Riesenhuber, JuS 2001, 529 (530). Mayer in: Grabitz/Hilf/Nettersheim, Das Recht der EU, 60. Ergänzungslieferung 2016, Art. 19 EUV Rn. 54; Callies/Ruffert-Wegener, Art. 19 EUV Rn. 15; Grundmann/Riesenhuber, JuS 2001, 529 (531).
54
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
mittlung des gesetzgeberischen Willens.²¹⁷ Sinn und Zweck der Norm sind maßgeblich unter Berücksichtigung der jeweiligen Rechtsfolgen und der in der Norm getroffenen Grundentscheidung abzuwägen. Der EuGH stellt dabei auf das Prinzip der praktischen Wirksamkeit der Norm, der sogenannten „effet utile“, ab.²¹⁸ Vorzug soll der Auslegungsvariante gewährt werden, die die mit der Norm verfolgten Ziele am effektivsten durchsetzt.²¹⁹ Aus diesem Grund sind Ausnahmen naturgemäß eng auszulegen.²²⁰ Unter Berücksichtigung der europäischen Methodenlehre sind daher vorrangig die Rechtsfolgen der jeweiligen Auslegungsvarianten zu betrachten. Das Rechtsverständnis der herrschenden Meinung hätte zur Folge, dass alle Vorschriften unanwendbar wären, die nach alter Rechtslage ein Zahlungsauthentifizierungsinstrument oder nach neuer Rechtslage ein Zahlungsinstrument tatbestandlich voraussetzen. So wäre etwa bei einer missbräuchlichen Verwendung der Kreditkarte im Fernabsatz ohne 3D-Secure-Verfahren, im NFC-Verfahren oder mit Unterschrift beispielsweise eine Nutzungssperrung auf gesetzlicher Grundlage²²¹ nicht möglich, da jeweils kein personalisiertes Sicherheitsmerkmal zum Einsatz kommt und folglich in der konkreten Verwendung kein Zahlungsinstrument vorliegt. Der Kartenaussteller würde überdies bei einer missbräuchlichen Verwendung nach § 675u BGB n. F. für alle entstandenen Schäden haften. Gleichzeitig würde der Zahler von der Mithaftung aus § 675v Abs. 1 BGB n. F. verschont bleiben. Dieser Umstand ließe sich auch nicht etwa durch die Argumentation rechtfertigen, dass derjenige, der missbrauchsanfällige Zahlungsverfahren anbietet, das daraus entstehende Risiko alleinig zu tragen hat. Schließlich käme im Vergleich zum Inhaber personalisierter Sicherheitsmerkmale eine möglicherweise schärfere Haftung des Nutzers nach den allgemeinen verschuldensabhängigen Grundsätzen in Betracht.²²² Die Intention des europäischen Gesetzgebers, mit der Einführung der beschränkten Haftung einerseits den Zahlungsdienstnutzer zu einer erhöhten Sorgfalt im Umgang mit einem Zahlungsin-
Callies/Ruffert-Wegener, Art. 19 EUV Rn. 16; Grundmann/Riesenhuber, JuS 2001, 529 (531); EBJS-Grundmann, Rn. II 181; ders. in: Staub, Band 10/2, Rn. 248; Grundmann, Auslegung des Gemeinschaftsrechts, S. 394; Mayer in: Grabitz/Hilf/Nettersheim, Das Recht der EU, 60. Ergänzungslieferung 2016, Art. 19 EUV Rn. 55. EuGH, Entscheidung v. 04.12.1974 – Rs 41/74, BeckRS 2004, 71134 Rn. 12; siehe auch: Callies/ Ruffert-Wegener, Art. 19 EUV Rn. 16 mwN zur Rspr. Callies/Ruffert-Wegener, Art. 19 EUV Rn. 16. Callies/Ruffert-Wegener, Art. 19 EUV Rn. 16 mit zahlreichen weiteren Nachweisen der europäischen Rspr. Es sprechen gute Gründe dafür, dass sich ein solches Recht aus der Rechtsnatur des Vertrags ergeben würde. Oechsler, WM 2010, 1381 (1382).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
55
strument zu bewegen und andererseits einen Anreiz für eine möglichst schnelle Anzeige im Falle eines Verlusts oder Diebstahls zu schaffen, würde überdies ins Leere laufen.²²³ Gerade in den Fällen des Verlusts oder Diebstahls ist meist nicht davon auszugehen, dass der unbefugte Nutzer auch in den Besitz der PIN gerät. Folglich sind Zahlungen, die mit Unterschrift oder den bloßen Kreditkartendaten ausgelöst werden können, besonders missbrauchsanfällig. Das Haftungsrisiko ist damit im Vergleich zu der missbräuchlichen Verwendung der „wirklichen“ Zahlungsinstrumenten sogar noch größer. Die Effektivität des von beiden Richtlinien bezweckten präventiven Missbrauchsschutzes wäre somit erheblich eingeschränkt. Zusätzlich vernachlässigt die herrschende Meinung den Aspekt, dass durch eine derartige Auslegung eine Regelungslücke hinsichtlich der benannten Einsatzmöglichkeiten der Kreditkarte, insbesondere dem NFC-Verfahren, entstünde. Diese Verfahren wären weder von den auf Zahlungsinstrumente zugeschnittenen Vorschriften noch von den Vorschriften zu Kleinbetragsinstrumenten erfasst und unterlägen daher weitestgehend allgemeinen Auftrags- und Geschäftsbesorgungsrecht beziehungsweise den Vereinbarungen der Parteien. Diesem Umstand steht erneut die Intention des europäischen Gesetzgebers, durch die Wahl eines horizontalen Ansatzes alle elektronischen Zahlungsverfahren zu erfassen, diametral entgegen.²²⁴ Eine Vollharmonisierung des Zahlungswesens kann nur durch ein einheitliches Regelungsregime für alle elektronischen Zahlungsverfahren erreicht werden. Ein weiterer entscheidender Faktor, der gegen ein Authentifizierungserfordernis spricht, ist die Vorschrift des Art. 63 Abs. 1 lit. b PSD II²²⁵, welche die Möglichkeit beinhaltet, bestimmte Vorgaben bei der Ausgabe von Kleinbetragsinstrumenten vertraglich abzubedingen. Bei Kleinbetragsinstrumenten handelt es sich gem. Art. 63 Abs. 1 PSD II um Zahlungsinstrumente, die entweder nur für Kleinbetragszahlungen verwendbar sind oder bestimmte Ausgabenobergrenzen haben. Die Vorschrift des Art. 63 Abs. 1 lit. b PSD II bezieht sich explizit auf Zahlungsinstrumente, die anonym genutzt werden können oder dem Nachweis einer Autorisierung nicht zugänglich sind. Würden Zahlungsinstrumente bei jedem Zahlungsvorgang einer Authentifizierung bedürfen, wäre die Vorschrift des Art. 63 Abs. 1 lit. b PSD II gegenstandslos. Der deutsche Gesetzgeber umgeht dieses begriffliche Dilemma elegant, indem er in § 675i Abs. 1 S. 2 BGB a. F./n. F. das Kleinbetragsinstrument kurzerhand als „Mittel“ definiert und so die Verwendung
Erwägungsgrund 32 PSD I; BT-Drs. 16/11643, S. 113. Vgl. Erwägungsgrund 4 PSD I. Weitgehend identisch mit Art. 53 Abs. 1 lit. b PSD I.
56
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
des Begriffs des Zahlungsauthentifizierungsinstruments vermeidet. Die Richtlinie ist jedoch in ihrer Begrifflichkeit äußerst klar. In Art. 42 PSD II werden Kleinbetragsinstrumente als Zahlungsinstrumente mit bestimmten Eigenschaften definiert. Aus diesem Grund verwundert es nicht, dass der EuGH in einer im April 2014 ergangenen Entscheidung darauf hinwies, dass der Begriff des Zahlungsinstruments auch „einen nicht personalisierten Verfahrensablauf (…), der zwischen dem Nutzer und dem Zahlungsdienstleister vereinbart wurde und der vom Nutzer eingesetzt werden kann, um einen Zahlungsauftrag zu erteilen“ erfasst.²²⁶ Hiermit wird ausdrücklich Bezug auf anonymisierte Bezahlverfahren wie beispielsweise das Bezahlen mittels Geldkarte genommen, bei denen überhaupt keine Authentifizierung erfolgt.²²⁷ Entscheidender Faktor ist daher weder die Authentifizierung noch eine Personalisierung, sondern, wie auch Art. 4 Nr. 21 PSD I betont, die funktionelle Möglichkeit einen Zahlungsauftrag zu erteilen.²²⁸ Folglich spricht das Telos der europäischen Vorgaben dafür, sowohl den alten Begriff des Zahlungsauthentifizierungsinstruments als auch den Begriff des Zahlungsinstruments richtlinienkonform weit auszulegen.²²⁹ Die entgegenstehende oder zumindest zweideutige Auffassung des Gesetzgebers hat als bloße Meinungsäußerung im Rahmen der Auslegung europäischer Rechtsakte richtigerweise kein
EuGH, Urt. v. 09.04. 2014 – Rs. C-616/11, WuB 2015, 813, Rn. 35. Im Hinblick hierauf kritisch: Piekenbrock, WuB 2015, 813, Anm., der jedoch mit seinen Ausführungen zur schwierigen Beweisführung von per Unterschrift autorisierten Zahlungsaufträgen nicht überzeugen kann. Die Beweislast trägt nach der Vorstellung des Richtliniengebers der Zahlungsdienstleister und zwar unabhängig davon, ob der Beweis leicht oder schwer zu erbringen ist. Die systematische Kritik, die sich auf den Wortlaut des Art. 59 Abs. 2 PSD I („aufgezeichnete Nutzung“) bezieht, schlägt ebenfalls nicht durch, da sich der Richtliniengeber primär an den elektronischen und nicht beleggebundenen Zahlungsinstrumenten orientiert. Das Letztere aus diesem Grund nicht als Zahlungsinstrumente einzuordnen sind, ist aufgrund der dargelegten Gegenargumente nicht überzeugend. Dies sieht auch der deutsche Gesetzgeber so, siehe: BT-Drs. 16/11613, S. 36; BT-Drs. 16/11643, S. 103, bleibt jedoch seiner rechtlichen Auffassung vom Zahlungsauthentifizierungsinstrument treu, siehe oben: Teil 2, 2. Abschnitt, B., I., 2. Dieser Umstand könnte womöglich dafürsprechen, dass der Gesetzgeber entgegen der unglücklichen Begriffswahl, ebenfalls von der zuletzt vertretenen Auffassung ausgeht. Jedenfalls geben seine zweideutigen Äußerungen der herrschenden Meinung genügend Anlass, ihre Auffassung weiterhin zu vertreten. So auch BeckOK BGB-Schmalenbach, § 675j Rn. 13; BeckOGK BGB-Köndgen, § 675j Rn. 43; Oechsler WM 2010, 1381; Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 248; Staudinger-Omlor, § 675c Rn. 18 f.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
57
Gewicht.²³⁰ Die herrschende Meinung, die sich maßgeblich auf die Aussagen des Gesetzgebers stützt, ist daher abzulehnen.
4. Auswirkungen der PSD II auf die Auslegung des Begriffs des Zahlungsinstruments Ein weiterer, durch die PSD II hinzutretender Faktor, der im Rahmen der Auslegung des Begriffs des Zahlungsinstruments das gefundene Ergebnis untermauern wird, liegt im neuen Konzept der starken Kundenauthentifizierung. Das Konzept ist in Art. 97 PSD II geregelt und macht deutlich, dass der europäische Gesetzgeber von einer nicht unerheblichen Diskrepanz der Sicherheitsniveaus verschiedener Zahlungsinstrumente ausgeht. Die in Art. 97 PSD II niedergelegten Authentifizierungserfordernisse richten sich nach dem Risikoniveau des konkreten Zahlungsvorgangs. Generell gilt zunächst einmal, dass alle Zahlungen mittels starker Kundenauthentifizierung auszulösen sind.²³¹ Dies gilt natürlich nicht ausnahmslos, sodass etwa risikoarme Kleinbetragszahlungen und Zahlungen an vertrauenswürdige Empfänger von einer Authentifizierung befreit sind. Umgekehrt treffen etwa Online-Überweisungen zusätzliche Authentifizierungspflichten. Sollte es im Sinne der soeben dargestellten herrschenden Meinung eine untrennbare Verbindung von Zahlungsinstrument und Authentifizierung tatsächlich geben, wäre diese Verbindung mit Inkrafttreten von Art. 97 PSD II endgültig aufgebrochen. Das Konzept verdeutlicht, dass sich das Zahlungsinstrument ausschließlich über den Zweck charakterisiert, Zahlungsaufträge zu erteilen. Ob hierfür eine Authentifizierung mittels personalisiertem Sicherheitsmerkmal erforderlich ist, bestimmt sich nach der Richtlinie beziehungsweise den RTS, nicht jedoch aus der Eigenschaft als Zahlungsinstrument.²³² Der dargelegte Streit dürfte sich demnach aus rechtlichen Gründen zugunsten der hier vertretenen Auffassung erledigen.²³³ aA MünchKommBGB-Jungmann, § 675j Rn. 39, der insbesondere die Meinung vertritt, dass das in Fn. 229 erwähnte Urteil des EuGH keine Bedeutung für die Auslegung der deutschem Umsetzung habe. Was genau die starke Kundenauthentifizierung bedeutet, wird noch ausführlich dargestellt, siehe hierzu: Teil 2, 2. Abschnitt, F., II., 4., a). Die Verkündung im Amtsblatt der EU erfolgte am 13.03. 2018, sodass die RTS zum 14.09. 2019 in Kraft treten; siehe zu den einzelnen Ausnahmen ausführlich: Teil 2, 2. Abschnitt, F., II., 4., a), ee). Ein neuer Streit könnte sich jedoch für die hier nicht relevanten Zahlungen von Kreditkarte mit Unterschrift im stationären Handel ergeben. Hier stellt sich die Frage, ob es sich um einen elektronischen Zahlungsvorgang handelt oder der unterschriebene Belastungsbeleg wie
58
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
II. Charakteristika des personalisierten Sicherheitsmerkmals Hinsichtlich der Eigenschaften des personalisierten Sicherheitsmerkmals bestehen ebenfalls Meinungsverschiedenheiten, was dem einfachen Umstand geschuldet ist, dass der Richtliniengeber das Wortpaar weder in der PSD I noch in der PSD II zufriedenstellend definiert hat. Während das personalisierte Sicherheitsmerkmal bei den Definitionen der PSD I nur im Zusammenhang mit der Authentifizierung genannt wird, findet es in der PSD II zumindest eigenständig in Art. 4 Nr. 31 PSD II Erwähnung. Allerdings liefert die Definition keinen nennenswerten Erkenntnisgewinn. Personalisierte Sicherheitsmerkmale sind hiernach Merkmale, „die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt“. Erneut wird lediglich auf die Verknüpfung zur Authentifizierung hingewiesen. Aus diesem Zusammenhang ergibt sich zumindest die Tatbestandsvoraussetzung, dass die korrekte Verwendung personalisierter Sicherheitsmerkmale eine gewisse Gewähr für die Identität eines Zahlungsdienstnutzers oder die berechtigte Verwendung eines Zahlungsinstruments bieten muss. Bei der Nutzung eines Zahlungsinstruments muss folglich ein Merkmal verwendet werden, welches nur dem Zahler eigen oder bekannt ist.²³⁴ Aus diesem Grund kann es sich bei allen personenbezogenen Daten, wie etwa Konto- oder Kreditkartennummern, nicht um personalisierte Sicherheitsmerkmale handeln.²³⁵ Die begriffliche Fassung sowie die gesteigerten Sorgfaltspflichten gebieten eine enge Auslegung. Personalisierte Sicherheitsmerkmale sind daher Informationen, die aufgrund ihrer Vertraulichkeit oder Einmaligkeit eine nachvollziehbare Identifikation des Nutzers ermöglichen.²³⁶ Entgegen des etwas irreführenden Wortlauts von Art. 4 Nr. 31 PSD II werden personalisierte Sicherheitsmerkmale überdies nicht exklusiv vom Zahlungsdienstleister bereitgestellt. Aus Erwägungsgrund 30 PSD II geht deutlich hervor, dass dies lediglich den Regelfall darstellt. Vom Nutzer erstellte Passwörter oder PINs können daher ebenfalls den Tatbestand des personalisierten Sicherheitsmerkmals erfüllen.
ein Lastschriftmandat zu behandeln ist und daher keiner starken Kundenauthentifizierung bedarf, siehe hierzu: Interessengemeinschaft Kreditkarten, Stellungnahme in der Anhörung des Finanzausschusses des Deutschen Bundestags zum Zahlungsdiensteumsetzungsgesetz (BTDrs. 18/11495) am 26.04. 2017, S. 11 f, abrufbar unter: https://www.bundestag.de/blob/503086/ f2f5f9603439965c3f3ebcb7fc9c70ef/08-data.pdf, zuletzt abgerufen am 10.04. 2019. BT-Drs. 16/11643, S. 36; Langenbucher/Bliesener/Spindler-Langenbucher, 3. Kap, § 675j BGB Rn. 23; Palandt-Sprau, § 675j Rn. 6; Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 248. BT-Drs. 16/11643, S. 106; Palandt-Sprau, § 675j Rn. 7; Staudinger-Omlor, § 675c Rn. 19; Scheibengruber, NJOZ 2010,1366 (1367). BeckOK BGB-Schmalenbach, § 675l Rn. 3; MünchKommBGB-Jungmann, § 675j Rn. 40 ff.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
59
In der Literatur wird im Wesentlichen über die notwendige Qualität des personalisierten Sicherheitsmerkmals gestritten. So sind einige Stimmen der Auffassung, dass etwa die Unterschrift des Zahlungsdienstnutzers kein personalisiertes Sicherheitsmerkmal darstellt.²³⁷ Ein solches könne nur dann vorliegen, wenn es die zweifelsfreie Identifikation des Berechtigten ermögliche. Dies setze denklogisch voraus, dass sich das personalisierte Sicherheitsmerkmal weder nummerisch oder alphabetisch noch als Datensatz auf der Karte befindet. Ansonsten wäre der bloße Besitz der Karte die einzige Gewähr für die Identifizierung des Karteninhabers. Schließlich seien die Unterschrift genauso wie die Karteninformationen auf der Karte selbst enthalten und könnten ohne Weiteres auch von einem Dritten nachgeahmt werden. Eine zweifelsfreie Identifizierung könne somit bei der Kreditkarte weder bei Nutzung im Fernabsatz²³⁸ noch beim stationären Einsatz mit Unterschrift gewährleistet werden. Der Gesetzgeber und der Großteil der Literatur legen den Begriff nicht derart eng aus, sondern orientieren sich zuvorderst am Zweck und der Funktion des personalisierten Sicherheitsmerkmals.²³⁹ Der Richtliniengeber hat die personalisierten Sicherheitsmerkmale eines besonderen Schutzes unterstellt, da diese eine gesteigerte, wenn auch keine absolute Gewähr für die berechtigte Nutzung eines Zahlungsinstruments bieten. Es kommt daher in der Tat darauf an, dass die Verwendung eines derartigen Merkmals eine Identifikation des Berechtigten ermöglichen muss, indem das Merkmal dem Nutzer eigen oder ausschließlich ihm bekannt ist. Es genüge jedoch bereits, soweit das Merkmal eine, wenn auch schwache Authentifizierung ermögliche.²⁴⁰ Das nicht zu vernachlässigende Fälschungsrisiko rechtfertige keine andere Behandlung. Schließlich sei nicht das Fälschungsrisiko Tatbestandsmerkmal des personalisierten Sicherheitsmerk-
BeckOGK BGB-Hofmann, § 675l Rn. 29 f; ders., BKR 2014, 105 (107 f); Palandt-Sprau, § 675j Rn. 7. Internationale Kartenorganisationen stellen mit PCI DSS mittlerweile deutlich stärkere Sicherheitsanforderungen für den Einsatz von Kreditkarten im Fernabsatz. Die neuen von VISA und MasterCard eingeführten Systeme erfüllen beispielsweise durch das zusätzliche Abfragen von persönlich festgelegten PINs oder Passwörtern oder die zusätzliche Authentifizierung mittels Smartphone die von dieser Auffassung gestellten Anforderungen an Zahlungsauthentifizierungsinstrumente. Der hier angesprochene Einsatz im Fernabsatz betrifft daher, praktisch gesehen, „ältere“ Verfahren. BeckOK BGB-Schmalenbach, § 675l Rn. 3; Casper/Pfeifle WM 2009, 2343 (2347); Casper/Terlau-Casper, § 1 Rn. 60; Gebauer/Wiedmann-Schinkels, Kap. 16 Rn. 36; Langenbucher/Bliesener/ Spindler-Langenbucher, 3. Kap, § 675j BGB Rn. 23; MünchKommBGB-Jungmann, § 675j Rn. 43; Scheibengruber, NJOZ 2010,1366 (1367); Schwennicke/Auerbach-Schwennicke, § 1 ZAG Rn. 89; so im Übrigen auch der Gesetzgeber, siehe: BT-Drs. 16/11643, S. 103. MünchKommBGB-Jungmann, § 675j Rn. 41.
60
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
mals, sondern die Funktion, einen Zahlungsdienstnutzer zu authentifizieren. Überdies führe auch die Verwendung einer PIN niemals zu einer zweifelsfreien Identifikation, da auch diese entwendet oder ausspioniert werden kann. Es handele sich im Vergleich zur Unterschrift lediglich um ein einfacher zu schützendes und damit qualitativ sichereres Merkmal. Indem die Verwendung der Unterschrift eine hinreichende Gewähr für die Authentifizierung des Zahlungsdienstnutzers bietet, ist sie als personalisiertes Sicherheitsmerkmal zu klassifizieren.²⁴¹
C. Organisationsrahmen der Vertragsparteien Die vertraglichen Beziehungen der Parteien bestimmen sich nach Titel III beider Richtlinien (Art. 31– 50 PSD I beziehungsweise Art. 38 – 60 PSD II). Wesentliche Neuerungen sind in der PSD II nicht vorgesehen. Im Schwerpunkt erfolgten einige Klarstellungen und Korrekturen des Richtlinientextes.²⁴² Nennenswert sind die Neurungen im Hinblick auf die zulässige Erhebung von Entgelten für die Erfüllung von Nebenleistungspflichten sowie die Erweiterung des vorvertraglichen und vertraglichen Pflichtenkatalogs der Zahlungsdienstleister.
I. Änderungen durch die PSD II und nationale Umsetzung Der rechtliche Rahmen wird sich nach Art. 229 § 45 Abs. 2 EGBGB n. F. für Altverträge zunächst nicht ändern. Dies umfasst alle Zahlungsdienstverträge, die vor dem Inkrafttreten der zweiten Zahlungsdiensterichtlinie am 13.01. 2018 abgeschlossen wurden.²⁴³ Das alte Recht bleibt vorerst anwendbar. Dies gilt jedoch nicht im Zusammenhang mit der Ausführung von Zahlungsvorgängen. Die neuen
Siehe aber: Teil 2, 2. Abschnitt, C. II. 1.: Der Rückzug der Unterschrift als Authentifizierungselement wird auch die Erledigung dieser Streitigkeit mangels Praxisanknüpfung zur Folge haben. Hinsichtlich aller sonstigen Authentifizierungsverfahren besteht zwischen den beiden dargelegten Ansichten Einigkeit. Die Unterschrift findet überdies im Bereich innovativer Bezahlverfahren ohnehin keine Anwendung und ist daher von untergeordnetem Interesse. Etwa in Art. 60 Abs. 3 PSD II, welcher klarstellt, dass im Falle der Entgelterhebung durch den Zahlungsempfänger oder Dritte (insb. unabhängige Geldautomatenbetreiber) das Entgelt nur eingefordert werden kann, soweit der Zahlungsdienstnutzer hierüber vor Auslösung der Zahlung unterrichtet wurde. Dies ist aufgrund allgemeinen Vertragsrechts bereits der Fall, da Vertragsbedingungen, die vor Vertragsschluss nicht mitgeteilt werden, nicht Bestandteil des Vertrags werden, vgl. MünchKommBGB-Casper, § 675d Rn. 12. Siehe für die PSD II Art. 114 und 115 PSD II und für das Umsetzungsgesetz Art. 7 Abs. 2 ZDUG II.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
61
Vorschriften, insbesondere im Hinblick auf Frage der Wertstellung, Ausführungsfrist und Haftung, sind gem. Art. 229 § 45 Abs. 3 EGBGB n. F. ab dem 13.01. 2018 auf alle Zahlungsvorgänge anzuwenden. Selbiges gilt für die Norm des § 675f Abs. 3 BGB n. F., die das Diskriminierungsverbot von Zahlungsauslöse- und Kontoinformationsdiensten beinhaltet und nach Art. 229 § 45 Abs. 4 EGBGB n. F. uneingeschränkte Anwendung auf Altverträge findet. Die Umsetzung von Titel III findet sich größtenteils in Kapitel 2 (§§ 675 f – 675i BGB) des Zahlungsdiensterechts wieder. Der Gesetzgeber versteht den Zahlungsdienstevertrag i. S. d. § 675f BGB gem. § 675c Abs. 1 BGB als Unterfall des Geschäftsbesorgungsvertrags. Die zahlreichen Informationspflichten wurden in Art. 248 EGBGB, der über den Verweis aus § 675d Abs. 1 S. 1 BGB Anwendung findet, umgesetzt. Überdies enthalten §§ 675d, 675e BGB einige weitere Vorschriften des dritten Titels. Für Diskussionen hat der neue § 675l Abs. 2 BGB n. F. gesorgt. Aus der Sicht der Deutschen Kreditwirtschaft ist hierin ein erheblicher Widerspruch zum deutschen AGB-Recht zu sehen. Der Dachverband befürchtet, dass die konsequente Anwendung der Vorschrift zur Folge haben könnte, dass sich die Unwirksamkeit einer einzelnen Klausel auf das gesamte Vertragswerk auswirkt.²⁴⁴ Dies wäre mit dem salvatorischen Gedanken des § 306 Abs. 1 BGB nicht zu vereinbaren. Angesichts der Einschränkung der Vorschrift durch die Verwendung des Begriffs „insoweit“ ist die Sorge der Deutschen Kreditwirtschaft unbegründet. Von der Unwirksamkeit sind nur die unsachlichen, unverhältnismäßigen und benachteiligenden Bedingungen selbst betroffen. Es entspräche nicht dem Willen des europäischen Gesetzgebers, wirksame und für den Nutzer sogar vorteilhafte Bedingungen für unwirksam zu erklären. Auch die Gesetzesbegründung der Bundesregierung spricht gegen eine derartige Anwendung. Durch die Vorschrift soll vor allem verhindert werden, dass Einzelpersonen besonders strenge Ausgabebedingungen auferlegt werden.²⁴⁵
II. Inhalt der vertraglichen Vorgaben Der europäische Gesetzgeber definiert zwei verschiedene Vertragstypen. Es gibt Einzelzahlungsverträge und Rahmenverträgen. Erstere beinhalten, wie der Name
DKW, Stellungnahme zum Entwurf der Bundesregierung für ein Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie, BR-Drs. 158/17 vom 17. Februar 2017, S. 20, 21, abrufbar unter: https://www.bundestag.de/blob/502644/38665afba0819bd17a25b64b1916223e/stellungnahme_ dt_kreditwirtschaft-data.pdf, zuletzt abgerufen am 10.04. 2019. BT-Drs. 18/11495, S. 157.
62
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
unschwer erkennen lässt, Zahlungsdienste, denen lediglich ein einzelner Zahlungsvorgang zugrunde liegt. Da Einzelzahlungsverträge nur für Finanztransfers und Überweisungen, damit aber auch im Bereich der Zahlungsauslösedienste, gestaltbar sind,²⁴⁶ bilden meist Zahlungsdiensterahmenverträge die vertraglichen Grundlagen der Parteien.
1. Reichweite und Rechtsnatur des Zahlungsdienstevertrags Der Zahlungsdienstevertrag beinhaltet nach § 675 f Abs. 2 S. 1 BGB die Ausführung einzelner und aufeinander folgender Zahlungen sowie gegebenenfalls die Bereitstellung eines dazu notwendigen Zahlungskontos i. S. d. § 1 Abs. 17 ZAG n. F.²⁴⁷ Die weite Definition des Zahlungskontos beinhaltet lediglich die für das Vorliegen eines Kontos notwendigen Grundvoraussetzungen, während beispielsweise das Leistungsportfolio bei einem Girokonto spezieller ist. Ein Zahlungsvorgang beschreibt gem. § 675 f Abs. 4 S. 1 BGB n. F.²⁴⁸ die Bereitstellung, den Transfer oder die Abhebung eines Geldbetrags unabhängig von etwaig zugrundeliegenden Verpflichtungen im Verhältnis zwischen Zahler und Zahlungsempfänger. Die Zahlungsdiensterichtlinien befassen sich demnach mit dem Deckungs- und dem Zuwendungsverhältnis. Logischerweise ist das zugrundeliegende Verpflichtungsgeschäft, das Valutaverhältnis, nicht Gegenstand der Vorgaben.²⁴⁹ Fragen der Zulässigkeit des Zahlungsinstruments und der Erfüllungswirkung werden daher nicht durch das Zahlungsdiensterecht bestimmt, sondern unterliegen den allgemeinen nationalen Vorgaben und demnach in der Regel der Privatautonomie der Parteien. Zuwendungs- und Deckungsverhältnis weisen hinsichtlich der vertraglichen Rahmenbedingungen keine Unterschiede auf. Verhältnisspezifische Vorgaben sieht das Zahlungsdiensterecht daher insbesondere im Bereich der Ausführung von Zahlungsvorgängen sowie der Risikoverteilung vor. Der Grundtypus des Rahmenvertrags tritt nach allgemeiner Ansicht an die Stelle des Girovertrags und enthält als girovertragliche Pflichten die Ausführung von Überweisungen, Lastschriften und Bargeldauszahlungen sowie die Annahme
Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 146; siehe zum Thema Zahlungsauslösedienste: Teil 4. Identisch mit der Vorgängerregelung des § 1 Abs. 3 ZAG a. F. Der Begriff des Zahlungskontos entspricht dem allgemeinen Kontobegriff, siehe: Schäfer/Lang, BKR 2009, 11 (16). Weitgehend identisch mit der Vorgängerregelung des § 675 f Abs. 3 S. 1 BGB a. F. Vgl. insb. Art. 4 Nr. 5 PSD II.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
63
von Schecks zugunsten des Zahlungsdienstnutzers.²⁵⁰ Der Gesetzgeber hatte jedoch kein Interesse daran, den Girovertrag abschließend zu regeln. Aus diesem Grund können abgesehen von den grundlegenden Pflichten zahlreiche weitere Pflichten, wie etwa die Ausgabe einer Giro- oder Kreditkarte sowie die Vereinbarung von Überziehungskrediten im Rahmen des Girovertrags, individualvertraglich geregelt werden. § 675 f Abs. 2 S. 2 BGB, der die Möglichkeit beinhaltet, mehrere Rahmenverträge miteinander zu verknüpfen, stellt diesen Umstand nochmals ausdrücklich klar.
2. Vorvertragliche Informationspflichten und zulässiger Vertragsinhalt Ein effektiver Verbraucherschutz erfordert ein hohes Maß an Transparenz im Hinblick auf den konkreten Inhalt eines Vertrags.²⁵¹ Die europäischen Vorgaben sehen daher für den jeweiligen Zahlungsdienstleister vor Abschluss eines Zahlungsdienstevertrags zahlreiche Informations- und Aufklärungspflichten vor. Zunächst ist der potentielle Zahlungsdienstnutzer nach Maßgabe der § 675d Abs. 1 S. 1 BGB i.V. m. Art. 248 § 4 und § 13 EGBGB über den Vertragsinhalt aufzuklären. Dazu zählen etwa Informationen über den Zahlungsdienstleister, über die Nutzung des Zahlungsinstruments, über Entgelte, Zinsen und Wechselkurse, über die Kommunikation und über Schutz- und Abhilfemaßnahmen. Da diese Informationen nach Art. 248 § 3 EGBGB in Textform i. S.d. § 126b BGB, also abgespeichert auf einem dauerhaften Datenträger, mitzuteilen sind, ist der prinzipiell formlos abschließbare Zahlungsdiensterahmenvertrag de facto formbedürftig.²⁵² Die PSD II sieht im Vergleich zur bisherigen Rechtslage zwei zusätzliche Informationspflichten vor. So ist der Zahlungsdienstnutzer nach Art. 52 Nr. 2 lit. g PSD II über die Rechte des Zahlungsdienstnutzers gem. Art. 8 Interbankenentgelte-VO²⁵³ für die Nutzung von kartengebundenen Zahlungsinstrumenten, die durch CoBadging mehrere Zahlungsmarken tragen, zu unterrichten. Überdies besteht nach Art. 52 Nr. 5 lit. b PSD II die Pflicht, das sichere Verfahren zur Unterrichtung des Zahlungsdienstnutzers durch den Zahlungsdienstleister im Falle vermuteten oder
BeckOK BGB-Schmalenbach, § 675 f Rn. 8; BankR HdB-Schimansky, § 47 Rn. 1; Grundmann, WM 2009, 1119 (1113); Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 139. Vgl. Erwägungsgrund 21 PSD I. In der Praxis dominiert daher der schriftliche Vertragsschluss, BeckOK BGB-Schmalenbach, § 675 f Rn. 4. VO (EU) 2015/751 des Europäischen Parlaments und des Rates vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge, ABl.EU 2015, L 123/1.
64
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
tatsächlichen Betrugs oder bei Sicherheitsrisiken mitzuteilen und zu beschreiben.²⁵⁴ Im Falle eines Einzelzahlungsvertrags ist der vorvertragliche Informationskatalog nach § 675d Abs. 1 S. 1 BGB i.V. m. Art. 248 § 13 Abs. 1 EGBGB deutlich kleiner. Das ZDUG II sieht überdies klarstellend in § 675d Abs. 2 BGB n. F. vor, dass auf Zahlungsauslösedienstleister ausschließlich die Art. 248 §§ 13 Abs. 1– 3 und 13a EGBGB n. F. anzuwenden sind.²⁵⁵ Die Privilegierung gegenüber „normalen“ Zahlungsdienstleistern begründet sich zuvorderst in dem deutlich geringeren Leistungsspektrum des Zahlungsauslösedienstleisters. Unabhängig davon, ob ein Einzelzahlungs- oder Rahmenvertrag vorliegt, trifft die Beweislast für die Erfüllung der bereits beschriebenen und noch folgenden vertraglichen Informationspflichten gem. § 675d Abs. 2 BGB stets den Zahlungsdienstleister. Dies ist nach der zweiten Zahlungsdiensterichtlinie gem. Art. 41 PSD II nunmehr zwingend. Bisher sah lediglich Art. 33 PSD I eine gleichlautende Option vor, von der der nationale Gesetzgeber jedoch bereits in verbraucherfreundlicher Weise Gebrauch gemacht hatte, sodass die bestehende Rechtslage unverändert bleibt.²⁵⁶
3. Vertragliche Informationspflichten des Zahlungsdienstleisters Neben den vorvertraglichen Informationspflichten treffen den Zahlungsdienstleister während der vertraglichen Beziehungen zahlreiche weitere Informationspflichten. Diese ergeben sich zeitlich gesehen vor und nach der Ausführung eines Zahlungsvorgangs. Für Rahmenverträge finden sich die mitzuteilenden Informationen in § 675d Abs. 1 BGB i.V. m. Art. 248 §§ 6 – 8 EGBGB wieder. Die PSD II sieht keine nennenswerten inhaltlichen Veränderungen vor, sodass die Neuerungen des ZDUG II meist redaktioneller Natur sind. Bei der Nutzung von Zahlungsauslösediensten ist dies nicht der Fall. Die Neuregelung des Art. 46 PSD II sieht speziell für Zahlungsauslösedienstleister eine Bandbreite von Informationspflichten vor, die nach der Ausführung eines Zahlungsauftrags zu erfüllen sind. So muss etwa der Zahlungsdienstnutzer nach § 675d Abs. 2 BGB n. F. i.V. m.
Vgl. Art. 4 Nr. 3 lit. c, aa), eee), g) und Art. 4 Nr. 3 lit. c, dd), bbb), b) ZDUG II. Nach alter Rechtslage sah § 675d Abs. 1 S. 1 BGB a. F. einen einheitlichen Verweis für Zahlungsdiensterahmen- und Einzelzahlungsverträge auf die Art. 248 §§ 1– 16 EGBGB vor. Nach § 675d Abs. 1 BGB n. F. soll der Verweis nur noch für die Art. 248 §§ 1– 12, 13 Abs. 1, 3 – 5 und §§ 14– 16 EGBGB n. F. gelten. Daher hat sich in § 675d BGB n. F. nur die Aufzählung geändert. Der ehemalige § 675d Abs. 2 BGB a. F. ist nun in § 675d Abs. 3 BGB n. F. zu finden.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
65
Art. 248 § 13a EGBGB n. F. über die erfolgreiche Auslösung und Details des Zahlungsvorgangs informiert werden.
4. Haupt- und Nebenleistungspflichten, insbesondere Entgeltvereinbarungen Bei Einzelzahlungs- oder Rahmenvertrag besteht die Primärpflicht des Zahlungsdienstleisters gem. § 675 f Abs. 1 und Abs. 2 S. 1 BGB, darin, Zahlungsvorgänge auszuführen.²⁵⁷ Hauptleistungspflicht des Zahlungsdienstnutzers ist gem. § 675 f Abs. 5 S. 1 BGB n. F. die Entrichtung eines vereinbarten Entgelts. Neben der Ausführung von Zahlungsvorgängen treffen den Zahlungsdienstleister zahlreiche weitere Nebenleistungspflichten, etwa in Gestalt von Informations-, Aufklärungsund Tätigkeitspflichten. Die Erfüllung dieser Pflichten kann sich der Zahlungsdienstleister gem. § 675 f Abs. 5 S. 2 BGB n. F. nur gesondert vergüten lassen, soweit eine nach dem Gesetz ausdrücklich zulässige Entgeltvereinbarungen getroffen worden ist. Die Höhe der jeweiligen Entgelte muss sich dabei gem. § 675 f Abs. 5 S. 3 BGB n. F. an den tatsächlichen Kosten des Zahlungsdienstleisters ausrichten und darf insgesamt nicht unangemessen sein.²⁵⁸ Der gesetzliche Ausnahmekatalog für Entgelte, die für die Erfüllung von Nebenpflichten erhoben werden dürfen, umfasste bisher die auch unter der PSD II gültigen Entgeltvereinbarungen für die Bereitstellung von Informationen gem. § 675d Abs. 4 BGB n. F.²⁵⁹, die Unterrichtung über die berechtigte Ablehnung eines Zahlungsauftrags gem. § 675o Abs. 1 S. 4 BGB n. F., die Bearbeitung eines vertraglich festgelegten Widerrufs gem. § 675p Abs. 4 S. 3 BGB n. F.²⁶⁰ und das Bemühen um die Wiedererlangung eines Geldbetrags gem. § 675y Abs. 5 S. 5 BGB n. F. Die PSD II enthält eine Erweiterung sowie Änderungen des Ausnahmekatalogs.
a) Änderung des Ausnahmetatbestands des § 675o Abs. 1 S. 4 BGB a. F. Der § 675o Abs. 1 S. 4 BGB a. F. zugrundeliegende Art. 65 Abs. 1 UAbs. 3 PSD I knüpfte die Zulässigkeit einer Entgeltvereinbarung an die Unterrichtung des Zahlungsdienstnutzers über die berechtigte Ablehnung eines Zahlungsauftrags an. Nach Art. 79 Abs. 1 UAbs. 3 PSD II bedarf es keiner Unterrichtung mehr. Es genügt die berechtige Ablehnung des Zahlungsvorgangs.²⁶¹ Die Erweiterung des
BT-Drs. 16/11643, S. 102 Konkret zum Zusammenhang der Entgelte mit den direkten Kosten siehe: BGH Urt. v. 12.09. 2017 – XI ZR 590/15, WM 2017, 2013. Identisch mit der Vorgängerregelung in § 675d Abs. 3 BGB a. F. Wurde durch das ZDUG II weder inhaltlich noch strukturell verändert. BT-Drs. 18/11495, S. 158.
66
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Tatbestands schlägt sich im deutschen Recht in der strukturell unveränderten Vorschrift des § 675o BGB nieder und ist daher erneut in § 675o Abs. 1 S. 4 BGB n. F. zu finden.
b) Neue Ausnahmevorschrift für die Erhebung von Entgelten für das Ausstellen einer Ersatzkarte gem. § 675l Abs. 1 S. 3 BGB n. F. Die Frage, ob Entgelte für das Ausstellen einer Ersatzkarte zulässigerweise auf den Nutzer abgewälzt werden können, war in der Vergangenheit oftmals Gegenstand gerichtlicher Auseinandersetzungen. Dabei bedienten sich die Kartenemittenten verschiedenster Ausformulierungen, die teilweise auch die Obergerichte zu überzeugen vermochten. So entschied etwa das OLG Köln, dass eine Klausel zulässig sei, soweit nur ein Entgelt für die Fälle vorgesehen ist, in denen der Verlust der Karte im Verantwortungsbereich des Kunden liegt.²⁶² Der BGH bewertete die Rechtslage jedoch anders und stellte im Jahr 2015 fest, dass Klauseln, die die Ersatzkosten für das Ausstellen einer neuen Zahlungskarte auf den Zahlungsdienstnutzer abwälzten, unrechtmäßig seien.²⁶³ Ausgenommen hiervon sind nur Klauseln, die ihren Anwendungsbereich auf Fälle beschränken, in denen den Zahlungsdienstleister keine Pflicht i. S. d. § 675k Abs. 2 S. 5 BGB a. F. trifft.²⁶⁴ Alle anderen Klauseln verstießen aus der Sicht des entscheidenden Senats gegen § 675f Abs. 4 S. 2 BGB a. F. Aus der Vorschrift des § 675k Abs. 2 S. 5 BGB a. F. ginge schließlich, unabhängig von den zur Sperrung führenden Gründen, eine Pflicht zur Ausstellung einer Ersatzkarte hervor. Eine korrespondierende Ausnahmevorschrift für eine zulässige Entgeltvereinbarung war in der PSD I und demnach auch im ZDUG I hingegen nicht zu finden.²⁶⁵ Demnach konnten derartige Entgeltklauseln gem. § 675e Abs. 1 i.V. m. § 675 f Abs. 4 S. 2 BGB a. F. nicht Vertragsbestandteil werden.
OLG Köln, Urt. v. 19.03. 2014– 13 U 46/13, WM 2014, 1338 (1339). Das in Fn. 272 zitierte Urteil zeigt, dass an dieser Rechtsauffassung nicht mehr festgehalten wird. BGH, Urt. v. 20.10. 2015 – XI ZR 166/14, NJW 2016, 560 (561, 562). Siehe hierzu: OLG Köln, Urt. v. 10.02. 2016 – 13 U 45/15, WM 2016, 354 (355). Derartige Fälle sind etwa für Kleinbetragszahlungskarten denkbar, die nicht gesperrt werden können und somit auch keine Pflicht zur Entsperrung oder Neuausstellung entstehen lassen können. Die Ausgabe einer Ersatzkarte ist demnach nicht mehr verpflichtend, sondern die ursprüngliche Hauptvertragspflicht, für die der Zahlungsdienstleister daher auch berechtigterweise ein Entgelt vereinbaren darf. Derartige Klauseln sind, da sie nicht von Rechtsvorschriften abweichen, einer AGBKontrolle nicht zugänglich, siehe hierzu und für weitere Beispiele: Fornasier, WM 2013, 205 (207 ff). So auch der Gesetzgeber: BT-Drs. 16/11643, S. 106; siehe auch: BGH NJW 2016, 560 (562); Omlor, WM 2018, 937 (940); Fornasier, WM 2013, 205 (210).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
67
Mit Inkrafttreten des ZDUG II ist diese Rechtsprechung überholt. Die neue Vorschrift des Art. 70 Abs. 1 lit. d PSD II enthält einen eigenen, bisher nicht existenten Ausnahmetatbestand. Hiernach ist die Vereinbarung eines Entgelts für das Ausstellen einer Ersatzzahlungskarte im Falle eines Verlusts, Diebstahls, einer missbräuchlichen Verwendung oder einer sonst nicht autorisierten Nutzung eines Zahlungsinstruments zulässig. Der neue Ausnahmetatbestand des § 675l Abs. 1 S. 3 BGB ist für Zahlungsdienstleister im Vergleich zur alten Rechtslage somit von entscheidendem Vorteil. Die direkten Kosten, die dem Zahlungsdienstleister durch das Ausgeben einer Ersatzkarte entstehen, können dem Zahlungsdienstnutzer in Rechnung gestellt werden. Die Gründe, die zur Sperrung oder dem Verlust der Originalkarte geführt haben, spielen dabei erneut keine Rolle. Der Begriff der direkten Kosten erfasst jedoch nur die Kosten, die unmittelbar einzelnen betrieblichen Leistungen zugerechnet werden können und enthält insofern eine Sonderregelung gegenüber § 675f Abs. 5 S. 2 2. HS BGB n. F.²⁶⁶ So können beispielsweise nur die Herstellungs-, Präge- und Versandkosten ersetzt verlangt werden.
c) Richtlinienkonforme Erweiterung von § 675y Abs. 3 S. 3 BGB a. F.? Die begrifflich neugefasste Vorschrift des § 675y Abs. 5 S. 5 BGB n. F. wirft einige Fragen auf, da sie ihrem Wortlaut nach zu einer Erweiterung des bisherigen Ausnahmetatbestands des § 675y Abs. 3 S. 3 BGB a. F. führt. Nach alter Rechtslage konnte der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt „für diese Wiederbeschaffung“ vereinbaren. Darunter wurden nach der hM die erfolgreiche Wiedererlangung eines aufgrund einer fehlerhaften Kundenkennung überwiesenen Betrags verstanden. Das Entgelt durfte demnach nur für den Erfolgsfall vereinbart werden. Das bloße Tätigwerden erfüllte den Ausnahmetatbestand nicht. Nunmehr heißt es in der deutschen Umsetzung jedoch: „Der Zahlungsdienstleister kann mit dem Zahlungsdienstnutzer im Zahlungsdiensterahmenvertrag ein Entgelt für Tätigkeiten nach den Sätzen 2 bis 4 vereinbaren“. Anknüpfungspunkt wären danach alle Wiederbeschaffungstätigkeiten, welche auch das (erfolglose) Bemühen nach § 675y Abs. 5 S. 2 BGB n. F. mit einbeziehen würden.²⁶⁷ Für eine derartige Erweiterung sind in der PSD II jedoch keine Anhaltspunkte zu finden, da der Wortlaut des zugrundeliegenden Art. 88 Abs. 4 PSD II keine Veränderungen gegenüber der Vorgängerregelung des Art. 74 Abs. 2 UAbs. 3 PSD I aufweist. Gleichzeitig ist auch der Gesetzgeber ausweislich der
So auch Omlor, WM 2018, 937 (941). Für eine derartige Auslegung: BeckOGK BGB-Köndgen, § 675y Rn. 87.
68
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Regierungsbegründung der Auffassung, dass § 675y Abs. 5 S. 5 BGB n. F. dem bisherigen § 675y Abs. 3 S. 3 BGB entspricht.²⁶⁸ Die begriffliche Ungenauigkeit mag der Gesetzesbegründung zum ZDUG I entspringen, in der der Gesetzgeber darauf hinwies, dass der Zahlungsdienstleister „für seine Leistung nach Satz 2“ ein Entgelt vereinbaren konnte. Eine Ähnlichkeit ist nicht von der Hand zu weisen und erweckte bereits damals den Eindruck, dass eine Entgeltvereinbarung nach Auffassung des deutschen Gesetzgebers erfolgsunabhängig zulässig sein könnte.²⁶⁹ Angesichts des eindeutigen Richtlinienwortlauts, wonach der Zahlungsdienstleister dem Zahlungsdienstnutzer für die Wiederbeschaffung ein Entgelt in Rechnung stellen kann, wurde der Tatbestand ausschließlich erfolgsabhängig ausgelegt.²⁷⁰ Auch die englische Fassung spricht von „Recovery“, was ebenfalls für eine Erfolgsabhängigkeit streitet. Weder Systematik noch Telos erwecken und erweckten überdies den Anschein, der Richtliniengeber hätte eine weitergehende Entgeltvereinbarung gewollt. Demnach musste bereits § 675y Abs. 3 S. 3 BGB a. F. richtlinienkonform ausgelegt werden. Selbiges Schicksal wird aufgrund des Auslegungsvorrangs der europäischen Vorgaben auch § 675y Abs. 5 S. 5 BGB n. F. ereilen, sodass weiterhin eine Vereinbarung nur für den Fall der erfolgreichen Wiederbeschaffung des gegenständlichen Zahlungsbetrags zulässig ist.²⁷¹ Der Zahlungsdienstnutzer soll schließlich nicht durch eine Entgeltpflicht für ein erfolgloses Bemühen des Zahlungsdienstleisters doppelt belastet werden.
d) Sonstige Entgeltregelungen und Neuerungen durch die PSD II Hinsichtlich der generellen Entgeltregelungen gibt es ebenfalls einige Neuerungen. Nach Art. 52 Abs. 2 PSD I waren Zahler und Zahlungsempfänger verpflichtet, die von ihrem jeweiligen Zahlungsdienstleister erhobenen Entgelte selber zu tragen, soweit mit dem Zahlungsvorgang keine Währungsumrechnung verbunden war. Art. 62 Abs. 2 PSD II erstreckt diese Regelung im Einklang mit der Erweiterung des Anwendungsbereiches durch Art. 2 Abs. 3 PSD II auf alle Zahlungsvorgänge, die innerhalb der Union getätigt werden, und zwar unabhängig davon, ob eine Währungsumrechnung stattfindet oder nicht.
BT-Drs. 18/11495, S. 175. Staudinger-Omlor, § 675y Rn. 27. So die hM, siehe etwa: MünchKommBGB-Zetzsche, § 675y Rn. 44; Erman-v. Westphalen, § 675y Rn. 41; Staudinger-Omlor, § 675y Rn. 27; Bastian/Werner, WM 2017, 1533 (1536). So auch Omlor, WM 2018, 937 (939); aA Werner, WM 2018, 449 (455), der eine zusätzliche Entgeltpflicht für die Informationsbeschaffung für zulässig erachtet.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
69
Die PSD II sieht zudem eine wichtige Neuerung im Bereich des sogenannten „Surcharging“, der Weitergabe von Zahlungskartengebühren auf den Nutzer, vor.²⁷² Auf nationaler Ebene wurde bisher die Limitierung von Entgelten für die Benutzung bestimmter Zahlungsinstrumente in den Vorschriften § 312a Abs. 4 BGB sowie § 675f Abs. 5 BGB a. F. geregelt. Nach § 312a Abs. 4 BGB darf bei Verbraucherverträgen kein Surcharging stattfinden, soweit nicht mindestens ein gängiges und unentgeltliches Zahlungsmittel angeboten wird. Mit der weitgehend unveränderten Vorschrift des § 67 f Abs. 5 BGB a. F., die sich nun im sechsten Absatz des § 67 f BGB n. F. wiederfindet, hat der Gesetzgeber von der europarechtlichen Option, die Erhebung von Entgelten zu begrenzen oder zu untersagen, Gebrauch gemacht.²⁷³ Hiernach sind formularvertragliche Verbote von der Erhebung von Entgelten durch den Zahlungsempfänger bei der Nutzung bestimmter Zahlungsinstrumente zulässig. Von dieser Möglichkeit machen die großen Kreditkartenunternehmen logischerweise zur Steigerung der Attraktivität des eigenen Angebots weiten Gebrauch und untersagen das Surcharging. Der nationale Anwendungsbereich von § 312a Abs. 4 BGB ist folglich gering. Das Surcharging erfährt durch Art. 62 Abs. 4 PSD II, zu dessen Umsetzung ein neuer Paragraph, § 270a BGB n. F., ins BGB eingefügt worden ist, eine zusätzliche Verschärfung. Bestimmte Zahlungsinstrumente werden mit einem umfassenden Surcharging-Verbot belegt. Die durch das ZDUG II vorgenommene Implementierung im allgemeinen Schuldrecht stellt klar, dass die Regelung bei allen Valutaverhältnissen zwischen Schuldner und Gläubiger einer Geldschuld und nicht nur bei zahlungsdienstrechtlichen Vertragsverhältnissen Anwendung finden soll.²⁷⁴ Hiernach dürfen Entgelte, soweit nicht bereits durch Vereinbarung zwischen Zahlungsempfänger und seinem Zahlungsdienstleister ausgeschlossen, nicht für Zahlungsinstrumente erhoben werden, die unter Kapitel II der Interbankenentgelte-VO fallen. Es handelt sich dabei nach Art. 3 InterbankenentgelteVO um Debitkarten und nach Art. 4 Interbankenentgelte-VO um Kreditkarten im Vier-Parteien-Kartenzahlverfahren²⁷⁵, soweit diese jeweils von Verbrauchern ein Zur Begrifflichkeit siehe: BeckOK BGB-Schmalenbach, § 675f Rn. 106; MünchKommBGBCasper, 6. Auflage 2012, § 675f Rn. 54; Langenbucher/Bliesener/Spindler-Jungmann, 6. Kap, § 675f Rn. 16f. Die Regelung fand sich im ersten RegE noch nicht wieder und hat erst durch das Gesetzgebungsverfahren Eingang in das Umsetzungsgesetz gefunden, vgl. BT-Drs. 16/11643, S. 103; kritisch hinsichtlich der Umsetzung BeckOK BGB-Schmalenbach, § 675f Rn. 106, der die Regelung aus wettbewerbspolitischer Sicht kritisiert sowie MünchKommBGB-Casper, § 675f Rn. 58, der die Systematik der Regelung hinterfragt. BT-Drs. 18/11495, S. 146. Parteien sind hierbei Karteninhaber, kartenausgebende Bank, Acquirer und Händler. Diese Konstellation liegt bei VISA und MasterCard vor, die lediglich Lizenzen ausgeben. American Ex-
70
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
gesetzt werden. Faktisch ist damit die Erhebung von Entgelten für die Benutzung von Zahlungsinstrumenten durch Zahlungsempfänger gegenüber Verbrauchern nach Inkrafttreten der nationalen Umsetzungsvorschriften nur noch in wenigen Ausnahmefällen, etwa im Geschäftsverkehr oder bei der Verwendung von Kreditkarten im Drei-Parteien-Kartenzahlverfahren (American Express, Diner’s Club), möglich.²⁷⁶
5. Änderung und Anpassung des Zahlungsdiensterahmenvertrags Die Änderung und Anpassung von Vertragsbestandteilen wird logischerweise nur im Hinblick auf den Rahmenvertrag relevant, da der Einzelzahlungsvertrag kein Dauerschuldverhältnis darstellt. § 675g BGB ermöglicht Zahlungsdienstleistern, einfach und kosteneffizient eine Vielzahl von Verträgen anzupassen. Das prinzipiell einschlägige lex generalis aus § 305 Abs. 2 und 3 BGB, welches für derart gelagerte Fälle den Abschluss eines Änderungsvertrags vorsieht, wird durch § 675g BGB als lex specialis verdrängt.²⁷⁷ Der Zahlungsdienstleister ist berechtigt, dem Zahlungsdienstnutzer alle Änderungen des Rahmenvertrags einschließlich der mitzuteilenden Informationen und Vertragsbedingungen zwei Monate vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens in der in Art. 248 §§ 2 und 3 EGBGB vorgesehenen Form, also „klar und verständlich“ und zumindest in Textform i. S. d. § 126b BGB, mitzuteilen. § 675g Abs. 2– 4 BGB ermöglichen überdies nach vorheriger Vereinbarung sowie dem Vorliegen weiterer Voraussetzungen, dass eine Annahme der Vertragsänderungen automatisch oder durch Schweigen erfolgen kann.
press oder DinersClub sind als Drei-Parteien-Kartenzahlverfahren nicht von der Regelung des § 270a BGB erfasst, vgl. „Regierung verbietet Extra-Gebühr für Online-Zahlungen“, RP-Online, 08.02. 2017, abrufbar unter: http://www.rp-online.de/wirtschaft/bunderegierung-verbietet-extragebuehr-fuer-online-zahlungen-aid-1.6591263, zuletzt abgerufen am 10.04. 2019; Alexander Lorenz, „Bezahlen im Internet: Händler drohen teure Pflichten“, t3n, 08.02. 2017, abrufbar unter: http://t3n.de/news/bezahlen-internet-payment-793370/, zuletzt abgerufen am 10.04. 2019. Die Regelung des § 270a BGB soll nach Art. 229 § 45 Abs. 5 EGBGB nur für Schuldverhältnisse Geltung entfalten, die ab dem 13.01. 2018 entstanden sind. Demnach sind für „alte“ Verträge Konstellationen denkbar, wonach die Erhebung von Zahlungsmittelentgelten möglich bleibt. Außerdem kann das Surcharging bei der Nutzung von Kreditkarten im Drei-Parteien-Kartenzahlverfahren weiterhin möglich sein, vgl. Fn. 279. Zu § 305 Abs. 2 und 3 BGB siehe: MünchKommBGB-Basedow, § 305 Rn. 81; zu § 675g BGB als lex specialis siehe: Staudinger-Omlor, § 675g Rn. 1.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
71
6. Kündigung eines Zahlungsdiensterahmenvertrags Der im Vergleich zur ersten Zahlungsdiensterichtlinie fast unveränderte Art. 55 PSD II beinhaltet die Beendigungsmöglichkeiten für Zahlungsdiensterahmenverträge.²⁷⁸ Der Zahlungsdienstnutzer kann gem. § 675h Abs. 1 S. 1 BGB sowohl befristete als auch unbefristete Zahlungsdiensterahmenverträge fristlos und – ohne Angabe von Gründen kündigen. Dem Zahlungsdienstnutzer soll dadurch ein flexibler Wechsel zwischen verschiedenen Anbietern ermöglicht werden.²⁷⁹ Eine Kündigungsfrist kann gem. § 675h Abs. 1 S. 2 BGB n. F. bis zu einer Dauer von einem Monat individualvertraglich vereinbart werden. Zusätzlich steht dem Zahlungsdienstnutzer ein fristloses Sonderkündigungsrecht nach § 675g Abs. 2 S. 2 BGB zu, soweit der Zahlungsdienstnutzer der Fiktion seiner Zustimmung zu Vertragsänderungen zugestimmt hat und eine solche Änderung ansteht. Für die allgemeinen außerordentlichen Kündigungsgründe gelten nach Art. 55 Abs. 3 und 5 PSD II weiterhin die nationalen Vorschriften.²⁸⁰ Allgemeine Beendigungsmöglichkeiten, etwa durch außerordentliche Kündigung gem. §§ 313 Abs. 3 S. 2, 314, 626 BGB²⁸¹ oder durch Aufhebungsvertrag²⁸², sind daher nach wie vor (beidseitig) möglich. Überdies werden in § 675h Abs. 2 BGB zum Schutz des Zahlungsdienstnutzers die Kündigungsmöglichkeiten des Zahlungsdienstleisters eingeschränkt. Unbefristete Verträge können nur nach vorheriger Vereinbarung eines Kündigungsrechts und nur in der nach § 675h Abs. 2 S. 3 BGB i.V. m. Art. 248 §§ 2 und 3 EGBGB vorgeschriebenen Form gekündigt werden. Eine Kündigungsfrist von weniger als zwei Monaten ist nach § 675h Abs. 2 S. 2 BGB unzulässig. Befristete Verträge können mangels gesetzlicher Regelung durch den Zahlungsdienstleister nicht ordentlich, sondern nur außerordentlich gekündigt werden. Eine auf den ersten Blick vermeintlich wichtige Änderung findet sich in Art. 55 Abs. 2 PSD II wieder. Hiernach dürfen Entgelte für die Kündigung nur dann erhoben werden, wenn der gekündigte Vertrag weniger als 6 Monate in Kraft war.²⁸³ Der nationale Gesetzgeber hat jedoch im Rahmen der Umsetzung von der in Art. 45 Abs. 6 PSD I enthaltenen Option, vorteilhaftere Vorschriften für den
Vgl. Art. 45 PSD I. Vgl. Erwägungsgrund 29 PSD I. So auch schon nach Art. 45 Abs. 3 und 5 PSD I; siehe auch: Langenbucher/Bliesener/ Spindler-Herresthal, 2. Kap, § 675h Rn. 4. Grundmann, WM 2009, 1109 (1113); Palandt-Sprau, § 675h Rn. 1; Staudinger-Omlor, § 675h Rn. 1; Nobbe, WM 2011, 961 (962). Vgl. Erwägungsgrund 29 PSD I. Nach Art. 45 Abs. 2 PSD I war eine Entgeltvereinbarung zulässig, soweit der Vertrag weniger als 12 Monate Bestand hatte.
72
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Zahlungsdienstnutzer zu erlassen, Gebrauch gemacht und explizit keine Entgeltregelung eingeführt. Im Zusammenspiel mit § 675f Abs. 4 S. 2 BGB a. F. bedeutete dies, dass die Kündigung eines dem deutschen Zahlungsdiensterecht unterliegenden Zahlungsdiensterahmenvertrags stets unentgeltlich zu erfolgen hatte.²⁸⁴ Aufgrund des geränderten Richtlinientextes hielt es der nationale Gesetzgeber für nötig, die national unveränderte Rechtslage mit Einführung des neuen § 675h Abs. 4 BGB n. F. klarzustellen.²⁸⁵
D. Autorisierung von Zahlungsaufträgen sowie Rechte und Pflichten der Parteien Titel IV beider Richtlinien beinhaltet die Rechte und Pflichten der Parteien bei der Erbringung und Nutzung von Zahlungsdiensten. Kapitel 1 enthält allgemeine Bestimmungen, etwa zum Anwendungsbereich, Kapitel 2 regelt die Autorisierung von Zahlungsvorgängen, Kapitel 3 bestimmt den rechtlichen Rahmen der Ausführung von Zahlungsvorgängen und Kapitel 4 den Datenschutz. Die PSD II regelt im neu geschaffenen fünften Kapitel die Behandlung operationeller und sicherheitsrelevanter Risiken sowie die Authentifizierung bei Zahlungsvorgängen, um generell die Sicherheitsstandards bei der Erbringung von Zahlungsdiensten zu verstärken.²⁸⁶ Kapitel 5 der PSD I und Kapitel 6 der PSD II beinhalten Streitbeilegungsverfahren. Für die Autorisierung sind folglich Kapitel 1 und 2 von Belang. Da die Autorisierung das zentrale Element eines jeden Zahlungsvorgangs ist, hängt es untrennbar mit der Risikoverteilung und damit auch dem Haftungsregime zusammen, welches aufgrund seiner Komplexität jedoch gesondert betrachtet wird.²⁸⁷
I. Allgemeine Bestimmungen und Anwendungsbereich des Titel IV Nachdem im ersten Titel der Richtlinie der allgemeine Anwendungsbereich definiert wird, sieht Art. 61 Abs. 1 PSD II²⁸⁸ weitere Einschränkungen im persönlichen Anwendungsbereich vor, soweit der Zahlungsdienstnutzer kein Verbraucher
Vgl. auch BT-Drs. 16/11643, S. 104. BT-Drs. 18/11495, S. 155. Die Vorschriften der starken Kundenauthentifizierung haben große Bedeutung im zivilrechtlichen Bereich, insbesondere im Bereich der Haftung. Dennoch richten sich die Vorschriften an den Zahlungsdienstleister und werden daher im Aufsichtsrecht umgesetzt, vgl. § 55 ZAG n. F. Siehe: Teil 2, 2. Abschnitt, E. Identisch mit Art. 51 Abs. 1 PSD I.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
73
i. S. d. Art. 4 Nr. 20 PSD II ist.²⁸⁹ Durch die PSD II ergeben sich im Vergleich zur PSD I keine Neuerungen. Die zur Disposition gestellten Vorschriften sind für diese Arbeit jedoch von geringer Bedeutung, da es im Kern um innovative Zahlungssysteme geht, bei denen der Zahlungsdienstnutzer Verbraucher ist. Interessanter sind daher Art. 62 PSD II, der bereits im Rahmen der Entgelte näher betrachtet wurde, sowie Art. 63 PSD II²⁹⁰. Die inhaltlich unveränderte Vorschrift gewährt Zahlungsdienstleistern, die Kleinbetragszahlungsinstrumente oder E-Geld ausgeben, einen nicht unwesentlichen Abweichungsspielraum von den Vorschriften des zweiten Kapitels.
II. Vorschriften zur Autorisierung von Zahlungsaufträgen Die PSD II beinhaltet für die Autorisierungsvorschriften im Hinblick auf das deutsche Recht nur Änderungen redaktioneller Natur vor. So bestimmt zwar Art. 64 Abs. 2 S. 2 PSD II, dass die zur Autorisierung führende Zustimmung nunmehr auch über einen Zahlungsauslösedienstleister erteilt werden kann. Eine Botenschaft ist im deutschen Recht jedoch ohnehin generell zulässig, sodass eine entsprechende Beauftragung bereits vor Verabschiedung der PSD II zulässig war. Art. 64 Abs. 2 S. 2 PSD II bedurfte folglich keiner Umsetzung. Ähnliches gilt für das Diskriminierungsverbot von Zahlungsauslösedienstleistern nach Art. 66 Abs. 1 PSD II, da ein vertraglicher Ausschluss dieser Dienste ohnehin gegen § 675e Abs. 1 BGB n. F. i.V. m. § 675f Abs. 3 BGB n. F. verstößt.²⁹¹
1. Rechtsnatur und Form der Autorisierung Die zentrale Vorschrift des § 675j BGB ist Sinnbild der auftragsrechtlichen Natur des Zahlungsdienstevertrags. Die Autorisierung eines Zahlungsauftrags stellt einen Sonderfall der geschäftsbesorgungsrechtlichen Weisung i. S. d. § 665 BGB dar und wird in § 675j Abs. 1 S. 1 BGB als Zustimmung zu einem Zahlungsvorgang definiert.²⁹² Die Begrifflichkeiten haben sich durch den Richtlinienwortlaut etwas
Die Parteien können in diesen Fällen Artikel 62 Abs. 1 (Entgelte für Informationspflichten), Artikel 64 Absatz 3 (Widerruf der Zustimmung), Artikel 72 (Beweislast bei Ausführung von Zahlungsvorgängen), 74 (Haftung des Zahlers für nicht autorisierte Zahlungsvorgänge), 76 (Erstattung einer Lastschrift), 77 (Verlangen der Erstattung einer Lastschrift), 80 (Unwiderruflichkeit eines Zahlungsauftrags) und 89 (Haftung des Zahlungsdienstleisters für nicht erfolgte, fehlerhafte oder verspätete Ausführung von Zahlungsvorgängen) vertraglich abbedingen. Vormals Art. 53 PSD I. BT-Drs. 18/11495, S. 154. Grundmann, WM 2009, 1114 f; Staudinger-Omlor, § 675j Rn. 1.
74
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
verändert, sodass terminologisch der durch die Autorisierung entstehende Zahlungsauftrag die Weisung und der Widerruf die Gegenweisung ersetzen.²⁹³ Auf nationaler Ebene hat der Gesetzgeber die europarechtliche Autorisierung als Zustimmung i. S.d. § 182 Abs. 1 BGB verstanden. Demnach finden die für Willenserklärungen geltenden Vorschriften sowie die aktuelle Rechtsprechung den zahlungsdienstrechtlichen Besonderheiten entsprechend Anwendung. Eine Weisung kann gem. § 675j Abs. 1 S. 2 BGB der Ausführung zeitlich vorgelagert als Einwilligung i. S. d. § 183 S. 1 BGB oder nachgelagert als Genehmigung i. S. d. § 184 Abs. 1 BGB erteilt werden. Bei den meisten Zahlungsdiensten erfolgt die Zustimmung in aller Regel in Gestalt der Einwilligung. Eine nachträgliche Zustimmung gab es zuletzt bei dem durch die SEPA-Lastschrift ersetzten Einzugsermächtigungsverfahren.²⁹⁴ Die Form der Zustimmung unterliegt nach § 675j Abs. 1 S. 3 BGB der Disposition der Vertragsparteien.²⁹⁵ Selbiges gilt für das Medium, mit dem die Zustimmung erteilt werden kann. Als Anwendungsbeispiel nennt der Gesetzgeber in § 675j Abs. 1 S. 4 BGB die Erteilung der Zustimmung über ein Zahlungsinstrument.
2. Widerruf der Autorisierung Eine Autorisierung kann gem. § 675j Abs. 2 BGB widerrufen werden. Während § 675j Abs. 1 BGB die zentrale Norm für die Zustimmung darstellt, weist § 675j Abs. 2 BGB nur den Charakter einer Verweisungsnorm auf.²⁹⁶ Die Widerruflichkeit ist in § 675p BGB geregelt. Der erste Absatz legt zunächst fest, dass eine Autorisierung mit ihrem Zugang vorbehaltlich der Absätze 2 bis 4 unwiderruflich ist. Im Umkehrschluss bedeutet dies, dass eine Autorisierung bis zu ihrem Zugang widerrufen werden kann, was sich jedoch ohnehin aufgrund des Charakters der Autorisierung als empfangsbedürftige Willenserklärung aus § 130 Abs. 1 S. 2 BGB ergibt.²⁹⁷ Von Bedeutung sind daher insbesondere § 675p Abs. 2 und 3 BGB, die für die Phase zwischen Zugang und Ausführung eines Zahlungsauftrags Widerrufsmöglichkeiten festlegen. Dies betrifft insbesondere Terminüberweisungen oder
Staudinger-Omlor, § 675j Rn. 1. Staudinger-Omlor, § 675j Rn. 5. Fehlt es an einer Vereinbarung, ist die Form anhand einer ergänzenden Vertragsauslegung zu bestimmen, siehe hierzu ausführlich: Staudinger-Omlor, § 675j Rn. 8; siehe auch: PalandtSprau, § 675j Rn. 5. Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 227. Staudinger-Omlor, § 675j Rn. 6, 11; Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 225; siehe zur Angemessenheit der Unwiderruflichkeit von mit Kreditkarten ausgelösten Zahlungsvorgängen: Bitter, WM 2010, 1773 ff.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
75
Lastschriften, die erst zu einem bestimmten Tag fällig werden. Nach der PSD II gilt dies nun auch für über Zahlungsauslösedienstleister ausgelöste Zahlungsvorgänge. Sonstige Änderungen sind nicht erfolgt. § 675p Abs. 2 BGB n. F. sieht für das deutsche Recht eine entsprechende Regelung vor. § 675p Abs. 4 BGB eröffnet überdies unter bestimmten Voraussetzungen die Möglichkeit eines Widerrufs für einen bereits ausgeführten Zahlungsvorgang. Soweit die Zustimmung nicht widerrufen wird, gilt die Zahlung als autorisiert. Der Zahlungsdienstleister ist dann legitimiert, den Zahlungsauftrag auszuführen und Ersatz der notwendigen Aufwendungen gem. §§ 675c Abs. 1, 670 BGB sowie Zahlung eines möglicherweise geschuldeten Entgelts gem. § 675 f Abs. 5 S. 1 BGB n. F. zu verlangen.
3. Begrenzung der Nutzung des Zahlungsinstruments Die weitgehenden Nutzungs- und Einsatzmöglichkeiten von Zahlungsinstrumenten bringen in den falschen Händen erhebliches Missbrauchspotential mit sich.²⁹⁸ Dieses Risiko wird durch die Zahlungsdiensterichtlinie weitgehend auf den Zahlungsdienstleister verlagert.²⁹⁹ Aus diesem Grund muss der Zahlungsdienstleister die Möglichkeit haben, sowohl die Nutzung zu begrenzen als auch ein Zahlungsinstrument zu sperren. § 675k BGB hat einen Katalog zulässiger Sicherheitsmaßnahmen zum Gegenstand. So besteht nach § 675k Abs. 1 BGB die Möglichkeit, Betragsobergrenzen für die Nutzung von Zahlungsinstrumenten zu vereinbaren. Dieses Recht tritt insbesondere im Umgang mit Kreditkarten, die in aller Regel nur über ein bestimmtes Kreditlimit verfügen, zutage. Der zweite Absatz sieht vor, dass eine vertragliche Vereinbarung zulässig ist, die dem Zahlungsdienstleister in bestimmten Situationen das einseitige Recht zur Sperrung eines Zahlungsinstruments gibt. Der Zahlungsdienstleister ist nach Ausübung dieses Rechts jedoch verpflichtet, den Zahlungsdienstnutzer über den Grund der Sperre zu informieren sowie bei einem Wegfall der Sperrgründe das Zahlungsinstrument zu entsperren. Letzteres war in der PSD I noch nicht vorgesehen, jedoch allgemein anerkannt. Aus dem Recht zur Sperrung ging e contrario auch die Annexpflicht zur Entsperrung einher.³⁰⁰ Der Zahlungsdienstleister ist überdies nach Art. 68 Abs. 5 und 6 PSD II berechtigt, Zahlungsauslösediensten oder Kontoinformationsdiensten der Zugang
Vgl. BT-Drs. 16/11643, S. 106. Siehe hierzu und den weiteren Verschärfungen der PSD II ausführlich: Teil 2, 2. Abschnitt, D., II., 5. BT-Drs. 16/11643, S. 106.
76
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
zu Zahlungskonten zu verwehren, wenn Gründe die Annahme rechtfertigen, dass dem Zugangsversuch betrügerische Absichten zugrunde liegen.³⁰¹ Die daraus entstehenden Informationspflichten gegenüber dem Zahlungsdienstnutzer sind in § 675k Abs. 3 BGB n. F. niedergelegt.
III. Pflichten des Zahlungsdienstnutzers gem. § 675l BGB Die zentralen Sorgfaltspflichten des Zahlungsdienstnutzers im Umgang mit Zahlungsinstrumenten und personalisierten Sicherheitsmerkmalen ergeben sich aus § 675l BGB. Der Nutzer hat die personalisierten Sicherungsmerkmale nach Erhalt sicher zu verwahren und bei Verlust oder Drittmissbrauch eines Zahlungsinstruments eine Sperranzeige vorzunehmen. Die PSD II sieht diesbezüglich keine Änderungen vor.³⁰²
1. Schutzgüter der Verwahrungspflicht des § 675l Abs. 1 S. 1 BGB n. F. Die Sorgfaltspflicht des § 675l Abs. 1 S. 1 BGB n. F. umfasst nach dem Wortlaut als alleiniges Schutzgut die personalisierten Sicherheitsmerkmale.³⁰³ Es gibt jedoch Stimmen, die den Pflichtenkatalog auch auf Zahlungsinstrumente erstrecken wollen.³⁰⁴ Argumentativ begründet wird diese dem Gesetz- und Richtlinienwortlaut widersprechende Auslegung mit der faktischen Untrennbarkeit von Zahlungsinstrument und personalisiertem Sicherheitsmerkmal.³⁰⁵ Dieser Auffassung liegt die fehlerhafte Annahme zugrunde, dass alle Zahlungsinstrumente ein personalisiertes Sicherheitsmerkmal in sich tragen würden.³⁰⁶ Eine Untrennbarkeit vermag noch im Fall der Unterschrift, welche sich auf der Rückseite der
Dieses Recht besteht zwischen den Zahlungsdienstleistern und wird daher in § 52 ZAG n. F. umgesetzt. Für § 675l BGB ergeben sich aufgrund der deutschen Umsetzung jedoch redaktionelle Änderungen. Der bisherige § 675l BGB geht in § 675l Abs. 1 BGB n. F. auf. Die beiden weiteren Absätze wurden bereits oben besprochen und setzen Vorgaben aus anderen Bereichen des Zahlungsdiensterechts um. Alle Erläuterungen zu § 675l BGB a. F. sind daher auf die neue Rechtslage übertragbar. BankR Hdb-Maihold, § 54 Rn. 73, 81; Staudinger-Omlor, § 675l Rn. 3; wohl auch Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675l Rn. 5 Danwerth, ZBB 2015, 119 (134); EFN-Frey, § 675l Rn. 7; MünchKommBGB-Jungmann, § 675l Rn. 8. MünchKommBGB-Jungmann, § 675l Rn. 8; Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675l Rn. 5; zutreffend hinsichtlich der Unterschrift auf der Kreditkarte: Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 265. Vgl. etwa. MünchKommBGB-Jungmann, § 675l Rn. 8.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
77
Kreditkarte befindet, überzeugen. PIN und Zahlungskarte sind hingegen keineswegs untrennbar. Das Argument, der unbefugte Nutzer könne die PIN zumindest versuchen zu erraten,³⁰⁷ schlägt nicht durch. Die Wahrscheinlichkeit, bei drei Versuchen die PIN zu erraten, liegt bei 1 zu 3333 und kann daher keine rechtliche Gleichstellung von Zahlungsinstrumenten und personalisierten Sicherheitsmerkmalen rechtfertigen.³⁰⁸ Die im Fall der Unterschrift tatsächliche Untrennbarkeit mag zwar faktische Sorgfaltspflichten i. S. d. § 675l Abs. 1 S. 1 BGB n. F. auch im Hinblick auf das Zahlungsinstrument begründen.³⁰⁹ Für einen Gleichlauf des rechtlichen Rahmens kann eine zufällige Rechtstatsache jedoch nicht herangezogen werden. Der nationale Gesetzgeber weist aufgrund der Individualität der jeweiligen Zahlungsinstrumente daher zutreffend darauf hin, dass der Schutz der Zahlungsinstrumente im jeweiligen Vertrag geregelt werden sollte.³¹⁰ Eine derartige Erweiterung des Anwendungsbereiches würde außerdem bei dem klaren Wortlaut des Gesetzes und der zugrundliegenden Richtlinie einer Analogie bedürfen. Hierfür fehlt es insbesondere an der Planwidrigkeit der Regelungslücke. Eine solche liegt nur dann vor, wenn der Gesetzgeber einen Regelungskomplex bei der Ausarbeitung einer Norm schlicht übersehen hat. Betrachtet man jedoch Art. 69 PSD II, wird deutlich, dass sich der Gesetzgeber durchaus im Klaren darüber war, die in Absatz 2 niedergelegten Sorgfaltspflichten ausschließlich auf personalisierte Sicherheitsmerkmale zu beschränken. In Art. 69 Abs. 1 lit. b PSD II legt er nämlich fest, dass sich die Verlustanzeigepflicht nur auf Zahlungsinstrumente beschränkt. Regelt der Gesetzgeber in einer Norm zwei unterschiedliche Sachverhalte, kann nicht davon ausgegangen werden, dass er nach Verfassen von Absatz 1 in Absatz 2 das Zahlungsinstrument versehentlich vergessen hat. Auch in den Erwägungsgründen zur PSD II macht der Gesetzgeber deutlich, dass ausschließlich die personalisierten Sicherheitsmerkmale einen besonderen Schutz genießen sollen.³¹¹ Für eine strikte Trennung spricht auch die
So aber MünchKommBGB-Casper, 6. Auflage 2012, § 675l Rn. 4. BGH, Urt. v. 05.10. 2004 – XI ZR 210/03, BGHZ 160, 308, 316 f. bestätigt in BGHZ 170, 18, 30 = WM 2007, 67, 71; so auch OLG Brandenburg WM 2007, 2193, 2195; OLG Frankfurt WM 2008, 534, 535 f; ausführlich BuB/Werner Rn. 6/1465 ff; Gößmann WM 1998, 1264, 1270; Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 445; die früher ausgegebenen EC-Karten wiesen Häufungen gewisser Ziffern auf, was unter Zuhilfenahme weiterer technischer Mittel zu einer Erratewahrscheinlichkeit von bis 1 zu 72 führen konnte, siehe: Strube, WM 1998, 1210. Mit der Ausgabe neuer Karten im Jahr 1997 wurde diese Anfälligkeit behoben, siehe: Aepfelbach/Cimitotti WM 1998, 1218 ff. Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675l Rn. 5 BT-Drs. 16/11643, S. 106 f. Erwägungsgrund 69 PSD II.
78
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Funktion personalisierter Sicherheitsmerkmale.³¹² Ihre Verwendung bietet eine deutlich gesteigerte Gewähr dafür, dass das Zahlungsinstrument nicht missbräuchlich verwendet worden ist. Im Gegensatz zu den offen für Dritte ersichtlichen Daten wie Kontonummer, IBAN oder Kreditkartennummer sind PIN, TAN und biometrische Daten Dritten nicht ohne Weiteres einsehbar oder leicht zu erspähen, sondern nur dem Inhaber bekannt oder ihm eigen.
2. Inhalt und Umfang der Sorgfaltspflicht nach § 675l Abs. 1 S. 1 BGB n. F. Inhalt und Umfang der Sorgfaltspflicht bestimmen sich nach der Zumutbarkeit der zu treffenden Schutzvorkehrungen. Der weite Wortlaut ermöglicht eine flexible Handhabe des Tatbestands, der sich somit nach den Umständen des Einzelfalls definiert. Die Grenzen der Zumutbarkeit bestimmen sich zum einen anhand der von der Rechtsprechung aufgestellten Grundsätze³¹³ und zum anderen nach den Besonderheiten der unterschiedlichen personalisierten Sicherheitsmerkmale. Abzuwägen ist dabei zwischen den Anforderungen, die man vernünftigerweise an einen durchschnittlichen Zahlungsdienstnutzer stellen kann und den Kosten, dem Einsatzbereich und gegebenenfalls der Versicherbarkeit durch den Zahlungsdienstleister.³¹⁴
3. Sorgfaltspflichten im Umgang mit einem Zahlungsinstrument Das Zahlungsinstrument selbst ist zwar nicht mit denselben Vorkehrungen zu schützen wie die personalisierten Sicherheitsmerkmale. Dies hat jedoch nicht zur Folge, dass der Zahlungsdienstnutzer beispielsweise mit Zahlungskarten vollkommen sorglos umgehen darf. Art. 69 Abs. 1 lit. a. PSD II, der zusätzlich die Pflicht festlegt, die Ausgabe- und Nutzungsbedingungen für das Zahlungsinstrument einzuhalten, hat zwar keinen Eingang in § 675l BGB gefunden. Dies ist jedoch dem Umstand geschuldet, dass der Gesetzgeber richtigerweise den Grundsatz, dass Vertragsparteien an ihre vertraglichen Abreden gebunden sind, nicht klarstellend in nationales Recht umgesetzt hat. Demnach finden sich in den vertraglichen Regelungswerken von Emittenten von Zahlungsinstrumenten meist zusätzliche Sorgfaltspflichten im Umgang mit dem jeweiligen Zahlungsinstru-
So auch BeckOK BGB-Schmalenbach, § 675l Rn. 3; Jauernig-Berger, Anm. zu §§ 675k – 675m Rn. 2; Staudinger-Omlor, § 675l Rn. 3. Staub-Grundmann, Bd. 10/2 Dritter Teil Rn. 266; siehe auch die jeweiligen Ausführungen in Teil 3 – 7. EFN-Frey, § 675l Rn. 11; Langenbucher/Bliesener/Spindler-Langenbucher, 3. Kap, § 675l Rn. 5; Palandt-Sprau, § 675l Rn. 2.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
79
ment.³¹⁵ Dazu zählt natürlich auch, verkörperte Zahlungsinstrumente vor dem Zugriff Dritter zu schützen. Gesetzlich vorgeschrieben ist allerdings die Pflicht, bei Kenntnis von Verlust, Diebstahl, einer missbräuchlichen Verwendung oder einer sonstigen nicht autorisierten Nutzung eines Zahlungsinstruments den Zahlungsdienstleister unverzüglich über den jeweiligen Umstand zu unterrichten. Die Anzeigepflicht aus § 675l Abs. 1 S. 2 BGB n. F. korrespondiert mit der Regelung des § 675k BGB und soll dem Zahlungsdienstleister die Möglichkeit geben, das Zahlungsinstrument vor einem weiteren oder erstmaligen Missbrauch zu sperren. Die Anzeigepflicht dient demnach zuvorderst der Schadensprävention und Schadensminderung. Die Anzeigepflicht hat überdies auch Auswirkungen auf die Haftung der Vertragsparteien. Das Missbrauchsrisiko geht nach einer Anzeige vorbehaltlich betrügerischer Tätigkeiten des Zahlungsdienstnutzers auf den Zahlungsdienstleister über. Das wissentliche Unterlassen kann wiederum eine Vollhaftung des Nutzers begründen. Demnach schafft das Haftungsregime für den Zahlungsdienstnutzer einen erheblichen Anreiz, der Anzeigepflicht nachzukommen.
IV. Pflichten des Zahlungsdienstleisters gem. § 675m BGB Den Zahlungsdienstleister trifft ebenfalls in Bezug auf Zahlungsinstrumente und personalisierte Sicherheitsmerkmale ein nicht abschließend formulierter Pflichtenkatalog.³¹⁶ § 675m BGB verfolgt wie die Parallelvorschrift des § 675l BGB den Zweck, Missbrauch vorzubeugen. Dazu werden dem Zahlungsdienstleister Organisations- und Verhaltenspflichten auferlegt.³¹⁷ Organisationspflichten finden sich in § 675m Abs. 1 S. 1 Nr. 1, 3 und 4 BGB a. F. Sie betreffen den Schutz der personalisierten Sicherheitsmerkmale, soweit sie dem Einflussbereich des Zahlungsdienstleisters unterliegen. Dazu zählen der sichere Versand, das Schaffen einer sicheren Umgebung beim Online-Banking³¹⁸ sowie wirksame und sichere PIN- und TAN-Systeme³¹⁹. Außerdem sind jederzeit verfügbare Meldestellen einzurichten, die es dem Zahlungsdienstnutzer ermöglichen, seiner Anzeigepflicht aus § 675l Abs. 1 S. 2 BGB n. F. nachzukommen oder die Aufhebung einer Sperre
Siehe beispielsweise: Ziff. 5 Nr. 2 DKB – Kreditkartenbedingungen für MasterCard und Visa Karten, abrufbar unter: http://dok.dkb.de/pdf/kk_visa_mc.pdf (Stand: 01.12. 2016), zuletzt abgerufen am 10.04. 2019; Bunte, AGB-Banken, 4. Auflage 2015, Nr. 6 Sonderbedingungen für die Sparkassencard (girocard). BeckOK BGB-Schmalenbach, § 675m Rn. 2; Palandt-Sprau, § 675m Rn. 2. MünchKommBGB-Jungmann, § 675m Rn. 4. MünchKommBGB-Jungmann, § 675m Rn. 9. Palandt-Sprau, § 675m Rn. 2.
80
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
nach § 675k Abs. 2 S. 5 BGB zu verlangen. Überdies ist der Zahlungsdienstleister verpflichtet, alle ihm zumutbaren, also seinem Organisations- und Machtbereich unterliegenden Maßnahmen zu ergreifen, um eine missbräuchliche Nutzung zu verhindern.³²⁰ Diesbezüglich sind insbesondere die technischen Möglichkeiten zu berücksichtigen, auf die der Zahlungsdienstleister bei dem jeweiligen Zahlungsinstrument zurückgreifen kann. Die Verhaltenspflichten erschöpfen sich gem. § 675m Abs. 1 S. 1 Nr. 2 und S. 2 BGB in dem Unterlassen unaufgeforderter Zusendungen von Zahlungsinstrumenten sowie dem Bestätigen des Eingangs einer vom Zahlungsdienstnutzer gestellten Anzeige. Die Norm des § 675m BGB setzt Art. 57 PSD I weitgehend wortlautgetreu um. Durch die PSD II ist für den Zahlungsdienstleister nach Art. 70 Absatz 1 lit. d PSD II eine weitere Pflicht hinzugetreten.³²¹ Er muss nunmehr dem Zahlungsdienstnutzer die Möglichkeit anbieten, „eine Anzeige gemäß Artikel 69 Absatz 1 Buchstabe b kostenlos vorzunehmen“. Der Regelungsgehalt der Neuregelung ist nur klarstellender Natur, da auch die PSD I für die Pflicht, Meldestellen nach Art. 57 Abs. 1 lit. c PSD I zu errichten, keine Ausnahmeregelung für die Vereinbarung von Entgelten vorgesehen hatte.³²² Folglich kam die Generalklausel des Art. 52 Abs. 1 S. 1 PSD I zum Tragen, die eine Entgeltvereinbarung untersagte. Der Regelungsgehalt des Art. 70 Abs. 1 lit. d PSD II findet sich dennoch klarstellend in § 675m Abs. 1 S. 1 Nr. 4 BGB n. F. zwischen den bereits bestehenden Organisationspflichten wieder. Ebenfalls neu ist § 675m Abs. 3 BGB n. F., der Art. 65 Abs. 5 PSD II umsetzt. Diese eigentlich aufsichtsrechtlich geprägte Vorschrift regelt die Beziehung von unabhängigen Kartenemittenten und kontoführenden Zahlungsdienstleistern. Erstere erhalten zwar keinen Zugang zum Zahlungskonto des Zahlungsdienstnutzers, jedoch steht ihnen auf Anfrage ein Anspruch auf Mitteilung einer Deckungsbestätigung zu. Hiermit soll eine gewisse Absicherung des Kreditrisikos der unabhängigen Kartenemittenten gewährleistet werden. Hinsichtlich des Inhalts und Ergebnisses der Anfrage hat der Zahlungsdienstnutzer gem. § 675m Abs. 3 BGB n. F. einen Informationsanspruch gegen seinen kontoführenden Zahlungsdienstleister.
Zu den zumutbaren Maßnahmen siehe: MünchKommBGB-Casper, 6. Auflage 2012, § 675m Rn. 9 – 10. Art. 57 Abs. 1 lit. d PSD I ist in Art. 70 PSD II zu finden. So auch zur alten Rechtslage; BeckOGK BGB-Hofmann, § 675m Rn. 34; Palandt-Sprau, § 675m Rn. 2; Scheibengruber, BKR 2010, 15 (19); wohl aA MünchKommBGB-Jungmann, § 675m Rn. 23, der davon ausging, dass lediglich die Bearbeitung kostenlos zu erfolgen hatte, dies jedoch keine Entgeltfreiheit im Hinblick auf die Erreichbarkeit der Meldestelle zur Folge hatte.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
81
E. Ausführung von Zahlungsaufträgen Titel IV Kapitel 3 PSD I und PSD II enthält Vorschriften zur Ausführung von Zahlungsaufträgen. Abschnitt 1 regelt den Zugang von Zahlungsaufträgen, während sich Abschnitt 2 den Ausführungsmodalitäten widmet. Nennenswerte Änderungen hat es infolge der Novellierung der PSD I nicht gegeben.
I. Zugang und Ablehnung von Zahlungsaufträgen³²³ Ein Zahlungsauftrag wird nach der Vorstellung des Richtliniengebers wirksam, sobald er beim Zahlungsdienstleister eingeht.³²⁴ Der hier verwendete Begriff „Eingang“ gleicht im deutschen Recht dem „Zugang“ i. S. d. § 130 Abs. 1 S. 1 BGB, weshalb der deutsche Gesetzgeber bei der Umsetzung der PSD I in § 675n BGB den Begriff des Zugangs verwendet hat.³²⁵ Ein Zahlungsauftrag wird demnach wirksam, sobald er zugegangen ist. Nach § 130 Abs. 1 S. 1 BGB geht eine empfangsbedürftige Willenserklärung dem abwesenden Erklärungsempfänger zu, soweit sie in dessen Machtbereich gelangt ist und dieser unter gewöhnlichen Umständen die Möglichkeit hat, vom Inhalt der Erklärung Kenntnis zu nehmen.³²⁶ Die Vorschrift des § 675n BGB sieht weitere Konkretisierungen für den Zugang eines Zahlungsauftrags vor.³²⁷ Die Norm hat insbesondere Bedeutung im Zusammenhang mit den in § 675s BGB geregelten Ausführungsfristen und soll sicherstellen, dass der Zahlungsdienstleister die Annahme des Zahlungsauftrags nicht künstlich aufschiebt, um dadurch die Ausführung hinauszuzögern.³²⁸ Außerhalb der Geschäftszeiten wird der Zugang auf den nächsten Geschäftstag fingiert. Überdies bietet § 675n Abs. 1 S. 2 BGB den Vertragsparteien die Möglichkeit, einen abweichenden Zugangszeitpunkt zu vereinbaren, soweit der Zahlungsauftrag erst nach einem zu bestimmenden Zeitpunkt zugeht, welcher kurz vor dem
Zur (Un‐)Widerruflichkeit eines Zahlungsauftrags siehe bereits Teil 2, 2. Abschnitt, D., II., 2. Vgl. Art. 64 Abs. 1 S. 1 PSD I bzw. den identischen Art. 78 Abs. 1 S. 1 PSD II. Siehe auch: BeckOK BGB-Schmalenbach, § 675n Rn. 2; MünchKommBGB-Jungmann, § 675n Rn. 2; Palandt-Sprau, § 675n Rn. 2; Kümpel/Wittig-Werner, Rn. 7.777; aA Gebauer/WiedmannSchinkels, Kap. 16 Rn. 38, der Art. 64 PSD I dahingehend verstand, dass der Eingang lediglich das Gelangen in den Machtbereich des Empfängers erforderte und nicht zusätzlich, wie der Zugang, auch die Möglichkeit der Kenntnisnahme voraussetzte. Seiner Auffassung nach wurde daher Art. 64 PSD I nicht richtlinienkonform umgesetzt. Palandt-Ellenberger, § 130 Rn. 5 mwN. Der in § 675n BGB umgesetzte Art. 64 PSD I hat durch die PSD II keine Neuerungen erfahren; vgl. Art. 78 PSD II. Dementsprechend sieht das ZDUG II auch keine Änderungen des § 675n BGB vor. MünchKommBGB-Jungmann, § 675n Rn. 5.
82
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Ende eines Geschäftstages liegt. Die Vorschrift dient dazu, Zahlungsdienstleister den Abschluss des Rechnungswesens zu ermöglichen.³²⁹ Nachdem der Zahlungsauftrag dem Zahlungsdienstleister zugegangen ist, verbietet § 675o Abs. 2 BGB die Ablehnung des Zahlungsauftrags, soweit die im Zahlungsdienstevertrag festgelegten Ausführungsbedingungen erfüllt sind und die Ausführung nicht gegen sonstige Rechtsvorschriften wie z. B. § 11 Abs. 1 S. 2 GWG verstoßen würde.³³⁰ Im Umkehrschluss beinhaltet die Vorschrift demnach eine bedingte Ausführungspflicht, welche prinzipiell auch aus dem Zahlungsdienstevertrag folgt. Während § 675o Abs. 2 BGB demnach den Regelfall konstatiert, legt Absatz 1 die Rechtsfolgen einer ausnahmsweise berechtigten Ablehnung fest. Der Zahlungsdienstleister muss den Zahlungsdienstnutzer nach § 675o Abs. 1 BGB unverzüglich über die Ablehnung und die ihr zugrundeliegenden Gründe unterrichten, soweit nicht die Unterrichtung selbst gegen Rechtsvorschriften verstoßen würde.
II. Ausführungsmodalitäten und Ausführungsfristen Ist der wirksame Zahlungsauftrag dem Zahlungsdienstleister zugegangen und liegen keine Gründe für eine Ablehnung des Zahlungsauftrags vor, regeln §§ 675q – 675t BGB den Inhalt der Ausführungspflicht. Aufgrund der unterschiedlichen Zahlungsinstrumente greifen die genannten Normen jedoch nur zentrale Regelungskomplexe auf. Insbesondere die Ausgestaltung der spezifischen Hauptleistungspflicht der Zahlungsdienstleister variiert stark nach dem jeweiligen Zahlungsinstrument, weshalb der horizontale Regelungsansatz die konkrete Regelung der Einzelfälle den Vertragsparteien überlässt.
1. Ungekürzte Weiterleitung des Zahlungsbetrags, § 675q BGB Allgemein gilt zunächst, dass Entgelte nach § 675q Abs. 1 BGB³³¹ nicht vom Betrag, der Gegenstand eines Zahlungsvorgangs ist, abgezogen werden dürfen. Diese Pflicht ist an den Zahlungsdienstleister des Zahlers sowie an alle zwischengeschalteten Stellen adressiert und soll sicherstellen, dass der Zahler seiner Pflicht aus dem Valutaverhältnis vollumfänglich nachkommt. Der Zahlungs-
BT-Drs. 16/11643, S. 107. Die Ausführungsbedingungen sind i. d. R. in den Sonderbedingungen der Zahlungsdienstleister zu finden. § 675q Abs. 1 und 2 BGB n. F. sind identisch mit der Vorgängerregelung, § 675q Abs. 3 BGB a. F. wurde aufgrund des erweiterten Anwendungsbereiches der Richtlinie angepasst. Zusätzlich wurde durch das ZDUG II ein neuer Absatz 4 eingefügt.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
83
dienstleister des Zahlungsempfängers, den diese Pflicht nicht trifft, darf nach entsprechender Vereinbarung mit dem Zahlungsempfänger gem. § 675q Abs. 2 S. 1 BGB Entgelte abziehen. Diese Norm stellt eine zulässige Ausnahme von dem aus § 675t Abs. 1 S. 1 BGB folgenden Grundsatz der ungekürzten Gutschrift des Zahlungsbetrags dar. § 675q Abs. 3 BGB enthält die sogenannte SHARE-Entgeltregelung³³², die einen nicht unwesentlichen und systemfremden Einfluss auf das Valutaverhältnis ausübt. Die Privatautonomie von Zahler und Zahlungsempfänger wird dadurch eingeschränkt, dass beide Parteien die Entgelte ihres jeweiligen Zahlungsdienstleisters tragen müssen.³³³ Die Regelung fand bisher auf Zahlungsvorgänge, die mit einer Währungsumrechnung verbunden waren, keine Anwendung. Die Erweiterung des Anwendungsbereiches der Richtlinie hat jedoch zur Folge, dass die SHARE-Regelung nach Art. 62 Abs. 2 PSD II nunmehr auch auf Zahlungsvorgänge Anwendung findet, die eine Währungsumrechnung beinhalten, soweit Zahler und Zahlungsempfänger innerhalb des europäischen Wirtschaftsraumes belegen sind. One-leg-transactions sind von der Regelung folglich nicht betroffen.³³⁴ Der erweiterte räumliche Anwendungsbereich der Zahlungsdiensterichtlinie hatte dennoch zusätzlichen Regelungsbedarf zur Folge. § 675q BGB n. F. sieht neben dem angepassten Absatz 3 in Absatz 4 Ausnahmen für die Anwendung von § 675q Abs. 1 und 2 BGB n. F. vor. So ist das Gebot der ungekürzten Weiterleitung nach Art. 2 Abs. 3 und 4 PSD II nicht auf Drittstaatenwährungen und auf one-legtransactions anzuwenden. Diese Fälle unterliegen daher weiterhin der Disposition der Vertragsparteien.³³⁵ Des Weiteren steht auch die Vorschrift des § 675q Abs. 2 BGB n. F. zur Disposition und kann vertraglich abbedungen werden, was wiederum zur Folge hat, dass der Zahlungsdienstleister des Zahlungsempfängers ohne zusätzliche Vereinbarung mit dem Zahlungsempfänger Entgelte von eingehenden Geldbeträgen abziehen darf.
2. Identifikation des Zahlungsempfängers, § 675r BGB³³⁶ In der Vorschrift des § 675r BGB ist das aus dem Auftragsrecht bekannte Gebot der formalen Auftragsstrenge niedergelegt.³³⁷ Zahlungsdienstleister können die
BeckOK BGB-Schmalenbach, § 675q Rn. 7; MünchKommBGB-Jungmann, § 675q Rn. 28 ff. Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 322. Vgl. auch BT-Drs. 18/11495, S. 159. BT-Drs. 18/11495, S. 160. Hat nur redaktionelle Änderungen durch das ZDUG II erfahren, vgl. BT-Drs. 18/11495, S. 160. BGH, Urt. v. 15.06. 2004 – XI ZR 220/03, NJW 2004, 2517 (2519); BankR Hdb-Schmieder, § 49 Rn. 67 ff; Staudinger-Omlor, Vorbem zu §§ 675c – 676c Rn. 86.
84
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Rechtsbeziehungen zwischen Zahler und Zahlungsempfänger nicht beurteilen und sollen sich daher streng an die Vorgaben des Zahlungsauftrags halten.³³⁸ Entgegen der vor der Einführung der PSD I geltenden Erkenntnis, dass bei einer Divergenz zwischen Name und Kontonummer der Name der maßgebliche Faktor ist,³³⁹ erhob Art. 74 Abs. 1 PSD I den Kundenidentifikator i. S. d. Art. 4 Nr. 21 PSD I zum ausschlaggebenden Identifikationskriterium.³⁴⁰ Im deutschen Recht ist die Kundenkennung in § 675r Abs. 2 BGB legal definiert. Sie besteht strukturell aus Buchstaben, Zahlen oder Symbolen und wird vom jeweiligen Zahlungsdienstleister ausgegeben. Sie muss eine zweifelsfreie Ermittlung eines Zahlungsdienstnutzers oder Zahlungskontos ermöglichen. Dies ist beispielsweise bei der Kombination aus IBAN und BIC der Fall.³⁴¹ Ein Abgleich mit dem Namen des Zahlungsempfängers ist somit für dessen Zahlungsdienstleister sowie sonstige zwischengeschaltete Stellen nicht verpflichtend.³⁴² Die Regelung hat zur Folge, dass der Zahlungsvorgang im Hinblick auf den anhand der Kundenkennung identifizierten Zahlungsempfänger als korrekt ausgeführt gilt. Überdies ist die Norm Ausdruck des dem Massenzahlungsverkehr entspringenden Bedürfnisses, Zahlungsprozesse aufgrund der kurzen Ausführungsfristen möglichst automatisch und bürokratiearm abzuwickeln.³⁴³ Die erheblichen Auswirkungen auf die Risikoverteilung und Haftung werden im folgenden Kapitel beleuchtet. § 675r Abs. 3 BGB statuiert für den Zahlungsdienstleister bei Zahlungsvorgängen, die aufgrund einer fehlerhaften Kundenkennung nicht ausführbar sind, eine Hinweis- und Herausgabepflicht gegenüber dem Zahlungsdienstnutzer. Hinzu treten nach allgemeiner Auffassung aufgrund der besonderen Vertrauensstellung des Zahlungsdienstleisters weitere Obhuts-, Hinweis- und Warnpflichten.³⁴⁴ So ist unter anderem seit der Einführung der IBAN-Kennung eine Prüfzifferkontrolle der Kundenkennung durchzuführen.³⁴⁵ Die Prüfung erfolgt nach dem Modulo 97– 10-Verfahren. Dieses Verfahren wird für die Errechnung
BGH, Urt. v. 05.05.1986 – II ZR 150/85, NJW 1986, 2428 (2429, 2430). OLG Schleswig, Urteil v. 27.07. 2000 – 5 U 63/99, WM 2001, 812 (813); BankR HdB-Schimansky, 3. Aufl. 2007, § 49 Rn. 79 ff. Zur Kritik an diesem „Paradigmenwechsel“: Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 329 f. Staudinger-Omlor, § 675r Rn. 4 mwN. BT-Drs. 16/11643, S. 110; BankR Hdb-Schmieder, § 49 Rn. 75; Staudinger-Omlor, § 675r Rn. 12; aA Hadding, Zur „Kundenkennung“ im neuen Recht der Zahlungsvorgänge, in: FS Uwe H. Schneider 443, 454, zwischengeschaltete Stellen seien zur „anonymen“ Verfahrensweise nicht berechtigt. BT-Drs. 16/11643, S. 110. Staudinger-Omlor, § 675r Rn. 21. Bitter, WM 2010, 1725, 1730; ausführlich Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 331.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
85
der Prüfziffer verwendet, die sich innerhalb der IBAN zwischen dem Ländercode und der Bankleitzahl befindet. Das Verfahren kann daher umgekehrt zur Überprüfung der inhaltlichen Korrektheit der IBAN verwendet werden. Das Ergebnis des komplexen Verfahrens muss immer 1 ergeben.³⁴⁶ Zahlendreher und fehlerhafte Eingaben führen somit praktisch immer zu einer Inkohärenz und einer Ablehnung der Ausführung des Zahlungsauftrags.³⁴⁷ Einzig qualifizierte Tippfehler können eine wirksame IBAN entstehen lassen, etwa wenn der Zahlendreher um 97 Stellen abweicht. Dafür müsste etwa statt 877 die Ziffer 780 eingegeben worden sein.
3. Ausführungs- und Weiterleitungsfristen, § 675s BGB Die in § 675s Abs. 1 S. 1 BGB geregelte allgemeine Ausführungsfrist für Zahlungsvorgänge in der Gemeinschaftswährung Euro beträgt unabhängig von innereuropäischen Grenzen einen Geschäftstag nach Zugang des Zahlungsauftrags i. S. d. § 675n Abs. 1 BGB.³⁴⁸ Bei Pull-Zahlungen kann der Zahlungsdienstleister des Zahlers dieser Pflicht freilich nur nachkommen, wenn ihm der Zahlungsauftrag durch den Zahlungsdienstleister des Zahlungsempfängers zugestellt wird. Diese Weiterleitungspflicht begründet sich zwar bereits aus den vertraglichen Vereinbarungen im Inkassoverhältnis zwischen dem Zahlungsempfänger und seinem Zahlungsdienstleister, wird jedoch noch einmal klarstellend in § 675s Abs. 2 BGB erwähnt.³⁴⁹ Der Richtliniengeber bezweckte mit den starren Ausführungsfristen eine Steigerung der Effizienz europäischer Zahlungssysteme sowie eine zügigere Abwicklung gemeinschaftsweiter Zahlungen.³⁵⁰ Neben den ohnehin vom Anwendungsbereich der Richtlinie ausgeschlossenen Sachverhalten sieht der neue § 675s Abs. 3 BGB n. F. ähnlich wie bereits § 675q Abs. 4 BGB n. F. in Umsetzung der Art. 2 Abs. 3 und 4 PSD II Ausnahmen für Zahlungen in Drittstaatenwährungen sowie für one-leg-transactions vor, da hier oftmals die kurzen Ausführungsfristen aus tatsächlichen Gründen nicht eingehalten werden können.³⁵¹
Scheibengruber/Breidenstein, WM 2009, 1393 (1398 f). Scheibengruber/Breidenstein,WM 2009, 1393 (1398 f); Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 331. § 675s BGB wird durch das ZDUG II in den ersten beiden Absätzen nur strukturell angepasst. Aufgrund des erweiterten Anwendungsbereiches wurde ein dritter Absatz eingefügt. Staudinger-Omlor, § 675s Rn. 12; zur klarstellenden Funktion der Norm siehe: BT-Drs. 16/ 11643, 112. Vgl. Erwägungsgründe 4,43 PSD I. BT-Drs. 18/11495, S. 153.
86
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
4. Verfügbarkeit und Wertstellung von Geldbeträgen, 675t BGB Die abschließende Vorschrift des § 675t BGB sieht korrespondierend zu § 675q BGB für den Zahlungsdienstleister des Zahlungsempfängers die Pflicht vor, eingegangene Zahlungsbeträge unverzüglich dem Zahlungskonto gutzuschreiben.³⁵² Dabei wird zwischen dem Eingang von Giral- und Bargeld sowie zwischen Verfügbarkeit und Wertstellung unterschieden. Gehen Giralgeldbeträge zugunsten des Zahlungsempfängers bei seinem Zahlungsdienstleister ein, sind diese dem Zahlungsempfänger gem. § 675t Abs. 1 S. 1 und 3 BGB unverzüglich verfügbar zu machen. Der Zahlungsempfänger muss hierzu auf den Zahlungsbetrag physisch, etwa durch Auszahlung, zugreifen oder über den Giralgeldbetrag weiter verfügen können, indem zum Beispiel der jeweilige Betrag für eine Überweisung verwendet werden kann. Die in § 675t Abs. 1 S. 2 BGB geregelte Wertstellung hat eine andere Bedeutung und dient der korrekten Zinsberechnung. Ein Geldbetrag ist zu dem Tag wertzustellen, an dem er bei dem Zahlungsdienstleister eingegangen ist, sodass eine Wertstellung zum Teil auch rückwirkend zu erfolgen hat. § 675t Abs. 2 BGB regelt Wertstellung und Verfügbarkeit im Falle von Bargeldeinzahlungen, welche für innovative Zahlungsinstrumente nicht von Bedeutung sind. Durch die Erweiterung des Anwendungsbereichs des Zahlungsdiensterechts ist auch für die Anwendung von § 675t Abs. 1 S. 1 BGB n. F. eine Einschränkung erforderlich. Muss der Zahlungsdienstleister eine Währungsumrechnung zwischen einer Drittstaatenwährung und dem Euro vornehmen, entfaltet die Vorschrift gem. § 675t Abs. 1 S. 1 BGB n. F. keine Wirkung.³⁵³ Eingehende US-Dollar Beträge sind folglich nicht unverzüglich gutzuschreiben. Die jeweilige Frist bestimmt sich nach den vertraglichen Vereinbarungen der Parteien. Des Weiteren ist die Vorschrift des § 675t Abs. 2 BGB n. F., der die Gutschrift von Bareinzahlungen zum Gegenstand hat, gem. § 675t Abs. 5 Nr. 2 BGB n. F. bei Zahlungsvorgängen in Drittstaatenwährungen auf die innerhalb des Europäischen Wirtschaftsraumes getätigten Bestandteile des Zahlungsvorgangs nicht anzuwenden. Eine weitere Neuregelung findet sich in § 675t Abs. 4 BGB n. F. wieder. Der Richtliniengeber hat die Regelungsbedürftigkeit der Zulässigkeit der Sperre von Geldbeträgen bei kartengebundenen Zahlungsvorgängen erkannt und diese in Art. 75 PSD II geregelt. Insbesondere im Bereich der KFZ-Vermietung ist es üblich, dass ein bestimmter Betrag als Kaution auf einer Kreditkarte des Mieters gesperrt wird. Des Weiteren werden zur Vermeidung eines Vorleistungsrisikos
Die Vorschrift hat aufgrund des erweiterten Anwendungsbereiches der PSD II einige Anpassungen erfahren. Abs. 4 und 5 sind neu eingefügt worden. Die Absätze 1 und 3 haben inhaltliche Änderungen erfahren. BT-Drs. 18/11495, S. 161.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
87
Beträge blockiert, wenn die genaue Höhe der finalen Geldschuld noch nicht ersichtlich ist. Nach § 675t Abs. 4 S. 1 BGB n. F. sind solche Sperren zulässig, soweit der Nutzer der genauen Höhe des zu sperrenden Geldbetrags zugestimmt hat. Die Zustimmung zur späteren Ausführung des Zahlungsvorgangs genügt nicht.³⁵⁴ Sobald der konkrete Betrag übermittelt worden ist oder der Zahlungsauftrag dem Zahlungsdienstleister zugegangen ist, muss der gesperrte Betrag gem. § 675t Abs. 4 S. 2 BGB n. F. wieder freigegeben werden.
F. Risikoverteilung und Haftung Die wichtigsten zivilrechtlichen Änderungen hat der europäische Gesetzgeber in den Vorschriften über die Risikoverteilung und Haftung vorgenommen. Diese finden sich in Titel IV Kapitel 2 und Kapitel 3 Abschnitt 3 beider Zahlungsdiensterichtlinien wieder. Im deutschen Recht wird das Haftungsregime einheitlich in den §§ 675u – 676c BGB geregelt. Die PSD II sieht weitere Verschärfungen des ohnehin schon nutzerfreundlichen Haftungsrechts zulasten des Zahlungsdienstleisters vor. Die vormals bestehende Gefährdungshaftung des Zahlungsdienstnutzers bei dem Verlust verkörperter Zahlungsinstrumente bis zu einer Höhe von 150 € weicht einer de facto verschuldensabhängigen Mithaftung von maximal 50 Euro. Die Haftung des Zahlungsdienstnutzers wegen grob fahrlässiger oder vorsätzlicher Pflichtverletzung wird ebenfalls durch eine neue Rückausnahme entschärft. Verlangen Zahlungsdienstleister keine starke Kundenauthentifizierung haften sie auch für Schäden, die durch grob fahrlässige Pflichtverletzungen des Zahlungsdienstnutzers entstanden sind. Das Konzept der starken Kundenauthentifizierung findet somit durch die haftungsrechtliche Flankierung als eines der Kernthemen der PSD II Eingang in das Zivilrecht.
I. Die Haftung für nicht autorisierte Zahlungsvorgänge gem. § 675u BGB Das Haftungsregime ist stufenartig aufgebaut. Auf erster Stufe ist in § 675u BGB grundlegend geregelt, dass ein unautorisierter Zahlungsvorgang keinen Aufwendungsersatzanspruch des Zahlungsdienstleisters begründet. Hiernach trägt der Zahlungsdienstleister das Risiko einer fehlenden Autorisierung.³⁵⁵ Gleichzeitig trifft ihn gem. § 675u S. 2 BGB die Pflicht, dem Zahler für den Fall, dass der Zahlungsvorgang bereits ausgeführt worden ist, den Geldbetrag unver-
BT-Drs. 18/11495, S. 162. Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 408.
88
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
züglich zu erstatten und das Zahlungskonto, inklusive möglicher entgangener Gewinne wie Zinsen, wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung befunden hätte. Das Kriterium der Unverzüglichkeit war in der PSD I nicht näher konkretisiert und bestimmte sich daher nach den allgemeinen Rechtserkenntnissen zu § 121 Abs. 1 S. 1 BGB. Ein schuldhaftes Zögern lag ungeachtet der zeitlichen Komponente beispielsweise nicht vor, wenn der Zahlungsdienstleister berechtigte und komplexe Nachprüfungen hinsichtlich der Autorisierung anstellte.³⁵⁶ Die Unverzüglichkeit erfährt durch die Vorschrift des Art. 73 Abs. 1 PSD II nunmehr eine objektive Einschränkung.³⁵⁷ Nach § 675u S. 3 BGB n. F., der Art. 73 Abs. 1 PSD II umsetzt, ist die Erstattung innerhalb von zwei Geschäftstagen zu vollziehen. Die Frist entfällt, sobald der Zahlungsdienstleister nach § 675u S. 4 BGB n. F. einer Behörde berechtigte Gründe für den Verdacht eines betrügerischen Verhaltens des Zahlungsdienstnutzers vorgelegt hat.³⁵⁸ In diesen Fällen ist der Erstattungsanspruch erst fällig, wenn der Zahlungsdienstleister ausreichend Gelegenheit hatte, die Berechtigung des Anspruchs zu prüfen. Freilich umfasst § 675u BGB nicht alle Konstellationen der Rückabwicklung fehlerhafter Geldübertragungen.³⁵⁹ Die jeweiligen Konstellationen werden bei der Einzelbetrachtung der jeweiligen Zahlungsinstrumente behandelt.
II. Die Haftung des Zahlungsdienstnutzers 1. Haftung für autorisierte Zahlungsvorgänge Der Zahlungsdienstnutzer ist gem. §§ 675c Abs. 1, 670 BGB verpflichtet, dem Zahlungsdienstleister die Aufwendungen, die er für autorisierte Zahlungsvorgänge getätigt hat, zu ersetzen. Dieser Umstand kann haftungsbegründend wirken, soweit der Nutzer eine Zahlung zwar irrtumsbedingt, jedoch wirksam autorisiert hat. Derartige Fälle treten etwa bei Motivirrtümern auf, die keine Auswirkungen auf die Wirksamkeit der Willenserklärung haben. Der Aufwendungsersatzanspruch des Zahlungsdienstleisters bleibt dann als faktischer Schaden des Nutzers bestehen.
BT-Drs. 18/11495, S. 163 BT-Drs. 18/11495, S. 163. Es handelt sich bei der schriftlichen Mitteilung an eine Behörde um eine Obliegenheit des Zahlungsdienstleisters, der dieser im eigenen Interesse nachkommen kann, vgl. BT-Drs. 18/11495, S. 164. Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 411.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
89
2. Die beschränkte Haftung für unautorisierte Zahlungsvorgänge Die zentralen und für die meisten Konstellationen einschlägigen Haftungsvorschriften finden sich in den §§ 675v, 675w BGB wieder. Auf zweiter Stufe wird hier die Haftung des Zahlers für unautorisierte Zahlungsvorgänge geregelt. Der Zahlungsdienstleister soll natürlich nicht das Missbrauchsrisiko für unautorisierte Zahlungsvorgänge alleine tragen. Der Zahlungsdienstnutzer wird daher an Schäden, die durch die missbräuchliche Verwendung eines ihm gehörenden Zahlungsinstruments entstanden sind, im Rahmen eines Schadensersatzanspruchs beteiligt. Der zweistufige Aufbau macht deutlich, dass sich die Behandlung missbräuchlicher Zahlungsvorgänge – mit Ausnahme der Motivirrtümer – auf sekundärer Ebene im Schadensersatzrecht und nicht auf primärer Ebene im Rahmen des Aufwendungsersatzanspruchs abspielt.
a) Ursprüngliche Rechtslage und Änderungen durch die PSD II Die Vorgaben des Art. 61 Abs. 1 PSD I, die in § 675v Abs. 1 BGB a. F. umgesetzt wurden, enthielten zwei Haftungstatbestände. Für den Verlust oder den Diebstahl eines verkörperten Zahlungsinstruments musste der Zahlungsdienstnutzer gem. § 675v Abs. 1 S. 1 BGB a. F. im Sinne einer Gefährdungshaftung verschuldensunabhängig einstehen. Die missbräuchliche Verwendung unkörperlicher Zahlungsinstrumente wirkte gem. § 675v Abs. 1 S. 2 BGB a. F. erst haftungsbegründend, soweit der Zahlungsdienstnutzer die personalisierten Sicherheitsmerkmale nicht sorgfältig aufbewahrt hatte. Die Rechtsfolgen beider Tatbestände waren wiederum identisch und beinhalteten eine Schadensbeteiligung des Zahlungsdienstnutzers bis zu einem Betrag von 150 Euro. Mit Inkrafttreten der PSD II wird sich zugunsten der Zahlungsdienstnutzer einiges verändern. Zunächst wird die Schadensbeteiligung auf einen Betrag von 50 Euro reduziert.³⁶⁰ Von weitaus größerem Vorteil ist jedoch die Abschaffung der Gefährdungshaftung des § 675v Abs. 1 S. 1 BGB a. F. Die Vorschrift des § 675v Abs. 1 BGB n. F. beinhaltet zwar weiterhin einen Gefährdungshaftungstatbestand, welcher jedoch durch einen verschuldensabhängigen Exkulpationstatbestand in § 675v Abs. 2 Nr. 1 BGB n. F. aufgeweicht wird. Der Zahlungsdienstnutzer kann hiernach nicht in Anspruch genommen werden, soweit er nicht in der Lage gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder die sonstige missbräuchliche Nutzung des Zahlungsinstruments vor dem unautorisierten Vgl. Erwägungsgrund 71 PSD II: Der Richtliniengeber hält einen Betrag von 50 Euro einerseits ausreichend, um einen Anreiz zu bieten, jeden Diebstahl oder Verlust anzuzeigen, (vgl. auch Erwägungsgrund 32 PSD I) und andererseits angemessen, um einen hochgradigen Schutz der Nutzer zu gewährleisten.
90
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Zahlungsvorgang zu bemerken. Der dem Einwand aus § 675v Abs. 2 Nr. 1 BGB n. F. zugrundeliegende Sorgfaltsmaßstab bemisst sich nach nationalem Recht, mithin dem objektiv-abstrakten Verschuldensmaßstab aus § 276 BGB.³⁶¹ Die Bemerkbarkeit bestimmt sich somit aus der Perspektive eines besonnen, gewissenhaften und objektiven Dritten.³⁶² Sie ist im Sinne einer Nachforschungspflicht zu verstehen, die sich stets auf den konkreten Einzelfall bezieht und daher einer pauschalen Definition nicht zugänglich ist.³⁶³ Die ursprüngliche zeitliche und damit verschuldensunabhängige, jedoch für den Zahlungsdienstnutzer betragsmäßig begrenzte Aufteilung der Haftung, wonach der Zahlungsdienstnutzer für den Zeitraum nach Erhalt des Instruments bis zur Anzeige des Verlusts und der Zahlungsdienstleister für die Zeiträume davor und danach haftet, ist somit obsolet.³⁶⁴ Ein weiterer interessanter Aspekt, den Art. 74 PSD II mit sich bringt, ist die Aufhebung der exklusiven Privilegierung unkörperlicher Zahlungsinstrumente. Die missbräuchliche Verwendung unkörperlicher Zahlungsinstrumente wie der Online-Überweisung führte gem. § 675v Abs. 1 S. 2 BGB a. F. nur zu einer Mithaftung, soweit der Zahlungsdienstnutzer die personalisierten Sicherheitsmerkmale nicht sorgfältig aufbewahrt hatte.³⁶⁵ Der Grundgedanke der Differenzierung lag darin, Zahlungsdienstnutzer, die ihren Sorgfaltspflichten vollumfänglich nachgekommen sind, mit Einführung des Verschuldenselements zu privilegieren.³⁶⁶ Im Umkehrschluss bedeutete dies, dass der Richtliniengeber bei jedwedem Verlust eines verkörperten Zahlungsinstruments davon ausging, dass der Nutzer seinen Sorgfaltspflichten offenbar nicht ausreichend nachgekommen ist. Ansonsten hätte er die Privilegierung auch auf den Verlust verkörperter Zahlungsinstrumente erstreckt. Eine derartige Differenzierung ist angesichts der vielfältigen Möglichkeiten, die Verfügungsgewalt über ein Zahlungsinstrument ohne irgendeine Sorgfaltspflichtverletzung zu verlieren, etwa durch einen Raub, jedoch nicht wirklich sachgerecht. Infolge der Neugestaltung des Haftungsregimes wird diese Differenzierung jedenfalls der Vergangenheit angehören.
BT-Drs. 18/11495, S. 165; Erwägungsgrund 72 PSD II. Vgl. BeckOGK BGB-Hofmann, § 675v Rn. 48 ff; abzulehnen ist die von Hoffmann, VuR 2016, 243 (244) vertretene Auffassung, wonach es sich um eine Feststellbarkeit handelt, die nur in unbewussten Zuständen ausgeschlossen ist. Soweit der Nutzer bei Bewusstsein ist, bestünde danach eine potenzielle Bemerkbarkeit. Hofmann, BKR 2018, 62 (64). Vgl. §§ 675l S. 1 und § 675v Abs. 3 S. 1 BGB a. F. sowie Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 427 und Kümpel/Wittig-Werner, Rn. 7.779, der zutreffend von einer „Sphärenhaftung“ spricht. Die begrifflichen Unklarheiten und die unterschiedlichen Haftungsfolgen haben nicht nur bei den Banken zu teils unzulässigen AGB geführt, sondern auch berechtigte Kritik in der Literatur hervorgerufen, siehe zusammenfassend und mwN: Hofmann, BKR 2014, 105. BT-Drs. 16/11643, S. 113.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
91
b) Richtlinienkonforme Auslegung des Tatbestands von § 675v Abs. 2 Nr. 2 BGB n. F. Neben dem Exkulpationstatbestand des § 675v Abs. 2 Nr. 1 BGB n. F. ist die beschränkte Haftung gem. § 675v Abs. 2 Nr. 2 BGB n. F. ausgeschlossen, wenn der Verlust des Zahlungsinstruments durch eine dem Zahlungsdienstleister zurechenbare natürliche oder juristische Person verursacht worden ist. Der Ausnahmetatbestand beschränkt sich nach seinem Wortlaut auf verkörperte Zahlungsinstrumente, da nur körperliche Gegenstände physisch verloren werden können. In der zugrundeliegenden Norm des Art. 74 Abs. 1 UAbs. 2 lit. b PSD II heißt es fast identisch, dass eine Haftung ausscheidet, soweit „der Verlust durch Handlungen oder Unterlassungen eines Angestellten oder eines Agenten, einer Zweigniederlassung eines Zahlungsdienstleisters oder einer Stelle, an den bzw. die Tätigkeiten ausgelagert werden, verursacht wurde“. Der fehlende Bezug des Verlusts kann im Hinblick auf Art. 74 Abs. 1 UAbs. 2 lit. a PSD II, indem von einem Verlust des Zahlungsinstruments gesprochen wird, durchaus so verstanden werden, dass auch hier auf das Zahlungsinstrument Bezug genommen wird. In Unterabsatz 3, der die Vorgaben zur unbegrenzten Haftung enthält, führt der Richtliniengeber hingegen aus: „Der Zahler trägt alle Verluste (Hervorhebung durch den Verfasser), die in Verbindung mit nicht autorisierten Zahlungsvorgängen entstanden sind, wenn er sie in betrügerischer Absicht oder durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer der Pflichten nach Artikel 69 herbeigeführt hat.“ Der Richtliniengeber verwendet also in Art. 74 PSD II die Begriffe Verlust und Schaden weitgehend synonym, sodass der Verlust aus Art. 74 Abs. 1 UAbs. 2 lit. b PSD II sich auch durchaus auf finanzielle Schäden aufgrund missbräuchlicher Verfügungen beziehen kann. Blickt man auf die englische und spanische Fassung der Richtlinie streiten deren Versionen jedenfalls für eine derartige Auslegung, indem jeweils von „losses“ beziehungsweise „perdidas“, also finanziellen Verlusten, die Rede ist. Dieser Umstand sowie die fehlende Inbezugnahme der Zahlungsinstrumente in Art. 74 Abs. 1 UAbs. 2 lit. b PSD II lässt den Rückschluss zu, dass dem deutschen Gesetzgeber möglicherweise ein Umsetzungsfehler unterlaufen ist. Abschließend lässt sich dies nur durch Auslegung des Willens des Richtliniengebers bestimmen. Der geringere Anwendungsbereich des Haftungsausschlusses hätte etwa zur Folge, dass die beschränkte Haftung auch dann bestehen bleibt, soweit die personalisierten Sicherheitsmerkmale aufgrund von Sicherheitslücken im technischen System des Zahlungsdienstleisters Dritten bekannt würden. Kann sich der Nutzer in einer derartigen Situation nicht auf den Ausnahmetatbestand des Art. 74 Abs. 1 UAbs. 2 lit. a PSD II berufen, würde er mangels Anwendbarkeit des zweiten Ausnahmetatbestands im Schadensfall mit bis zu 50 Euro beteiligt werden. Dabei besteht der Sinn und Zweck der Anreizhaftung
92
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
jedoch gerade darin, den Nutzer zu einem sorgfältigen Verhalten anzuhalten, damit Missbrauchsfälle möglichst nicht entstehen und wenn doch, diese schnell unterbunden werden können. Dabei beschränken sich die Sorgfaltspflichten des Nutzers logischerweise nur auf die Umstände, die seinem Risikobereich unterliegen. Lücken im technischen System des Zahlungsdienstleisters, die zu missbräuchlichen Verfügungen durch Dritte führen, gehören nach der allgemeinen Risikoverteilung keineswegs dazu.³⁶⁷ Folglich kann es nicht dem Willen des Richtliniengebers entsprechen, dass sich der Tatbestand des Art. 74 Abs. 1 UAbs. 2 lit. b PSD II nur auf den Verlust verkörperter Zahlungsinstrumente beschränkt. Der „Verlust“ entspricht daher dem Begriff der „Schäden“ in Art. 74 Abs. 1 PSD II und ist nicht mit dem Inhalt des Art. 74 Abs. 1 UAbs. 2 lit. a PSD II zu verwechseln.³⁶⁸ Aus diesem Grund widerspricht § 675v Abs. 2 Nr. 2 BGB n. F. den Vorgaben der Richtlinie und verstößt somit gegen den aus Art. 107 Abs. 1 PSD II folgenden Vollharmonisierungsansatz. Die Vorschrift ist demnach unwirksam und durch eine richtlinienkonforme Auslegung zu ersetzen. Der Gesetzgeber könnte überdies eine europarechtskonforme Fassung herbeiführen, wenn „Verlust des Zahlungsinstruments“ mit „Schaden“ ersetzt würde. § 675v Abs. 2 Nr. 2 würde dann lauten: „(…) der „Schaden durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.“ Der Kreis der dem Zahlungsdienstleister zurechenbaren Personen ist im Übrigen weit auszulegen, sodass es sich bei Stellen, „an die Tätigkeiten ausgelagert wurden“, um alle mit dem Zahlungsdienstleister vertraglich verbundenen Unternehmen handelt.³⁶⁹
3. Die unbeschränkte Haftung für unautorisierte Zahlungsvorgänge Die unbeschränkte Haftung des Nutzers knüpft tatbestandlich an die beschränkte Haftung an. Es bedarf demnach zunächst eines Schadens, der infolge eines unautorisierten Zahlungsvorgangs entstanden ist. Zusätzlich erfordert der Tatbestand ein betrügerisches Handeln oder eine vorsätzliche oder zumindest grob fahrlässige Verletzung gesetzlicher oder vertraglicher Pflichten durch den Zahlungsdienstnutzer. Die PSD II sieht diesbezüglich keine Änderungen vor. Siehe: Erwägungsgrund 71 sowie Hoffmann, VuR 2016, 243 (245 f). So wohl auch Hoffmann, VuR 2016, 243 (245 f), der aufgrund der allgemeinen Risikoverteilung eine weite Auslegung des Tatbestands fordert; ebenso Hofmann, BKR 2018, 62 (63), der ohne nähere Begründung vom „Schadensfall“ spricht. Hoffmann, VuR 2016, 243 (246).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
93
a) Richtlinienkonforme Änderung durch das ZDUG II Nichtsdestotrotz hat der nationale Gesetzgeber im ZDUG II den Tatbestand des § 675v Abs. 2 BGB a. F. neu angeordnet. Nach § 675v Abs. 3 Nr. 1 BGB n. F. wirkt jedes Handeln in betrügerischer Absicht ungeachtet seiner Kausalität für den Eintritt des Schadens haftungsbegründend. Nach der Gesetzesbegründung genügt beispielsweise ein dem Verlust des Zahlungsinstruments zeitlich nachgelagertes, betrügerisches Handeln.³⁷⁰ Begründet wird dies mit dem Argument, dass es jedem betrügerisch agierenden Zahlungsdienstnutzer verwehrt sein soll, sich auf die Haftungsbeschränkungen nach § 675v Abs. 1 und 2 BGB n. F. berufen zu können.³⁷¹ Die Intention des Gesetzgebers ist durchaus nachvollziehbar. Konstellationen, in denen der Zahlungsdienstnutzer betrügerisch handelt und gleichzeitig keine vorsätzliche (und kausale) Pflichtverletzung i. S. d. § 675v Abs. 3 Nr. 2 BGB n. F. begeht, sind jedoch schwer konstruierbar. Zunächst kann es sich nicht um Handlungen im Sinne eines aktiven Tuns handeln, da beispielsweise die Weitergabe eines Zahlungsinstruments oder personalisierter Sicherheitsmerkmale bereits kausale Pflichtverletzungen darstellen. Darüber hinaus ist das Handeln in betrügerischer Absicht immer von einem starken Vorsatzelement, dem dolus directus I. Grades, geprägt.³⁷² Für die verbleibenden Fälle des betrügerischen Unterlassens ist daher denklogisch das Bemerken einer Missbrauchsmöglichkeit durch einen Dritten erforderlich. Erlangt der Nutzer die erforderliche Kenntnis, hat dies wiederum das Entstehen der aus § 675l Abs. 1 S. 2 BGB n. F. folgenden Anzeigepflicht zur Folge.³⁷³ Unterlässt der Zahlungsdienstnutzer die Anzeige, haftet er stets nach § 675v Abs. 3 Nr. 2 BGB n. F. und es bedarf keiner Beantwortung der Frage, ob er zusätzlich noch betrügerisch agiert hat.³⁷⁴ Dies ist nur dann nicht der Fall, wenn der durch die unautorisierte Zahlung verursachte Schaden zeitlich vor dem Entstehen der Anzeigepflicht liegt und das Unterlassen des Nutzers folglich nicht mehr kausal für den Schadenseintritt werden konnte. Eine derartige Konstellation könnte sich ergeben, wenn der Zahlungsdienstnutzer den Missbrauch nachträglich bemerkt, diesen zur Anzeige bringt und sodann mit dem Dritten in betrügerischer Absicht kooperiert. Die unterbliebene Mitteilung über die Identität des Dritten könnte zwar für sich gesehen eine Pflichtverletzung i. S. d. § 675v Abs. 3 Nr. 2 BGB n. F. darstellen, kann jedoch für den bereits entstandenen Schaden nicht mehr kausal werden.
BT-Drs. 18/11495, S. 166. BT-Drs. 18/11495, S. 166. Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675v Rn. 46. Ein solches Beispiel führt der Gesetzgeber aber an, BT-Drs. 18/11495, S. 166. Vgl. MünchKommBGB-Zetzsche, § 675v Rn. 35.
94
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Dieses theoretische Beispiel wirft jedoch die Frage auf, ob das bloße Billigen eines Drittmissbrauchs das Tatbestandsmerkmal des Handelns in betrügerischer Absicht erfüllen kann. Die herrschende Auffassung greift auf die strafrechtlichen und daher engen Vorgaben des § 263 StGB zurück.³⁷⁵ Teilweise wird auch ein weiter Ansatz gewählt, wonach auf objektiver Tatbestandsebene das Vorspiegeln eines Missbrauchs und in subjektiver Hinsicht zumindest der Wille des Nutzers, keinen Aufwendungsersatz zu zahlen und dadurch sich oder einem Dritten einen Vorteil zu verschaffen, vorliegen muss.³⁷⁶ Beiden Auffassungen ist gemein, dass die Täuschung dazu dient, entweder dem Zahlungsdienstnutzer oder einem Dritten einen Vermögensvorteil zu verschaffen. Der Vorteil, der durch ein Unterlassen der Anzeige des Dritten entsteht, ist jedoch lediglich in der Erschwerung der Identifizierung und Inanspruchnahme des Dritten zu sehen.³⁷⁷ Hierbei handelt es sich zwar ohne Weiteres um einen Vorteil, der jedoch nach allen vertretenen Auffassungen zum Vermögensbegriff keinen wirtschaftlichen Wert darstellt.³⁷⁸ Das Vermögen des Dritten wächst durch seine erschwerte Inanspruchnahme nicht an. Eine nachträgliche Billigung kann daher kein Handeln in betrügerischer Absicht begründen, sodass Oechsler dahingehend zuzustimmen ist, dass das betrügerische Handeln keinen eigenständigen Anwendungsbereich besitzt, da es stets mit einem vorsätzlichen Verstoß gegen gesetzliche oder vertragliche Pflichten einhergeht.³⁷⁹ Ob der Bundesgesetzgeber mit der Neuregelung des § 675v Abs. 3 Nr. 1 BGB n. F. überdies gegen die Richtlinie verstoßen hat, dessen Wortlaut für eine Kausalität zwischen dem betrügerischen Handeln und dem Schaden streitet, ist mangels praktischer Anwendungsfälle demnach ohne Belang.
b) Verschuldensmaßstab im haftungsbegründenden Tatbestand Der europäische Gesetzgeber hat die Verschuldenselemente zwar benannt, jedoch keine konkreten Vorgaben zu ihrem Inhalt gemacht. Der jeweilige Maßstab
Siehe etwa: Bunte, AGB-Banken, 4. Auflage 2015, 4. Teil II Rn. 119; BankR Hdb-Maihold, § 54 Rn. 72; Palandt-Sprau, § 675v Rn. 5; MünchKommBGB-Casper, § 675v Rn. 24. BeckOGK BGB-Hofmann, § 675v Rn. 119. Vorausgesetzt es handelt sich dabei um eine vertragliche Pflicht. Besteht eine solche nicht, was sich gut vertreten lässt, liegt keine tatbestandliche Täuschung vor, da es an der für eine Unterlassung erforderliche Garantenpflicht fehlt. Zur Erläuterung des Begriffs und des Streitgegenstands siehe: Kühl, in: Lackner/Kühl, StGB, 28. Auflage 2014, § 263 Rn. 33 ff; siehe außerdem: Beukelmann, in: von Heintschel-Heinegg (Hg.), Beck’scher Online-Kommentar zum Strafrecht, 38. Edition, Stand: 01.05. 2018, § 263 Rn. 40 ff. Oechsler, WM 2010, 1381 (1384 Fn. 19).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
95
richtet sich daher nach nationalem Recht.³⁸⁰ Ein vorsätzliches Handeln des Nutzers i. S. d. § 675v Abs. 3 Nr. 2 1. Alt. BGB n. F. liegt danach vor, wenn dieser den Eintritt des pflichtwidrigen Erfolgs seines Handelns erkennt und den Schaden des Zahlungsdienstleisters zumindest billigend in Kauf nimmt.³⁸¹ Ein solcher Fall ist beispielsweise gegeben, wenn der Zahlungsdienstnutzer trotz der Kenntnis einer bestehenden Missbrauchsgefahr keine Sperranzeige vornimmt. Die grobe Fahrlässigkeit bewegt sich an der Grenze zum Eventualvorsatz und erfordert nach der Rechtsprechung des BGH einen „in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt“. ³⁸² Aufgrund der Besonderheiten der jeweiligen Zahlungsinstrumente und den damit zusammenhängenden divergierenden Sorgfaltspflichten differenzieren auch die jeweiligen Haftungsmaßstäbe und können nur individuell für den Einzelfall definiert werden.
4. Ausschluss der unbeschränkten Haftung Die Schadensersatzansprüche des Zahlungsdienstleisters bestehen nicht schrankenlos. Der Richtliniengeber hat mit der PSD II einen gänzlich neuen Ausschlusstatbestand eingeführt, der eine interessante und in ihrer konkreten Anwendung umstrittene Verknüpfung mit den Vorgaben der starken Kundenauthentifizierung zur Folge hat.
a) Der neue Haftungsausschlusstatbestand des § 675v Abs. 4 S. 1 BGB n. F. Der neue Haftungsausschlusstatbestand des § 675v Abs. 4 BGB n. F. soll die Vorschriften zur starken Kundenhaftung haftungsrechtlich flankieren, um so einen zusätzlichen Anreiz zur ordnungsgemäßen Pflichterfüllung zu schaffen. Ansprüche des Zahlungsdienstleisters nach den § 675v Abs. 1 und 3 BGB n. F. gehen gem. § 675v Abs. 4 S. 1 BGB n. F. unter, wenn bei einem Zahlungsvorgang keine starke Kundenauthentifizierung verlangt worden ist.
aa) Erforderlichkeit einer starken Kundenauthentifizierung Der deutsche Gesetzgeber geht davon aus, dass das Konzept der starken Kundenauthentifizierung aufsichtsrechtlicher Natur ist. Die Umsetzung findet sich
Siehe: Erwägungsgrund 33 PSD I. BankR Hdb-Maihold, § 55 Rn. 112. BGH NJW 2016, 2024 (2031) mwN.
96
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
folglich im ZAG wieder. Gem. § 55 Abs. 1 ZAG n. F. ist der Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung vorzusehen, soweit der Zahlungsdienstnutzer „online auf sein Konto zugreift“, „einen elektronischen Zahlungsvorgang auslöst“ oder „über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt“. Der Wortlaut der haftungsrechtlichen Vorschrift des § 675v Abs. 4 S. 1 BGB lässt eine solche Eingrenzung nicht erkennen, da kein Bezug auf § 55 ZAG n. F., sondern lediglich auf die Legaldefinition des § 1 Abs. 24 ZAG n. F. genommen wird. Dies wirft die Frage auf, ob die haftungsrechtliche Obliegenheit einen weitergehenden Anwendungsbereich als die aufsichtsrechtliche Pflicht hat und sich gegebenenfalls auch auf nicht elektronische Zahlungen bezieht.³⁸³ Die Beantwortung dieser Frage kann zunächst dahinstehen, soweit die für diese Arbeit relevanten Zahlungsinstrumente ohnehin von beiden Vorschriften erfasst werden. Der Online-Zugriff auf ein Zahlungskonto i. S.d. § 55 Abs. 1 S. 1 Nr. 1 ZAG n. F. erfasst Dienste, die eine aktive Datenverbindung zu dem Bankkonto des Nutzers über Fernkommunikationskanäle herstellen.³⁸⁴ Der Zugriff erfordert keine Auslösung eines Zahlungsvorgangs. Es genügt bereits der Austausch von Informationen etwa durch eine Umsatzabfrage am Bankautomaten oder im Online-Banking.³⁸⁵ Ein elektronischer Zahlungsvorgang ist unter Berücksichtigung des Art. 4 Nr. 5 PSD II, jede(r) elektronisch durch den Zahler oder im Namen des Zahlers durch den Zahlungsempfänger ausgelöste Bereitstellung, Transfer oder Abhebung eines Geldbetrags. Das elektronische Merkmal ist erfüllt, wenn die Zahlungsdaten mittels für die elektronische Verarbeitung gebauten Geräten vom Ausgangspunkt über Draht, Funk, auf optischem oder elektromagnetischen Weg versendet und am Endpunkt empfangen werden.³⁸⁶ Diese Definition umfasst fast alle gängigen Zahlungsmethoden, wie zum Beispiel Kartenzahlungen am POS oder Internetzahlungen. Wie Erwägungsgrund 95 PSD II deutlich macht sind nur papiergestützte Zahlungsvorgänge oder Bestellungen per Telefon oder Post von der Regelung ausgenommen. Dies hat zur Folge, dass das elektronische Lastschriftverfahren und das Belegverfahren mit Kreditkarte von der Regelung nicht erfasst werden, da hier lediglich die auf den Karten vorhandenen Informationen
Die nicht elektronischen von der Zahlungsdiensterichtlinie erfassten Zahlungsinstrumente sind das Telefonbanking sowie papiergestützte Überweisungen. Terlau, ZBB 2015, 122 (131); vgl. auch EBA, Discussion Paper on future RTS on strong customer authentication and secure communication under PSD2, EBA/DP/2015/03, 08.12. 2015, S. 12. Vgl. Art. 10 EBA/RTS/2017/02, in dem festgelegt wird, dass das bloße Sichtbarmachen von Kontoinformationen ausnahmsweise keine starke Kundenauthentifizierung erfordert. Dies impliziert, dass ein solcher Vorgang vom Anwendungsbereich erfasst wird. MünchKommBGB-Wendehorst, § 312i Rn. 17; siehe auch: Hoffmann, VuR 2016, 243 (251).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
97
zur Erstellung eines papiergebundenen Zahlungsauftrags elektronisch ausgelesen werden.³⁸⁷ § 55 Abs. 1 S. 1 Nr. 3 ZAG n. F. ist ein Auffangtatbestand, mit dem sichergestellt werden soll, dass auch zahlungsverkehrsbegleitende Tätigkeiten, wie das Ändern von persönlichen Daten oder das Festlegen von Zahlungslimits, von der Anwendung erfasst werden.³⁸⁸ Zusammenfassend ist demnach bei dem Einsatz aller Zahlungsinstrumente, die weder papiergestützt sind noch fernmündlich oder per Post erteilt werden, immer eine Authentifizierung mittels starker Kundenauthentifizierung erforderlich, sodass die Frage nach der Reichweite des Anwendungsbereichs des § 675v Abs. 4 S. 1 BGB n. F. zunächst zurückstehen kann.³⁸⁹
bb) Merkmale der starken Kundenauthentifizierung Die Auslösung eines Zahlungsvorgangs mittels starker Kundenauthentifizierung erfolgt gem. § 1 Abs. 24 ZAG n. F. unter Heranziehung von mindestens zwei Elementen der Kategorien Besitz, Wissen und Inhärenz. Besitz beschreibt die Verfügungsmacht über eine Zahlungskarte, ein Smartphone oder einen TAN-Generator. Beim Wissen handelt es sich etwa um die Kenntnis einer PIN oder eines Passworts. Zur Inhärenz zählen Merkmale, die dem Nutzer eigen sind, wie etwa sein Fingerabdruck oder seine Iris. Die meisten aktuellen Verfahren, wie etwa die Kombination aus der Verwendung einer Zahlungskarte, als Besitzelement, und der dazugehörigen PIN, als Wissenselement, erfüllen diese Grundanforderungen bereits. Dies gilt nicht für das kontaktlose Bezahlen im Präsenzverfahren oder für das Bezahlen mit der Kreditkarte im Fernabsatz ohne den Einsatz zusätzlicher Sicherheitssysteme, da hierbei jeweils nur ein Authentifizierungselement, der Besitz, zum Einsatz kommt. Nach dem Wortlaut der Definition ist die Verwendung von Elementen unterschiedlicher Kategorien nicht erforderlich, sodass auch die Kombination zweier
Wohl auch Hoffmann, VuR 2016, 243 (248); aA Terlau, ZBB 2015, 122 (132), dem jedoch entgegen zu halten ist, dass der Richtliniengeber den zusätzlichen Schutz mit dem erhöhten Missbrauchsrisiko bei der elektronischen Datenverarbeitung rechtfertigt. Die Sicherheit der Systeme steht hier im Vordergrund. Dieses Missbrauchsrisiko besteht bei dem bloßen Auslesen der Daten zur Erstellung papiergebundener Zahlungsaufträge nicht, weshalb diese auch nicht von der Regelung erfasst sein sollen. Terlau, ZBB 2015, 122 (132); siehe auch: EBA, Discussion Paper on future RTS on strong customer authentication and secure communication under PSD2, EBA/DP/2015/03, 08.12. 2015, S. 12. Siehe unten: Teil 2, 2. Abschnitt, F., II., 4., a), ff), wonach diese Frage zu verneinen ist. Der Anwendungsbereich der starken Kundenauthentifizierung ist sowohl in aufsichtsrechtlichen als auch zivilrechtlichen Fragen deckungsgleich.
98
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Elemente derselben Kategorie möglich ist.³⁹⁰ Aus diesem Grund ist die durchaus streitbare Einordnung verschiedener Authentifizierungselemente in unterschiedliche Kategorien nicht von Relevanz. Die jeweiligen Elemente müssen jedoch eine gegenseitige Unabhängigkeit dergestalt aufweisen, dass „die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt“. Geht beispielsweise die Girokarte verloren, lassen sich ohne die dazugehörige PIN keine Zahlungsaufträge ausführen. Selbiges gilt, wenn das zum mTAN-Verfahren freigeschaltete Smartphone gestohlen wird. Die Online-Banking PIN wird dadurch nicht offenbart. Bei der Bezahlung mittels Kreditkarte und der auf ihr vermerkten Unterschrift liegt ungeachtet der Bewertung der Unterschrift als Authentifizierungselement hingegen keine gegenseitige Unabhängigkeit vor.
cc) Dynamische Verknüpfung bei elektronischen Fernzahlungsvorgängen Elektronische Fernzahlungsvorgänge bedürfen nach Art. 97 Abs. 2 PSD II eines zusätzlichen Sicherheitsverfahrens, der dynamischen Verknüpfung. Hierbei handelt es sich um eine qualifizierte Kundenauthentifizierung, bei der zumindest ein Authentifizierungselement mit dem konkreten Zahlungsauftrag verknüpft werden muss. Typische Beispiele sind m-TAN und Push-TAN Verfahren, bei denen für jeden Zahlungsauftrag eine eigene und nur einmal gültige TAN erstellt wird. Nach Art. 4 Nr. 6 PSD II wird ein Fernzahlungsvorgang „über das Internet oder mittels eines Geräts, das für die Fernkommunikation verwendet werden kann“ ausgelöst. Die recht weit gefasste Definition ermöglicht im Gegensatz zum elektronischen Zahlungsvorgang zunächst keine trennscharfe Abgrenzung. Schließlich wird fast jede Zahlung auch im Präsenzgeschäft über das Internet ausgelöst.³⁹¹ Aus Art. 4 Nr. 34 PSD II, der das Fernkommunikationsmittel definiert, geht allerdings hervor, dass gerade „die gleichzeitige körperliche Anwesenheit“ der Parteien nicht Tatbestandsmerkmal der Fernzahlung sein kann. Dieses Ergebnis wird auch von Erwägungsgrund 95 PSD II getragen, in dem es heißt, dass Fernzahlungsvorgänge nicht davon abhängig sind, „an welchem Ort sich das für die Auslösung des Zahlungsvorgangs verwendete Gerät oder das verwendete Zahlungsinstrument tatsächlich befinden“. Dies bedeutet jedoch nicht, dass ein Fernzahlungsvorgang nur dann vorliegen kann, wenn auch die beteiligten Parteien räumlich getrennt sind. Das entscheidende Tatbestandsmerkmal des Fernzahlungsvorgangs ist nicht die räumliche
So auch Hoffmann, VuR 2016, 243 (249); vgl. auch Borges, ZBB 2016, 249 (256). Ausführlich zu den widersprüchlichen Rechtsfolgen einer weiten Leseart: Hoffmann, VuR 2016, 243 (252).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
99
Trennung der Parteien, sondern die Möglichkeit den Zahlungsvorgang auch in körperlicher Abwesenheit der beteiligten Parteien mittels Fernkommunikation durchführen zu können und dabei dem „Nutzer stets Klarheit über den Betrag und über den Empfänger der Zahlung“ zu verschaffen. Dies ist nicht bei Zahlungen der Fall, die über ein speziell zu diesem Zweck vom Zahlungsempfänger bereitgestelltes Gerät ausgelöst werden.³⁹² Darunter fallen zum Beispiel alle Kartenlesegeräte, egal ob stationär oder mobil. Gestützt wird diese Auslegung durch eine von der europäischen Zentralbank angestrengte Untersuchung, in der festgestellt wurde, dass gerade im Bereich von Fernzahlungen, die als „card not present transactions“ bezeichnet werden, ein besonders hohes Betrugsrisiko besteht.³⁹³ Das Risiko von Fernzahlungsinstrumenten liegt nicht in der räumlichen Trennung der Parteien, sondern in den unsicheren, beziehungsweise häufiger attackierten Kommunikationskanälen.³⁹⁴ Im Gegensatz zu den Kommunikationskanälen stationärer oder mobiler Kartenlesegeräte bieten die dem Zahlungsdienstnutzer gehörenden Geräte eine wesentlich einfachere Angriffsfläche, die wiederum den stärkeren Schutz durch die dynamische Verknüpfung erforderlich macht. Der Richtliniengeber hat hierbei insbesondere Internetzahlungen über den Computer im Sinn.³⁹⁵ Für diese Zahlungen ist nach Art. 97 Abs. 2 PSD II eine starke Kundenauthentifizierung erforderlich, die „Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen“. Der Richtliniengeber knüpft mit dieser Definition an die Leitlinien der Europäischen Bankaufsichtsbehörde für die Sicherheit von Internetzahlungen an,³⁹⁶ wo es neben den im Übrigen identischen Bestandteilen der starken Kundenauthentifizierung zusätzlich noch hieß: „Mindestens eines der Elemente sollte nicht wiederverwendbar und nicht reproduzierbar (die Inhärenz ausgenommen) sein“. Die transaktionsspezifische Verknüpfung eines Authentifizierungselements hat logischerweise zur Folge, dass es nicht wiederverwendbar und nicht reproduzierbar sein kann.³⁹⁷ Schließlich darf es nur mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpft werden. Die dynamische Komponente geht demnach über den Gehalt der ursprünglichen Definition hinaus, sodass das jeweilige Authentifizierungselement erst im Zeitpunkt der
Hoffmann, VuR 2016, 243 (252). ECB: Fourth Report on card fraud, S. 10 ff, July 2015, abrufbar unter: https://www.ecb.europa. eu/pub/pdf/other/4th_card_fraud_report.en.pdf, zuletzt abgerufen am 10.04. 2019. So im Ergebnis auch Hoffmann, VuR 2016, 243 (252). Vgl. Erwägungsgrund 95 PSD II. EBA, Leitlinien zur Sicherheit von Internetzahlungen, EBA/GL/2014/12_Rev1 v. 19.12. 2014. So auch Hoffmann, VuR 2016, 243 (251).
100
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Initiierung des Zahlungsauftrags unter Verwendung der Zahlungsvorgangsdaten erstellt werden darf. Hierunter fallen beispielsweise mittels chipTAN- oder mTANVerfahren erstellte TAN, nicht jedoch bereits im Voraus generierte TAN auf einer iTAN-Liste.
dd) Prozess der starken Kundenauthentifizierung Nach Art. 4 Abs. 1 S. 1 RTS soll beim Authentifizierungsprozess aus den jeweiligen Authentifizierungselementen ein Authentifizierungscode generiert werden. Damit ist jedoch nicht der soeben beschriebene Prozess der dynamischen Verknüpfung gemeint. Es hätte schließlich sonst Art. 97 Abs. 2 PSD II nicht bedurft, wenn bereits die einfache Kundenauthentifizierung nach Art. 97 Abs. 1 PSD II die Generierung dynamischer Authentifizierungselemente zum Inhalt hätte. Überdies wäre die Effizienz stationärer bargeldloser Bezahlverfahren erheblich eingeschränkt, würde jede Zahlung die Generierung einer individuellen TAN erfordern. Es handelt sich daher bei dem in Art. 4 Abs. 1 S. 1 RTS beschriebenen Verfahren um einen für den Nutzer nicht erkennbaren technischen Hintergrundprozess. Deutlich wird dies bei der Verwendung statischer Authentifizierungselemente, wie etwa die Autorisierung mittels PIN bei kartengestützten Zahlungen. Nach der Eingabe der PIN generiert das Kartenlesegerät einen individuellen Authentifizierungscode, der im Rahmen der üblichen Online-Abfrage dem Emittenten übermittelt wird. Die sensiblen Kundendaten sind nicht Teil der Übermittlung und dadurch vor einer Offenbarung geschützt. Bei dem als Tokenization bekannten Verfahren ist nur der Kartenemittent in der Lage, den Code zu entschlüsseln und die Zahlungsberechtigung zu überprüfen. Auch der Zahlungsempfänger gelangt so nicht in den Besitz sensibler Zahlungsdaten. Erst nach Entschlüsselung und positiver Prüfung der Zahlungsvoraussetzungen wird die Zahlung freigegeben. Der erstellte Code darf vom Zahlungsdienstnutzer nur für eine Transaktion verwendet werden und keinerlei Rückschlüsse auf die zu seiner Generierung genutzten Elemente zulassen. Des Weiteren muss der Zahlungsdienstleister sicherstellen, dass der Code weder gefälscht noch dazu genutzt werden kann, einen neuen Code zu generieren. Art. 4 Abs. 3 RTS enthält hierzu weitere Vorgaben, wie die zulässige maximale Anzahl von Authentifizierungsversuchen, die Zulässigkeit von Sperren sowie die Sicherheit der Datenübertragung. Die erweiterten Sicherheitsvorgaben, die beim dynamischen Verknüpfen verschiedener Authentifizierungselemente i. S. d. § 55 Abs. 2 ZAG n. F. erforderlich werden, bestimmen sich nach Art. 5 RTS. Der Zahler muss vor der Autorisierung über den Betrag und den Empfänger der konkreten Zahlung informiert werden. Das dynamische Authentifizierungselement, also die TAN, darf nur mit dem konkreten Zahlungsvorgang verknüpft werden, sodass eine Verwendung zur
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
101
Autorisierung eines anderen Zahlungsvorgangs ausgeschlossen ist. Das Authentifizierungselement darf nur bei Übereinstimmung mit Betrag und Empfänger angenommen werden. Um dies sicherzustellen, sieht Art. 5 Abs. 2 RTS vor, dass die Zuverlässigkeit, Authentizität und Integrität der Details des Zahlungsvorgangs, die dem Zahler angezeigt werden, in allen Phasen der Authentifizierung durch ausreichend sichere Systeme gewährleistet werden muss. Darüber hinaus hat der Zahlungsdienstleister Sicherheitsverfahren zum Schutz der Geheimhaltung der Wissenselemente sowie der Nutzung von Besitzelementen von Dritten zu implementieren. Dies gilt auch für Systeme und Geräte, die den Zugriff auf Elemente der Kategorie Inhärenz ermöglichen. Art. 9 RTS entfaltet besondere Bedeutung für Mehrzweckgeräte wie Smartphones, die sowohl für die Authentifizierung als auch für Erteilung eines Zahlungsauftrags eingesetzt werden können. Der Zahlungsdienstleister muss sicherstellen, dass die Unabhängigkeit der jeweiligen Elemente gewahrt bleibt, indem die zu trennenden Kommunikationskanäle ausreichend vor dem Zugriff Dritter geschützt sind.
ee) Ausnahmefälle der Anwendung der starken Kundenauthentifizierung Die umfangreichen Sicherheitsvorgaben der technischen Regulierungsstandards sind nicht uneingeschränkt anzuwenden. Als Vorbild dienten die Mindestanforderungen an Internetzahlungen der BaFin. Diese beinhalten Ausnahmen für Kleinbetragszahlungen i. S. d. Art. 34 Abs. 1 und 53 Abs. 1 PSD I, für Zahlungsausgänge zugunsten vertrauenswürdiger Zahlungsempfänger, für Zahlungstransaktionen zwischen zwei Konten derselben Person und für Transaktionen, die aufgrund einer Transaktionsrisikoanalyse ein geringes Missbrauchsrisiko aufweisen. Die RTS greifen diese Ausnahmen auf und sehen für eine Vielzahl vergleichbarer Sachverhalte die Möglichkeit vor, von einer starken Kundenauthentifizierung abzusehen. Die Ausnahmen regeln die Art. 10 – 18 RTS. Ausgenommen sind kontaktlose Zahlungen im Präsenzverfahren, soweit der Betrag der Einzelzahlung 50 Euro nicht übersteigt und seit der letzten durch eine starke Kundenauthentifizierung ausgelösten Zahlung der kumulative Zahlungsbetrag 150 Euro nicht überstiegen hat oder nicht mehr als 5 aufeinander folgende kontaktlose Zahlungen erfolgt sind. Transport- und Parktickets, die an unbewachten Zahlungsterminals erworben werden, können ebenfalls unter Verwendung einer einfachen Authentifizierung bezahlt werden. Dies gilt gleichsam für Zahlungsempfänger, die auf einer sogenannten White-List stehen. Die Liste, die vertrauenswürdige Zahlungsempfänger zum Inhalt hat, bestätigt oder erstellt der Zahler über seinen kontoführenden Zahlungsdienstleister. Die bereits erwähnten Selbstzahlungen, bei denen Zahlungsempfänger und Zahler personenidentisch sind und beide Konten vom selben Zahlungsdienstleister geführt werden, stellen
102
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
ebenfalls einen Ausnahmetatbestand dar. Elektronische Fernzahlungen, die prinzipiell den Anforderungen des § 55 Abs. 2 ZAG n. F. unterliegen, sind aus dem Anwendungsbereich ausgenommen, soweit der Zahlungsbetrag 30 Euro nicht überschreitet und seit der letzten per starker Kundenauthentifizierung ausgelösten Zahlung der Gesamtbetrag der getätigten Zahlungen 100 Euro nicht überstiegen hat oder nicht mehr als 5 aufeinander folgende Kleinbetragszahlungen erfolgt sind. Die Kommission hat überdies in Art. 14 RTS eine neue Ausnahme für wiederkehrende Zahlungen, also Daueraufträge, eingeführt, wonach Zahlungsdienstleister nach der erstmaligen per starker Kundenauthentifizierung ausgelösten Zahlung, für die folgenden Zahlungen keine starke Kundenauthentifizierung verlangen müssen.³⁹⁸ Diese Ausnahme dürfte klarstellender Natur sein, da ein Dauerauftrag ein einzelner Zahlungsauftrag ist, der nach verständiger Auslegung des Art. 97 Abs. 1 PSD II auch nur einer einmaligen Authentifizierung bedarf. Abschließend können sich Zahlungsdienstleister bei elektronischen Fernzahlungen auf eine Transaktionsrisikoanalyse berufen. Das genaue Verfahren einer solchen Analyse ist in Art. 18 RTS niedergelegt. Ergibt die Analyse, dass die Betrugsrate des jeweiligen Zahlungsdienstleisters für bestimmte Zahlungsvorgänge einen vorgegebenen Wert unterschreitet, rechtfertigt dies eine Ausnahme von den Authentifizierungsvorgaben für die jeweiligen Zahlungsvorgänge beziehungsweise Zahlungsinstrumente. Bei den Ausnahmevorschriften handelt es sich freilich um Kann- und nicht um Muss-Vorschriften, sodass Zahlungsdienstleister jederzeit, etwa bei dem Verdacht von unautorisierten Zahlungen durch neuartige Schadprogramme, nach eigenem Ermessen eine starke Kundenauthentifizierung verlangen dürfen.
ff) Kongruenz von haftungsrechtlicher Obliegenheit und aufsichtsrechtlicher Pflicht? Der europäische Gesetzgeber hat in Art. 74 Abs. 2 S. 1 PSD II keinen Verweis auf die aufsichtsrechtlichen Vorgaben sowie die technischen Regulierungsstandards vorgesehen. Die Vorschrift bezieht sich lediglich auf die Legaldefinition des Art. 4 Abs. 30 PSD II. Daraus könnte man schließen, dass Art. 97 PSD II nicht in Haftungsfragen zwischen Nutzer und Dienstleister zur Anwendung kommt. Dies hätte zur Folge, dass ein nach den RTS berechtigtes Absehen von der starken Kundenauthentifizierung gleichzeitig den Tatbestand des § 675v Abs. 4 BGB erfüllen würde. Der Zahlungsdienstleister hätte sodann für alle Schäden einzustehen, die nicht auf ein betrügerisches Handeln des Nutzers zurückzuführen sind.
Vgl. Erwägungsgrund 8 RTS.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
103
Diese Problematik hat sich bereits bei der Eröffnung des Anwendungsbereiches gezeigt und wird insbesondere im Hinblick auf die Reichweite und Anwendbarkeit der RTS relevant. Im Gesamtkontext wirft dieser Umstand die Frage auf, ob die aufsichtsrechtliche Konkretisierung der starken Kundenauthentifizierung nur im Verhältnis zwischen dem Staat als Regulierer und dem Zahlungsdienstleister als Adressat Geltung entfaltet oder ob sie auch in haftungsrechtlichen Fragen zwischen Zahlungsdienstleister und Zahlungsdienstnutzer von Bedeutung ist. Dem Konsultationspapier der Europäischen Bankaufsichtsbehörde zum Entwurf der RTS nach Art. 98 PSD II war eine Antwort nicht zu entnehmen.³⁹⁹ Der finale Entwurf der EBA sah dann in Art. 1 Abs. 2 RTS-E vor, dass die RTS keine Auswirkungen auf die Haftungsregelungen bezüglich unautorisierter Zahlungen haben sollen. Art. 74 PSD II wäre demnach isoliert ohne die Konkretisierungen der RTS anzuwenden. Die Reaktionen der Europäischen Bankaufsichtsbehörde auf die im Konsultationsprozess eingereichten Kommentare machen deutlich, dass die Behörde die Verbindung zwischen den technischen Regulierungsstandards und der Haftung erkannt, jedoch nicht als Teil des Mandats nach Art. 98 PSD II verstanden hat.⁴⁰⁰ Aus diesem Grund wurde zur Klarstellung Art. 1 Abs. 2 RTS-E eingefügt. Die Kommission, die im RTS-Prozess eine entscheidende Rolle spielt, reagierte auf die Vorschläge der EBA mit einem überarbeiteten Entwurf, der am 24.05. 2017 veröffentlicht wurde.⁴⁰¹ Darin wurde unter anderem die Norm des Art. 1 Abs. 2 RTS-E kommentarlos gestrichen. Die umfangreiche Reaktion der EBA vom 29.06. 2017 auf die Änderungsvorschläge der Kommission enthielt diesbezüglich keine Kritik oder Anmerkungen.⁴⁰² Auch der letzte Entwurf und damit die finale, im Amtsblatt veröffentlichte Fassung der RTS enthält keine Aussagen zum Verhältnis zwischen den technischen Regulierungsstandards und den
Vgl. Consultation Paper EBA-CP-2016 – 11 vom 12.08. 2016, abrufbar unter: https://www.eba. europa.eu/documents/10180/1548183/Consultation+Paper+on+draft+RTS+on+SCA+and+CSC+ %28EBA-CP-2016-11%29.pdf, zuletzt abgerufen am 10.04. 2019. Siehe: Final Report EBA/RTS/2017/02 vom 23.02. 2017, Comment 290, abrufbar unter https:// www.eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+and+CSC+under +PSD2+(EBA-RTS-2017-02).pdf, zuletzt abgerufen am 10.04. 2019. Geänderter Entwurf der RTS von der Europäischen Kommission vom 24.05. 2017, abrufbar unter: http://www.eba.europa.eu/documents/10180/1806975/%28EBA-2017-E-1315%29%20Letter +from+O+Guersent%2C%20FISMA+re+Commission+intention+to+amend+the+draft+RTS+on +SCA+and+CSC+-Ares%282017%292639906.pdf/efbf06e1-b0e9-4481-88e5-b70daa663cb9, zuletzt abgerufen am 10.04. 2019. Opinion of the European Banking Authority, EBA/Op/2017/09 vom 29.06. 2017, abrufbar unter: https://www.eba.europa.eu/documents/10180/1894900/EBA+Opinion+on+the+amended +text+of+the+RTS+on+SCA+and+CSC+%28EBA-Op-2017-09%29.pdf/df60c6ac-a284-4772-b1d566c7073d28af, zuletzt abgerufen am 10.04. 2019.
104
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Schadensersatzvorschriften. Es bleibt somit bei der Frage, ob es sich bei der starken Kundenauthentifizierung nach Art. 97 PSD II und Art. 74 Abs. 2 PSD II um ein identisches Konzept handelt?
(i) Europarechtliche Zulässigkeit einer kongruenten Anwendung Der Zulässigkeit einer einheitlichen Anwendung könnte zunächst höherrangiges Europarecht entgegenstehen. Dabei handelt es sich insbesondere um primäres Unionsrecht, das in den Gründungs- und Beitrittsverträgen niedergelegt ist. Auch wenn die Europäische Union mangels Staatsvolks „kein eigenständiges Legitimationssubjekt“ darstellt, bekennt sie sich zur repräsentativen Demokratie.⁴⁰³ Diese Staatsform kennzeichnet das Demokratieprinzip sowie der Grundsatz der Gewaltenteilung, woraus wiederum gewisse Anforderungen an die Rechtsetzung resultieren. Da es sich bei technischen Regulierungsstandards um delegierte Rechtsakte der EU i. S. d. § 290 Abs. 1 S. 1 AEUV handelt, werden sie nicht im ordentlichen Gesetzgebungsverfahren, sondern von der EU-Kommission, einem Exekutivorgan, erlassen und weisen daher keinen Gesetzescharakter auf. Nichtsdestotrotz finden sie als tertiäres Unionsrecht nach Art. 290 Abs. 1 S. 1 AEUV Anwendung in den Mitgliedsstaaten.⁴⁰⁴ Aufgrund der mit Sekundärrecht vergleichbaren, unmittelbaren Geltung entspringt dem Demokratieprinzip sowie dem Grundsatz der Gewaltenteilung der Gedanke, dass Gegenstand tertiärer Rechtssetzung nur unwesentliche Aspekte sein dürfen, die bereits getroffene Entscheidungen konkretisieren.Wesentliche Fragen des Rechts sind gem. Art. 290 Abs. 1 UAbs. 2 S. 2 AEUV dem demokratisch legitimierten Legislativorgan vorbehalten. Auch die Zulässigkeit technischer Regulierungsstandards ist hieran zu messen.⁴⁰⁵ Vor diesem Hintergrund stellen sich folgende Fragen. Würde sich die erweiterte Anwendung der RTS auf das zahlungsdienstrechtliche Deckungsverhältnis innerhalb der Grenzen des Ermächtigungsaktes bewegen und widerspräche eine derartige Anwendung möglicherweise dem Demokratieprinzip? Der Ermächtigungsakt befindet sich in Art. 98 PSD II, der in Absatz 1 Buchstabe b vorsieht, dass die technischen Regulierungsstandards „die Ausnahmen von der Anwendung des Artikels 97 Abs. 1, 2 und 3 unter Zugrundelegung der Kriterien des Absatzes 3 dieses Artikels“ regeln sollen. Die technischen Regulierungsstandards sollen demnach Ausnahmen von der Pflicht zur Anwendung einer Scholz in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 23 GG Rn. 73. Ruffert, in: Calliess/Ruffert, Art. 290 AEUV, Rn. 2, 5 f; Nettesheim, in: Grabitz/Hilf/Nettesheim, Das Recht der europäischen Union, 60. EL, Art. 290 AEUV Rn. 2; vgl. auch den Verweis auf die RTS in § 55 Abs. 5 ZAG n. F. Gellermann, in: Streinz, EUV/AEUV, Art. 290 AEUV Rn. 6.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
105
starken Kundenauthentifizierung oder dynamischen Verknüpfung normieren und konkretisieren. Da sich die Pflicht, eine starke Kundenauthentifizierung zu verlangen, nur an Zahlungsdienstleister richtet, könnte man hieraus schließen, dass auch die Ausnahmeregelungen nur in diesem Verhältnis Geltung entfalten sollen. Diese Frage ist jedoch weniger eine Frage der Reichweite des Ermächtigungsaktes, sondern viel mehr eine Auslegungsfrage im Zusammenhang mit der Richtlinie, also der Intention des Richtliniengebers. Der Anwendungsbereich ergibt sich nicht aus Art. 97, 98 PSD II, sondern ausschließlich aus dem auszulegenden Willen des Richtliniengebers. Einer weiten Anwendung der RTS stehen somit die Vorgaben des Ermächtigungsaktes nicht entgegen. Nichtsdestotrotz müssen sich die Vorgaben der RTS im Rahmen des Wesentlichkeitsgebots des Demokratieprinzips bewegen. Die Wesentlichkeit einer Regelung bemisst sich auf europäischer Ebene im Gegensatz zum nationalen Verständnis nicht nach der Intensität des Grundrechtseingriffs, sondern nach demokratisch-politischen Grundsätzen.⁴⁰⁶ Der EuGH hat in mehreren Entscheidungen das europäische Verständnis von der Wesentlichkeit gesetzlicher Entscheidungen definiert. Nur solche Vorschriften sind auf europäischer Ebene als wesentlich zu bewerten, „durch die die grundsätzlichen Ausrichtungen der Gemeinschaftspolitik umgesetzt werden sollen“. ⁴⁰⁷ Aus diesem Grund entschied der EuGH, dass der Kommission auch in der Festlegung der Höhe von Sanktionen Kompetenzen im Wege delegierter Rechtsakte zugebilligt werden dürfen.⁴⁰⁸ Schließlich sichern Sanktionen die bereits getroffene Entscheidung des europäischen Gesetzgebers ab.⁴⁰⁹ Auf die Grundausrichtung der politischen Entscheidung, ein bestimmtes Verhalten zu sanktionieren, haben derartige Rechtsakte keine Auswirkungen. Dass auch die Höhe einer Sanktion einen Grundrechtseingriff im konkreten Fall erheblich verstärken kann, ist auf europäischer Ebene im Gegensatz zum nationalen Verständnis ohne Belang. Die Durchführungsbefugnisse der Kommission richten sich folglich ausschließlich nach der Regelungsreichweite der zuvor erfolgten gesetzgeberischen Entscheidung. Im Fall von technischen Regulierungsstandards bedeutet dies konkret, dass gem. Art. 10 Abs. 1 UAbs. 2 der Verordnung zur Errichtung einer Europäischen Bankauf-
Ruffert, in: Calliess/Ruffert, Art. 290 AEUV Rn. 10. EuGH Urt. v. 06.07. 2000 – Rs C-356/97, BeckRS 2004, 76699; Urt. v. 27.10.1992 – Rs C-240/90, NJW 1993, 47 (48); grundlegend: Urt. v. 17.12.1970 – Rs 25/70, NJW 1971, 1006 (1007). EuGH NJW 1993, 47 (48). EuGH NJW 1993, 47 (48).
106
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
sichtsbehörde⁴¹⁰ nur technische und keine politischen oder strategischen Fragen Gegenstand der RTS sein dürfen.⁴¹¹ Maßgeblich ist daher, ob die Konkretisierung des unbestimmten Rechtsbegriffs der starken Kundenauthentifizierung in ihrer haftungsrechtlichen Relevanz als technische oder politische Regelung zu begreifen ist. Der Prozess der starken Kundenauthentifizierung ist in erster Linie technischer Natur. Die weitere Konkretisierung durch die Festlegung von Sicherheitsstandards im Bereich der Kommunikation, des Schutzes der personalisierten Sicherheitsmerkmale und der Ausnahmen der Anwendung ist eine hochkomplexe Thematik und erfordert technisches Expertenwissen im Bereich des Zahlungsverkehrswesens. Die Delegation eines solchen Durchführungsakts auf die Europäische Bankaufsichtsbehörde als Fachinstitut des Bank- und Finanzwesens hat sich daher angeboten.⁴¹² Infolge der Streichung des Art. 1 Abs. 2 RTS-E durch die Kommission verhält sich der finale Entwurf hinsichtlich der Reichweite des Anwendungsbereiches flexibel. Je nachdem, wie die Vorschrift des Art. 74 Abs. 2 PSD II auszulegen ist, kann sich der Anwendungsbereich der RTS aufgrund seiner offenen Formulierung entweder auf das Haftungsrecht erstrecken oder auf das Aufsichtsrecht beschränken. Aus diesem Grund treffen die finalen RTS im Gegensatz zum finalen Entwurf der EBA keine die Reichweite der Ermächtigungskompetenz überschreitende Entscheidung und entfalten somit auch keine politische Wirkung.⁴¹³ Die dem Grunde nach wünschenswerte Klarstellung des Anwendungsbereiches in Art. 1 Abs. 2 RTS-E wurde daher folgerichtig im Rechtsetzungsprozess gestrichen. Denn soweit ein Gleichlauf des Konzepts der starken Kundenauthentifizierung vom Richtliniengeber gewollt wäre, würde der Entwurf der EBA den Willen des Richtliniengebers konterkarieren und seine Entscheidung nicht mehr ergänzen, sondern abändern. Damit wäre eine eigenständige Entscheidung getroffen, die sich nicht mehr auf die technische Ergänzung einer bereits getroffenen Entscheidung beschränken würde. Selbiges gilt natürlich für den umgekehrten Fall, sodass der Anwendungsbereich der RTS von der Auslegung des Art. 74 II PSD II abhängt.
Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission. Burgard/Heimann in: Dauses, EU-Wirtschaftsrecht, 40. EL, Juni 2016, Band 1, E. IV. Rn. 32. Vgl. auch Hetmeier, in: Lenz/Borchardt, EUV/AEUV/GrCH, Art. 290 AEUV Rn. 9. aA Terlau, ZBB 2016, 122 (133), der davon ausgeht, dass ungeachtet der Auslegung des Willens des Richtliniengebers eine Anwendung auf das Haftungsrecht mit höherrangigem Unionsrecht kollidiert.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
107
(ii) Auslegung der europäischen Vorgaben zur starken Kundenauthentifizierung Die kongruente Anwendung der starken Kundenauthentifizierung im Haftungsund Aufsichtsrecht richtet sich somit ausschließlich nach dem Willen des Richtliniengebers. Die Wortlautauslegung, deren Bedeutung im Europarecht ohnehin zu vernachlässigen ist, führt zu keinem klaren Ergebnis. Dem deutschen Gesetzgeber ist zwar zuzugestehen, dass es sich bei Art. 97 PSD II um eine nach deutschem Verständnis aufsichtsrechtliche Vorschrift handelt.⁴¹⁴ Die Norm vermittelt keine subjektiven Rechte für Zahlungsdienstnutzer, sondern legt Zahlungsdienstleistern Pflichten auf, zu deren Erfüllung sie nur im Verhältnis zur Obrigkeit verpflichtet sind. Bei Betrachtung der PSD II darf jedoch der Umstand nicht unberücksichtigt bleiben, dass der europäische Gesetzgeber die im deutschen Recht vorgenommene Trennung von Aufsichts- und Zivilrecht in der PSD II nicht in gleicher Konsequenz verfolgt.⁴¹⁵ Die Stellung des Art. 97 PSD II in Titel IV, der zahlreiche im deutschen Recht als zivilrechtliche Vorschriften umgesetzte Vorgaben enthält, ist eindeutiges Indiz dafür. Aus diesem Grund ist eine Anwendung von Art. 97 PSD II im Rahmen des Art. 74 Abs. 2 PSD II, der weder auf die Vorschrift noch auf dessen Nichtanwendbarkeit verweist, aufgrund des Wortlauts nicht ausgeschlossen, aber auch nicht zwingend angezeigt. Aufgrund dieser Unklarheit vertritt Omlor die Auffassung, dass der Richtliniengeber die Richtlinie im Hinblick auf die zivilrechtlichen Folgen einer Verletzung des Art. 97 PSD II bewusst offengelassen und somit die entsprechenden Regelungen in das Ermessen der Mitgliedstaaten gestellt habe.⁴¹⁶ Die aufsichtsrechtlichen Pflichten sind daher keineswegs auch zivilrechtlicher Natur. Dies könne sich nur aus den konkreten vertraglichen Vereinbarungen ergeben. Eine ähnliche Auffassung vertritt Hoffmann, jedoch mit anderer Begründung. Eine Anwendung der RTS scheitere bereits daran, dass ein Verweis in Art. 74 Abs. 2 PSD II fehle.⁴¹⁷ Ohne einen ausdrücklichen Verweis, verbiete sich die Anwendung der RTS im zivilrechtlichen Haftungsbereich. Historisch lassen sich diese Auffassungen weder untermauern noch widerlegen. Der Wortlaut des heutigen Art. 74 Abs. 2 PSD II lautete im Vorschlag der Kommission noch wie folgt: „Bei Zahlungen mittels eines Fernkommunikationsmittels (Anm.: Hervorhebung durch Verfasser), bei dem der Zahlungsdienstleister keine verstärkte Kundenauthentifizierung verlangt, trägt der Zahler nur dann finanzielle Folgen, wenn er in
BT-Drs. 18/11495, S. 139. Vgl. zu dieser Thematik auch Findeisen, WM 2016, 1765 (1774). Omlor, WM 2018, 57 (63). Hoffmann, VuR 2016, 243 (250); siehe auch: Terlau, ZBB 2016, 122 (133)
108
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
betrügerischer Absicht gehandelt hat.“ ⁴¹⁸ Die Europäische Zentralbank hat in ihrer Stellungnahme vorgeschlagen, den hervorgehobenen Teil zu streichen.⁴¹⁹ Da die EZB keinen konstitutiven Beitrag zum Gesetzgebungsverfahren leistet, ist die Stellungnahme nur deshalb zu berücksichtigen, weil die Streichung tatsächlich vorgenommen worden ist.⁴²⁰ Der ursprüngliche Vorschlag und die Änderung lassen jedoch keine Rückschlüsse auf die Reichweite der haftungsrechtlichen Obliegenheit und der aufsichtsrechtlichen Pflicht zu. Aus diesem Grund ist auf die ohnehin im Europarecht dominierende teleologische Auslegung abzustellen. Die von Hoffmann und Omlor vertretene Auslegung hätte zur Folge, dass § 675v Abs. 4 S. 1 BGB n. F. praktisch uneingeschränkt die Haftung des Zahlungsdienstnutzers ausschließen würde, sobald der Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt. Zahlreiche innovative Bezahlverfahren, wie etwa das kontaktlose Bezahlen mit Kreditkarte oder Smartphone, die gerade ihre Attraktivität durch die schnelle Zahlungsauslösung begründen, würden ein erhebliches Haftungsrisiko für den Zahlungsdienstleister entfalten.⁴²¹ Das gesamte Missbrauchsrisiko mit Ausnahme der Fälle, in denen der Nutzer betrügerisch handelt, würde auf den Zahlungsdienstleister abgewälzt. Dabei würden zwar die RTS insofern Bedeutung entfalten, dass die Ausnahmen selbst aufsichtsrechtliche Beschränkungen beinhalten, wonach Zahlungsvorgänge ohne starke Kundenauthentifizierung summarisch maximal 100 Euro bei kontaktlosen Zahlungen und 150 Euro bei Kleinbetragszahlungen betragen dürfen, bis eine erneute Authentifizierung durchzuführen ist. Dies hätte faktisch eine betragsmäßige Schadensbegrenzung zur Folge, sodass sich für derartige Haftungsfälle möglicherweise eine Versicherungslösung finden ließe. Ausgenommen von einer derartigen indirekten Schadensbegrenzung wären jedoch Anbieter von Zahlungsinstrumenten, die aufgrund der besonderen Sicherheit ihres Zahlungssystems, die durch die Transaktionsrisikoanalyse nach Art. 18 RTS nachgewiesen wird, überhaupt keine Pflicht zur Anwendung der starken
Europäische Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2013/ 36/EU und 2009/110/EG sowie zur Aufhebung der Richtlinie 2007/64/EG, KOM 2013, 547 final, S. 76. EZB, Stellungnahme der Europäischen Zentralbank vom 5. Februar 2014 zu einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2013/36/EU und 2009/110/EG sowie zur Aufhebung der Richtlinie 2007/64/EG (CON/2014/9), Abl.EU 2014/C 224/01. Siehe: Grundmann/Riesenhuber, JuS 2001, 529 (530), vgl. auch Herdegen, ZHR 155 (1991), 52 (64 f), wo es jedoch um die Bedeutung von Protokollerklärungen geht. So auch Kunz, CB 2018, 393 (398), der eine kongruente Anwendung befürwortet.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
109
Kundenauthentifizierung trifft. Diese Anbieter, zu denen mit großer Wahrscheinlichkeit PayPal zählen wird,⁴²² würden demnach unbegrenzt für jede unautorisierte Zahlung haften, soweit dem Kunden kein betrügerisches Handeln nachgewiesen werden kann. Gleichzeitig würde der Sinn und Zweck des § 675v Abs. 1 BGB n. F. untergraben. Ohne die verschuldensunabhängige Mithaftung des Zahlungsdienstnutzers bestünde kaum ein Anreiz, auf Zahlungsinstrumente sorgfältig aufzupassen und insbesondere deren Verlust oder missbräuchliche Verwendung unverzüglich anzuzeigen.⁴²³ Erwägungsgrund 70 und 71 würden ebenfalls konterkariert, indem selbst das vorsätzliche Nicht-Anzeigen des Verlusts einer NFC-Kreditkarte keine Haftung für damit ausgelöste kontaktlose Zahlungen seitens des Zahlungsdienstnutzers begründen würde. Ein vorsätzliches Unterlassen stellt noch kein betrügerisches Handeln dar. Diese Widersprüchlichkeit ist womöglich das gewünschte Resultat der Auflösung des komplexen Spannungsverhältnisses zwischen einem leichtgängigen und gleichzeitig sicheren Zahlungsverkehr. Das generelle Missbrauchsrisiko wird bereits durch § 675v Abs. 1 und 2 BGB n. F. weitgehend auf den Zahlungsdienstleister verlagert. Es erscheint daher nicht abwegig, wenn der Richtliniengeber das zusätzliche Missbrauchsrisiko bei der Nutzung authentifizierungsfreier Zahlungen dem Zahlungsdienstleister auferlegt. Schließlich treten durch diese Zahlungsvarianten bargeldlose Zahlungsmittel in verstärkte Konkurrenz zum Bargeld. Dies erweitert das Geschäftsfeld der Zahlungsdienstleister, sodass auch aus ökonomischer Perspektive ein weiteres „Aufbürden“ des Haftungsrisikos zumutbar erscheint. Dem stehen jedoch zwei zentrale Punkte entgegen. Zunächst entspricht es weder dem allgemeinen und insbesondere nicht dem Rechtsverständnis des EuGHs, Ausnahmevorschriften, wie Art. 74 Abs. 2 PSD II, weit auszulegen.⁴²⁴ Der Sinngehalt einer Norm ist stets an der dazugehörigen Grundsatzentscheidung zu messen. Im Hinblick auf Art. 74 Abs. 2 PSD II handelt es sich dabei um die in Art. 74 Abs. 1 UAbs. 3 PSD II getroffene Entscheidung, Nutzer bei grob fahrlässigen oder vorsätzlichen Pflichtverletzungen für etwaige Schäden haften zu lassen. Die Ausnahmevorschrift darf den grundsätzlichen Regelungsgehalt keineswegs gänzlich konterkarieren. Eine Haftungsfreistellung bei vorsätzlichen Pflichtverletzung kann daher nicht auf der formalen Frage beruhen, ob eine starke Kundenauthentifizierung verlangt wurde oder nicht. Bei einer derart einschneidenden Umkehr allge Siehe unten Teil 5, 3. Abschnitt, A., III lit. c). So auch bereits Spindler/Zahrte, BKR 2014, 265 (270). Callies/Ruffert-Wegener, Art. 19 EUV Rn. 16 mit zahlreichen weiteren Nachweisen aus der europäischen Rspr.
110
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
meiner Haftungsgrundsätze muss die Sanktion eines pflichtwidrigen Verhaltens des Zahlungsdienstleisters bezweckt sein. Anderenfalls wäre der Anwendungsbereich der unbeschränkten Haftung im Bereich kontaktloser Zahlungsinstrumente de facto aufgehoben. Eine derartige Reichweite von Art. 74 Abs. 2 PSD II ist mit dem Rechtsverständnis des europäischen Gerichtshofs von Ausnahmeregelungen daher nicht zu vereinbaren und folglich abzulehnen. Damit das Haftungsregime in sich sachgerecht und kohärent bleibt, müssen die aufsichtsrechtlichen Einschränkungen Anwendung finden. Die Sanktionsfreiheit vorsätzlicher Pflichtverletzungen ohne hinzutretende Pflichtverletzungen des Zahlungsdienstleisters kann nicht dem Willen des Richtliniengebers entsprechen.⁴²⁵ Darüber hinaus widerspricht die von Omlor vertretene Auffassung dem Vollharmonisierungs- und Vereinheitlichungsansatz des europäischen Gesetzgebers.⁴²⁶ Die starke Kundenauthentifizierung ist eine der wichtigsten Neuerungen der PSD II, die neben der Erhöhung der Sicherheit des Zahlungsverkehrs auch die Stärkung der Rechte von Zahlungsdienstnutzern bei unautorisierten Zahlungsvorgängen zum Ziel hat. In diesem haftungsrelevanten Bereich Umsetzungsspielräume zu gewähren und auf diese Weise unterschiedliche Haftungsinstitute in den europäischen Mitgliedsstaaten zu etablieren, ist mit dieser in Erwägungsgrund 6 PSD II ausdrücklich festgeschriebenen Zielsetzung nicht vereinbar. Hätte man ohnehin für Art. 74 Abs. 2 PSD II einen Umsetzungsspielraum vorgesehen, wäre auch die detailgenaue Ausarbeitung der RTS kaum notwendig gewesen, obwohl in Erwägungsgrund 107 PSD II unmissverständlich auf die Sicherstellung einer einheitlichen Anwendung der Richtlinie durch die Ausarbeitung der RTS hingewiesen wird. Zum anderen beabsichtigt die PSD II die Förderung innovativer Zahlungsverfahren, die die Schnelligkeit und Leichtgängigkeit des Zahlungsverkehrs erhöhen.⁴²⁷ Die komplette Verlagerung des Haftungsrisikos für derartige Zahlungsverfahren könnte dem erklärten Ziel des Richtliniengebers zuwiderlaufen. Die Kreditwirtschaft müsste entweder eine Versicherungs- oder Haftungslösung zur Absicherung der Risiken entwickeln. Dies könnte wiederum den Anreiz schmälern, entsprechende Zahlungsinstrumente anzubieten, soweit die ökonomischen Lasten den wirtschaftlichen Nutzen überwiegen. Würde dieser Fall eintreten, hätte auch die Ausarbeitung technischer Regulierungsstandards in Teilen keinen praktischen Anwendungsbereich mehr.⁴²⁸
Sogar auf diese Probleme hinweisend: Hoffmann, VuR 2016, 243 (253). Vgl. Erwägungsgrund 6 PSD II. Vgl. auch Erwägungsgrund 8, EBA/RTS/2017/02. So auch Terlau, ZBB 2016, 122 (133).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
111
Im umgekehrten Fall hat die Anwendung der aufsichtsrechtlichen Vorschriften keine unzumutbaren Benachteiligungen des Zahlungsdienstnutzers zur Folge. Dieser haftet weiterhin nur im Rahmen der ohnehin verbraucherfreundlichen Vorschriften der § 675v Abs. 1, 2 und 3 BGB n. F. Die teleologische Auslegung des gesetzgeberischen Willens streitet daher für eine einheitliche Anwendung der starken Kundenauthentifizierung im gesamten Zahlungsdiensterecht. Für dieses Ergebnis spricht auch die Systematik der PSD II. Das die starke Kundenauthentifizierung enthaltende Kapitel 5 befindet sich in Titel IV der PSD II. Es handelt sich hierbei um den Titel „Rechte und Pflichten bei der Erbringung und Nutzung von Zahlungsdiensten“. Im Schwerpunkt behandelt dieser Abschnitt das zivilrechtliche Verhältnis zwischen Zahlungsdienstleister und Zahlungsdienstnutzer. Der Richtliniengeber hätte die starke Kundenauthentifizierung auch in Titel II „Zahlungsdienstleister“ niederlegen können, wo das öffentlich-rechtliche Verhältnis zwischen Zahlungsdienstleister und den regulierenden Behörden geregelt wird.⁴²⁹ Dies hat er jedoch nicht getan und bringt damit ein äußeres System zum Ausdruck, wonach die starke Kundenauthentifizierung i. S. d. Art. 97 PSD II jedenfalls nicht rein aufsichtsrechtlicher Natur ist. Mit Vorsicht ist auch auf den Topos der Einheit der Rechtsordnung hinzuweisen.⁴³⁰ Die öffentlich-rechtlichen und zivilrechtlichen Regelungssachverhalte der PSD II sind zwei Seiten einer Medaille, die dasselbe Ziel mit unterschiedlichen Mitteln verfolgen. Es würde daher zumindest verwundern, wenn eine aufsichtsrechtliche Legitimität zivilrechtliche Sanktionen nach sich ziehen würde oder umgekehrt die aufsichtsrechtliche Illegitimität im Hinblick auf Vorschriften, die insbesondere auch den Nutzer schützen sollen, wie Art. 97 Abs. 2 PSD II,⁴³¹ keine privatrechtliche Sanktionierung zur Folge hätte. Die Systematik der PSD II spricht daher ebenfalls für eine kongruente Anwendung der starken Kundenauthentifizierung im gesamten Zahlungsdiensterecht.⁴³² Während die gegenläufige Meinung zahlreiche Widersprüche zur Folge hat, fügt sich das gefundene Auslegungsergebnis widerspruchsfrei in die Systematik und Zielsetzung der PSD II ein. Indem sich die Umsetzungsvorschläge der Bundesregierung vom Wortlaut her stark an den Vorgaben der Richtlinie orientieren, ist § 675v Abs. 4 S. 1 BGB n. F. einer richtlinienkonformen Auslegung zugänglich. Die Norm ist daher so zu verstehen, dass zur Konkretisierung des unbestimmten Rechtsbegriffs der starken Kundenauthentifizierung auf die Vorgaben
Vgl. Reimer, Juristische Methodenlehre, Rn. 311; konkret zur Thematik Kunz, CB 2018, 393 (398). Reimer, Juristische Methodenlehre, Rn. 331. Siehe hierzu ausführlich im nächsten Unterpunkt: Teil 2, 2. Abschnitt, F., II., 4., a), ff), (iii). So auch Terlau, ZBB 2016, 119 (133); Werner, ZBB 2017, 345 (350).
112
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
des § 55 ZAG n. F. abzustellen ist.⁴³³ Einer derartigen Rechtsanwendung steht die national vorgenommene Trennung von Zivil- und Aufsichtsrecht überdies nicht entgegen. Im Gegensatz zum Wertpapierrecht, bei dem der BGH allenfalls von einer Wechselwirkung ausgeht,⁴³⁴ ist im Zahlungsdiensterecht stets unter dem Gebot des Auslegungsvorrangs der europäischen Vorgaben jede Regelung auf ihre Reichweite gesondert zu untersuchen.⁴³⁵
(iii) Haftungsrechtliche Relevanz der dynamischen Verknüpfung Die soeben dargestellte Problematik erlangt weitere Bedeutung im Hinblick auf die in Art. 97 Abs. 2 PSD II vorgeschriebene dynamische Verknüpfung von Authentifizierungselementen bei der Auslösung elektronischer Fernzahlungsvorgänge. Auch hier handelt es sich um eine auf den ersten Blick aufsichtsrechtliche Regelung, sodass sich die Umsetzungsvorschrift folgerichtig in § 55 Abs. 2 ZAG n. F. wiederfindet. Als zusätzliche Verschärfung der Grundvorgaben sind ihre Voraussetzungen auch nicht in § 1 Abs. 24 ZAG n. F. geregelt. Würde man nun die kongruente Anwendung der Authentifizierungsvorschriften ablehnen, hätte auch die dynamische Verknüpfung keine haftungsrechtliche Relevanz, da sich der Verweis in § 675v Abs. 4 S. 1 BGB n. F. auch nicht auf § 55 Abs. 2 ZAG n. F. bezieht. Konsequenterweise würde der Zahlungsdienstnutzer in Missbrauchsfällen mittels elektronischer Fernzahlungsvorgänge nicht von einer eventuellen Haftung befreit werden, soweit der Zahlungsdienstleister eine starke Kundenauthentifizierung i. S. d. § 1 Abs. 24 ZAG n. F., aber keine dynamische Verknüpfung i. S. d. § 55 Abs. 2 ZAG n. F., vorgesehen hätte. Eine Sanktionierung käme lediglich durch die regulierende Aufsichtsbehörde im Verwaltungsverfahren in Betracht. Ob dies dem Willen des Richtliniengebers entspricht, der in Erwägungsgrund 7 der PSD II bekräftigt, dass Zahlungsdienstnutzer vor den Risiken des Zah-
Der Bankenverband deutscher Banken hat in seiner Stellungnahme zum Entwurf des ZDUG II auf diese Problematik hingewiesen; Deutscher Bankenverband, Stellungnahme zum Entwurf der Bundesregierung für ein Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie, BR-Drs. 158/17 vom 17. Februar 2017, abrufbar unter: https://bankenverband.de/media/files/ SN_DK_PSD2_RegE_final.pdf, zuletzt abgerufen am 10.04. 2019. Der deutsche Gesetzgeber hat jedoch im Umsetzungsgesetz keine klarstellende Regelung vorgesehen. Der bloße Hinweis auf Art. 1 Abs. 24 ZAG n. F., der die Definition der starken Kundenauthentifizierung enthält ist aufgrund von § 675c Abs. 3 BGB n. F. ohnehin nur klarstellender Natur und trifft somit keine finale Aussage. Vgl. BGH, Urt. v. 03.06. 2014 – XI ZR 147/12, VuR 2014, 380 (383). Vgl. konkret zum Zahlungsdiensterecht: Omlor, WM 2018, 57 f; Staub-Grundmann, Band 10/2 Rn. 14; siehe allgemein: Grundmann, in: FS Canaris 2017, S. 492 ff; ders., ZHR 2015, 563; Grundmann/Renner, JZ 2013, 379.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
113
lungsverkehrs angemessen geschützt werden sollten, ist mehr als fraglich. Auch der nationale Gesetzgeber bekräftigt im ZDUG II, dass die Vorschrift des § 675v Abs. 4 S. 1 BGB n. F. der haftungsrechtlichen Flankierung der aufsichtsrechtlichen Vorschriften zur starken Kundenauthentifizierung dient.⁴³⁶ Dies wäre bei Inkongruenz der Authentifizierungsvorgaben im Hinblick auf die dynamische Verknüpfung jedoch gerade nicht der Fall. Der Haftungsausschluss ginge dann weiter als die aufsichtsrechtlichen Pflichten, die Verletzung der qualifizierten Pflicht aus Art. 97 Abs. 2 PSD II würde hingegen keine haftungsrechtlichen Sanktionen nach sich ziehen.⁴³⁷ Die tatsächlichen Folgen lassen sich anschaulich anhand der unter dem Regime der PSD II nicht mehr zulässigen iTAN-Listen darstellen. Übergibt der Nutzer einem Familienmitglied seine iTAN-Liste und erteilt dieser Dritte anschließend unautorisierte Zahlungsaufträge, hätte dies zunächst eine umfassende Haftung des Nutzers nach § 675v Abs. 3 Nr. 2 lit. a BGB n. F. zur Folge. Der Zahlungsdienstleister der entgegen der Vorgaben des § 55 Abs. 2 ZAG n. F. ein unzulässiges Authentifizierungsverfahren zugelassen hat, wäre mangels Anwendbarkeit des § 675v Abs. 4 BGB n. F. von der eigentlich vorgesehenen Auffanghaftung befreit, obwohl er eine aufsichtsrechtliche Pflicht verletzt hat. Die Verantwortung für die Sicherheit der Produkte des Zahlungsdienstleisters wäre somit zum Teil auf den Zahlungsdienstnutzer abgewälzt, was nach Erwägungsgrund 70 der PSD II dem Willen des Richtliniengebers eindeutig widerspricht. Es ist nicht im Sinne des europäischen Gesetzgebers, ein aufsichtsrechtlich zulässiges Verhalten zu sanktionieren und umgekehrt ein aufsichtsrechtlich unzulässiges Verhalten sanktionsfrei zu stellen. Dieser Widerspruch ist ein weiteres, eindeutiges Argument für eine kongruente Anwendung der starken Kundenauthentifizierung sowohl im Aufsichts- als auch im Haftungsrecht. Konsequenterweise ist demnach auch Art. 97 Abs. 2 PSD II sowie die RTS als konkretisierende Vorschriften der starken Kundenauthentifizierung i. S. d. Art. 74 Abs. 2 PSD II zu behandeln und im Rahmen des § 675v Abs. 4 S. 1 BGB n. F. anzuwenden. Der Haftungsausschluss ist daher wie folgt zu lesen: „Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz pflichtwidrig nicht verlangt.“
BT-Drs. 18/11495, S. 81. Hoffmann, VuR 2016, 243 (253), erkennt diesen Widerspruch und löst ihn auf, indem er die aufsichtsrechtliche Pflicht der dynamischen Verknüpfung zur haftungsrechtlichen Obliegenheit erhebt, was im Hinblick auf das bei ihm zuvor gefundene Ergebnis, Aufsichts- und Haftungsrecht strikt zu trennen, inkonsequent ist.
114
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
gg) Rechtsfolgen Kommen der Zahlungsdienstleister oder der Zahlungsempfänger beziehungsweise dessen Zahlungsdienstleister ihrer haftungsrechtlichen Obliegenheit, eine starke Kundenauthentifizierung zu verlangen, nicht nach, wird der Nutzer gem. § 675v Abs. 4 S. 1 BGB n. F. von jeglicher Haftung aus § 675v Abs. 1 und 3 BGB n. F. freigestellt. Einzige Rückausnahme, deren Vorliegen jedoch durch den Zahlungsdienstleister zu beweisen ist, findet sich in § 675v Abs. 4 S. 2 BGB n. F. Hiernach bleibt die Haftung bestehen, falls der Zahlungsdienstnutzer in betrügerischer Absicht gehandelt hat. Der Zahlungsdienstleister des Zahlungsdienstnutzers, der in den Fällen unautorisierter Zahlungen den Zahlungsbetrag gem. § 675u S. 2 BGB unverzüglich zu erstatten hat, kann, soweit der Zahlungsempfänger oder dessen Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt haben, die pflichtverletzende Partei gem. § 675v Abs. 4 S. 3 BGB n. F. in Regress nehmen.
hh) Rechtslage bis zum Inkrafttreten von Art. 97 PSD II Gem. Art. 115 Abs. 4 PSD II ist die Vorschrift des Art. 97 PSD II erst 18 Monate nach Inkrafttreten der RTS anzuwenden. Mit deren Veröffentlichung im Amtsblatt der Union am 13.03. 2018 wird die starke Kundenauthentifizierung daher erst zum 14.09. 2019 zur gesetzlichen Pflicht erstarken.⁴³⁸ Dies bedeutet, dass § 675v Abs. 4 S. 1 BGB n. F. bereits Anwendung findet, ohne dass die betroffenen Zahlungsdienstleister per Gesetz eine starke Kundenauthentifizierung verlangen müssen. Dieser Umstand hat die EBA im Konsultationsverfahren zu der irrigen Annahme verleitet, die Haftungsverlagerung wäre nur für den Zeitraum bis zum Inkrafttreten von Art. 97 PSD II vorgesehen.⁴³⁹ Dabei dient Art. 74 Abs. 2 PSD II gerade der wirksamen Durchsetzung der aus Art. 97 PSD II folgenden Pflichten. Die Vorschrift des Art. 74 Abs. 2 PSD II ist Kernbestandteil des neuen Haftungsregimes und keine bloße Übergangsvorschrift. Das infolge des späteren Inkrafttretens des Art. 97 PSD II entstehende Vakuum wird daher durch die Anwendung der EBA Richtlinien zur Sicherheit von Internetzahlungen gefüllt. Für das deutsche Recht sieht § 68 Abs. 4 ZAG n. F. klarstellend einen Verweis auf die Anwendbarkeit der Vorgaben der MaSI vor. Zahlungssysteme, die nicht dem Regime der MaSI unterfallen, können somit noch bis September 2019 auf die Anwendung der starken Kundenauthentifizierung verzichten. Für die Adressaten der MaSI entfalten die Vgl. auch Art. 15 Abs. 1 S. 1 ZDUG II. Nr. 19 lit. b EBA/CP/2016/11, v. 12.08. 2016, abrufbar unter: https://www.eba.europa.eu/docu ments/10180/1548183/Consultation+Paper+on+draft+RTS+on+SCA+and+CSC+%28EBA-CP-201611%29.pdf, zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
115
bisher nicht zwingenden Verwaltungsvorgaben seit dem 13.01. 2018 haftungsrechtliche Auswirkungen.
b) Haftungsausschluss nach § 675v Abs. 5 BGB n. F. § 675v Abs. 5 BGB n. F. enthält im Vergleich zu § 675v Abs. 3 BGB lediglich redaktionelle Anpassungen und bleibt im Übrigen unverändert. Demnach ist weiterhin die Haftung für alle Schäden ausgeschlossen, die nach der Sperranzeige entstehen. Dies gilt nach § 675v Abs. 5 S. 2 BGB n. F. auch für die Fälle, in denen der Zahlungsdienstleister dem Nutzer nicht die Möglichkeit geboten hat, etwa durch Vorhalten entsprechender Sperrstellen, eine Sperranzeige aufzugeben. Der Verweis aus dem zweiten Satz bezieht sich sowohl in der alten als auch in der neuen Fassung der Vorschrift zwar nur auf Schäden i. S. d. § 675v Abs. 1 BGB, umfasst jedoch auch die in § 675v Abs. 2 BGB a. F. beziehungsweise § 675v Abs. 3 BGB n. F. geregelten unbeschränkten Schadensersatzansprüche.⁴⁴⁰ Dafür spricht zum einen die insofern unveränderte Vorgabe des Art. 60 Abs. 5 PSD I und zum anderen die Intention des Gesetzgebers, den Nutzer in diesen Fällen von einer Gesamthaftung und nicht nur von der partiellen Mithaftung in Absatz 1 zu befreien.⁴⁴¹ Überdies sind die Schäden i. S. d. § 675v Abs. 1 BGB mit den Schäden i. S. d. § 675v Abs. 2 BGB identisch, da es sich in beiden Fällen um Schäden handelt, die infolge eines unautorisierten Zahlungsvorgangs entstanden sind.⁴⁴² Die divergierende Höhe oder die unterschiedlichen tatbestandlichen Voraussetzungen der korrespondierenden Schadensersatzansprüche begründen keine Inkongruenz des zahlungsdienstrechtlichen Schadensbegriffs. Die Haftung lebt in den genannten Fällen jedoch nach § 675v Abs. 5 S. 3 BGB n. F. wieder auf, soweit der Nutzer in betrügerischer Absicht agiert hat.
III. Beweislast in Haftungsfragen, § 675w BGB Die Vorschrift des § 675w BGB regelt die Nachweisgrundlagen für die Autorisierung eines Zahlungsvorgangs und ist damit von prozessualer Relevanz für die Ansprüche der §§ 675u und 675v BGB. Besteht über die Wirksamkeit einer Auto-
So die hM, siehe: BeckOK BGB-Schmalenbach, § 675v Rn. 13; BeckOGK BGB-Hofmann, § 675v Rn. 114; MünchKommBGB-Zetzsche, § 675v Rn. 52. Zu Art. 60 Abs. 5 PSD I vgl. Art. 74 Abs. 3 UAbs. 2 PSD II; Siehe überdies: BT-Drs. 16/11643, S. 114. Aus diesem Grund handelt es sich bei § 675v Abs. 3 S. 2 BGB entgegen Hoffmann, BKR 2014, 105 (111), auch nicht um ein Redaktionsversehen.
116
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
risierung Streit, trägt der Zahlungsdienstleister nach § 675w S. 1 BGB die Beweislast für die ordnungsgemäße und störungsfreie Aufzeichnung und Verbuchung des Zahlungsvorgangs sowie für die ordnungsgemäße Authentifizierung. Dies ist freilich nur bei Zahlungsinstrumenten möglich, die einer Authentifizierung zugänglich sind.⁴⁴³ § 675w S. 3 BGB schränkt jedoch den Beweiswert der technischen Aufzeichnungen in erheblichem Maße ein. Ihr Nachweis ist zwingend zu erbringen, reicht jedoch alleine nicht aus, um eine Autorisierung oder die Voraussetzungen der Haftung nach § 675v BGB zu beweisen. Aus dem technischen Prozess lassen sich keineswegs Rückschlüsse auf die materiellrechtliche Wirksamkeit der Autorisierung ziehen.⁴⁴⁴ Hierzu ist, wie die neue Vorschrift des § 675w S. 4 BGB n. F. nunmehr klarstellend vorsieht, die Vorlage unterstützender Beweismittel erforderlich.⁴⁴⁵ Aus diesem Grund ist die Beweisführung hinsichtlich eines möglichen Schadensersatzanspruchs für den Zahlungsdienstleister von ungleich größerer Bedeutung. Die Beweisbarkeit einer Pflichtverletzung hängt von dem gewählten Zahlungsinstrument ab und wird daher im Einzelfall näher betrachtet.
IV. Weitere Ansprüche des Zahlungsdienstnutzers und Regelung der Haftungsmodalitäten, §§ 675x – 676 BGB Das Zahlungsdiensterecht sieht neben den allgemeinen Haftungsregeln weitere Ansprüche zugunsten des Zahlungsdienstnutzers vor. So können im Falle von Pull-Zahlungen verschuldensunabhängig Erstattungsansprüche nach § 675x BGB bestehen. Dies gilt neben Kartenzahlungen insbesondere für Lastschriften, für die darüber hinaus nach der neuen Vorschrift des Art. 77 Abs. 1 PSD II ein bedingungsloses Erstattungsrecht eingeführt wurde.⁴⁴⁶ Aktuell sieht § 675x Abs. 2 BGB lediglich die Möglichkeit der Vereinbarung eines solchen Rechts vor. Sinn und Zweck des Art. 77 Abs. 1 PSD II ist einerseits die Herstellung eines hohen Verbraucherschutzniveaus und andererseits die Förderung der Akzeptanz der SEPALastschrift in der Öffentlichkeit.⁴⁴⁷ Darüber hinaus eröffnet § 675y BGB die Inanspruchnahme des Zahlungsdienstleisters für Leistungsstörungen im Deckungsverhältnis. Dabei handelt es
So auch Staudinger-Omlor, § 675w Rn. 1, sodass bei dem Einsatz der Kreditkarte im Mailorder-Verfahren oder im Fernabsatz ohne die Verwendung zusätzlicher Sicherheitsverfahren eine Authentifizierung nicht nachzuweisen ist. Vgl. Staub-Grundmann, Bd. 10/2, Dritter Teil Rn. 428; Staudinger-Omlor, § 675w Rn. 1. Umsetzung der schärferen Mindestanforderungen, die aus Art. 72 Abs. 2 PSD II resultieren. Vgl. § 675x Abs. 2 BGB n. F. Siehe: Erwägungsgrund 76 PSD II.
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
117
sich nach § 675y Abs. 1 S. 1 BGB um nicht erfolgte oder fehlerhaft ausgeführte Zahlungsaufträge. In Umsetzung der Art. 81 und 89 PSD II sind nunmehr auch verspätet ausgeführte Zahlungsaufträge als eigenständige Leistungsstörungen von § 675y Abs. 3 S. 1 BGB n. F. erfasst. Die Anspruchsinhalte sind vielfältig und umfassen unter anderem die Erstattung fehlerhafter Buchungen, die korrekte Wertstellung verspätet übermittelter Geldbeträge und die Nachforschung hinsichtlich Überweisungen, die aufgrund einer fehlerhaften Eingabe der Kundenkennung an den falschen Zahlungsempfänger ausgeführt wurden. Die Vorschrift des § 675z BGB enthält keine eigenen Anspruchsgrundlagen, sondern definiert die Sperrwirkung des Zahlungsdiensterechts.⁴⁴⁸ Ansprüche wegen nicht autorisierter oder mangelhafter Ausführung eines Zahlungsauftrags erfahren aufgrund des Vollharmonisierungsansatzes grundsätzlich eine abschließende Regelung. Nach Art. 73 Abs. 3 und 91 PSD II besteht jedoch ein gewisser Anwendungsspielraum für nationale Entschädigungsvorschriften.⁴⁴⁹ Die Spezialität der §§ 675u und 675y BGB n. F. schließt danach Ansprüche aus, die auf dieselben Rechtsfolgen, wie etwa Erstattung von Entgelten oder Zinsen, gerichtet sind.⁴⁵⁰ Dies umfasst alle vertraglichen, deliktischen oder bereicherungsrechtlichen Schadensersatzansprüche.⁴⁵¹ Aus diesem Grund sind allgemeine Haftungsvorschriften insbesondere für Folgeschäden aus dem Valutaverhältnis sowie für Schäden wegen der Verletzung von Aufklärungs-, Warn- oder Hinweispflichten von Bedeutung.⁴⁵² Die Haftung für solche Schäden kann vom Zahlungsdienstleister nach der inhaltlich unveränderten Vorschrift des § 675z S. 2 BGB n. F. auf 12.500 Euro begrenzt werden.⁴⁵³ Der Vollständigkeit halber seien noch die §§ 676 – 676c BGB erwähnt. Ersterer legt die Beweislastverteilung im Rahmen von §§ 675y, 675z BGB zulasten des
BT-Drs. 16/11643, S. 118. Ergaben sich bereits aus Art. 60 Abs. 2 und 76 PSD I, weshalb § 675z BGB nur geringfügig geändert wurde. BT-Drs. 16/11643, S. 118. Staudinger-Omlor, § 675z Rn. 5; der auch ausführlich auf die streitige Parallelität der Nichtleistungskondiktion vom Zahlungsdienstleister gegen den Zahler im Zusammenhang mit § 675u S. 2 BGB eingeht. BT-Drs. 16/11643, S. 118; MünchKommBGB-Casper, § 675x Rn. 6; Palandt-Sprau, § 675z Rn. 3; Staudinger-Omlor, § 675z Rn. 5. Zur nachrangigen bereicherungsrechtlichen Behandlung von Vertragsstörungen im Verhältnis zwischen Zahlungsdienstleister und Zahlungsdienstnutzer siehe beispielsweise: Belling/ Belling, JZ 2010, 708; Winkelhaus, BKR 2010, 441; Staudinger-Omlor, § 675z Rn. 19 ff.
118
Teil 2: Die zivilrechtliche Ausgestaltung des Zahlungsdiensterechts
Zahlungsdienstleisters fest. § 676a BGB⁴⁵⁴ normiert Regressansprüche eines in Anspruch genommenen Zahlungsdienstleisters gegen andere Zahlungsdienstleister oder eine zwischengeschaltete Stelle, soweit das anspruchsbegründende Verhalten in deren Verantwortungsbereich gelegen hat. § 676b BGB⁴⁵⁵ enthält eine Anzeigeobliegenheit des Zahlungsdienstnutzers, den Zahlungsdienstleister unverzüglich nach Feststellung eines nicht autorisierten oder fehlerhaft ausgeführten Zahlungsvorgangs zu unterrichten. Erfolgt die Anzeige nicht binnen 13 Monaten, sind gem. § 676b Abs. 2 S. 1 BGB n. F. jegliche Ansprüche und Einwendungen des Zahlungsdienstnutzers ausgeschlossen. Abschließend werden in § 676c BGB weitere Haftungsausschlüsse etwa für Schäden aufgrund von höherer Gewalt normiert. Darüber hinaus haftet der Zahlungsdienstleister auch nicht für Handlungen, zu denen er gesetzlich verpflichtet ist.
V. Gesamtbewertung des Haftungskonzepts der PSD II Eine Haftung des Zahlungsdienstnutzers kommt nur unter strengen Voraussetzungen in Betracht. Ein Aufwendungsersatzanspruch gelangt in strittigen Fällen meist nicht zur Entstehung, da der Nachweis der Autorisierung dem beweisbelasteten Zahlungsdienstleister nur selten gelingen wird.⁴⁵⁶ In strittigen Fällen sind nicht der Aufwendungsersatzanspruch, sondern die Sekundäranspruche Grundlage des Schadensausgleichs. Die verschuldensunabhängige Haftung des § 675v Abs. 1 BGB a. F. ist dabei einer Haftung mit Exkulpationsmöglichkeiten gewichen. Zusätzlich wurde der maximale Haftungsbetrag von 150 Euro auf 50 Euro herabgesetzt. Relevant und interessant für den Zahlungsdienstleister ist daher vor allem die unbeschränkte Haftung nach § 675v Abs. 3 BGB n. F., für die der Nachweis einer zumindest grob fahrlässigen Pflichtverletzung des Zahlungsdienstnutzers erforderlich ist. In der Regel haftet daher der Zahlungs-
Der neue § 676a BGB n. F. enthält zwei neue Absätze, die die Beweislast in streitigen Fällen zwischen Zahlungsdienstleister und Zahlungsauslösedienstleister zu Lasten des Letzteren verteilen. Erfährt durch die PSD II eine Anpassung für Zahlungsvorgänge, die über einen Zahlungsauslösedienstleister ausgelöst wurden. Die Anzeigeobliegenheit gilt nach § 676b Abs. 4 BGB n. F. nunmehr auch für solche Zahlungsvorgänge, besteht jedoch weiterhin gegenüber dem kontoführenden Zahlungsdienstleister. § 676b Abs. 5 BGB n. F. enthält weitere verbraucherfreundliche Konkretisierungen, wonach die 13-monatige Ausübungsfrist gegenüber einem Zahlungsauslösedienstleister nicht läuft, soweit ein Vorgang dem kontoführenden Zahlungsdienstleister angezeigt worden ist. Überdies können Ansprüche auch nach Ablauf der Frist geltend gemacht werden, soweit der Zahlungsdienstnutzer ohne Verschulden an der Einhaltung der Frist gehindert war. Eine Ausnahme gilt insbesondere für irrtumsbedingte bewusst ausgelöste Überweisungen, siehe hierzu ausführlich: Teil 3, 1. Abschnitt, D., II., 2., a).
2. Abschnitt: Das novellierte Regelungsregime des Zahlungsdiensterechts
119
dienstleister nicht nur für eigene, sondern auch für alle einfach fahrlässig herbeigeführten Pflichtverletzungen des Zahlungsdienstnutzers. Das Haftungskonzept entspricht somit in seinen Grundzügen der alten Rechtslage. Die relevanteste Neuerung stellt § 675v Abs. 4 S. 1 BGB n. F. dar, wonach der Zahlungsdienstleister bei der Missachtung der aus § 55 ZAG n. F. folgenden Authentifizierungspflichten den Zahlungsdienstnutzer nicht in Anspruch nehmen kann, soweit dieser nicht betrügerisch gehandelt hat. Hiermit setzt der Richtliniengeber einen erheblichen Anreiz für Zahlungsdienstleister, den Vorgaben der starken Kundenauthentifizierung nachzukommen.
Teil 3: Giralgeldzahlungen im E-Commerce Die Verlagerung klassischer Bezahlverfahren wie Überweisung, Lastschrift oder Kreditkartenzahlung in die virtuelle Welt erscheint insbesondere aus funktioneller Perspektive keine großen Unterschiede im Vergleich zu den jeweiligen stationären oder beleggebundenen Zahlungsverfahren aufzuweisen. Lediglich die Initiierungsprozesse divergieren, während die Hintergrundprozesse dieselben bleiben. Die geringe funktionale Abweichung hat jedoch aufgrund der systembedingten Besonderheiten und Risiken der bargeldlosen Internet-Bezahlverfahren in Fragen der Autorisierung, der Risikoverteilung und der Haftung erhebliche Auswirkungen.
1. Abschnitt: Online-Überweisungen im E-Commerce A. Anwendbarkeit des Zahlungsdiensterechts Die Ausführung einer Überweisung fällt gem. § 675c Abs. 1 und 3 BGB n. F. i.V. m. § 1 Abs. 1 S. 2 Nr. 3 lit. c ZAG n. F. in den Anwendungsbereich des Zahlungsdiensterechts.⁴⁵⁷ Der europäische Gesetzgeber hat sich in Art. 4 Nr. 3 i.V. m. Anhang I Nr. 3 lit. a und b PSD II an dem Tatbestandsmerkmal der Ausführung eines solchen Zahlungsvorgangs orientiert. Für die Einordnung als Zahlungsdienst ist es daher irrelevant, ob die Zahlung über das Internet oder stationär ausgelöst wurde. Unbedeutend ist auch das zur Initiierung genutzte Gerät.
B. Organisationsrahmen der Parteien Der Großteil der zahlungsdienstrechtlichen Vorschriften setzt den Abschluss eines Zahlungsdienstevertrags i. S. d. § 675 f BGB n. F. voraus. Nach Vertragsschluss eröffnet der Zahlungsdienstleister ein auf den Namen des Nutzers laufendes Zahlungskonto, welches die Ausführung von Überweisungen oder Einziehung von Lastschriften ermöglicht. Darüber hinaus werden meist Girokarten im Wege einer zusätzlichen Abrede für Abbuchungen und elektronische Zahlungen ausgegeben. Der Vertragsschluss ist als Materie des BGB AT grundsätzlich nicht Bestandteil der
PSD I und PSD II sind diesbezüglich wortlautgleich: vgl. Art. 4 Nr. 3 i.V. m. Anhang I Nr. 3 PSD I und Art. 4 Nr. 3 i.V. m. Anhang I Nr. 3 lit. a, b PSD II.Vgl. auch die Vorgängernorm in § 1 Abs. 2 Nr. 2 lit. a ZAG a. F. https://doi.org/10.1515/9783110671629-006
1. Abschnitt: Online-Überweisungen im E-Commerce
121
vertraglichen Analyse, da das Eingehen einer vertraglichen Beziehung der Privatautonomie der Beteiligten unterfällt. Eine der wenigen Ausnahmen, in denen der Gesetzgeber einen Kontrahierungszwang konstituiert, findet sich allerdings im Bereich des Zahlungswesens.
I. Kontrahierungszwang nach dem Zahlungskontengesetz Seit dem 18.06. 2016 sieht das Zahlungskontengesetz, welches die EU-Zahlungskonten-Richtlinie⁴⁵⁸ umsetzt, einen gesetzlichen Kontrahierungszwang für alle Kreditinstitute auf Abschluss eines sogenannten Basiskontovertrags vor.⁴⁵⁹ Bisher galt dies aufgrund des grundgesetzlichen Gleichbehandlungsgrundsatzes sowie konkret normiert in einigen Normen des deutschen Sparkassenrechts nur für öffentlich-rechtlich organisierte Kreditinstitute.⁴⁶⁰ Der europäische Gesetzgeber bezweckt mit dem (universellen) Kontrahierungszwang für alle CRR-Kreditinstitute die Stärkung der Verbraucherrechte und die Förderung des Wettbewerbs.⁴⁶¹ Ein Basiskontovertrag kommt zustande, wenn ein Verbraucher mit Wohnsitz in der EU bei einem CRR-Kreditinstitut einen Antrag auf Abschluss eines Kontovertrags stellt und keine Ablehnungsgründe i. S.d. §§ 35 – 37 ZKG vorliegen.⁴⁶² Ein CRR-Kreditinstitut ist gem. § 1 Abs. 3d S. 1 KWG i.V. m. Art. 4 Abs. 1 Nr. 1 CRR-VO⁴⁶³ jedes Institut, das Gelder als Einlagen entgegennimmt. Der Basiskontovertrag ist ein Unterfall des Zahlungsdiensterahmenvertrags und muss gem. § 38 ZKG über einige grundlegende Kontofunktionen verfügen. Verträge, die über das Leistungsportfolio des Basiskontovertrags hinausgehen, wie zum Beispiel Girokontenverträge, unterliegen weiterhin der Privatautonomie der Parteien.
Richtlinie 2014/92/EU des Europäischen Parlaments und des Rates vom 23. Juli 2014 über die Vergleichbarkeit von Zahlungskontoentgelten, den Wechsel von Zahlungskonten und den Zugang zu Zahlungskonten mit grundlegenden Funktionen, ABl.EU L 257/214. Zu weiteren möglichen Kontrahierungszwängen siehe: BeckOK BGB-Schmalenbach, § 675 f Rn. 30. Findeisen, WM 2016, 1765 (1771); Herresthal, BKR 2016, 133 (135) jeweils mwN. Vgl. Erwägungsgrund 9, ZKRL; Findeisen, WM 2016, 1765 (1766); Eine universelle Umsetzungspflicht ergibt sich nicht zwingend aus der Richtlinie, vgl. Art. 16 Zahlungskontenrichtlinie sowie Held, BKR 2016, 353 (356). Aufgrund des auch für private Kreditinstitute geltenden Kontrahierungszwangs hält Held, BKR 2016, 353 das ZKG für teilweise verfassungswidrig. Eine Verpflichtung der Sparkassen hätte den Unionsvorgaben genügt. Verordnung Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013, über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012, ABl.EU L 176/1.
122
Teil 3: Giralgeldzahlungen im E-Commerce
Bei der Umsetzung der Richtlinie hat sich der deutsche Gesetzgeber hinsichtlich der grundlegenden Funktionen an den Begriffen der PSD I orientiert und in § 38 Abs. 2 ZKG festgelegt, dass ein Basiskonto das Ein- und Auszahlungsgeschäft, das Überweisungs- und Lastschriftgeschäft sowie das Zahlungskartengeschäft ermöglichen muss.⁴⁶⁴ Die Regelungen über den Inhalt des Basiskontovertrags der §§ 38 – 45 ZKG sind halbzwingend.⁴⁶⁵ Es darf also zum Vorteil des Zahlungsdienstnutzers vom Gesetz abgewichen werden. Im Übrigen ist das Zahlungsdiensterecht als lex generalis erst anzuwenden, soweit das ZKG keine eigene Regelung vorsieht. Der rechtliche Organisationsrahmen, in dem sich Kunde und Bank bewegen, bestimmt sich somit entweder nach dem Zahlungsdiensterecht oder dem ZKG. Die inhaltlichen Unterschiede sind jedoch anhand des in § 40 ZKG festgelegten Diskriminierungsverbots, wonach Basiskontokunden im Vergleich zu gewöhnlichen Kunden keine benachteiligenden Vertragsbedingungen auferlegt werden dürfen, überschaubar. Das Verbot erlangt gerade im Hinblick auf die recht schwammig gefasste Entgeltregelung in § 41 ZKG Bedeutung. Das aus § 675 f Abs. 5 S. 2 BGB n. F. folgende Verbot der Erhebung von Entgelten für das Erbringen von Nebenleistungspflichten, das prinzipiell als lex generalis nicht anwendbar ist, findet durch § 40 ZKG zumindest indirekt Eingang in die vertraglichen Beziehungen zwischen Basiskontokunde und Kreditinstitut.⁴⁶⁶ Die ungenaue Definition im Bereich der Entgelte dürfte gerade im Zusammenspiel mit § 40 ZKG Rechtsprechungsbedarf zur Folge haben.⁴⁶⁷
II. Anspruch auf Zugang zum Online-Banking? Das in § 38 Abs. 4 S. 3 ZKG vorgesehene Diskriminierungsverbot hinsichtlich der Nutzung unterschiedlicher Kommunikationsformen mit dem Kreditinstitut kann überdies auch eine Pflicht des Zahlungsdienstleisters begründen, das OnlineBanking freizuschalten, soweit dies gewöhnlichen Verbraucherkunden angebo-
BT-Drs. 18/7204, S. 81 f. BT-Drs. 18/7204, S. 59. So auch: Herresthal, BKR 2016, 133 (141); Vgl. außerdem das Preis- und Leistungsverzeichnis der ING-DiBa AG für Basiskontokunden, abrufbar unter: https://www.ing-diba.de/pdf/kundenser vice/konditionen/agb/agb-basiskonto.pdf (Stand: 01.08. 2017), zuletzt abgerufen am 10.04. 2019, und für gewöhnliche Kunden, abrufbar unter: https://www.ing-diba.de/pdf/kundenservice/kondi tionen/leistungsverzeichnis/ing-diba-preise-leistungen.pdf (Stand: 02.11. 2017), zuletzt abgerufen am 10.04. 2019, welche identisch sind. Anders gestaltet sich dies wohl bei einigen Sparkassen, siehe Findeisen, WM 2016, 1765 (1773). So auch Findeisen, WM 2016, 1765 (1773).
1. Abschnitt: Online-Überweisungen im E-Commerce
123
ten wird.⁴⁶⁸ Dies ist bei Direktbanken der Fall, die über kein eigenes Filialnetz verfügen und ausschließlich auf Online-Banking-Basis operieren. In den sonstigen Fällen unterliegt der Abschluss einer Vereinbarung zum Online-Banking hingegen der Privatautonomie der Parteien. Ein vergleichbarer Anspruch besteht nicht und ist wegen der unterschiedlichen Interessenlage auch nicht geboten.⁴⁶⁹ Die Entpersonalisierung des Zahlungsdienstnutzers sowie die erhöhten Sicherheitsrisiken rechtfertigen eine vorherige Prüfung der technischen und persönlichen Zuverlässigkeit des Kunden. Dies geschieht nicht nur im Interesse des Zahlungsdienstleisters, sondern auch im Kundeninteresse. Eine Überforderung im Hinblick sowohl auf das technische Verständnis als auch auf die Wahrung der Sorgfaltspflichten kann schließlich erhebliche Folgen haben. Überdies ist die Nutzung der grundlegenden Funktionen eines Kontos auch ohne Online-Zugang jederzeit gewährt. Das Online-Banking ist im Gegensatz zum Basiskonto, dem „Girokonto für jedermann“ ⁴⁷⁰ nicht zur Lebensführung notwendig, sodass der Abschluss einer Online-Banking-Vereinbarung weiterhin im billigen Ermessen des Kreditinstituts steht.
III. Gewöhnlicher Vertragsinhalt Der Inhalt der vertraglichen Beziehungen der Parteien ist stark von den AGB der Banken und Sparkassen geprägt. Dabei handelt es sich um kartellrechtlich zulässige Klauselwerke, die als Konditionenempfehlungen der Spitzenverbände der Kreditwirtschaft, namentlich dem Bundesverband Deutscher Banken, dem Sparkassen- und Giroverband sowie dem Bundesverband der Deutschen Volksbanken und Raiffeisenbanken, herausgegeben werden.⁴⁷¹ Die Musterbedingungen regeln zunächst allgemein die vertraglichen Beziehungen zwischen Kunde und Kreditinstitut. Zusätzlich gibt es zahlreiche Sonderbedingungen, beispielswiese für den Überweisungsverkehr, den Lastschriftverkehr, das Online-Banking oder für die Ausgabe einer Girokarte. Für die Ausgabe von Kreditkarten liegen keine Konditionenempfehlungen vor. Die Regelungen haben sich freilich in den bereits dargestellten gesetzlichen Rahmen des Zahlungsdiensterechts sowie des allgemeinen AGB-Rechts einzufügen. Der halbzwingende Charakter des Zahlungsdiensterechts hat zur Folge, dass
Gondert/Huneke, VuR 2016, 323 (326). BankR Hdb-Maihold, § 55 Rn. 45; Bunte, AGB-Banken, 4. Auflage 2015, 4. Teil V. Rn. 14; Langenbucher/Bliesener/Spindler-Herresthal, 2. Kap, § 675 f Rn. 29 ff; Wiesgickl, WM 2000, 1039 (1043). Findeisen, WM 2016, 1765 (1766). Bunte, AGB-Banken, 4. Auflage 2015, 2. Teil Rn. 29 ff.
124
Teil 3: Giralgeldzahlungen im E-Commerce
die Musterbedingungen meist Spiegelbilder der rechtlichen Vorgaben sind. Interessant sind daher besonders die Bereiche, in denen das Gesetz aufgrund fehlender Regelungen privatautonome Vereinbarungen zulässt, wie etwa im Bereich des Bankgeheimnisses, oder Bereiche, in denen gesetzliche Abweichungsmöglichkeiten zulässig sind. Gesetzlich umfassend geregelte Vertragsbestandteile, wie etwa die mitzuteilenden Informationen, Haftungsgrundsätze, Autorisierung und Ausführung von Zahlungsaufträgen sowie Kündigungsvorschriften, werden oftmals wortlautgetreu vom Gesetz abgeschrieben, sodass sich diese Regelungsbereiche mit den Ausführungen des vorherigen Kapitels decken. Allgemeine Klauseln wie Aufrechnungsverbote oder Gerichtsstandvereinbarung, die in den meisten AGB aller Vertragstypen zu finden sind, entfalten im Online-Zahlungsverkehr keine besondere Wirkung.⁴⁷²
1. Reichweite und Beschränkungen des Bankgeheimnisses Von erheblicher Bedeutung für die Beziehung zwischen Bankkunde und Kreditinstitut ist das in Nr. 2 AGB-Banken geregelte Bankgeheimnis. Die Bank ist hiernach zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen verpflichtet. Auskünfte dürfen nur nach ausdrücklicher Einwilligung des Kunden, aufgrund vertraglicher Vereinbarung oder aufgrund einer verpflichtenden Norm erteilt werden.⁴⁷³ Einschränkende Vorschriften finden sich insbesondere im Strafverfahrensrecht, dem Steuerrecht, dem Erbschaftsrecht, dem Sozialrecht und dem Geldwäscherecht. Die PSD II sieht nunmehr eine weitere Beschränkung des Bankgeheimnisses vor. Für den Fall, dass ein Zahlungsdienstnutzer bei einer Überweisung einen inhaltlich korrekten, jedoch nicht dem bezweckten Zahlungsempfänger zugewiesenen Kundenidentifikator angibt, gilt die Zahlung nach der Vorschrift des § 675r Abs. 1 S. 2 BGB n. F. als ordnungsgemäß ausgeführt. Dem Zahler stehen keine Ansprüche gegen seinen Zahlungsdienstleister oder dem Zahlungsdienstleister des Empfängers auf Erstattung des Betrags zu. Er trägt demnach vollumfänglich das Risiko der fehlerhaften Eingabe einer Kundenkennung. Nach alter Rechtslage trat erschwerend der Umstand hinzu, dass per Gesetz keinerlei Auskunftsansprüche gegen den Zahlungsdienstleister auf Benennung des Empfängers bestanden, um zumindest bereicherungsrecht-
Siehe: Textabdruck der AGB-Banken, abrufbar unter: https://bankenverband.de/media/up loads/2016/07/14/40000_0316_muster.pdf (Stand: 21.03. 2016), zuletzt abgerufen am 10.04. 2019. Nr. 2 Abs. 2– 4 AGB-Banken enthalten die Voraussetzungen für die vertraglich vereinbarte Erteilung einer Bankauskunft.
1. Abschnitt: Online-Überweisungen im E-Commerce
125
liche Ansprüche durchsetzen zu können.⁴⁷⁴ § 675y Abs. 3 S. 2 BGB a. F. beinhaltete lediglich die Pflicht des eigenen Zahlungsdienstleisters, sich um die Wiedererlangung des Betrags zu bemühen. Diese Pflicht erschöpfte sich nach erfolgter Gutschrift in der Anfrage beim Empfängerinstitut, ob der Betrag freiwillig wieder herausgegeben werde.⁴⁷⁵ Durch die PSD II wird dieser „höfliche Appel des Gesetzgebers“ ⁴⁷⁶ durch einen erweiterten Pflichtenkatalog ersetzt. Nicht nur der Zahlungsdienstleister des Zahlers ist verpflichtet, an der Wiederbeschaffung mitzuwirken, auch den Zahlungsdienstleister des Empfängers trifft nunmehr eine korrespondierende Pflicht.⁴⁷⁷ Dieser muss dem Zahlungsdienstleister des Zahlers alle zur Wiedererlangung erforderlichen Informationen mitteilen. Sollte die Zusammenarbeit nicht zum gewünschten Erfolg führen, sieht der Richtliniengeber in Art. 88 Abs. 3 UAbs. 2 PSD II einen Auskunftsanspruch des Zahlers gegen seinen Zahlungsdienstleister vor. Dieser subsidiäre Auskunftsanspruch beinhaltet die Mitteilung aller Informationen über den Zahlungsempfänger, die der Zahlungsdienstleister zuvor erlangt hat und die zur Geltendmachung eines bereicherungsrechtlichen Anspruchs erforderlich sind. Die zweistufige Weitergabe ist Ausfluss des Bankgeheimnisses. Die Mitteilung kundenbezogener Daten soll gem. Nr. 2 Abs. 4 AGB-Banken nur gegenüber Kreditinstituten erfolgen.⁴⁷⁸ Erst wenn alle Bemühungen scheitern, gestattet die neue Vorschrift des § 675y Abs. 5 S. 3 und 4 BGB n. F. nunmehr auch die Weitergabe gegenüber Kunden von Drittbanken. Dem Schutz der Vertraulichkeit und der Integrität des betroffenen Kunden wird durch das Verwenden des Begriffs der Erforderlichkeit im Gesetzesentwurf Rechnung getragen. Die Weiter-
Zwar hat die deutsche Kreditwirtschaft ein Interbanken-Abkommen zur SEPA-Inlandsüberweisung geschlossen, wonach sich die Kreditinstitute gegenseitig verpflichten, in solchen Fällen, Name und Adresse des Zahlungsempfängers mitzuteilen. Neben der Beschränkung auf Überweisungen mit einem Betrag über 20 Euro, bietet das Abkommen keine ausreichende rechtliche Grundlage das Bankgeheimnis zu brechen. Überdies erwachsen hieraus keine Ansprüche des Zahlungsdienstnutzers gegen seinen Zahlungsdienstleister. Siehe hierzu ausführlich: Hoffmann, WM 2016, 1110 (1112 f). Palandt-Sprau, § 675y Rn. 8; Hoffmann, WM 2016, 1110 (1113); siehe auch BeckOK BGBSchmalenbach, § 675y Rn. 18 und MünchKommBGB-Casper, § 675y Rn. 43, die in Anbetracht der neuen Vorgaben der PSD II gemeinsam davon ausgehen, dass ein ähnlicher Anspruch de lege lata bereits besteht. Rauhut, ZBB 2009, 32 (43). Vgl. Erwägungsgrund 88 PSD II. Kritisch hinsichtlich der Wahrung des Bankgeheimnisses, Hoffmann, WM 2016, 1110 (1114), der auf S. 1115 daher fordert, dass die Weitergabe nur erfolgen dürfe, soweit dies für die Zielsetzung erforderlich ist. Dieser Fall ist erst gegeben, wenn „die Einziehung mittels anderer Unterstützungsmaßnahmen“ scheitert.
126
Teil 3: Giralgeldzahlungen im E-Commerce
gabe wird erst dann erforderlich und zulässig, soweit alle anderen Maßnahmen zur Wiedererlangung gescheitert sind.
2. Zinsen und Entgelte Nr. 12 Abs. 1 AGB-Banken bezieht das Preis- und Leistungsverzeichnis des jeweiligen Verwenders in die Vertragsbeziehung ein. Für die Höhe und dem Umfang der Entgelte gibt es keine Sonderbedingungen, da eine allgemeine Konditionsempfehlung für Preise und Gebühren gegen die kartellrechtliche Vorschrift des § 1 GWB verstoßen würde. Die Verzeichnisse der Banken legen neben den gewöhnlichen Gebühren für Haupt- und Nebenleistungen, wie zum Beispiel für Auslandsüberweisungen und für Fremdwährungsumrechnungen, auch Zinsen für Überziehungskredite oder Guthaben fest. Zudem finden sich in diesen Verzeichnissen auch die Kosten für die vom Zahlungsdiensterecht normierten Ausnahmefällen, in denen Entgelte für Nebenleistungen verlangt werden dürfen. Oft waren unzulässige Entgeltvereinbarungen in der Vergangenheit Gegenstand gerichtlicher Auseinandersetzungen, was im Zusammenspiel mit den gesetzlichen Vorgaben für ein höheres Maß an Rechtssicherheit gesorgt hat.⁴⁷⁹ Preisliche Unterschiede zwischen stationären und virtuellen Zahlungen finden sich in den Preis- und Leistungsverzeichnissen der Banken nicht.
IV. Vertragliche Besonderheiten des Online-Bankings Eines der wesentlichen Merkmale des Online-Bankings ist die Entpersonalisierung der Zahlungsdienstnutzer. Aus diesem Grund sind die Authentifizierungsanforderungen in der virtuellen Welt nicht nur von größerer Bedeutung, sondern bedürfen auch einer anderen Qualität. Dieser Umstand spiegelt sich insbesondere im Bereich der personalisierten Sicherheitsmerkmale und den damit verbundenen Sorgfaltspflichten wider.
1. Personalisierte Sicherheitsmerkmale und Zahlungsinstrumente im Online-Banking Das im Online-Banking praktizierte, mehrstufige Sicherheitsverfahren, bestehend aus der Kombination von PIN und TAN, soll eine nachvollziehbare Identifizierung Vgl. kürzlich: Unzulässige Bepreisung von SMS-TAN, BGH Urt. v. 25.07. 2017 – XI ZR 260/15, WM 2017, 1744; Fehlender Zusammenhang mit direkten Kosten, BGH WM 2017, 2013; Kosten für Ersatzkarte, BGH NJW 2016, 560; Zulässige Kosten für Hauptleistungspflichten, OLG München, Urt. v. 12.10. 2017 – 29 U 4903/16, WM 2018, 519.
1. Abschnitt: Online-Überweisungen im E-Commerce
127
des Zahlungsdienstnutzers ermöglichen. Dies wird durch die Kombination numerischer und alphabetischer Codes sichergestellt, die nur dem berechtigten Zahlungsdienstnutzer zugänglich gemacht werden und vor einer Drittoffenbarung zu schützen sind. Sowohl PIN als auch TAN sind daher als personalisierte Sicherheitsmerkmale i. S. d. 675l S. 1 BGB n. F. einzuordnen.⁴⁸⁰ Diese Einordnung eröffnet die Frage, ob Speichermedien, wie die TAN-Liste oder das Smartphone im mTAN-Verfahren, ebenfalls als personalisierte Sicherheitsmerkmale zu schützen oder sogar als Zahlungsinstrumente einzuordnen sind. Ein Zahlungsinstrument liegt nach Art. 4 Nr. 14 PSD II vor, soweit es sich um ein personalisiertes Verfahren oder personalisiertes Instrument handelt, welches verwendet wird, um einen Zahlungsauftrag zu erteilen. Teile der Literatur vertreten die Auffassung, dass nicht die Zahlungsfunktion, sondern die Beteiligung im Zahlungsauslöseprozess maßgeblich für die Qualifikation als Zahlungsinstrument ist.⁴⁸¹ Dies widerspricht allerdings dem klaren Wortlaut der Definition und würde eine sachlich nicht gerechtfertigte Erweiterung des Zahlungsinstruments zur Folge haben.⁴⁸² Die geringfügige Beteiligung an der Authentifizierung lässt Speichermedien daher nicht zum Zahlungsinstrument erstarken, sodass sie allenfalls unter den Begriff des personalisierten Sicherheitsmerkmals fallen.⁴⁸³ Die fehlende Legaldefinition der personalisierten Sicherheitsmerkmale hat innerhalb der Literatur zu erheblichen Auslegungsstreitigkeiten geführt.⁴⁸⁴ Da in diesen Fällen stets der Wille des europäischen Gesetzgebers maßgeblich ist, sind die europäischen Vorgaben Ausgangspunkt einer näheren Konkretisierung. Personalisierte Sicherheitsmerkmale dienen der Authentifizierung eines Zahlungsauftrags, indem sie eine Identifikation des berechtigten Zahlungsdienstnutzers
Ganz hM: BT-Drs. 16/11613, S. 36; BT-Drs. 16/11643, S. 113; Casper/Pfeifle WM 2009, 2243 (2249); Casper/Terlau-Casper, § 1 Rn. 60; Langenbucher/Bliesener/Spindler-Langenbucher, 3. Kap, § 675j Rn. 23; MünchKommBGB-Jungmann, § 675j Rn. 40 ff; Palandt-Sprau, § 675j Rn. 7; Scheibengruber, NJOZ 2010,1366 (1367); Schwennicke/Auerbach-Schwennicke, § 1 ZAG Rn. 89; Staudinger-Omlor, § 675c Rn. 18. Daher Speichermedien als Zahlungsinstrumente einordnend: Bunte, AGB-Banken, 4. Auflage 2015, 4. Teil V. Rn. 46; Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap. § 675l Rn. 16. Hinsichtlich personalisierter TAN-Generatoren und Lesegeräte, die auch nicht als klassische Speichermedien zu verstehen sind, ist BankR Hdb-Maihold, § 55 Rn. 41 anderer Auffassung. Im Hinblick auf die personalisierten TAN-Generierungsverfahren verkennt er den Umstand, dass der Zahlungsauftrag über das Online-Banking-Portal und nicht über den TAN-Generator erteilt wird. Für die ausgesprochen selten verwendeten Lesegeräte ist Maihold zuzustimmen, siehe auch: Scheibengruber, BKR 2010, 15 (18). BeckOGK BGB-Hofmann, § 675l Rn. 26; EFN-Nobbe, § 675v Rn. 19; Scheibengruber, BKR 2010, 15 (20); ders. NJOZ 2010, 1366 (1369); Staudinger-Omlor, § 675c Rn. 17. Vgl. bereits oben: Teil 2, 2. Abschnitt, B.
128
Teil 3: Giralgeldzahlungen im E-Commerce
ermöglichen. Sie nehmen insofern eine exklusive Stellung im Zahlungsauslöseprozess ein und können daher auch nicht zugleich Zahlungsinstrument sein.⁴⁸⁵ Die gebotene enge Auslegung des Begriffes hat allerdings zur Folge, dass personalisierte Sicherheitsmerkmale sich definitorisch auf die konkrete Zahlen- oder Buchstabenkombination in Form von PIN, TAN oder Passwort, die eine gesteigerte Gewähr für die Identifikation des berechtigten Nutzers bieten, beschränken.⁴⁸⁶ Der bloße Besitz eines Speichermediums kann eine derartige Gewähr nicht begründen. Die Authentifizierung erfolgt schließlich durch die jeweilige TAN, nicht durch die TAN-Liste. Speichermedien sind demnach auch nicht als personalisierte Sicherheitsmerkmale zu qualifizieren.⁴⁸⁷ Dies hat jedoch keineswegs zur Folge, dass sich die Pflicht aus § 675l Abs. 1 S. 1 BGB n. F. nicht auf Speichermedien erstrecken würde. Die dem Zahlungsdienstnutzer auferlegte Pflicht zur sorgfältigen Verwahrung personalisierter Sicherheitsmerkmale zum Schutz vor dem Zugriff Dritter beinhaltet freilich auch den Schutz des jeweiligen Trägermediums. Die per SMS auf ein Mobiltelefon versandte TAN kann vor Drittzugriffen nur wirksam geschützt werden, soweit das Mobiltelefon sorgfältig verwahrt wird. Demnach ist der Schutz der Speichermedien mittelbarer Bestandteil der Sorgfaltspflichten des Nutzers, ohne dass die Speichermedien als Zahlungsinstrumente oder personalisierte Sicherheitsmerkmale zu qualifizieren wären. Schutzlücken sind dadurch nicht zu befürchten. Insbesondere die fehlende gesetzliche Anzeigepflicht bei dem Verlust von Speichermedien lässt sich durch privatautonome Regelungen auffangen. So finden sich beispielsweise in den AGB-Banken Anzeigepflichten für den Fall, dass Speichermedien abhandenkommen. Eine Gleichstellung mit personalisierten Sicherheitsmerkmalen und dadurch eine Ausweitung der Haftung des § 675v Abs. 1 BGB n. F. ist jedoch aufgrund von § 675e Abs. 1 BGB n. F. nicht zulässig.⁴⁸⁸ Im OnlineBanking sind somit nur PIN, TAN und Passwort als personalisierte Sicherheits-
BeckOGK BGB-Hofmann, § 675l Rn. 25. Siehe oben: Teil 2, 2. Abschnitt, B., II. BankR Hdb-Maihold, § 55 Rn. 42, 98, 99; BeckOGK BGB-Hofmann, § 675l Rn. 26; Casper/ Pfeifle, WM 2009, 2343 (2346); Hofmann, BKR 2014, 105 (107); Palandt-Sprau, § 675j Rn. 7; Scheibengruber, BKR 2010, 15 (18); Staudinger-Omlor, § 675v Rn. 8. BeckOGK BGB-Hofmann, § 675l Rn. 26; Ders. in: BKR 2014, 105 (107)). Der halbzwingende Charakter des Gesetzes lässt keine Abweichungen zum Nachteil des Zahlungsdienstnutzers zu. Die Erweiterung der Haftung auf Geräte, die keine Zahlungsinstrumente oder personalisierte Sicherheitsmerkmale darstellen, ist jedoch eine derartige, nachteilige Regelung. Folglich sind solche Bestimmungen unwirksam. Statuieren sie lediglich eine Anzeigepflicht für den Verlust dieser Medien, bewegt sich eine solche Regelung im Bereich des Zulässigen.
1. Abschnitt: Online-Überweisungen im E-Commerce
129
merkmale zu qualifizieren, während das Verfahren der Online-Überweisung ein Zahlungsinstrument darstellt.
2. Besondere Pflichten des Zahlungsdienstleisters gem. § 675m BGB n. F. Im Online-Zahlungsverkehr entfaltet die Vorschrift des § 675m Abs. 1 Nr. 1 BGB n. F. eine nicht unerhebliche Bedeutung. Der Zahlungsdienstleister ist hiernach verpflichtet, sichere technische System zu schaffen und diese stets auf dem aktuellen Stand der Technik zu halten, um die Kommunikationskanäle gegen Drittangriffe ausreichend zu schützen.⁴⁸⁹ Selbstverständlich gilt dies auch für den Schutz der eigenen Systeme, in denen personalisierte Sicherheitsmerkmale und kundenbezogene Daten niedergelegt sind. Darüber hinaus muss sich der Zahlungsdienstleister stets über neue Bedrohungsszenarien informieren, um sich einerseits selbst zu schützen und um andererseits den Zahlungsdienstnutzer über aktuelle Missbrauchsszenarien aufklären zu können.
3. Besondere Pflichten des Zahlungsdienstnutzers gem. § 675l BGB n. F. Der Zahlungsdienstnutzer erhält mit PIN und TAN personalisierte Sicherheitsmerkmale. Diese hat er nach Maßgabe des § 675l Abs. 1 S. 1 BGB n. F. im Rahmen des Zumutbaren vor unbefugtem Zugriff zu schützen. Die allgemeine Fassung des Gesetzes und der Richtlinie eröffnet Zahlungsdienstleistern einen Spielraum zur Konkretisierung der Sorgfaltspflichten.⁴⁹⁰ Die SB-Online-Banking enthalten daher in Nr. 7 einen präzisen Pflichtenkatalog, der sich maßgeblich an der umfangreichen Rechtsprechung zu zahlungstypischen Sorgfaltspflichtverletzungen orientiert.⁴⁹¹ Die deutschen Gerichte haben die zentralen Anforderungen an die Sorgfaltspflichten mit den Begriffen des Trennungsgrundsatzes, des Verdachtsvorsorgegrundsatzes und des Sicherungsgrundsatzes definiert.⁴⁹² Nach Nr. 7.1 SB-Online-Banking darf der Zahlungsdienstnutzer nur die von der Bank mitgeteilten Online-Banking-Zugangskanäle nutzen. Wird er durch einen erfolgreichen Online-Angriff auf eine bankfremde Website weitergeleitet, die anhand der Adresszeile eindeutig als bankfremd zu erkennen ist, begeht er eine Sorgfaltspflichtverletzung, wenn er anschließend seine personalisierten Sicher-
Zum Versand der personalisierten Sicherheitsmerkmale siehe: Langenbucher/Bliesener/ Spindler-Herresthal, 5. Kap, § 675m Rn. 4; BeckOGK BGB-Hofmann, § 675m Rn. 12 ff. EBJS-Grundmann, BGB, II 194. Siehe etwa: BGH, Urt. v. 24.04. 2012 – XI ZR 96/11, NJW 2012, 2422 ff. EBJS-Grundmann, BGB, II 194 mwN.
130
Teil 3: Giralgeldzahlungen im E-Commerce
heitsmerkmale eingibt.⁴⁹³ Nr. 7.2 SB-Online-Banking fasst mithin die wichtigsten Sorgfaltspflichten zusammen. Im ersten Absatz wird die Pflicht zur Geheimhaltung der personalisierten Sicherheitsmerkmale und die sichere Aufbewahrung der Zahlungsinstrumente festgelegt. Hierin spiegeln sich Sicherungs- und Trennungsgrundsatz wieder. Sicherheitsmerkmale und Zahlungsinstrumente dürfen nicht gemeinsam verwahrt werden und sind jeweils vor fremden Zugriff zu schützen.⁴⁹⁴ Die sichere Verwahrung der Zahlungsinstrumente beinhaltet nach den SB-Online-Banking i. S. d. § 675l Abs. 1 S. 1 BGB n. F. auch den Schutz der verkörperten Speichermedien.⁴⁹⁵ Sicherungs- und Trennungsgrundsatz spiegeln sich außerdem in Nr. 7.2 Abs. 2 SB-Online-Bedingungen wider, der einige nicht abschließend aufgeführte Sorgfaltspflichten enthält. So darf beispielsweise das personalisierte Sicherheitsmerkmal weder elektronisch gespeichert noch außerhalb der gesondert vereinbarten Internetseiten, etwa per Mail, weitergegeben werden. Hierdurch soll der Nutzer darauf aufmerksam gemacht werden, in keinem Falle andere Zugangskanäle, die beispielsweise von betrügerischen Dritten betrieben werden, für den Zugriff auf das Online-Banking zu nutzen. Außerdem wird dem Nutzer untersagt, für die Autorisierung eines Auftrags, für die Aufhebung einer Sperre oder zur Freischaltung einer neuen TAN-Liste mehr als eine TAN zu verwenden. Hiermit wird betrügerischen Aktivitäten vorgebeugt, bei denen der Kunde zur Eingabe mehrerer TAN aufgefordert wird, mit denen anschließend unautorisierte Zahlungsaufträge ausgeführt werden. Weiterer Ausfluss des Sicherungsgrundsatzes ist die Pflicht, den Computer mittels Firewall und Antivirenprogramm gegen Angriffe aus dem Internet zu schützen. Darüber hinaus sind auch Smartphones, die zum mTAN-Verfahren freigeschaltet sind, nicht für das Online-Banking zu verwenden.⁴⁹⁶ Ansonsten würde der Sicherheitsvorteil, den physisch getrennte Geräte mit sich bringen, zunichtegemacht. In Nr. 7.3 und 7.4 SB-Online-Banking finden sich weitere Pflichten, wie die Beachtung aktueller Informationen der Bank sowie die Kontrolle der von der Bank angezeigten Informationen aus einem Online-Banking-Auftrag. Der
Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675v Rn. 23. Die erste Variante der Musterklausel ist zwar nach einem Beschluss des Bundeskartellamtes rechtswidrig und damit unwirksam, bedarf jedoch zu ihrer Wirksamkeit nur einer geringfügigen Anpassung im Hinblick auf die Nutzung von Zahlungsauslöse- und Kontoinformationsdiensten: Siehe hierzu: Teil 4, 1. Abschnitt. Die Speichermedien werden als Authentifizierungsinstrumente definiert, was jedoch im Hinblick auf die Haftung unzulässig ist, siehe: Fn. 484 mwN. Gilt nicht, soweit der Zahlungsdienstleister die Kommunikationskanäle wirksam trennen kann.
1. Abschnitt: Online-Überweisungen im E-Commerce
131
Verdachtsvorsorgegrundsatz findet sich in Nr. 8.3 SB-Online-Banking wieder, wonach der Zahlungsdienstnutzer eine Anzeige abgeben muss, sobald er den Verdacht hegt, dass unbefugte Personen Besitz von Zahlungsinstrumenten oder Kenntnis von Sicherheitsmerkmalen erlangt haben könnten. Wenn überdies Verdachtsmomente im Hinblick auf die Sicherheit des Online-Bankings entstehen, folgt aus dem Verdachtsvorsorgegrundsatz die Pflicht, das Online-Banking nicht weiter zu verwenden.⁴⁹⁷ Neben den Sorgfaltspflichten trifft den Nutzer auch die Anzeigepflicht des § 675l Abs. 1 S. 2 BGB n. F., die sich nach dem Gesetzeswortlaut ausschließlich auf Zahlungsinstrumente bezieht.⁴⁹⁸ Der Verlust personalisierter Sicherheitsmerkmale oder von Speichermedien begründet keine gesetzliche Pflicht zur Anzeige.⁴⁹⁹ Aus diesem Grund enthalten die SB-Online-Banking in Nr. 8.1 Abs. 1 S. 1 eine vertragliche Anzeigepflicht bei dem Verlust verkörperter Speichermedien. Im Gegensatz zur Gleichstellung der Speichermedien mit Zahlungsinstrumenten oder personalisierten Sicherheitsmerkmalen ist das zusätzliche Festlegen vertraglicher Pflichten außerhalb der bereits bestehenden gesetzlichen Pflichten ein Bereich, der der Privatautonomie der Parteien unterliegt. Bedenken hinsichtlich der Vorgaben des § 675e Abs. 1 BGB n. F. bestehen daher nicht. Überdies normiert § 675l Abs. 1 S. 2 BGB n. F. lediglich die wichtigste Anzeigepflicht, beansprucht jedoch im Gegensatz zu § 675v BGB keine Exklusivität. Eine benachteiligende Abweichung ergibt sich ebenfalls nicht aus haftungsrechtlichen Gesichtspunkten, da gesetzliche und vertragliche Pflichtverletzungen im Rahmen des § 675v Abs. 3 Nr. 2 BGB n. F. gleichgestellt werden. Der Zahlungsdienstleister darf jedoch bei der Festlegung der Ausgabe- und Nutzungsbedingungen nach § 675l Abs. 2 BGB n. F. nur Klauseln verwenden, die sachlich, verhältnismäßig und nicht benachteiligend sind. Eine sachliche Rechtfertigung der Anzeige ergibt sich allein aus dem nicht unwesentlichen Missbrauchsrisiko bei dem Verlust von Speichermedien. Die Pflicht des Zahlungsdienstnutzers, einen entsprechenden Sachverhalt anzuzeigen, ist aufgrund der Anzeigestellen, die der Zahlungsdienstleister gem. § 675m Abs. 1 Nr. 3 BGB n. F. vorhalten muss, mit einem geringen Aufwand verbunden und wird zusätzlich durch eine Haftungsfreistellung nach Abgabe der Anzeige gem. Nr. 10.2.1 AGB-
KG, WM 2011, 493; BGH, Urt. v. 24.04. 2012 – XI ZR 96/11, NJW 2012, 2422. So auch Grundmann-Staub, Band 10/2, 3. Teil Rn. 268; aA Langenbucher/Bliesener/SpindlerHerresthal, 5. Kap, § 675l Rn. 16, 19. EBJS-Grundmann, BGB, Rn. II 197, der auch darauf verweist, dass sich eine solche Pflicht möglicherweise als Annexpflicht zu den Sorgfaltspflichten ergibt; Palandt-Sprau, § 675l Rn. 5; aA Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675l Rn. 16, 19.
132
Teil 3: Giralgeldzahlungen im E-Commerce
Banken kompensiert.⁵⁰⁰ Sie wird somit nicht einseitig dem Zahlungsdienstnutzer auferlegt, sondern bietet ihm auch einen Nutzen. Die Festlegung einer Anzeigepflicht für den Verlust von Speichermedien in den Nutzungs- und Ausgabebedingungen des Zahlungsdienstleisters ist daher auch verhältnismäßig und nicht benachteiligend.
C. Der Zahlungsvorgang im Online-Banking⁵⁰¹ § 675j Abs. 1 S. 3 BGB n. F. enthält einen Regelungsauftrag an die Vertragsparteien, wonach diese die Art und Weise der Zustimmung, also der Autorisierung, vereinbaren sollen.⁵⁰² Das Verfahren der Online-Überweisung unterliegt folglich der Vertragsautonomie der Parteien.
I. Anmeldung zum Online-Banking Die Initiierung eines Zahlungsvorgangs setzt zunächst die Anmeldung des Zahlers zum Online-Banking mittels Kundennummer und PIN voraus. Nach Nr. 7.2 MaSI besteht seit 2015 für Zahlungsdienstleister die Pflicht, den Zugang zu sensiblen Zahlungsdaten mittels starker Kundenauthentifizierung zu schützen. Dies könnte auch die Anmeldung zum Online-Banking betreffen. Bei sensiblen Zahlungsdaten handelt es sich unter Berücksichtigung der Nr. 7.2 S. 2 MaSI um Daten, die für betrügerische Handlungen genutzt werden können. Erfasst werden hiervon die Internet-Banking PIN und Zahlungskartendaten, welche über die Online-Plattform generell nicht eingesehen werden können. Der bloße Zugriff auf die Umsatzanzeige erfordert somit keine starke Kundenauthentifizierung.⁵⁰³ Erst wenn beispielsweise die PIN geändert werden soll, bedarf es gem. Nr. 7.2 S. 1 MaSI einer starken Kundenauthentifizierung.
Vgl. zur Interessenabwägung bei AGB: BGH, Urt. v. 21.04. 2015 – XI ZR 200/14, BKR 2015, 334 (335 f). Streng genommen müssten der weiteren Betrachtung die AGB-Banken zugrunde gelegt werden, da das Vertragsrecht dem normativen Recht vorgeht. Aufgrund des zwingenden Charakters des Zahlungsdiensterechts besteht in den relevanten Passagen jedoch ohnehin ein Gleichlauf zwischen den vertraglichen und rechtlichen Vorgaben. Da der Fokus der Arbeit auf dem neuen Zahlungsdiensterecht liegt, ist die Heranziehung der ohnehin fast identischen AGBBanken nicht zielführend. Interessante AGB-rechtliche Abweichungen werden in den jeweiligen Passagen gesondert betrachtet. Allgemein wird auf das normative Recht abgestellt. BeckOGK BGB-Köndgen, § 675j Rn. 28. Vgl. Nr. 4 lit. e) FAQ-MaSI, veröffentlicht mit BaFin Rundschreiben 04/2015 vom 05.05. 2015.
1. Abschnitt: Online-Überweisungen im E-Commerce
133
Speichermedien wie Smartphones oder TAN-Generatoren, die den Zugriff auf die TAN ermöglichen, müssen hingegen nicht durch eine starke Kundenauthentifizierung abgesichert werden. Zum einen sind die MaSI auf App-basierte Sicherungsverfahren nicht anwendbar und zum anderen werden die TAN nicht als sensible Zahlungsdaten eingeordnet. Ansonsten gelänge man zu der realitätsfernen Rechtslage, dass beispielsweise der Zugriff auf die papiergebundene TANListe durch eine starke Kundenauthentifizierung zu schützen wäre. Überdies erfolgt die externe Generierung einer TAN zur Sicherstellung einer starken Kundenauthentifizierung.Würde dieser Generierungsprozesse ebenfalls einer eigenen TAN bedürfen, hätte man ein unauflösbares Dilemma, sodass sich konsequenterweise der Begriff der sensiblen Zahlungsdaten nicht auf die TAN erstrecken kann. Mit Inkrafttreten des Art. 97 PSD II am 14.09. 2019 wird die nach den MaSI gelebte Verwaltungspraxis gem. § 55 Abs. 1 Nr. 1 ZAG n. F. einer gesetzlich normierten Pflicht weichen.⁵⁰⁴ Die Vorgaben der PSD II weisen einige Verschärfungen gegenüber den MaSI auf. So ist gem. § 55 Abs. 1 Nr. 1 ZAG n. F. nicht nur der Zugang zu sensiblen Daten, sondern jeglicher Online-Zugriff auf ein Zahlungskonto mittels starker Kundenauthentifizierung zu schützen.⁵⁰⁵ Die Kombination aus der nicht nur dem Nutzer bekannten Kontonummer und einer geheimen PIN wäre demnach mit Inkrafttreten des § 55 ZAG n. F. gesetzlich nicht mehr zulässig.⁵⁰⁶ Die nach § 55 Abs. 5 ZAG n. F. anwendbaren RTS sehen jedoch auch hierfür Ausnahmen vor. Soweit, wie beim Online-Banking üblich, lediglich Kontobewegungen und Kontostände Gegenstand der Anzeige sind, bedürfen Login-Vorgänge gem. Art. 10 Abs. 1 RTS nach einer erstmaligen authentifizierten Anmeldung keiner erneuten starken Kundenauthentifizierung. Diese wird gem. Art. 10 Abs. 2 lit. b RTS erst wieder erforderlich, soweit die letzte Authentifizierung mehr als 90 Tage zurückliegt. Die Ausnahmen entbinden den Zahlungsdienstleister demnach nicht generell, sondern nur zeitweise davon, eine starke Kundenauthentifizierung im Rahmen der Anmeldung technisch zu gewährleisten. Das Problem ließe sich beim Online-Banking etwa durch die Abfrage einer TAN alle 90 Tage nach dem gewöhnlichen Login mittels Kontonummer und PIN lösen. Zahlungsdienstleister, die aktuell den Zugang zum Online-Banking ledig-
Zum Rechtsgehalt des Rundschreibens der BaFin siehe: Zahrte, ZBB 2015, 410 (411). Zum Tatbestand des Online-Zugriffs auf ein Zahlungskonto siehe bereits oben: 2. Teil, 2. Abschnitt, F., II., 4., a), aa). Der Online-Zugriff durch den Nutzer auf das Online-Banking Portal erfüllt zweifelsohne den Tatbestand. Zum Inkrafttreten siehe bereits oben: Teil 2, 2. Abschnitt, F., II., 4., a), gg) sowie Art. 15 Abs. 1 S. 1 ZDUG II.
134
Teil 3: Giralgeldzahlungen im E-Commerce
lich mittels Kontonummer und PIN absichern, haben demnach bis zum 14.09. 2019 Zeit, die Login-Vorgänge den Standards der PSD II anzupassen.⁵⁰⁷
II. Autorisierung des Zahlungsauftrags und Kundenauthentifizierung Der Zahlungsvorgang muss aufgrund des Prinzips der formalen Auftragsstrenge hinreichend bestimmt sein. Hierfür ist die Eingabe der Kundenkennung des Zahlungsempfängers, der Überweisungsbetrag sowie der Ausführungszeitpunkt erforderlich. Abschließend erfolgt die Authentifizierung. Die materiellrechtliche Autorisierung liegt wie auch bei jedem stationären Zahlungsvorgang jedoch nur vor, soweit der Kontoinhaber dem konkreten Zahlungsvorgang tatsächlich zugestimmt hat. Da sich dies im entpersonalisierten Umfeld des Online-Bankings selten mit endgültiger Sicherheit sagen lässt, wirft die Autorisierung gerade im Hinblick auf ihre Nachweisbarkeit einige Fragen auf.
1. Anwendbarkeit der Anscheinsvollmacht bei der Autorisierung von Zahlungsaufträgen Das für Willenserklärungen geltende Recht findet für die zahlungsdienstrechtliche Autorisierung Anwendung, sodass konsequenterweise auch die Regeln der Anscheinsvollmacht zu berücksichtigen sind.⁵⁰⁸ Dieser Umstand könnte im entpersonalisierten Umfeld des Online-Bankings erhebliche Bedeutung erlangen.⁵⁰⁹ Die Heranziehung der „deutschen“ Anscheinsvollmacht hätte nämlich zur Folge, dass eine wirksame Autorisierung auch dann vorläge, soweit der Kunde zure-
Es gibt auch andere Möglichkeiten einen sicheren Zugang zu gewährleisten. So ist beispielsweise Praxis der ING-DiBa Bank, nicht nur ein selbstgewähltes Passwort, sondern zusätzlich eine Online-Banking PIN abzufragen. Die Deutsche Kreditbank AG sieht individuelle Nutzernamen für die Anmeldung vor, die ebenfalls geheim zu halten sind. Die dem Streit zugrundeliegenden Vorschriften wurden durch das ZDUG II nicht oder nur redaktionell verändert, sodass sich normativ keine Änderungen ergeben haben. Dies gilt auch für die anschließend diskutierte Frage nach der Zulässigkeit des Anscheinsbeweises im OnlineBanking. Zur Rechtslage für die missbräuchliche Nutzung von EC-Karten vor der PSD I vgl. Aepfelbach/Cimiotti, WM 1998, 1218 ff; Strube, WM 1998, 1212 ff. Die klassische Bankvollmacht und damit verbundene Missbrauchskonstellationen haben im Online-Banking aufgrund des Nachstehenden keine Bedeutung. Sie wird ausschließlich von der Bank anerkannt, wenn sich der Kontoinhaber vertraglich bereit erklärt, die Haftung zu übernehmen und überdies ausreichend liquide ist, siehe: Zimmermann, BKR 2007, 226 (228). Der folgende Streit gilt für jeden kombinierten Einsatz eines Zahlungsinstruments und personalisierten Sicherheitsmerkmale, also auch für das Abheben von Geld mittels Girokarte und PIN.
1. Abschnitt: Online-Überweisungen im E-Commerce
135
chenbar den Rechtsschein einer wirksamen Autorisierung gegenüber der Bank gesetzt hat.⁵¹⁰ Zur Rechtfertigung einer solchen Anwendung werden die Zulassung formfreier Zahlungsaufträge gem. § 675j Abs. 1 S. 3 BGB n. F. sowie das Fehlen entgegenstehender Vorschriften des Zahlungsdiensterechts vorgebracht.⁵¹¹ Der Kunde wäre demnach zur Zahlung des Aufwendungsersatzanspruchs der Bank verpflichtet, soweit ihm das Handeln eines Nichtberechtigten bekannt war oder er es bei Anwendung pflichtgemäßer Sorgfalt hätte erkennen können.⁵¹² Diese Auffassung birgt sowohl aus rechtstatsächlicher als auch europarechtlicher Perspektive Schwierigkeiten. Zunächst setzt das sogenannte „Handeln unter fremden Namen“ in rechtstatsächlicher Hinsicht das Handeln eines Dritten voraus. Im vertraglichen Gebilde eines Zahlungsdiensterahmenvertrags, der die Weitergabe von Zahlungsinstrumenten oder die Offenbarung personalisierter Sicherheitsmerkmale strengstens verbietet, ist eine Stellvertretungskonstellation aus Sicht der Bank nicht vorgesehen.⁵¹³ Ausnahmen können sich allenfalls dann ergeben, wenn Zahlungsaufträge ohne den Einsatz personalisierter Sicherheitsmerkmale und unter Offenlegung der Stellvertretung oder Botenschaft erteilt werden. Dies kann etwa bei der telefonischen oder schriftlichen Erteilung von Zahlungsaufträgen durch beauftragte Dritte der Fall sein. Die Bank wird derartige Zahlungsaufträge nur akzeptieren, soweit der Stellvertreter und seine Vollmacht offengelegt und verifiziert wurden. Im Online-Banking gibt es aufgrund der automatischen Anonymisierung keine Möglichkeit, eine Stellvertretungskonstellation anzuzeigen. Aus diesem Grund sind die personalisierten Sicherheitsmerkmale geheim zu halten, damit ihre Verwendung eine Gewähr für die Berechtigung der Nutzung bietet. Das damit verfolgte Ziel, Drittmissbrauch vorzubeugen, gilt
Hierfür streitend: KG Berlin, Urt. v. 29.10. 2010 – 26 U 159/09, WM 2011, 493 (494); LG Darmstadt ZIP 2014, 1972 (1975); LG Köln, BKR 2016, 350 (351); AG Köln MMR 2013, 819; BeckOK BGBSchmalenbach, § 675j Rn. 2 ff; Grundmann,WM 2009, 1109 (1114), der jedoch nicht auf die spezielle Online-Situation eingeht; außerdem Borges, ZBB 2016, 249 (252 ff); Hoeren/Sieber/HolznagelWerner, Teil 13.5 Rn. 63, der jedoch unter Zuhilfenahme der Anscheinsvollmacht den Anscheinsbeweis aus § 675w BGB begründen möchte; MünchKommBGB-Jungmann, § 675j Rn. 12. Zu § 675j Abs. 1 S. 3 BGB: Grundmann, WM 2009, 1109 (1114); zur Anwendbarkeit im Rahmen des Zahlungsdiensterechts siehe: BeckOK BGB-Schmalenbach, § 675j Rn. 2 ff. Für Anwendungsfälle vgl. Borges, ZBB 2016, 249 (253). Siehe vor allem: BGH NJW 2016, 2024 (2029 f) = WM 2016, 691 (696 f), wonach die Bevollmächtigung eines Dritten für das Online-Banking nur möglich wäre, soweit dem Dritten eigene personalisierte Authentifizierungsinstrumente und personalisierte Sicherheitsmerkmale zugewiesen werden; vgl. auch zur Rechtslage vor Einführung der PSD I: Spindler, Internet-Banking und Haftungsverteilung zwischen Bank und Kunden, in: FS für Nobbe 2009, 215 (218); aA BeckOK BGB-Schmalenbach, § 675j Rn. 2 ff.
136
Teil 3: Giralgeldzahlungen im E-Commerce
daher auch gegenüber Angehörigen. Wäre der Bank der Umstand bekannt, dass ein Dritter, der keine Kontoberechtigung genießt, einen Zahlungsauftrag autorisieren möchte, wäre sie nach § 675o Abs. 2 BGB n. F. berechtigt und verpflichtet, den Zahlungsauftrag abzulehnen.⁵¹⁴ Schließlich geht aus § 675o Abs. 2 BGB n. F. hervor, dass ein Zahlungsauftrag abgelehnt werden kann und muss, wenn er gegen die Ausführungsbedingungen – in diesem Fall Nr. 1.6 Abs. 1 i.V. m. Nr. 1.3 Abs. 2 SB-Überweisungsverkehr – verstößt. Demnach besteht im Online-Banking schon aus rechtstatsächlicher Perspektive kein Raum für die Annahme einer Stellvertretungskonstellation. Von weitaus größerem Gewicht ist jedoch die Betrachtung der europarechtlichen Zulässigkeit der Anwendung der Anscheinsvollmacht. Hierdurch würde eine Rechtsscheinhaftung im Gewand des Aufwendungsersatzanspruchs des Zahlungsdienstleisters entstehen. Leicht fahrlässig verursachte Sorgfaltspflichtverstöße würden auf diese Weise mit den Rechtsfolgen der unbeschränkten Haftung des § 675v Abs. 3 BGB n. F. sanktioniert werden,⁵¹⁵ obwohl die Richtlinie vorsieht, dass eine derart weitgehende Haftung erst bei grob fahrlässigen Pflichtverletzungen gerechtfertigt ist. Die Anerkennung der Anscheinsvollmacht im Bereich der Autorisierung würde eine dem Zahlungsdiensterecht unbekannte und ungewollte Haftung einführen, die zum Nachteil des Zahlungsdienstnutzers von der Vorschrift des § 675v Abs. 3 BGB n. F. abweichen und gegen § 675e Abs. 1 BGB n. F. verstoßen würde.⁵¹⁶ Des Weiteren würden die Haftungsausschlüsse des § 675v Abs. 5 BGB n. F. nur über den Umweg der Geltendmachung eines Gegenanspruchs i. S. d. §§ 280 Abs. 1, 241 Abs. 2 BGB heranzuziehen sein. Dies würde entgegen ihrer Ausgestaltung als Einwendungen dazu führen, dass der Nutzer alle Tatbestandsvoraussetzungen darzulegen hätte, was ebenfalls eine für den Nutzer nachteilige und damit unzulässige Abweichung vom Zahlungsdiensterecht darstellen würde.⁵¹⁷
BankR Hdb-Maihold, § 55 Rn. 68; Linardatos, BKR 2015, 96 (98). Siehe zum Beispiel das Urteil des LG Köln, BKR 2016, 350 (351); das Urteil zeigt sehr anschaulich, dass der Einwand des Zahlungsdienstnutzers, er habe nicht grob fahrlässig gehandelt, überhaupt nicht Gegenstand der Urteilsfindung ist. Es genügt nach der Auffassung des Landgerichts die zumindest leicht fahrlässige Herbeiführung des Rechtsscheins einer autorisierten Zahlung. BankR Hdb-Maihold, § 55 Rn. 68; Linardatos, BKR 2015, 96 (98); siehe auch BGH, Urt. v. 06.04. 2017 – III ZR 368/16; NJW 2017, 2273 (2277) zur Unzulässigkeit der Anwendung des § 45i Abs. 4 S. 1 TKG im Rahmen des Zahlungsdiensterechts, der eine spezialgesetzliche Anscheinsvollmacht zum Gegenstand hat; aA Omlor, LMK 2016, 378373. Vgl. etwa LG Darmstadt ZIP 2014, 1972 (1975).
1. Abschnitt: Online-Überweisungen im E-Commerce
137
Weitere Widersprüche ergeben sich auch im Hinblick auf den Normgehalt des § 675w BGB n. F. Dieser besagt, dass der Nachweis der Authentifizierung alleine nicht ausreicht, um eine wirksame Autorisierung darzulegen. Wendet man jedoch die Grundsätze der Anscheinsvollmacht auch prozessual konsequent an, müsste der Zahlungsdienstleister lediglich darlegen, dass eine Authentifizierung mittels Zahlungsinstrument und personalisierter Sicherheitsmerkmale erfolgt ist. Dies würde den Beweis führen, dass aus Sicht der Bank zumindest eine Anscheinsvollmacht vorgelegen haben muss. Folglich würde der Aufwendungsersatzanspruch trotz Streitigkeiten nicht untergehen.⁵¹⁸ § 675w S. 3 Nr. 1 BGB n. F. würde über Umwege unterlaufen, obwohl der Richtliniengeber ausdrücklich angeordnet hat, dass die formale Authentifizierung unter keinen Umständen mit der materiellrechtlichen Autorisierung gleichgesetzt werden darf. Das rechtliche Konstrukt dieser Trennung spiegelt überdies den strukturellen Willen des Richtliniengebers wider, Missbrauchsfälle ausschließlich im Rahmen der Schadensersatzansprüche zu regeln.⁵¹⁹ Der Aufwendungsersatzanspruch dient nur der Abwicklung ordnungsgemäßer Geschäftsbesorgung. Eine andere Bewertung würde nicht nur dem Inhalt der Richtlinie, sondern insbesondere auch dem vom Richtliniengeber gewählten Vollharmonisierungsansatz entgegenlaufen. Die europarechtkonforme Auslegung verbietet daher zumindest im OnlineBanking die Anwendung der Anscheinsvollmacht auf die Autorisierung.⁵²⁰
2. Zulässigkeit der Anwendung des Anscheinsbeweises im Online-Banking Aufgrund der Unanwendbarkeit der Anscheinsvollmacht ist die in § 675w BGB n. F. geregelte Beweislastverteilung von wesentlicher Bedeutung bei Streitigkeiten über die Autorisierung. Hiernach muss der Zahlungsdienstleister zunächst nachweisen, dass eine Authentifizierung erfolgt und der Zahlungsvorgang ordnungsgemäß abgelaufen ist. Die Authentifizierung bei Online-Überweisungen beinhaltet die ordnungsgemäße Anmeldung unter Eingabe der PIN sowie die Freischaltung des Zahlungsauftrags mittels der korrekten TAN. Gelingt die Dar-
Vgl. Linardatos, BKR 2015, 96 (99), der auf den Wertungswiderspruch zwischen dem Urteil des LG Darmstadts und § 675w BGB eingeht. Vgl. insbesondere EBJS-Grundmann, Rn. II 335 ff. So auch BGH NJW 2016, 2024 (2029) = WM 2016, 691 (696); BankR Hdb-Maihold, § 55 Rn. 68; EFN-Nobbe, § 675u Rn 11; Linardatos, BKR 2015, 96 (98); Spindler, Internet-Banking und Haftungsverteilung zwischen Bank und Kunden, in: FS für Nobbe 2009, 215 (218 f); aA wohl auch BeckOK BGB-Schmalenbach, § 675j Rn. 2 ff, der jedoch die Anforderungen an den Rechtsschein an die Vorgaben des § 675v Abs. 3 BGB n. F. anpassen möchte; Langenbucher/Bliesener/SpindlerLangenbucher, 5. Kap, § 675j Rn. 6a.
138
Teil 3: Giralgeldzahlungen im E-Commerce
legung dieser Mindestanforderungen, hat dies gem. § 675w S. 3 Nr. 1 BGB n. F. noch nicht den Nachweis einer Autorisierung zur Folge.⁵²¹ Der Nachweis lässt sich allenfalls als ein Beweis des ersten Anscheins führen, weshalb sich die Frage stellt, ob diese dem europäischen Gesetzgeber unbekannte Beweislastverteilungsregel Anwendung finden kann. Einige Autoren lehnen dies ab, da das durch die Anwendung der Grundsätze des Anscheinsbeweises entstehende Regel-AusnahmeVerhältnis dem Regelungsgehalt des § 675w S. 3 BGB n. F. widerspräche.⁵²² Schließlich soll der Zahlungsdienstleister eine wirksame Autorisierung und nicht umgekehrt der Zahlungsdienstnutzer die Unwirksamkeit der Autorisierung darlegen müssen. Der Wortlaut des Art. 72 Abs. 2 PSD II besagt jedoch, dass die technischen Aufzeichnungen „für sich gesehen nicht notwendigerweise“ ausreichen, um eine Autorisierung nachzuweisen. Hiermit stellt der Richtliniengeber klar, dass eine ordnungsgemäß erfolgte Authentifizierung nicht als Vollbeweis für eine Autorisierung dienen kann. Der Beweis des ersten Anscheins, der hingegen keine zwingende Beweisregel ist, sondern lediglich eine leicht zu widerlegende Beweiserleichterung zur Folge hat, steht demnach dem Regelungsgehalt des § 675w S. 3 BGB n. F. nicht entgegen. Überdies obliegt die Beweiswürdigung nach Erwägungsgrund 33 der PSD I den nationalen Gerichten. Demnach ist eine Anwendung der Grundsätze des Anscheinsbeweises im Zahlungsdiensterecht zulässig.⁵²³ Für die Anwendung des Anscheinsbeweises im Online-Banking bedarf es nach den höchstrichterlich formulierten Grundsätzen zunächst eine die Anwendung rechtfertigende Typizität. Diese liegt im Online-Banking vor, soweit das Authentifizierungsverfahren mittels PIN und TAN nach allgemeiner Lebenserfahrung typischerweise auf eine Autorisierung durch den berechtigten Kontoinhaber hinweist.⁵²⁴ Angesichts der Vielzahl von Missbrauchsfällen⁵²⁵ und der
Gelingt der Nachweis nicht, hat dies zur Folge, dass die Autorisierung auch nicht durch Heranziehung anderer Beweismittel bewiesen werden kann. Dafür sprechen neben dem Wortlaut der Richtlinie, „nachweisen muss“, auch die deutschen Gesetzesmaterialien, siehe: BT-Drs. 16/ 11643, S. 114, 115; siehe auch: BGH NJW 2016, 2024 (2025) = WM 2016, 691 (692); Palandt-Sprau, § 675w Rn. 2; Staudinger-Omlor, § 675j Rn. 3; aA: MünchKommBGB-Zetzsche, § 675w Rn. 5; BankR Hdb-Maihold, § 55 Rn. 73. Scheibengruber, BKR 2010, 15; Franck/Massari, WM 2009, 1117 (1126). So auch die hM, siehe: BGH, Urt. v. 26.01. 2016 – XI ZR 91/14, NJW 2016, 2024 (2026) = WM 2016, 691 (693) mwN; sowie ausführlich zum Anscheinsbeweis im Online-Banking: BankR HdbMaihold, § 55 Rn. 160 ff. StRspr des BGH: NJW 2001, 1140 (1141); NJW 1987, 2876 (2877); NJW 1982, 2447 (2448). Die Missbrauchszahlen liegen allein im Bereich des Phishings im 5-Jahresdurchschnitt bei 4.235 Fällen pro Jahr, siehe: BKA, Cybercrime, Bundeslagebild 2016, S. 20, abrufbar unter: https://
1. Abschnitt: Online-Überweisungen im E-Commerce
139
Missbrauchsanfälligkeit der meisten Authentifizierungsmöglichkeiten fehlt es jedoch im Bereich der Online-Überweisungen oftmals an einer solchen Typizität.⁵²⁶ Aus diesem Grund ist nach vorzugswürdiger Auffassung des BGH zwingende Voraussetzung für die Anwendung der Grundsätze des Anscheinsbewieses „ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem“. ⁵²⁷ Ein derartiges Sicherheitsniveau ist momentan nach Auffassung des BGH nur beim chipTAN-Verfahren gegeben.⁵²⁸ Eine Manipulation des Systems ist aus technischer Sicht nicht möglich. Darüber hinaus weist der BGH darauf hin, dass die Anwendung der Grundsätze des Anscheinsbeweises nicht dazu führen darf, dass sich entgegen der europäischen Vorgaben eine Beweislastumkehr zum Nachteil des Zahlungsdienstnutzers vollzieht. Konsequenterweise hätte die Zulässigkeit des Anscheinsbeweises auf Grundlage der technischen Aufzeichnungen zur Folge, dass der Zahlungsdienstnutzer zur Erschütterung Vortrag und Nachweis hinsichtlich der Sicherheitslücken sowie ihrer Wirkungslosigkeit im konkreten Fall erbringen müsste. Dies wäre angesichts der Komplexität sowie des mangelnden Zugangs zu den technischen Systemen des Zahlungsdienstleisters de facto unmöglich und hätte zur Folge, dass die Beweislast nicht nur erleichtert, sondern praktisch unwiderlegbar umgekehrt würde. Aus diesem Grund relativiert der BGH gleichzeitig die Anforderungen an eine Erschütterung des Anscheinsbeweises. Der Zahlungsdienstnutzer muss nicht Beweis über die Umgehung der Schutzvorkehrun-
www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercri me/cybercrimeBundeslagebild2016.html?nn=28110, zuletzt abgerufen am 10.04. 2019. Ausführlich BankR Hdb-Maihold, § 55 Rn. 82 ff; BeckOK BGB-Schmalenbach, § 675w Rn. 14; Borges, BKR 2009, 84 (87); EBJS-Grundmann, Rn. II 352; MünchKommBGB-Casper, 6. Auflage 2012, § 675w Rn. 20, der eine Einschränkung im Hinblick auf das „sichere“ mTAN-Verfahren macht, was sich jedoch mittlerweile erledigt hat, siehe: Teil 3, 1. Abschnitt, D., I., 4.; aA Hoeren/Sieber/ Holznagel-Werner, Teil 13.5, Rn. 63 ff; Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675w Rn. 14 f. BGH NJW 2016, 2024 (2027) = WM 2016, 691 (694). BGH NJW 2016, 2024 (2027) = WM 2016, 691 (694); siehe außerdem: Hoeren/Kairies, ZBB 2015, 35 (37); dies., WM 2015, 549 (551) mwN auf die Rechtsprechung. Im Übrigen kann die Anwendung des Anscheinsbeweises bei anderen Zahlverfahren durchaus gerechtfertigt sein. Die ursprüngliche Anwendung der Grundsätze des Anscheinsbeweises bei Kartenzahlungen oder -abhebungen unter Verwendung der PIN wird mittlerweile auch aufgrund der zahlreichen Angriffsmöglichkeiten vom BGH eingeschränkt auf die Fälle, in denen die Originalkarte entwendet wurde und die missbräuchliche Verwendung in einem derart engen zeitlichen Zusammenhang steht, dass die PIN gemeinsam mit der Karte verwahrt worden sein muss, vgl. BGH, Urt. v. 29.11. 20019 – XI ZR 370/10, NJW 2012, 1277; kritisch und den Anscheinsbeweis aufgrund neuer Angriffsmethoden gänzlich ablehnend: Schulte am Hülse/Welchering, NJW 2012, 1262 (1265 f).
140
Teil 3: Giralgeldzahlungen im E-Commerce
gen des Authentifizierungssystems oder über ihre Wirkungslosigkeit im konkreten Fall führen.⁵²⁹ Es genügt bereits die „Darlegung und gegebenenfalls der Nachweis aller und damit auch außerhalb des technischen Zahlungsvorgangs liegender Tatsachen (…), die die ernsthafte Möglichkeit eines Missbrauchs nahelegen“. ⁵³⁰ Der Zahlungsdienstnutzer kann folglich durch eine plausible Gegendarstellung den Beweis erschüttern. Dazu bedarf es auch nicht des Nachweises, dass sich auf den verwendeten Geräten Schadsoftware befunden hat. Der vorgetragene alternative Geschehensablauf muss nicht vollumfänglich den Missbrauch aufklären, sondern nur dazu dienen, das Gericht von einer ernsthaft in Betracht kommenden alternativen Ursache zu überzeugen.⁵³¹ Sowohl die Einschränkung des Anwendungsbereichs des Anscheinsbeweises sowie die geringen Anforderungen an die Erschütterung, verlagern das Missbrauchsrisiko im Sinne der europäischen Vorgaben weitgehend auf den Zahlungsdienstleister. Andere Auffassungen würden den Zahlungsdienstnutzer entgegen des hohen Schutzniveaus der Zahlungsdiensterichtlinien haftungsrechtlich benachteiligen, wie die zahlreichen vergangenen Urteile zulasten von Zahlungsdienstnutzern anschaulich darlegen.⁵³²
3. Einfluss der MaSI und der PSD II auf die Authentifizierungsverfahren Die MaSI erfassen nach Titel I Nr. 2 i.V. m. Nr. 7 MaSI Online-Überweisungen, welche somit gem. Titel II Nr. 7 MaSI mittels starker Kundenauthentifizierung auszulösen sind. Die starke Kundenauthentifizierung i. S. d. MaSI verzichtet auf eine dynamische Verknüpfung i. S. d. § 55 Abs. 2 ZAG n. F., sieht aber vor, dass zumindest eines der Elemente weder reproduzierbar noch wiederverwendbar ist. Statische Passwörter zur Auslösung von Zahlungen sind danach unzulässig. Die Authentifizierungsverfahren der Finanzwirtschaft sehen schon seit längerer Zeit keine statischen TAN vor, sondern greifen zumindest auf eine TAN- oder iTANListe zurück.⁵³³ Aufgrund von Sicherheitsbedenken werden papierne Listen in der
BGH NJW 2016, 2024 (2027) = WM 2016, 691 (694). BGH NJW 2016, 2024 (2027) = WM 2016, 691 (694). BGH NJW 2016, 2024 (2029) = WM 2016, 691 (696). Siehe z. B. den dem Urteil des BGH zugrundeliegenden Beschluss des OLG Schleswig vom 22.01. 2014 – 5 U 87/13, BeckRS 2016, 06472. Berrit Gräber, „Abschied von der Tan-Liste“, 10.08. 2011, abrufbar unter: http://www.focus. de/finanzen/banken/tid-23252/online-banking-abschied-von-der-tan-liste_aid_653921.html, zuletzt abgerufen am 10.04. 2019.
1. Abschnitt: Online-Überweisungen im E-Commerce
141
Praxis zwar kaum noch verwendet, auch wenn eine Anwendung nach den Vorgaben der MaSI bis zum September 2019 zulässig wäre.⁵³⁴ Mit Inkrafttreten von § 55 Abs. 2 ZAG n. F. wird sich dies ändern. Elektronische Fernzahlungsvorgänge, wozu insbesondere die Online-Überweisung zählt, bedürfen dann einer qualifizierten starken Kundenauthentifizierung, die eine dynamische Verknüpfung eines Authentifizierungsmerkmals mit dem Zahlungsvorgang erfordert.⁵³⁵ Die Vorschrift des § 55 Abs. 2 i.V. m. Abs. 1 S. 1 Nr. 2 ZAG n. F. ist gegenüber § 55 Abs. 1 S. 1 Nr. 1 ZAG n. F. spezieller, was zur Folge hat, dass nach dem Login-Prozess keine erneute starke Kundenauthentifizierung zu erfolgen hat.⁵³⁶ Es genügt, dass die bei der Anmeldung zum Einsatz gekommene PIN zusammen mit einer dynamisch erzeugten TAN verwendet wird. Dadurch kommen zwei Elemente, Wissen und Besitz des TAN-Generators, zum Einsatz, die dazu verwendet werden, eine mit dem Zahlungsauftrag dynamisch verbundene TAN zu erzeugen. Vorgedruckte TAN sind dann aufsichtsrechtlich nicht mehr zulässig, da sie nicht für eine konkrete Überweisung erstellt worden sind.⁵³⁷ Die BaFin hat aus diesem Grund bereits in den MaSI die Empfehlung ausgesprochen, Transaktionsdaten in den TAN-Generierungsprozess miteinzubeziehen, was neben den Sicherheitsbedenken ein weiterer Grund für den Rückgang papiergebundener TAN-Verfahren sein dürfte.⁵³⁸ Den Vorgaben des § 55 Abs. 2 ZAG n. F. werden nur noch mTAN-, chipTAN-, pushTAN und photoTAN-Verfahren gerecht, da diese für jede einzelne Transaktion eine nicht wiederverwendbare TAN erzeugen. Die jeweilige TAN kann zudem nur für den konkreten Zahlungsvorgang, für den sie erzeugt worden ist, verwendet werden. Einem Ausspähen von TAN oder einer Manipulation des Zahlungsauftrags wird somit wirksam vorgebeugt.
III. Zugang und Ausführung Nach § 675n Abs. 1 S. 1 BGB n. F. wird der empfangsbedürftige Zahlungsauftrag wirksam und damit konstituierend für die Ausführungspflicht des Zah aA Zahrte, ZBB 2015, 410 (413), der davon ausgeht, dass bereits die MaSI tatbestandlich eine Transaktionsbindung eines der Elemente vorschreiben. Dabei verkennt er jedoch den Empfehlungscharakter, den die jeweiligen Passagen des Rundschreibens im Hinblick auf eine Transaktionsbindung haben. Siehe: Teil 2, 2. Abschnitt, F., II., 4., a), dd). Terlau, ZBB 2016, 119 (131). So auch Borges, ZBB 2016, 249 (256); Zahrte, ZBB 2015, 410 (413); es ist zwar noch darauf hinzuweisen, dass die nach den KOM-RTS geltenden Ausnahmen auch für die Kundenauthentifizierung mit dynamischer Verknüpfung Geltung entfalten. Praktisch wird jedoch keine Bank eine nach Art und Höhe des Zahlungsvorgangs divergierendes TAN-Verfahren vorsehen. Nr. 4 lit. f FAQ-MaSI; Anhang I BV 8 MaSI.
142
Teil 3: Giralgeldzahlungen im E-Commerce
lungsdienstleisters, sobald er diesem gem. § 130 Abs. 1 S. 1 BGB zugegangen ist. Beim Online-Banking ist der Kunde jederzeit in der Lage, Zahlungsaufträge zu initiieren, welche aufgrund der technischen Systeme augenblicklich in den Machtbereich des Zahlungsdienstleisters gelangen. Nach § 675n Abs. 1 S. 3 BGB n. F. können deshalb Zahlungsdienstleister festlegen, dass Zahlungsaufträge, die nach einem bestimmten Zeitpunkt nahe am Ende des Geschäftstags zugehen, erst als am nächsten Tag zugegangen gelten. Dieser Zeitpunkt, der meist in den Preisund Leistungsverzeichnissen der Kreditinstitute zu finden ist, liegt regelmäßig zwischen 15 und 16 Uhr. Fällt der Zeitpunkt des Zugangs im Übrigen nicht auf einen Geschäftstag, gilt er gem. § 675n Abs. 1 S. 2 BGB n. F. als am nächsten Geschäftstag zugegangen. Nach dem Zugang des Online-Zahlungsauftrags muss der Zahlungsdienstleister gem. § 675s Abs. 1 S. 1 BGB n. F. sicherstellen, dass der Geldbetrag spätestens am Ende des auf den Zeitpunkt des Zugangs folgenden Geschäftstags beim Zahlungsdienstleister des Zahlungsempfängers eingegangen ist.
D. Missbrauch und Haftung im Online-Banking Die bereits erläuterten Besonderheiten des Online-Bankings stehen in einem wechselseitigen Zusammenhang mit den systembedingten Risiken. So dienen beispielsweise die zusätzlichen Pflichten dazu, spezifisch im Online-Banking auftretenden Missbrauch vorzubeugen.
I. Missbrauchsszenarien im Online-Banking 1. Phishing und Spoofing Ein Phishing Angriff kennzeichnet sich durch den Versuch, sensible Nutzerdaten unter Zuhilfenahme manipulierter Internetseiten zu erlangen.⁵³⁹ Der Kunde wird durch einen verfälschten Internetlink auf eine nachgebaute Online-BankingWebsite – dieser Vorgang wird auch als „Spoofing“ bezeichnet – geleitet, wo er anschließend zur Eingabe von PIN und TAN aufgefordert wird.⁵⁴⁰ Nach dem
BankR Hdb-Maihold, § 55 Rn. 30; ausführlich Bender, WM 2008, 2049 (2056 f); Borgers, NJW 2005, 3313; LG Berlin, WM 2010, 2353 (2356); van Gelder, Phisher, Pharmer & Co., in: FS für Nobbe 2009, 55 (58); Gößmann/Bredenkamp, Phishing,Vishing, Spoofing, Pharming oder Sniffing, in: FS für Nobbe 2009, 93 (95); für einen typischen Sachverhalt siehe auch: AG Köln, Urteil vom 26.06. 2013 – 119 C 143/13, MMR 2013, 819. BankR Hdb-Maihold, § 55 Rn. 30; van Gelder, Phisher, Pharmer & Co., in: FS für Nobbe 2009, 55 (58 f).
1. Abschnitt: Online-Überweisungen im E-Commerce
143
„Abfischen“ der Daten, werden diese verwendet, um Zahlungsaufträge zugunsten der Angreifer auszuführen. Das Phishing zählt zu den am häufigsten verwendeten Angriffsformen. So wurden laut Bundeskriminalamt allein im Jahr 2015 über 4.479 Phishing-Fälle im Online-Banking publik.⁵⁴¹ Angesichts der verbesserten Sicherheitsverfahren sind die Zahlen jedoch stark rückläufig und betrugen im Jahr 2016 nur noch 2.175 Fälle.⁵⁴²
2. Pharming und Domain-Spoofing Die Angriffsform des Pharming, welches auch als Domain-Spoofing bezeichnet wird, verfolgt einen ähnlichen Ansatz wie das Phishing. Ausgangspunkt ist jedoch nicht etwa das Email-Konto des Kunden, sondern die Adresszeile im Webbrowser. Der Zugriff auf die Website der Bank erfolgt über die Eingabe der sogenannten Domain. Über das Domain-Name-System wird anschließend die IP-Adresse der entsprechenden Website ähnlich einer Telefonauskunft ermittelt, mit der der Kunde sodann auf die Website der Bank geleitet wird.⁵⁴³ Das wiederholte Aufrufen derselben Adresse führt dazu, dass der Computer des Kunden eine CacheDatei anlegt, die die IP-Adressen der regelmäßig besuchten Websites speichert, sodass das Laden der Website schneller gelingt und das DNS entlastet wird. Beim Pharming erfolgt der Angriff entweder über den DNS-Server oder über den Rechner des Kunden. Wird der Server attackiert, wird mittels DNS-Spoofing oder Cache-Poisoning die Zuordnung der Domain-Namen verfälscht, sodass Kunden trotz korrekter Adresseingabe auf die von den Angreifern betriebenen Websites geleitet werden. Mittels eines Trojaners können auch die lokalen Cache-Dateien des Kunden manipuliert werden, sodass es ebenfalls zu einer Weiterleitung auf die betrügerische Website kommt.⁵⁴⁴ Dort spielt sich wie auch beim Phishing dasselbe Spiel der Eingabe und des Abfangens der persönlichen Daten ab.
Die Zahlen lagen damit immerhin unterhalb des 5-Jahresdurchschnitts von 5084 Fällen pro Jahr: BKA, Cybercrime, Bundeslagebild 2015, S. 13, abrufbar unter: https://www.bka.de/Shared Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBun deslagebild2015.html, zuletzt abgerufen am 10.04. 2019. BKA, Cybercrime, Bundeslagebild 2016, S. 21, abrufbar unter: https://www.bka.de/Shared Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBun deslagebild2016.html?nn=28110, zuletzt abgerufen am 10.04. 2019. BankR Hdb-Maihold, § 55 Rn. 31; van Gelder, Phisher, Pharmer & Co., in: FS für Nobbe 2009, 55 (60). Ein typischer Pharming-Sachverhalt liegt folgendem Urteil des BGH zugrunde: BGH, Urt. v. 24.04. 2012 – XI ZR 96/11, NJW 2012, 2422 = BKR 2012, 254.
144
Teil 3: Giralgeldzahlungen im E-Commerce
3. Man-in-the-Middle-Angriff Erlangt ein Angreifer die Kontrolle über den Datenverkehr zwischen Bank und Kunde, wird von einem Man-in-the-Middle-Angriff gesprochen.⁵⁴⁵ Hierbei wird entweder der Rechner des Kunden, der Internet-Knotenrechner oder das Rechensystem der Bank „angezapft“ mit der Folge, dass die Datenströme über einen Rechner des Angreifers geleitet werden.⁵⁴⁶ Der Angreifer kann durch den so erlangten Zugriff den Datenverkehr entweder zu seinen Gunsten manipulieren, etwa durch Änderung des Empfängers des Zahlungsauftrags, oder den Datenverkehr aufzeichnen, um an Zugangsdaten zu gelangen. Des Weiteren eröffnet der Zugriff auch die Möglichkeit, Schadsoftware auf dem Rechner des Kunden zu installieren.⁵⁴⁷ Mit dieser Schadsoftware lassen sich Man-in-the-Browser-Angriffe initiieren, bei denen der Angreifer die Kommunikation zwischen Browser und Rechner verfälscht.
4. Man-in-the-Mobile-Angriff Mit der Einführung des mTAN-Verfahrens und der Zwischenschaltung eines vom Computer unabhängigen Geräts erhoffte man sich einen großen Sicherheitsvorteil gegenüber eindimensionalen Verfahren. Die Angreifer sind jedoch nicht nur innovativ, sondern auch reaktionsschnell, sodass das Verfahren schon seit einigen Jahren über einen Man-in-the-Mobile-Angriff überwunden werden kann.⁵⁴⁸ Hierzu bedarf es erneut der Infizierung des Rechners des Kunden, der anschließend auf eine gefälschte Website geleitet wird, wo er zur Eingabe seiner Handynummer aufgefordert wird.⁵⁴⁹ Die Angreifer schicken sodann eine als Handyupdate getarnte SMS mit Schadsoftware an den Kunden, dessen Smartphone durch das Öffnen der Datei infiziert wird.⁵⁵⁰ Die gleichzeitige Kontrolle von Rechner und Smartphone ermöglicht anschließend den Angreifern das Abfischen von Daten oder die missbräuchliche Verfügung über das betroffene Konto. Der Man-in-the-
BankR Hdb-Maihold, § 55 Rn. 32; Borges, NJW 2005, 3313 (3314); MünchKommStGB-Graf, § 202a Rn. 94. BankR Hdb-Maihold, § 55 Rn. 32 ff, der auch auf die praktische Schutzlosigkeit gegenüber bestimmten Schadprogrammen hinweist; Borges, NJW 2005, 3313 (3314); MünchKommStGB-Graf, § 202a Rn. 94. BankR Hdb-Maihold, § 55 Rn. 35; Borges, NJW 2005, 3313 (3314); MünchKommStGB-Graf, § 202a Rn. 94. Erstmals bekannt wurde dies im April 2011, Wolfram Viefhues, Angriffe auf deutsche mTANBanking-User, in: MMR-Aktuell 2011, 317911; siehe auch: Schulte am Hülse/Kraus, MMR 2016, 435. Wolfram Viefhues, Angriffe auf deutsche mTAN-Banking-User, in: MMR-Aktuell 2011, 317911 Wolfram Viefhues, Angriffe auf deutsche mTAN-Banking-User, in: MMR-Aktuell 2011, 317911
1. Abschnitt: Online-Überweisungen im E-Commerce
145
Mobile-Angriff wird auch angewandt, um das Mobile-Banking anzugreifen. Es werden dann wie beim Phishing die Nutzerdaten abgefangen.
II. Risikoverteilung und Haftung Die Haftungsvorschriften der PSD II sehen im Vergleich zur geltenden Rechtslage zahlreiche Änderungen vor.⁵⁵¹ Aus diesem Grund ist bei der Betrachtung des neuen Haftungsregimes stets zu berücksichtigen, ob und wie sich die bisherigen Erkenntnisse aus Rechtsprechung und Literatur übertragen lassen.
1. Haftung des Zahlungsdienstleisters Die Stärkung der Rechtsposition des Nutzers im Haftungsregime hat unweigerlich die Schwächung der Rechtposition des Zahlungsdienstleisters zur Folge. Das Haftungsrisiko verlagert sich somit weiter zulasten des Zahlungsdienstleisters.
a) Haftung für unautorisierte Zahlungsvorgänge gem. § 675u BGB n. F. Im Online-Banking gelangt bei Streitigkeiten über die Autorisierung von Zahlungsvorgängen der Aufwendungsersatzanspruch des Zahlungsdienstleisters gem. § 675u S. 1 BGB n. F. meist nicht zur Entstehung. Dies liegt im Wesentlichen an zwei Faktoren. Zunächst sind die Grundsätze des Anscheinsbeweises im Online-Banking weitgehend unanwendbar. Dies gilt zwar nicht für Zahlungen, bei denen die TAN über ein ChipTAN-Gerät generiert wurde. Diese sind jedoch einerseits so sicher, dass nur selten missbräuchliche Verfügungen getätigt werden und andererseits lässt sich der Beweis des ersten Anscheins leicht erschüttern. Folglich muss der Zahlungsdienstleister neben den technischen Aufzeichnungen gem. § 675w S. 4 BGB n. F. meist zusätzliche Beweismittel anführen, um eine Autorisierung nachweisen zu können. Dies ist jedoch im entpersonalisierten und anonymisierten Umfeld der virtuellen Welt kaum möglich. Im Gegensatz zu Bargeldabhebungen oder POS-Zahlungen mit einer Girokarte können weder Kameras noch anwesende Zeugen Aufschluss über den Hergang des Zahlungsvorgangs geben. Dem Zahlungsdienstleister bleibt demnach in strittigen Fällen oftmals nur die Möglichkeit, aus § 675v BGB n. F. gegen den Zahlungsdienstnutzer vorzugehen. Der Aufwendungsersatzanspruch wird in aller Regel entfallen, sodass bei einer bereits erfolgten Belastungsbuchung eine unverzügliche Erstattung seitens des Zahlungsdienstleisters nach Maßgabe des § 675u S. 2– 4 BGB n. F.
Siehe: Teil 2, 2.Abschnitt, F.
146
Teil 3: Giralgeldzahlungen im E-Commerce
zu erfolgen hat. Dies gilt nach § 675u S. 5 BGB n. F. auch dann, wenn der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst wurde.
b) Sonstige Ansprüche gem. §§ 675y, 675z BGB n. F. Der Zahlungsdienstleister hat außerdem für Schlecht-, Nicht- und Spätleistungen nach Maßgabe des § 675y BGB n. F. zu haften. Besonderheiten für das OnlineBanking ergeben sich hieraus nicht, weshalb auf die allgemeinen Ausführungen zu § 675y BGB n. F. verwiesen wird.⁵⁵² § 675z BGB n. F. ist hingegen von größerer Bedeutung, indem dieser die Reichweite des Haftungsrechts definiert. Zahlungsdienstnutzer sind hiernach berechtigt, Schäden für Nebenpflichtverletzungen gem. §§ 280 Abs. 1, 241 Abs. 2 BGB geltend zu machen. Im Online-Banking gilt dies insbesondere im Hinblick auf unterlassene Informations- und Warnpflichten.⁵⁵³ Neben der anfänglichen Instruktion über den Gebrauch, den Umfang der Haftung sowie das Missbrauchsrisiko des Online-Bankings ist der Kunde fortlaufend über aktuelle Gefahren wie Phishing-Mails oder Trojaner aufzuklären. Dem kommen die Banken regelmäßig durch entsprechende Warnhinweise auf ihren Online-Banking-Websites nach. Wird dies versäumt, kann der Kunde daraus resultierende Schäden dem Aufwendungsersatzanspruch der Bank entgegenhalten. Selbiges gilt auch, wenn die Bank in haftungsbegründender Weise ihrer Pflicht nicht nachkommt, eine ausreichend sichere Online-Banking-Umgebung bereit zu stellen und diese auf dem aktuellen Stand der Technik zu halten.⁵⁵⁴ Im Hinblick auf ein mögliches Mitverschulden des Nutzers i. S. d. § 254 BGB, dass nur im Rahmen eines Schadensersatzanspruchs relevant werden kann und daher bei den Erstattungsansprüchen der §§ 675u, 675y BGB n. F. ausscheidet, darf der Regelungsgehalt des § 675v BGB n. F. nicht unterlaufen werden.⁵⁵⁵ Der Vollharmonisierungsansatz sieht jegliche Haftung, also auch eine Beteiligungshaftung des Nutzers, nur in den Fällen des § 675v BGB n. F. vor. Ein Mitverschulden des Kunden wird demnach nur in den Grenzen des § 675v BGB n. F. berücksichtigt.
Siehe: Teil 2, 2. Abschnitt, F., IV. LG Karlsruhe, Urt. v. 23.05. 2014– 20 O 24/13, BKR 2015, 86 (88); vgl. auch BGH, Urt. v. 06.05. 2008 – XI ZR 56/07, NJW 2008, 2245 (2246); siehe auch: Spindler, Internet-Banking und Haftungsverteilung zwischen Bank und Kunden, in: FS für Nobbe 2009, 215 (226 f). Kind/Werner, CR 2006, 353 (357 f). Die §§ 249 ff BGB sind im Zahlungsdiensterecht anwendbar, siehe: BankR Hdb-Maihold, § 54 Rn. 97; Langenbucher/Bliesner/Spindler-Langenbucher, 3. Kap, § 675v Rn. 18 f; MünchKommBGBZetzsche, § 675v Rn. 29, 47; Staudinger-Omlor, § 675v Rn. 29; Schulte am Hülse/Klabunde, MMR 2010, 84 (88).
1. Abschnitt: Online-Überweisungen im E-Commerce
147
2. Haftung des Zahlungsdienstnutzers Der Zahlungsdienstnutzer haftet in erster Linie nach der Vorschrift des § 675v BGB, die durch die Neuregelungen des Zahlungsdiensterechts weiter entschärft wurde. Es bestehen jedoch auch dem Online-Banking immanente Risiken, die ausnahmsweise die Entstehung eines schadensgleichen Aufwendungsersatzanspruchs zur Folge haben können.
a) Autorisierte Zahlungsaufträge aufgrund von Rücküberweisungstrojanern Es gibt eine Konstellation, in denen der Aufwendungsersatzanspruch trotz eines Angriffs eines Dritten unstreitig zur Entstehung gelangt. Dies ist bei Motivirrtümern der Fall. Eine klassische Missbrauchskonstellation ist der sogenannte „Rücküberweisungs-Trojaner“, der dem Missbrauchsszenario des Pharming entstammt.⁵⁵⁶ Hierbei gaukelt eine Schadsoftware dem Kunden auf einer gefälschten Website vor, dass ein hoher Geldbetrag fälschlicherweise auf sein Konto überwiesen wurde. Anschließend wird der Nutzer aufgefordert, den Betrag wieder zurück zu überweisen. Kommt der Kunde dieser Aufforderung nach, indem er seine Zustimmung zu dem konkreten Zahlungsauftrag unter Verwendung seiner personalisierten Sicherheitsmerkmale persönlich erteilt, liegt eine wirksame Autorisierung vor.⁵⁵⁷ Der täuschungsbedingte Irrtum über den Zweck der Zahlung, lässt weder das für Willenserklärungen konstituierende Erklärungsbewusstsein noch den Geschäftswillen entfallen. Eine Anfechtung nach § 119 Abs. 1 BGB kommt somit nicht in Betracht, da es sich um einen für die Wirksamkeit der Willenserklärung unbedeutenden Motivirrtum handelt.⁵⁵⁸ Auch eine Anfechtung über § 123 Abs. 1 BGB scheidet aus, weil es sich bei dem täuschenden Angreifer um einen Dritten i. S. d. § 123 Abs. 2 S. 1 BGB handelt. Selbst die unverzügliche Anzeige der täuschungsbedingten Überweisung kann weder die Unwiderruflichkeit des Auftrags beseitigen, noch eine schadensersatzbewehrte Pflicht des Zahlungsdienstleisters zur Verhinderung der Ausführung des Zahlungsauftrags begründen.⁵⁵⁹ Eine Haftung unter Heranziehung des Aufwendungsersatzanspruchs widerspricht in derartigen Fällen nicht der grundsätzlichen Intention des Richtliniengebers, den Schadensausgleich im Rahmen des § 675v BGB n. F. vorzunehmen.
Siehe zugrundeliegende Sachverhalte: LG Karlsruhe, Urt. v. 23.05. 2014 – 20 O 24/13, BKR 2015, 86; LG Bonn, Urt. v. 31.03. 2015 – 3 O 387/14, VuR 2015, 264. LG Karlsruhe, BKR 2015, 86 (87); LG Bonn,VuR 2015, 264 (265); Schulte am Hülse/Kraus, MMR 2016, 435 (436). Palandt-Ellenberger, § 119 Rn. 29. Vgl. OLG Köln, Beschluss v. 21.03. 2016 – 13 U 223/15, BKR 2016, 349 (350).
148
Teil 3: Giralgeldzahlungen im E-Commerce
Denn der Nutzer soll nur einen angemessenen Schutz vor den systembedingten Risiken genießen. Zu diesen Risiken zählt gerade nicht der Rücküberweisungstrojaner, der sich genauso gut auch im beleggebundenen Zahlungsverkehr darstellen ließe.⁵⁶⁰ Es bedürfte nur einer Zahlungsaufforderung, die mit einem gefälschten Kontoauszug versehen wäre. Derartig verursachte Fehlvorstellungen über die Realität sind keine systembedingten, sondern alltägliche Risiken, die jeder Teilnehmer am Rechtsverkehr selbst zu tragen hat. Die Autorisierung ist daher in diesen Fällen wirksam und der Aufwendungsersatzanspruch, der seiner Höhe nach unbegrenzt ist, bleibt bestehen. Während das Gros des Missbrauchsrisikos auf den Zahlungsdienstleister abgewälzt wird, legt das Gesetz dem Kunden das Risiko täuschungsbedingter, aber wirksamer Verfügungen auf. Dies ist unter Berücksichtigung der allgemeinen Risikoverteilung sachgerecht und nicht willkürlich, da die Willensbildung einzig und allein dem Risikobereich des Bankkunden zuzuordnen ist.⁵⁶¹ Im Vergleich zu dem Abfangen von personalisierten Sicherheitsmerkmalen durch andere Varianten des Phishings oder Pharmings besteht der maßgebliche Unterschied darin, dass der Bankkunde jedenfalls nicht aktiv einen Zahlungsauftrag auslöst, sondern irrtümlich seine personalisierten Sicherheitsmerkmale offenbart. Diese Risikoverteilung bleibt auch unter der PSD II bestehen, sodass das ZDUG II keine Änderungen vorsieht.
b) Wirksame Autorisierung bei Man-in-the-Middle-Angriffen? Eine vergleichbare, jedoch äußerst umstrittene Konstellation entsteht bei Manin‐the-Middle-Angriffen. Hier wird die Kommunikation mit der Bank dahingehend verfälscht, dass der Bank ein ganz anderer als der vom Nutzer eingegebene Zahlungsauftrag zugeht. Authentifiziert sich der Nutzer anschließend auf der originalen Banking-Website durch Eingabe einer TAN, stellt sich die Frage, ob dies eine Autorisierung des gefälschten Zahlungsauftrags zur Folge hat.⁵⁶² Im Gegensatz zum Rücküberweisungstrojaner wird kein falscher Willensbildungsprozess in Gang gesetzt, sondern ein bereits aktiver Prozess manipuliert. Demnach handelt
Siehe auch Hoffmann/Haupert/Freiling, ZHR 2017, 780 (792), die als Beispiel den „Enkeltrick“ aufgreifen. Vgl. LG Karlsruhe, BKR 2015, 86 (87). Erfolgt die Kommunikation gänzlich über eine vom Angreifer manipulierte Website, handelt es sich um einen unautorisierten Zahlungsvorgang, da schlussendlich nicht der Nutzer, sondern der Angreifer den Zahlungsvorgang auslöst; aA Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675j Rn. 6a, der über die Anwendung der Anscheinsvollmacht zu einer Autorisierung gelangt.
1. Abschnitt: Online-Überweisungen im E-Commerce
149
es sich um ein systembedingtes Risiko, dessen Verteilung über §§ 675u, 675v BGB n. F. erfolgt. Der wesentliche Unterschied zum Rücküberweisungstrojaner liegt im Inhalt der Erklärung, da sich der Nutzer über den wirklichen Zahlungsempfänger täuscht. Er unterliegt folglich nicht bloß einem unbeachtlichen Motivirrtum, sondern einem Inhaltsirrtum i. S. d. § 119 Abs. 1 1. Alt. BGB.⁵⁶³ Einige Autoren sind jedoch der Auffassung, dass die europarechtliche Unwiderruflichkeit des Zahlungsauftrags einer entsprechenden Anfechtung entgegenstünde.⁵⁶⁴ Eine Anfechtung nach § 123 BGB soll jedoch auch nach dem Willen des europäischen Gesetzgebers weiterhin möglich sein.⁵⁶⁵ Mit Blick auf die Vorschrift des § 675p BGB n. F. könnte man zwar durchaus annehmen, dass die Anwendung der Anfechtungsregeln eine Durchbrechung des Regelungsgehalts darstellen könnte. Das Interesse an einem schnellen und effizienten Zahlungsverkehr tritt jedoch zurück, soweit höherrangigere Ziele des Richtliniengebers vorgehen. Es hat daher eine Gesamtbetrachtung zu erfolgen. Eines der wesentlichen Ziele der PSD II ist der Schutz des Zahlungsdienstnutzers vor den typischen Risiken des elektronischen Zahlungsverkehrs, sodass allein aus diesem Grund die Unwiderruflichkeit auch außerhalb der § 675p Abs. 2 – 4 BGB n. F. keinen schrankenlosen Schutz genießen kann. Darüber hinaus ist das Recht der Willenserklärungen, ähnlich dem Schadensrecht, nicht Gegenstand der Richtlinie, weshalb die Heranziehung nationaler Vorschriften zur weiteren Konkretisierung allgemein anerkannt wird.⁵⁶⁶ Dies gilt natürlich nur, soweit nicht sonstige Vorgaben der PSD II einer Anwendung entgegenstehen. So verbietet etwa die Vorschrift des § 675y Abs. 5 S. 1 BGB n. F. eine Anwendung der Anfechtung, soweit der Nutzer einen falschen Kundenidentifikator eingegeben hat. Erklärungsirrtümer i. S. d. § 119 Abs. 1 2. Alt. BGB sind dem Risikobereich des Nutzers zugeordnet. Dies ist in Anbetracht der nicht unwesentlichen Unterschiede zwischen Erklärungs- und Inhaltsirrtum auch gerechtfertigt. Das Verschreiben, Versprechen oder Vertippen spielt sich ausschließlich beim Erklärenden ab, während der Irrtum über den Inhalt einer Erklärung auch durch Dritte hervor-
Jauernig-Mansel, § 119 Rn. 8 ff; MünchKommBGB-Armbrüster, § 119 R. 56. MünchKommBGB-Jungmann, § 675p Rn. 9; Erman-v. Westphalen, § 675p Rn. 4; AG Bonn, MMR 2015, 478; Hoffmann/Haupert/Freiling, ZHR 2017, 780 (808) Fn. 61. MünchKommBGB-Jungmann, § 675p Rn. 9; Erman-v. Westphalen, § 675p Rn. 4. Siehe etwa: BeckOGK BGB-Köndgen § 675j Rn. 14; Staub-Grundmann Bd. 10.2, Rn. 225; Staudinger-Omlor, § 675j Rn. 6; Erman-v. Westphalen § 675j Rn. 2.
150
Teil 3: Giralgeldzahlungen im E-Commerce
gerufen werden kann. Aus diesem Grund widerspricht eine Anfechtung nach § 119 BGB nicht dem Willen des europäischen Gesetzgebers.⁵⁶⁷ Die entscheidende Frage stellt sich jedoch nicht hinsichtlich der Anwendbarkeit der Norm, sondern mit Blick auf die Rechtsfolgen. Zahrte sowie das LG und OLG Köln wenden konsequent die verschuldensunabhängige Schadensersatznorm des § 122 Abs. 1 BGB an, was schlussendlich nur zu einem Austausch der Anspruchsgrundlage führt, jedoch nicht zu einer Enthaftung des Nutzers.⁵⁶⁸ Der Haftungsmaßstab des § 675v BGB n. F. bliebe weiterhin außen vor, was die Folgefrage aufwirft, ob die Vorschrift des § 122 BGB vor dem Hintergrund des zahlungsdienstrechtlichen Schadensausgleichs eingeschränkt angewendet werden oder ganz zurücktreten muss.⁵⁶⁹ Dagegen wird vorgebracht, dass die Anwendung der Anfechtungsvorschriften außerhalb des Zahlungsdiensterechts erfolge und daher auch § 122 BGB unverändert Geltung beanspruchen würde.⁵⁷⁰ Es trifft zwar zu, dass sich die Anfechtung der Autorisierung über Vorschriften vollzieht, die außerhalb des Zahlungsdiensterechts liegen. Die europäischen Vorgaben überlagern dabei jedoch stets das nationale Recht und lassen es gegebenenfalls auch zurücktreten. Daher handelt es sich um einen nationalen, aber vom Zahlungsdiensterecht überlagerten Rechtsbereich. Die europarechtliche Ausstrahlungswirkung erstreckt sich konsequenterweise auch auf § 122 BGB, der als Schadensersatzanspruch hinter dem lex specialis des § 675v BGB n. F. zurücktritt. Dieses Ergebnis ermöglicht die angemessene Berücksichtigung von Verursachungsbeiträgen, wie etwa eine unterlassene Kontrolle der auf einem TAN-Generator angezeigten Überweisungsdaten. In aller Regel wird man auch unter Anwendung des § 675v BGB n. F. zu deckungsgleichen Ergebnissen gelangen, da die Empfängerdaten in allen Stadien des Überweisungsvorgangs sorgfältig zu kontrollieren sind. Das Unterlassen der Kontrolle ist eine grob fahrlässige und damit schadensersatzbewehrte Pflichtverletzung. Aus diesem Grund wird die unterschiedliche Behandlung nur für die Fälle relevant, in denen es dem Nutzer aufgrund einer visuellen Verfälschung der Eingabemaske sowie dem Rückgriff auf eine iTAN-Liste unmöglich ist, den Angriff zu erkennen. Ansonsten würden auch diese Fälle zu einer umfassenden Haftung des Nutzers führen, was angesichts des
So auch die hM, vgl.: Zahrte, BKR 2016, 315 (317); LG Köln, BKR 2016, 350 (351); OLG Köln, BKR 2016, 349; wohl auch BeckOK BGB-Schmalenbach, § 675j Rn. 2. So auch: Zahrte, BKR 2016, 315 (317); OLG Köln, BKR 2016, 349. Darauf hinweisend, aber ablehnend reagierend: Zahrte, BKR 2016, 315 (317). Hoffmann/Haupert/Freiling, ZHR 2017, 780 (808) Fn. 61; Zahrte, BKR 2016, 315 (317).
1. Abschnitt: Online-Überweisungen im E-Commerce
151
pflichtgemäßen Verhaltens nicht sachgerecht wäre.⁵⁷¹ Überdies macht die Implementierung der dynamischen Verweisung deutlich, dass Man-in-the-MiddleAngriffe wirksam vorgebeugt werden kann. Der Zahlungsdienstleister, der bis zum Inkrafttreten des Art. 97 Abs. 2 PSD II weiterhin iTAN-Listen ausgibt, kann nicht durch eine Unanwendbarkeit des § 675v BGB n. F. beziehungsweise der Anfechtungsregeln für die strukturelle Schwäche seiner Authentifizierungsverfahren haftungsrechtlich privilegiert werden. Aus diesen Gründen haftet der Nutzer für inhaltsirrtümlich veranlasste Zahlungen nur, soweit ihm ein zumindest grob fahrlässiger Pflichtverstoß i. S. d. § 675v Abs. 3 BGB n. F. nachgewiesen werden kann. Eine verschuldensunabhängige Haftung für ein systembedingtes Risiko, das für den Nutzer teilweise nicht erkennbar ist, ist dem Zahlungsdiensterecht fremd und daher im Rahmen des § 675v BGB n. F. aufzulösen. Demnach bestehen neben den Fällen der Rücküberweisungstrojaner keine weiteren, durch Dritte begründete Haftungssituationen, deren Ausgleich sich über den Aufwendungsersatzanspruch vollzieht. Die Man-in-the-Middle-Angriffe werden im Übrigen immer häufiger auftreten, da das Erfordernis der dynamischen Verknüpfung bei Online-Überweisungen zur Folge haben wird, dass das bloße Abfischen von Daten meist nicht mehr ausreicht, um missbräuchliche Zahlungsaufträge auszulösen. Dieser Punkt spricht ebenfalls für die hier vertretene Lösung, da es dem Interesse des Richtliniengebers widersprechen würde, wenn die Erhöhung der Sicherheit eine faktische Haftungsverlagerung zulasten des Zahlungsdienstnutzers zur Folge hätte.
c) Eingeschränkte Haftung gem. § 675v Abs. 1 und 2 BGB n. F. Gelingt dem Zahlungsdienstleister nicht der Nachweis, dass eine autorisierte Zahlung vorgelegen hat, kann er auf nächster Stufe den Zahlungsdienstnutzer über § 675v BGB n. F. auf Schadensersatz in Anspruch nehmen.
aa) Haftungsdifferenzierung nach § 675v Abs. 1 BGB a. F. Nach der alten Rechtslage galt für die missbräuchliche Verwendung des OnlineBankings die verschuldensabhängige Haftung des § 675v Abs. 1 S. 2 BGB a. F. Diese Vorschrift war maßgeblich auf Distanzgeschäfte zugeschnitten.⁵⁷² Die ver So wohl auch Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675j Rn. 6a, der zu diesem Ergebnis unter Rückgriff auf die Anscheinsvollmacht gelangt. Es läge dann keine Erkennbarkeit durch den Nutzer vor. Nach Hofmann, BKR 2014, 105 (110) und BankR Hdb-Maihold, § 54 Rn. 104 sei begrifflich sogar nur das Online-Banking erfasst. Der Missbrauch von Kreditkartendaten durch das Erstellen
152
Teil 3: Giralgeldzahlungen im E-Commerce
schuldensunabhängige Haftung des § 675v Abs. 1 S. 1 BGB a. F. galt nur im Falle des Verlusts eines verkörperten Zahlungsinstruments. Da TAN-Liste, TAN-Generator und das für das mTAN-Verfahren freigeschaltete Smartphone keine Zahlungsinstrumente darstellen, ergab sich im Bereich des Online-Bankings schon tatbestandlich kein Raum für eine Anwendung der Vorschrift.⁵⁷³ Folglich entstand nach der alten Rechtslage eine Haftung nur, soweit der Zahlungsdienstnutzer die personalisierten Sicherheitsmerkmale wie PIN und TAN nicht sorgfältig aufbewahrt hatte und diese für die missbräuchliche Verwendung des Online-Bankings eingesetzt wurden.⁵⁷⁴ Der objektiviert formulierte Pflichtverstoß erforderte unter Berücksichtigung der Gesetzesbegründung und der schuldrechtlichen Systematik i. S. d. § 280 Abs. 1 S. 2 BGB ein Verschuldenselement.⁵⁷⁵ Während sich § 675v Abs. 1 BGB a. F. in dem vom Richtliniengeber in Art. 61 Abs. 3 PSD I gewährten Umsetzungsspielraum bewegte, würde eine darüber hinausgehende Anwendung des § 280 Abs. 1 S. 2 BGB gegen § 675w S. 3 BGB a. F. verstoßen, weshalb nicht nur der Pflichtverstoß, sondern auch das Verschulden des Zahlungsdienstnutzers durch den Zahlungsdienstleister nachzuweisen waren.⁵⁷⁶ Der objektivierte Pflichtverstoß fiel und fällt nach allgemeinem Rechtsverständnis jedoch meist mit dem Nachweis des Verschuldens zusammen,⁵⁷⁷ sodass der Nachweis der subjektiven Pflichtverletzung leicht zu erbringen war. Sodann stand dem Zahlungsdienstleister ein in der Höhe bis 150 Euro begrenzter Anspruch zu. Klassische Fälle waren das Notieren der Online-Banking PIN auf dem Computer oder auf der TAN-Liste. Ein ebenfalls unter § 675v Abs. 1 S. 2 BGB a. F. fallender Pflichtverstoß lag vor, soweit der Zahlungsdienstnutzer seinen Computer nicht ausreichend
von Kartendubletten sei nicht erfasst. Eine solch enge Auslegung wird jedoch der Intention des Gesetzgebers nicht gerecht. Siehe: BT-Drs. 16/11643, S. 113 f; MünchKommBGB-Zetzsche, § 675v Rn. 24; Scheibengruber, BKR 2010, 15 (16). Dies gilt nicht ausnahmslos, da es sich bei einem Kartenlesegerät mit Signaturfunktion im HBCI-Verfahren um ein Zahlungsinstrument handelt. Die verschwindend geringe Verbreitung unter Verbrauchern rechtfertigt jedoch mangels praktischer Relevanz keine nähere Betrachtung, siehe: Scheibengruber, BKR 2010, 15 (18). Es bedarf also einer Kausalität zwischen der Pflichtverletzung und der missbräuchlichen Verwendung, siehe: Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675v Rn. 29. In Art. 61 Abs. 3 PSD I gewährt der Richtliniengeber den nationalen Gesetzgebern einen weitgehenden Umsetzungsspielraum. Vgl. daher: BT-Drs. 16/11643, S. 113; EFN-Nobbe, § 675v Rn. 41; Oechsler, WM 2010, 1381 (1383); MünchKommBGB-Zetzsche, § 675v Rn. 28; Staub-Grundmann, Band 10/2, Dritter Teil Rn. 434; Staudinger-Omlor, § 675v Rn. 15 f; aA Gebauer/WiedmannSchinkels, Kap. 16 Rn. 53. Staub-Grundmann, Band 10/2, Dritter Teil Rn. 433 f; Staudinger-Omlor, § 675v Rn. 15 f. Staub-Grundmann, Band 10/2, Dritter Teil Rn. 433.
1. Abschnitt: Online-Überweisungen im E-Commerce
153
gegen Schadprogramme sicherte oder sein zum mTAN-Verfahren freigeschaltetes Smartphone nach einem Verlust nicht sperren ließ.⁵⁷⁸
bb) Die neue einheitliche Haftung nach § 675v Abs. 1 und 2 BGB n. F. Die neuen Vorschriften des § 675v Abs. 1 und 2 BGB n. F. knüpfen den beschränkten Schadensersatzanspruch nicht mehr an die Form der Entstehung der missbräuchlichen Verwendung, sondern an deren Bemerkbarkeit an. § 675v Abs. 1 BGB n. F. stellt dazu einen einheitlichen Gefährdungshaftungstatbestand für alle unautorisierten Zahlungsvorgänge auf. Abgesehen von der Einbeziehung der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments ist § 675v Abs. 1 BGB n. F. identisch mit § 675v Abs. 1 S. 1 BGB a. F., weshalb sich die Regeln und die Rechtsprechung zur Gefährdungshaftung übertragen lassen.
(i) Verschuldensabhängiger Haftungsausschluss nach § 675v Abs. 2 Nr. 1 BGB n. F. § 675v Abs. 2 Nr. 1 BGB n. F. beinhaltet den relevantesten Ausschlusstatbestand. Die Haftung wird an die Möglichkeit des Bemerkens des Verlusts, des Diebstahls, des Abhandenkommens oder der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments geknüpft. Nach dem objektivierten Sorgfaltsmaßstab des § 276 BGB entfaltet der Ausnahmetatbestand Geltung, soweit der Zahlungsdienstnutzer aus der Sicht eines objektiven, besonnen und gewissenhaften Betrachters in seiner konkreten Situation nicht in der Lage war, die drohende oder bereits erfolgte unautorisierte Zahlung zu bemerken.⁵⁷⁹ Ein derartiger Fall ist etwa denkbar, wenn Angreifer unbemerkt (und unbemerkbar) personalisierte Sicherheitsmerkmale des Online-Bankings erlangt haben und der Zahlungsdienstnutzer mangels Zugriffs auf das Internet seine Kontobewegungen nicht einsehen kann. Diese Konstellation verdeutlicht überdies eine Besonderheit im Umgang mit nicht verkörperten Zahlungsinstrumenten im Rahmen des § 675v Abs. 2 Nr. 1 BGB n. F. Im Falle einer missbräuchlichen Nutzung unkörperlicher Zahlungsinstrumente ist die missbräuchliche Verwendung notwendige Voraussetzung des Bemerkens.⁵⁸⁰ Ein vorheriges Bemerken wäre nur möglich, wenn der Zahlungsdienstnutzer selber oder durch Dritte über ausreichend Expertise verfügen würde,
Vgl. BankR Hdb-Maihold, § 55 Rn. 98. Hoffmann, VuR 2016, 243 (244); siehe auch: BT-Drs. 18/11495, S. 165. Hofmann, BKR 2018, 62 (64).
154
Teil 3: Giralgeldzahlungen im E-Commerce
um entsprechende Schadsoftware zu identifizieren. Dies kann jedoch nicht von einem Durchschnittsnutzer erwartet werden, weshalb eine Vorverlagerung des Bemerkens auf Vorbereitungshandlungen der Angreifer nicht sachgerecht ist.⁵⁸¹ Der Gesetzgeber weist in diesem Zusammenhang zutreffend darauf hin, dass die Bemerkbarkeit bei mehreren unautorisierten Zahlungsvorgängen für jeden Einzelfall gesondert geprüft werden muss.⁵⁸² Die objektive Bemerkbarkeit bemisst sich nach den Möglichkeiten, die dem Kunden zur Verfügung stehen, um einen Missbrauch festzustellen. Beim OnlineBanking besteht diese Möglichkeit dauerhaft, sodass prinzipiell nach der erstmaligen missbräuchlichen Abbuchung von einer objektiven Bemerkbarkeit ausgegangen werden kann. Man wird zwar nicht erwarten können, dass der Kunde stündlich seine Kontostände überprüft. Derartige AGB dürften gegen § 675l Abs. 2 BGB n. F. verstoßen. Eine regelmäßige Pflicht zur Überprüfung, die sich am jeweiligen Einzelfall orientiert, dürfte insbesondere unter Berücksichtigung der geringen Schadensbeteiligung von maximal 50 Euro jedoch im Bereich des für den Nutzer Zumutbaren liegen.⁵⁸³
(ii) Haftungsausschluss wegen Fremdverschuldens nach § 675v Abs. 2 Nr. 2 BGB n. F. Der Ausnahmetatbestand des § 675v Abs. 2 Nr. 2 BGB n. F. ist entgegen seines eindeutigen Wortlauts auch im Bereich des Online-Bankings anwendbar.⁵⁸⁴ Nach den Vorgaben der Richtlinie soll der Tatbestand nicht nur bei dem Verlust eines Zahlungsinstruments, sondern bei jeglichen Schäden Anwendung finden, die durch die missbräuchliche Verwendung eines Zahlungsinstruments entstanden sind. Beim Online-Banking, wo verkörperte Zahlungsinstrumente nicht zum Einsatz kommen, ist die weite Auslegung besonders angezeigt. Denn alle missbräuchlichen Verfügungen, die durch den Zahlungsdienstleister oder mit ihm verbundene natürliche oder juristische Personen verursacht oder ermöglicht worden sind, sollen keine Anreizhaftung für den Zahlungsdienstnutzer begründen können. Hierbei handelt es sich um Risiken, die ausschließlich dem Einflussbereich des Zahlungsdienstleisters entspringen.⁵⁸⁵ Zu den verbundenen Personen zählen im Bereich des Online-Bankings beispielsweise Server-Provider und andere IT-Dienstleister, die die technischen Systeme bereitstellen und betreuen. Treten hier
So auch Hoffmann, VuR 2016, 243 (244 f). BT-Drs. 18/11495, S. 165. So auch Hofmann, BKR 2018, 62 (64). Siehe: Teil 2, 2. Abschnitt, F., II., 2., b). Vgl. insbesondere Erwägungsgrund 71 PSD II.
1. Abschnitt: Online-Überweisungen im E-Commerce
155
Sicherheitslücken auf, kann der Zahlungsdienstnutzer für mögliche Schäden nicht in Anspruch genommen werden, selbst wenn er die missbräuchlichen Verfügungen hätte früher bemerken und damit verhindern können. Aufgrund der weiten Auslegung muss der Verursachungsbeitrag des Zahlungsdienstleisters oder einer ihm zurechenbaren Person nicht alleiniger Grund für die Schadensverursachung sein.⁵⁸⁶ Es genügt bereits eine kumulative oder mehrstufige Kausalität. Wie auch bei § 675v Abs. 2 Nr. 1 BGB n. F. bedarf es keiner subjektiven Vorwerfbarkeit der Pflichtverletzung.⁵⁸⁷ Ein objektiver Pflichtverstoß des Zahlungsdienstleisters lässt demnach jegliche Haftung des Nutzers nach § 675v Abs. 1 BGB n. F. entfallen.
d) Betragsmäßig unbeschränkte Haftung gem. § 675v Abs. 3 BGB n. F. Aus dem Bundeslagebild für Cybercrime des Bundeskriminalamtes für das Jahr 2016 geht hervor, dass die Schadenssumme bei Phishing-Fällen im Schnitt bei 4.000 Euro liegt.⁵⁸⁸ Die der Schadensprävention und -verminderung dienende, gedeckelte Haftung aus § 675v Abs. 1 und 2 BGB n. F. hat demnach keine wesentliche Bedeutung für die Schadensregulierung. Diese vollzieht sich über § 675v Abs. 3 BGB n. F. Die in der Höhe unbegrenzte Haftung setzt entweder einen grob fahrlässigen oder vorsätzlichen Pflichtverstoß oder ein Handeln in betrügerischer Absicht des Nutzers voraus. Der Pflichtenkatalog umfasst sowohl die gesetzlichen Pflichten gem. § 675l Abs. 1 BGB n. F. als auch gem. § 675v Abs. 3 Nr. 2 lit. b BGB n. F. die vertraglich vereinbarten Pflichten für die Ausgabe und Nutzung eines Zahlungsinstruments. Da aufgrund der Beweisschwierigkeiten im OnlineBanking nur selten der Nachweis betrügerischen Handelns oder vorsätzlicher Pflichtverletzungen gelingen wird, entfaltet vor allem das Tatbestandsmerkmal der grob fahrlässigen Pflichtverletzung entscheidende Bedeutung.⁵⁸⁹
aa) Der Maßstab der groben Fahrlässigkeit im Online-Banking Die von der Rechtsprechung vorgenommene Unterteilung grob fahrlässiger Pflichtverstöße in einen objektiven und subjektiven Part hat dazu geführt, dass
Hoffmann, VuR 2016, 243 (246). Hoffmann, VuR 2016, 243 (246). BKA, Cybercrime, Bundeslagebild 2016, S. 21 f, abrufbar unter: https://www.bka.de/Shared Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBun deslagebild2016.html?nn=28110, zuletzt abgerufen am 10.04. 2019. Siehe übersichtsartig: Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675v Rn. 49 ff.
156
Teil 3: Giralgeldzahlungen im E-Commerce
Fallgruppen entwickelt wurden, die zumindest objektiv den Vorwurf der groben Fahrlässigkeit begründen.⁵⁹⁰ Der subjektive Vorwurf ist stets im Einzelfall zu bestimmen und richtet sich insbesondere nach der Internet- und Online-BankingErfahrung des jeweiligen Zahlungsdienstnutzers. Die Anforderungen, die an mit dem Internet unvertrauten oder unerfahrenen Nutzern zu stellen sind, können schließlich erheblich von den Fähigkeiten und Kenntnissen abweichen, die man von erfahrenen Nutzern erwarten darf.
bb) Grob fahrlässige Verletzung der Sorgfaltspflichten des § 675l Abs. 1 BGB n. F. Eine grob fahrlässige Verletzung der Geheimhaltungspflicht gem. § 675l Abs. 1 S. 1 BGB n. F. begeht, wer bewusst personalisierte Sicherheitsmerkmale wie PIN und TAN an Dritte weitergibt.⁵⁹¹ Dies gilt unabhängig davon, wer der Dritte ist, sodass auch die Weitergabe an Familienangehörige als grob fahrlässig einzustufen ist, da in jedem Fall die Verlässlichkeit der Authentifizierung erheblich gefährdet ist.⁵⁹² Neben der bewussten (irrtumsfreien) Weitergabe kann auch die irrtumsbedingte Weitergabe von mehreren TAN eine grobe Fahrlässigkeit begründen. Die mittlerweile ausgedienten TAN-Listen waren oftmals Ziel von Pharming- oder Phishing-Angriffen. Die gefälschte Bankwebsite forderte den Kunden dabei zur Eingabe mehrerer TAN auf. Unter Berücksichtigung der Faktoren des Einzelfalls, wie etwa ausdrücklicher Warnhinweise und ihrer Erkennbarkeit, die Angriffsform sowie die Authentizität der gefälschten Website, konnte eine derartige Weitergabe eine grobe Fahrlässigkeit begründen.⁵⁹³ Leistet eine Kunde etwa einer E-Mail Folge, die ihn dann auf die gefälschte Website leitet, obwohl die Bank dem Kunden vorher ausdrücklich mitgeteilt hat, dass sie ihn keinesfalls per E-Mail zu Online-Banking-Aktionen auffordern würde, war der Pflichtverstoß deutlich gravierender als beispielsweise bei Pharming-Angriffen mit kopierten Bankwebsites.⁵⁹⁴ Derartige Pflichtverletzungen sollten aufgrund des Abschieds von der TANListe nunmehr der Vergangenheit angehören. Ähnlich gelagert, aber weiterhin aktuell sind die Fälle, in denen der Kunde gegen die Pflicht verstößt, die personalisierten Sicherheitsmerkmale nur innerhalb der vereinbarten Zugangskanäle einzugeben. Ist eine gefälschte Website als
Vgl. Nr. 10.2.1 Abs. 5 SB-Online-Banking. Borges, BKR 2009, 84 (86); BankR Hdb-Maihold, § 55 Rn. 117; Schulte am Hülse/Klabunde, MMR 2010, 84 (87). So auch BankR Hdb-Maihold, § 55 Rn. 117. Siehe hierzu ausführlich: BankR HdB-Maihold, § 55 Rn. 125 ff mwN. Schulte am Hülse/Klabunde, MMR 2010, 84 (87).
1. Abschnitt: Online-Überweisungen im E-Commerce
157
solche zweifelsfrei zu erkennen und ignoriert der Nutzer massiv Anhaltspunkte und Verdachtsmomente, liegt objektiv ein grob fahrlässiges Verhalten vor.⁵⁹⁵ Dies gilt auch für die Fälle, in denen der Kunde die personalisierten Sicherheitsmerkmale außerhalb des Online-Bankings, also zum Beispiel per E-Mail oder Telefon, weitergibt. Auch hierbei ist das Vorgeschehen, wie etwa ignorierte Warnhinweise sowie die konkreten Umstände des Einzelfalls, wertend zu berücksichtigen. Ausfluss der Geheimhaltungspflicht ist überdies auch der Schutz der eigenen technischen Umgebung vor fremden Zugriff. Der Zahlungsdienstnutzer muss auf seinem Computer zumindest ein Antivirus-Programm unterhalten und dieses regelmäßig aktualisieren.⁵⁹⁶ Eine Verletzung der entsprechenden Pflichten ist objektiv als grob fahrlässig zu bewerten, da die prinzipielle Anfälligkeit von Computern gegenüber Schadprogrammen jedem durchschnittlichen Internetnutzer als bekannt vorausgesetzt werden darf. Umstände des Einzelfalls können gerade bei älteren Nutzern für ein Entfallen der subjektiven Vorwerfbarkeit sorgen. Grob fahrlässige Pflichtverletzungen treten neben der Weitergabe oder Eingabe personalisierter Sicherheitsmerkmale auch bei deren Verwahrung auf. So ist es grob fahrlässig, PIN und TAN an demselben Ort zu verwahren, etwa durch ein Notieren der PIN auf der TAN-Liste. Diese Fälle sind mit dem Notieren der PIN auf der Girokarte vergleichbar.⁵⁹⁷ Die getrennte Aufbewahrung von PIN und TAN kann hingegen bei unzureichender Sicherung gegen Drittzugriff allenfalls eine leichte Fahrlässigkeit begründen. Dies gilt insbesondere für die Aufbewahrung in einem unverschlossenen Behältnis in der Wohnung, da der Zugriff hier zunächst einen Wohnungseinbruch voraussetzt. Die Speicherung der PIN auf dem Smartphone, das zum mTAN-Verfahren freigeschaltet ist, kann ebenfalls eine grob fahrlässige Pflichtverletzung darstellen, soweit auf die in Nr. 7.2 Abs. 2 Spiegelstrich 1 SB-Online-Banking⁵⁹⁸ verbotene, elektronische Speicherung der PIN abgestellt wird.⁵⁹⁹ Ähnlich gestaltet ist der Fall, bei dem das zum mTAN-Verfahren
BGH WM 2012, 983 (986); Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675v Rn. 51. Sehr ausführlich: BankR HdB-Maihold, § 55 Rn. 133 ff. BankR HdB-Maihold, § 55 Rn. 123, 124; zur Girokarte siehe: BGH, Urt. v. 17.10. 2000 – XI ZR 42/ 00, NJW 2001, 286 (287). Kritisch BankR HdB-Maihold, § 55 Rn. 116, der zutreffend darauf hinweist, dass die elektronische Speicherung auf einem verschlüsselten Speichermedium nicht zwingend eine grob fahrlässige Pflichtverletzung darstellt. Zwar wird eine solche Konstellation beispielhaft von Nr. 10.2.1 Abs. 5 Spiegelstrich 6 SBOnline-Banking erwähnt. Die Hochstufung von Speichermedien zu Zahlungsinstrumenten, wie es Nr. 2.2 SB-Online-Banking vorsieht, verstößt jedoch im Bereich der Haftung gegen § 675e Abs. 1 i.V. m. § 675v Abs. 1 und 2 BGB n. F. und ist daher unzulässig. Aufgrund der damit verbundenen Unsicherheiten, ist der Katalog möglicherweise ebenfalls unwirksam. Da er jedenfalls nicht
158
Teil 3: Giralgeldzahlungen im E-Commerce
freigeschaltete Smartphone gleichzeitig auch zum Mobile-Banking genutzt wird, soweit der Zahlungsdienstleister dies aufgrund getrennter Kommunikationskanäle ausdrücklich gestattet. Der Kunde verstößt dann gegen die vertraglich in Nr. 7.2 Abs. 2 Spiegelstrich 7 SB-Online-Banking festgelegte Trennungspflicht hinsichtlich der verwendeten Geräte beim Mobile-Banking. Dies kann erneut unter Berücksichtigung der Umstände des Einzelfalls eine grobe Fahrlässigkeit begründen.⁶⁰⁰
cc) Anscheinsbeweis für grobe Fahrlässigkeit? Die Anwendung der Grundsätze des Anscheinsbeweises kommt bei einer Autorisierung im Online-Banking momentan nur bei der Verwendung eines TAN-Generators in Betracht,⁶⁰¹ weshalb sich die Frage stellt, bei welchem Authentifizierungsverfahren die missbräuchliche Verwendung eines Online-Banking Zahlungsinstruments den Anschein einer grob fahrlässigen Pflichtverletzung begründet.⁶⁰² Dabei sind abermals die von der Rechtsprechung aufgestellten Voraussetzungen zu berücksichtigen. Es bedarf daher zunächst eine die Anwendung der Grundsätze des Anscheinsbeweises rechtfertigende Typizität. Ordnungsgemäß authentifizierte Zahlungsvorgänge im Online-Banking, die nicht vom Zahlungsdienstnutzer autorisiert wurden, müssten daher nach allgemeiner Lebenserfahrung für eine grob fahrlässige Pflichtverletzung des Nutzers sprechen. Dies wurde zu Zeiten des einfachen PIN und TAN Verfahrens zu Recht angenommen.⁶⁰³ Die damaligen Angriffsformen waren sowohl in technischer als auch in tatsächlicher Hinsicht so rudimentär, dass jeder verständige Nutzer in der Lage war, sie als Angriffe zu erkennen. Erfolgte demnach ein missbräuchlicher Zahlungsvorgang, sprach die allgemeine Lebenserfahrung für eine wirksame Autorisierung oder alternativ für eine grob fahrlässige Pflichtverletzung. Dies ist heutzutage nicht mehr der Fall. Die vielfältigen Angriffsszenarien sind technisch mittlerweile derart ausgereift, dass gefälschte Websites vom richtigen Online-Banking nicht mehr zu unterscheiden sind. Die im Hintergrund ablaufenden betrügerischen
zwingend ist, dienen die Konstellationen ohnehin nur als Anhaltspunkt für eine grob fahrlässige Pflichtverletzung. BankR Hdb-Maihold, § 55 Rn. 128. Siehe: Teil 3, 1. Abschnitt, C., II., 2. Zur generellen Anwendbarkeit des Anscheinsbeweises unter § 675w S. 3 BGB n. F. siehe ebenfalls: Teil 3, 1. Abschnitt, C., II., 2. Bender, WM 2008, 2049 (2058); Borges, NJW 2005, 3313 (3316 f); van Geldern, Phisher, Pharmer & Co., in: FS für Nobbe, 2009, 55 (67).
1. Abschnitt: Online-Überweisungen im E-Commerce
159
Tätigkeiten sind für den Durchschnittsnutzer ohnehin nicht erkennbar. Darüber hinaus sind die Angreifer Antivirenprogrammen immer einen Schritt voraus. Schutzprogramme können auf Schadsoftware schließlich erst nach deren Auftreten reagieren. Aus diesem Grund gibt es gegen Angriffe, die noch nicht bekannt sind und daher als sogenannte Zero-Day-Exploits bezeichnet werden, keinen wirksamen Schutz.⁶⁰⁴ Außerdem ist auch nicht auszuschließen, dass etwa die Website oder der Server der kontoführenden Bank Ziel des Angriffs war. In der Gesamtschau gibt es daher keine für eine Typizität sprechende Erfahrungssätze.⁶⁰⁵ Der Anscheinsbeweis ließe sich daher im Bereich der grob fahrlässigen Pflichtverletzung allenfalls wie auch bei der Autorisierung nur bei praktisch unüberwindbaren Authentifizierungsverfahren wie dem ChipTAN-Verfahren anführen. Dabei bliebe jedoch unberücksichtigt, dass die grobe Fahrlässigkeit nicht nur einen objektiven Pflichtverstoß, sondern auch einen subjektiven Schuldvorwurf voraussetzt. Der Anscheinsbeweis dient jedoch gerade dazu, ohne weitere Darlegung aus typischen Verfahrensabläufen objektive Schlüsse zu ziehen. Die Betrachtung allgemeiner Vorgänge lässt dabei individuelle Aspekte gänzlich unberücksichtigt, weshalb die Anwendung der Grundsätze des Anscheinsbeweises für grob fahrlässige Pflichtverletzungen zu Recht allgemein abgelehnt wird.⁶⁰⁶ Im Prozess bedarf es daher stets der Einzelfallbetrachtung.
e) Haftungsausschluss gem. § 675v Abs. 4 und 5 BGB n. F. Die neue Vorschrift des § 675v Abs. 4 BGB n. F. ist insbesondere im Online-Banking von Bedeutung, da nicht nur die gewöhnliche, sondern auch die qualifizierte starke Kundenauthentifizierung bei Online-Überweisungen anzuwenden ist.⁶⁰⁷ Der Zahlungsdienstleister muss ab September 2019 dynamische Authentifizie-
BankR Hdb-Maihold, § 55 Rn. 166. So auch BGH NJW 2016, 2024 (2031); BankR Hdb-Maihold, § 55 Rn. 165 ff; Schulte am Hülse/ Klabunde, MMR 2010, 84 (87); Borges, BKR 2009, 84 (87); Spindler, Internet-Banking und Haftungsverteilung zwischen Bank und Kunden, in: FS für Nobbe, 2009, 213 (232). Zur allgemeinen Ablehnung siehe: BGH NJW 1974, 1377; NJW 2003, 1118 (1119); JauernigStadler, § 276 Rn. 35; MünchKommBGB-Grundmann, § 276 Rn. 189; Siehe zur Ablehnung konkret im Online-Banking: BGH NJW 2016, 2024 (2031); BankR Hdb-Maihold, § 55 Rn. 167 f; Borges, BKR 2009, 84 (87); EFN-Nobbe, § 675w Rn. 49; Schulte am Hülse/Klabunde, MMR 2010, 84 (87); Spindler, Internet-Banking und Haftungsverteilung zwischen Bank und Kunden, in: FS für Nobbe, 2009, 213 (232); aA Langenbucher/Bliesener/Spindler-Herresthal, 5. Kap, § 675w Rn. 15 hinsichtlich iTAN, eTAN und mTAN. Siehe: Teil 2, 2. Abschnitt, F., II., 4., cc).
160
Teil 3: Giralgeldzahlungen im E-Commerce
rungsverfahren wie mTAN oder chipTAN verwenden.⁶⁰⁸ Die iTAN-Liste ist dann nicht mehr zulässig.⁶⁰⁹ Die Verletzung der aufsichtsrechtlichen Pflicht durch den Zahlungsdienstleister hat zivilrechtlich den Untergang etwaiger Ansprüche gegen den Zahlungsdienstnutzer zur Folge. Einzig das Handeln in betrügerischer Absicht kann ein Wiederaufleben der Haftung zur Folge haben. Von großer Bedeutung sind daher die in den RTS vorgesehenen Ausnahmen, die gem. Art. 98 Abs. 1 lit b. PSD II auch für die dynamische Verknüpfung Geltung entfalten. Im Online-Banking sind insbesondere die Ausnahmen der Art. 13 – 18 RTS von Relevanz. Bei Zahlungen an vertrauenswürdige Zahlungsempfänger, Kleinbetragszahlungen, wiederkehrenden Zahlungen, Zahlungen zwischen identischem Zahler und Zahlungsempfänger und risikoarmen Zahlungen i. S. d. Art. 18 RTS sind Zahlungsdienstleister berechtigt, von einer Anwendung der starken Kundenauthentifizierung abzusehen. Die Vorschrift des § 675v Abs. 4 S. 1 BGB n. F. entfaltet dann keine Geltung. Hinsichtlich des Haftungsausschlusses nach § 675v Abs. 5 BGB n. F. ergeben sich im Bereich des Online-Bankings keine Besonderheiten, sodass auf die bereits erfolgten Ausführungen verwiesen wird.⁶¹⁰
f) Mitverschulden des Zahlungsdienstleisters gem. § 254 BGB Die PSD II enthält kein eigenes Schadensrecht, sodass die Regelungslücke durch nationales Recht und einer Anwendung der §§ 249 ff BGB aufgefangen werden darf.⁶¹¹ Hat demnach der Zahlungsdienstleister einen Beitrag zur Entstehung des Schadens geleistet, ist der Anspruch gegen den Zahlungsdienstnutzer im Rahmen des Mitverschuldens i. S. d. § 254 BGB zu kürzen. Dies ist insbesondere der Fall, wenn Schadprogramme über systemische Sicherheitslücken des Zahlungsdienstleisters auf den Rechner des Nutzers gelangt sind. Das Zahlungsinstitut hat dann keine ausreichenden Sicherheitsmaßnahmen im Online-Banking ergriffen und dadurch einen kausalen, haftungsbegründenden Beitrag zum Missbrauch geleistet. Die Sicherheitsanforderungen an die Kommunikation werden in Kapitel 5 der RTS näher konkretisiert und können bei entsprechender Verletzung eine Mithaftung begründen. Auch die Verletzung sonstiger aufsichts-
Siehe bereits oben; vgl. überdies zur aktuellen Rechtslage Nr. 4 lit. a, Fragen und Antworten zu den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) vom 28.08. 2015, veröffentlicht mit BaFin Rundschreiben Nr. 4/2015 vom 05.05. 2015. Siehe: Teil 3, 1. Abschnitt, C., II., 3. Siehe: Teil 2, 2. Abschnitt, F., II., 4., b). BankR Hdb-Maihold, § 54 Rn. 97; MünchKommBGB-Zetzsche, § 675v Rn. 29, 47; Langenbucher/Bliesner/Spindler-Langenbucher, 3. Kap, § 675v Rn. 18 ff; Staudinger-Omlor, § 675v Rn. 29; Schulte am Hülse/Klabunde, MMR 2010, 84 (88).
1. Abschnitt: Online-Überweisungen im E-Commerce
161
rechtlicher Pflichten kann ein Mitverschulden des Zahlungsdienstleisters i. S. d. § 254 BGB zur Folge haben, soweit ein kausaler Zusammenhang zwischen der Verletzung und dem Eintritt eines Schadens besteht.
E. Ergebnis der Analyse von Online-Überweisungen Die Verlagerung der beleggebundenen Überweisung in den Bereich des Internets führt zu zahlreichen rechtlichen Besonderheiten. Die mannigfaltigen Risiken durch Pharming, Phishing, Man-in-the-Middle-, Man-in-the-Browser- und Manin-the-Mobile-Angriffen haben Zahlungsdienstleister dazu veranlasst, immer stärkere Authentifizierungsverfahren für das Online-Banking vorzusehen. Der Abschied von der TAN-Liste und das schon weitgehend praktizierte dynamische Verknüpfen eines Authentifizierungselements mit dem konkreten Zahlungsauftrag wird Angreifern das Handwerk weiter erschweren. Die Sicherheit geht jedoch oftmals zulasten der Effektivität und Leichtgängigkeit des Zahlungsverkehrs, weshalb der Richtliniengeber mit den RTS und den darin vorgesehenen Ausnahmen von der Anwendung der starken Kundenauthentifizierung versucht, einen angemessenen Ausgleich zwischen den widerstreitenden Interessen zu finden. Im Bereich des Online-Bankings wird sich dies nur geringfügig auswirken. Schließlich wird spätestens alle 90 Tage eine starke Kundenauthentifizierung beim Login-Prozess relevant. Außerdem greifen für das Online-Banking allenfalls Ausnahmen für Kleinbetragszahlungen, die jedoch nur einen kleinen Prozentsatz der getätigten Überweisungen ausmachen. Transaktionsrisikoanalysen, die ebenfalls einen Ausnahmetatbestand begründen, sucht man im Online-Banking noch vergeblich, sodass der Nutzer weiterhin auf Handy, Smartphone oder TANGenerator für die zusätzliche Authentifizierung angewiesen ist. Mit steigendem Sicherheitsniveau wächst auch die Raffinesse der Betrüger, sodass Betrugsversuche immer seltener als solche zu erkennen sind. Dies hat für den Nutzer den erfreulichen Nebeneffekt, dass eine umfängliche Haftung nur selten zum Tragen kommt. Die Anreizhaftung des 675v Abs. 1 und 2 BGB n. F. ist überdies derart abgeschwächt, dass der Zahlungsdienstnutzer beim Online-Banking nur geringen Haftungsrisiken ausgesetzt ist.
162
Teil 3: Giralgeldzahlungen im E-Commerce
2. Abschnitt: Online-Lastschrift A. Anwendbarkeit des Zahlungsdiensterechts Das Ausführen einer Lastschrift fällt gem. § 675c Abs. 1 und 3 BGB n. F. i.V. m. § 1 Abs. 1 S. 2 Nr. 3 lit. a ZAG n. F. in den Anwendungsbereich des Zahlungsdiensterechts. Der europäische Gesetzgeber hat sich wie auch bei der Überweisung an dem Tatbestandsmerkmal der Ausführung eines solchen Zahlungsvorgangs orientiert.⁶¹² Die hieraus folgende Irrelevanz, ob die Zahlung im Internet oder stationär ausgelöst wurde, führt bei der Online-Lastschrift im Gegensatz zur OnlineÜberweisung rechtlich zu deutlich weniger Besonderheiten. Überdies ist im Hinblick auf Online-Lastschriften auf die aufsichtsrechtliche Besonderheit hinzuweisen, dass Anbieter von Zahlungsportalen, die Lastschriftbelege erstellen, nicht den Zahlungsdienst der Lastschrift erbringen, da sie den Transfer von Giralgeld lediglich anstoßen.⁶¹³ Das Tatbestandsmerkmal „Ausführen eines Zahlungsvorgangs“ erfordert für das Vorliegen eines Zahlungsdienstes eine Handlung des Beteiligten, die konstituierend für den Zahlungsvorgang ist und daher nicht hinweggedacht werden kann, ohne dass der Zahlungsvorgang entfiele.⁶¹⁴ Dies trifft auf Zahlungsportalbetreiber nicht zu, da die Erstellung des Lastschriftbelegs auch ohne ihr Zutun beispielsweise durch eine eigene Maske des Internethändlers vorgenommen werden könnte.
B. Vertragliche Abrede über die Online-Nutzung Die Nutzung des Lastschriftverfahrens zum Begleichen von Geldschulden zählt zu den grundlegenden Funktionen eines Bankkontos.⁶¹⁵ Jeder Nutzer soll in der Lage sein, Lastschriftmandate zu erteilen und damit am bargeldlosen Zahlungsverkehr teilnehmen zu können. Hierfür bedarf es im Gegensatz zur Zulassung zum OnlineBanking keiner gesonderten Zugangskanäle, sodass dem Nutzer weder besondere
PSD I und PSD II sind wortlautgleich: vgl. Art. 4 Nr. 3 i.V. m. Anhang I Nr. 3 PSD I und Art. 4 Nr. 3 i.V. m. Anhang I Nr. 3 lit. a, b PSD II; siehe auch die unveränderte Vorgängernorm des § 1 Abs. 2 Nr. 2 lit. b ZAG a. F. Casper/Terlau-Casper, § 1 Rn. 28. BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, geändert am 29.11. 2017, Nr. 2 lit. b, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentli chungen/DE/Merkblatt/mb_111222_zag.html (Stand: November 2017), zuletzt abgerufen am 10.04. 2019. Vgl. etwa die Funktionen des Basiskontos nach dem ZKG: Teil 3, 1. Abschnitt, B., II.
2. Abschnitt: Online-Lastschrift
163
personalisierte Sicherheitsmerkmale noch etwaige Speichermedien zur Verfügung gestellt werden müssen. Aus diesem Grund sehen die SonderbedingungenLastschrift der AGB-Banken und Sparkassen auch keine zusätzlichen Vorgaben über den Online-Einsatz der Lastschrift vor. Dies ist angesichts der bloßen Verlagerung des Ortes der Erteilung des Lastschriftmandats ins Internet auch nicht erforderlich.⁶¹⁶ Die Frage der Zulässigkeit der Online-Lastschrift ist daher eher rechtlicher und weniger vertraglicher Natur, wobei es den Parteien natürlich im Rahmen der Privatautonomie offensteht, Abweichendes zu vereinbaren.
C. Formerfordernis im E-Commerce Bei der Erteilung eines Lastschriftmandats im E-Commerce wird im Gegensatz zum schriftlichen Lastschriftverfahren keine Unterschrift abgefragt. Aus rechtlicher Sicht kommt zwar die elektronische Signatur i. S. d. § 2 SigG einer Unterschrift sehr nahe, wird jedoch aus praktischen Gründen bei der Erteilung eines Online-Lastschriftmandats nicht verlangt. Dieser Umstand wirft die Frage auf, ob die Erteilung überhaupt einer bestimmten Form bedarf oder formlos erfolgen kann. Aus den Zahlungsdiensterichtlinien ergibt sich zunächst kein Formerfordernis. Auch die SEPA-VO enthält keine konkreten Formvorschriften, weist jedoch in Art. 4 Abs. 1 lit a. SEPA-VO zumindest indirekt auf die Geltung der Rulebooks des Europäischen Zahlungsverkehrsrates hin.⁶¹⁷ Die Vorgaben der Kreditinstitute dürfen zur Auslegung der Verordnung herangezogen werden, können jedoch als selbstregulierende Vorschriften keinen Normencharakter erlangen, da sie lediglich inter partes gelten. Dem Europäische Zahlungsverkehrsrat, einer privatrechtlichen Institution, würde sonst faktisch eine Gesetzgebungskompetenz zugestanden, die gegen das Demokratieprinzip verstoßen würde und daher nicht dem Willen des Gesetzgebers entsprechen kann. Der bloß indirekte Verweis auf die Rulebooks rechtfertigt daher nicht die Annahme, dass die Rulebooks ein gesetzliches Formerfordernis begründen.⁶¹⁸ Hierfür ist maß-
Vgl. Langenbucher/Bliesener/Spindler-Werner, 4. Kap, A Rn. 100. Siehe zum Verweis: Billing/Kirsch, ZVertriebsR 2015, 14 (17); Zahrte, MMR 2014, 211 (212); Hoeren, WM 2014, 1061, der davon ausgeht, dass der Verordnungsgeber die Rulebooks in seinen Willen aufgenommen hat; vgl. auch Bautsch/Zahrte, BKR 2012, 229. So auch Hoeren, WM 2014, 1061 (1062), der maßgeblich auf den Willen des Gesetzgebers abstellt; Zahrte, MMR 2014, 211 (213), der auf den Auslegungsgehalt der Rulebooks abstellt; Billing/ Kirsch, ZVertriebsR 2015, 14 (19 ff), die wiederum die Anwendung der Rulebooks ablehnen und aufgrund des Fehlens sonstiger Vorschriften davon ausgehen, dass die Vereinbarung der Form der Privatautonomie der Parteien unterliegt. Ein entgegenstehender Wille des Zahlungsdienstleisters
164
Teil 3: Giralgeldzahlungen im E-Commerce
geblich auf den Willen des Verordnungsgebers abzustellen, der in den Erwägungsgründen zur SEPA-VO deutlich macht, dass neben der Schaffung sicherer und nutzerfreundlicher Euro-Zahlungsdienste auch die Preissenkung von Lastschriftzahlungen Ziel der Verordnung ist.⁶¹⁹ Dieses Ziel wäre kaum zu erreichen, würde ein gesetzliches Formerfordernis bestehen, dass Zahlungsdienstleister dazu zwingt, Infrastrukturen aufzubauen, mittels derer elektronische Signaturen erteilt werden könnten.⁶²⁰ Aus diesem Grund gehen auch die Bundesregierung sowie die Bundesbank davon aus, dass die SEPA-VO keine Auswirkungen auf die Gültigkeit von Internet-Lastschriftmandaten ohne elektronische Signatur hat.⁶²¹ Mangels entgegenstehender europarechtlicher Vorgaben sind daher die Formvorschriften des deutschen Rechts anwendbar, sodass die Form in erster Linie der Privatautonomie der Parteien unterliegt.⁶²² Möglicherweise entfalten die Rulebooks in der Vertragsgestaltung eine einschränkende Wirkung, soweit sie die erfassten Institute verpflichten, die Schriftoder elektronische Form der §§ 126, 126a BGB bei Lastschriftmandaten zu wahren. Schließlich sind die Rulebooks im Interbankenverhältnis zwingender Natur. Der Europäische Zahlungsverkehrsrat sieht mittlerweile vor, dass ein Lastschriftmandat entweder physisch unterzeichnet sein soll oder bei einer elektronischen Erteilung eine rechtsverbindliche Signatur tragen soll.⁶²³ Die Vorgaben sind jedoch nicht ausschließlich formuliert. Die einzige Muss-Vorschrift sieht der nachfolgende Absatz vor, in dem es heißt: „The Mandate must always be signed by the Debtor as account holder (…)“. Dies könnte als Formerfordernis zu verstehen sein. Hinsichtlich der erforderlichen Signatur hat jedoch der EPC 2013 klargestellt, dass alle bisher praktizierten rechtsverbindlichen Signaturmethoden,
aus den Rulebooks ergibt sich nicht, da sich hieraus i. S.v. Zahrte kein ausdrückliches Formerfordernis ergibt. Erwägungsgrund 1 SEPA-VO. Ausführlich Hoeren, WM 2014, 1061 (1062). BT-Drs. 17/11395, S. 13; Bundesministerium der Finanzen, Deutsche Bundesbank, „SEPALastschrift wichtig für Onlinehandel“, Berlin 12.09. 2013, abrufbar unter: http://www.bundes bank.de/Redaktion/DE/Downloads/Presse/Pressenotizen/2013/2013_09_12_sepa_lastschriften. pdf?__blob=publicationFile, zuletzt abgerufen am 10.04. 2019; siehe sehr ausführlich auch: Langenbucher/Bliesener/Spindler-Werner, 4. Kap., A. Rn. 101 ff. Ausführlich zur Funktionsäquivalenz des Online-Mandats siehe: Hoeren, WM 2014, 1061 (1063 ff). Siehe: Nr. 4.1 EPC, SEPA Core Direct Debit Scheme Rulebook v. 24.11. 2016, abrufbar unter: http://www.europeanpaymentscouncil.eu/index.cfm/knowledge-bank/epc-documents/2017sepa-direct-debit-core-rulebook-version-10/epc016-06-sdd-core-rulebook-2017-version-10/, zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Online-Lastschrift
165
also auch die quasi signaturfreie Internet-Erteilung, als Signatur gelten.⁶²⁴ Folglich entspringt den Rulebooks kein Formerfordernis, dass die Zahlungsdienstleister im Deckungs- oder Inkassoverhältnis an der Vereinbarung der Textform i. S. d. § 126b BGB beziehungsweise der telekommunikativen Übermittlung i. S. d. § 127 Abs. 2 S. 1 BGB hindert,⁶²⁵ sodass die aktuelle, formfreie Praxis den europäischen Vorgaben und den Regularien der Interbankenabkommen entspricht.⁶²⁶ Den Parteien steht es natürlich offen, strengere Formvorschriften im Rahmen der allgemeinen Lastschriftabrede zu vereinbaren. Hierunter fällt beispielsweise das noch nicht praktizierten E-Mandat, welches unter Rückgriff auf das Online-Banking der elektronischen Form des § 126a BGB entspricht.
D. Autorisierung und Beweislast Der doppelte Erklärungsgehalt des SEPA-Lastschriftmandats beinhaltet neben der Erteilung der Einzugsermächtigung auch die Autorisierung des Zahlers an seinen Zahlungsdienstleister.⁶²⁷ Das Lastschriftmandat kann gem. § 675p Abs. 2 S. 2 BGB n. F. bis zum Ende des Geschäftstags vor dem vereinbarten Fälligkeitstag widerrufen werden. Bestreitet der Zahler erfolgreich die Wirksamkeit eines Mandats, gelangt der Aufwendungsersatzanspruch des Zahlungsdienstleisters gem. § 675u S. 1 BGB n. F. nicht zur Entstehung. Der Zahlungsdienstleister muss dann den Belastungsbetrag gem. § 675u S. 2 BGB n. F. unverzüglich dem Konto des Zahlungsdienstnutzers wieder gutschreiben. Nach dem SEPA-Lastschrift Abkommen des Europäischen Zahlungsverkehrsrates haftet im Interbankenverhältnis die Inkassostelle für alle Schäden der Zahlstelle, die aufgrund eines unautorisierten Lastschrifteinzugs entstanden sind.⁶²⁸ Dem kann die Inkassostelle
Siehe: EPC, Clarification letter regarding electronic mandates under the SDD Core Scheme and SDD B2B Scheme, 01.10. 2013, abrufbar unter: https://www.europeanpaymentscouncil.eu/si tes/default/files/KB/files/Letter-EPC098-13-Clarification-letter-to-SDD-Scheme-Participants.pdf, zuletzt abgerufen am 10.04. 2019. Zur Wahrung der Textform bei der telekommunikativen Übermittlung siehe: BeckOK BGBWendtland, § 127 Rn. 4; aA zum Aussagegehalt des EPC: Walter, DB 2013, 385 (390 f). Entgegen aller: Walter, DB 2013, 385 (390 f). Ein wirksam erteiltes Lastschriftmandat berechtigt bei einem fehlgeschlagenen Lastschrifteinzug den Händler, sensible Daten des Kunden bei dem Kreditinstitut abzufragen, siehe: Baumbach/Hefermehl/Casper, Kartenzahlungen Rn. 64; BankR Hdb-Ellenberger, § 56 Rn. 88; BeckOK BGB-Schmalenbach, § 675 f Rn. 95 ff. Die wirksame Autorisierung der Lastschrift ist jedoch zuvor zu überprüfen. Siehe zum Interbanken- und Inkassoverhältnis: Staub-Grundmann, Band 10/2, Dritter Teil Rn. 483 f.
166
Teil 3: Giralgeldzahlungen im E-Commerce
lediglich den Nachweis eines wirksam erteilten Lastschriftmandats entgegenhalten. An diesem Punkt wird die zuvor diskutierte Formbedürftigkeit relevant. Während die Schriftform nach § 416 ZPO den vollen Beweis für die Echtheit der abgegebenen Erklärung, also des Lastschriftmandates, erbringt,⁶²⁹ führt die Verwendung einer elektronischen Signatur gem. § 371a Abs. 1 ZPO zur Anwendung der Grundsätze des Anscheinsbeweises.⁶³⁰ Die Verwendung der telekommunikativen Form des Online-Lastschriftmandats führt hingegen aufgrund des niedrigen Sicherheitsniveaus zu keinerlei Beweiserleichterung für den Lastschrifteinreicher beziehungsweise dessen Zahlstelle.⁶³¹ Sie tragen daher bei Online-Lastschriften die volle Beweislast für die Wirksamkeit eines erteilten Lastschriftmandats. Aufgrund der Anonymität des Internets kann ein solcher Beweis faktisch nicht geführt werden, sodass Internet-Lastschriften für den Lastschrifteinreicher stets mit einem nicht unerheblichen Missbrauchsrisiko verbunden sind. Für den Fall, dass ein Dritter missbräuchlich ein Lastschriftmandat im Namen des Berechtigten erteilt, besteht überdies für die Anwendung einer Anscheinsvollmacht und damit einer Rechtsscheinhaftung schon aus tatsächlichen Gründen kein Raum.⁶³² Die anonymisierte Abgabe des Lastschriftmandats verhindert jegliche Bildung eines schutzwürdigen Vertrauens aufseiten des Zahlungsdienstleisters über den (unberechtigten, aber möglicherweise geduldeten) Erklärer. Der Mangel jeglicher Authentifizierung führt dazu, dass rein theoretisch jede Person, die mit dem Zahlungsdienstnutzer in einer Beziehung steht, die den Austausch der Bankdaten erforderlich macht, ein Lastschriftmandat erteilen kann. Demnach lässt sich auch keine Haftung über den Aufwendungsersatzanspruch konstruieren, sodass das Risiko und die Beweislast voll und ganz beim Lastschrifteinreicher und dessen Zahlungsdienstleister liegt.⁶³³
Huber, in: Musielak/Voit, ZPO, 14. Auflage 2017, § 416 Rn. 3; Langenbucher/Bliesener/ Spindler-Werner, 4. Kap, § 675w Rn. 5 f. Seibert, in: Saenger, ZPO, 7. Auflage 2017, § 371a Rn. 1, 4; BT-Drs. 15/4067, S. 34; vgl. auch Roßnagel, NJW 2001, 1817 (1819) zur Vorgängerregelung des § 292a ZPO a. F. Langenbucher/Bliesener/Spindler-Werner, 4. Kap, § 675w Rn. 6. Zur Frage der rechtlichen Zulässigkeit siehe bereits oben: Teil 3, 1. Abschnitt, C., II., 1, wo sich jedoch mit der Frage der Zulässigkeit der Anscheinsvollmacht bei der Verwendung von Zahlungsinstrumenten befasst wird. Die Erteilung eines Lastschriftmandats stellt jedoch kein Verwenden eines Zahlungsinstruments dar. Aus diesem Grund werden Personen erst nach eingehender Prüfung zum Lastschriftverfahren zugelassen.
2. Abschnitt: Online-Lastschrift
167
E. Notwendigkeit einer starken Kundenauthentifizierung Bereits mit Inkrafttreten der MaSI stellte sich die Frage, ob die Erteilung eines Online-Lastschriftmandats möglicherweise eine starke Kundenauthentifizierung erfordert. Schließlich wird über das Internet ein elektronischer Zahlungsvorgang angestoßen. Die starke Kundenauthentifizierung richtet sich als in erster Linie aufsichtsrechtliche Pflicht an den beteiligten Zahlungsdienstleister, der dafür Sorge zu tragen hat, dass die von ihm angebotenen Zahlungsverfahren den hohen Sicherheitsstandards der MaSI und zukünftig der erst am 14.09. 2018 in Kraft tretenden Vorschriften der PSD II entsprechen. Bei Online-Lastschriftmandaten besteht jedoch die Besonderheit, dass der Prozess der Erteilung ohne Beteiligung eines Zahlungsdienstleisters durchgeführt wird. Anbieter von Zahlungsportalen, die Lastschriftmasken auf den Internetseiten der E-Commerce-Händler implementieren, erbringen schließlich durch diese Tätigkeit keine Zahlungsdienste.⁶³⁴ Adressat der starken Kundenauthentifizierung ist sowohl nach den MaSI und der PSD II zwar auch der Zahlungsempfänger, jedoch nur bei Zahlungen, die unmittelbar über ihn ausgelöst werden, wie etwa Kreditkartenzahlungen.⁶³⁵ Lastschriften initiiert der Zahlungsempfänger hingegen „persönlich“ durch Übermittlung des Lastschriftmandats an seinen Zahlungsdienstleister, sodass es tatbestandlich keiner starken Kundenauthentifizierung bei der Erteilung eines Online-Lastschriftmandats bedarf.
F. Das Haftungsregime bei Lastschriftzahlungen Die Lastschrift ist im Gegensatz zur Überweisung ein grundverschiedener Zahlungstypus. Der Zahlungsimplus geht ausschließlich vom Zahlungsempfänger aus, weshalb im Online-Bereich keinerlei Authentifizierungsverfahren zum Einsatz kommen (müssen). Außerdem bedarf es keiner zusätzlichen Instrumente, personalisierten Sicherheitsmerkmalen oder Speichermedien, um eine OnlineLastschrift auszulösen. Diese Wesensverschiedenheit spiegelt sich insbesondere im Bereich der Haftung wieder. Die Erteilung eines Lastschriftmandats ist nicht mit der Erteilung eines Online-Banking-Zahlungsauftrags gleichzusetzen. Das Lastschriftmandat beinhaltet keinen konkreten Zahlungsauftrag, sondern lediglich eine Einziehungsermächtigung für den Zahlungsempfänger sowie eine im Vorhinein erteilte Zustimmung des Zahlungsdienstnutzers zur Zahlungsausfüh-
Siehe: Teil 3, 2. Abschnitt, A. Vgl. Nr. 2 „Rationale and Background“ Nr. 13, RTS-E, S. 7; Hoeren/Kairies,WM 2015, 549 (553).
168
Teil 3: Giralgeldzahlungen im E-Commerce
rung. Der Zahlungsauftrag wird demnach nicht durch den Zahlungsdienstnutzer erteilt und erfolgt insbesondere zeitlich gesehen nach der Erteilung des Lastschriftmandats. Während daher der Online-Banking-Zahlungsvorgang als Zahlungsinstrument einzuordnen ist, vermag die Online-Lastschrift eine derartige Qualifikation nicht aufzuweisen. Aus diesem Grund sind die Vorschriften des § 675v BGB für Zahlungssachverhalte, die eine Lastschrift zum Gegenstand haben, nicht anzuwenden. Da die Anforderungen zur Zulassung zum Lastschriftverfahren für Zahlungsempfänger streng sind, wird das Verfahren aufseiten der Einreicher nur selten in betrügerischer Weise verwendet. Missbräuche entstehen vor allem durch Dritte, die Mandate unter Angabe fremder Bankkonten erteilen, um sich dadurch etwa Waren oder Dienstleistungen zu erschleichen. In derartigen Fällen handelt es sich um unautorisierte Zahlungsvorgänge, für die Zahlungsdienstleister gem. § 675u S. 1 BGB n. F. keinen Aufwendungsersatz verlangen können.⁶³⁶ Zusätzlich sieht der Richtliniengeber noch weitere Erstattungsrechte vor, die den Nutzer unter anderem in den für Lastschriften typischen Fällen schützen sollen, bei denen der genaue Zahlungsbetrag bei Erteilung noch nicht bekannt war.⁶³⁷
I. Der bedingte Erstattungsanspruch des § 675x Abs. 1 BGB n. F. Von entscheidender Bedeutung in Missbrauchsfällen ist die Vorschrift des § 675x BGB n. F. Nach § 675x Abs. 1 BGB n. F. muss der Zahlungsdienstleister autorisierte Zahlungen erstatten, die vom oder über den Zahlungsempfänger ausgelöst wurden, soweit der genaue Betrag bei der Autorisierung nicht angegeben wurde und der Zahlungsbetrag den Betrag übersteigt, den der Zahler entsprechend seinem bisherigen Ausgabeverhalten, den Bedingungen des Zahlungsdiensterahmenvertrags und den jeweiligen Umständen des Einzelfalls hätte erwarten können. Dabei hatte der Richtliniengeber in erster Linie die Fälle vor Augen, in denen Blankoleistungsbelege für die Belastung einer Kreditkarte bei der Begründung von Dauerschuldverhältnissen, insbesondere mietvertraglichen Konstellationen wie Hotelbuchungen und Autovermietungen, erstellt und erst nach Beendigung der vertraglichen Beziehungen mit dem dann feststehenden Betrag eingereicht werden.⁶³⁸ Daneben erfasst der Anwendungsbereich auch Konstellationen, in denen etwa ein Lastschriftmandat für wiederkehrende Zah Siehe hierzu bereits ausführlich: Teil 3, 2. Abschnitt, D. Bei diesen Rechten handelt es sich richtigerweise nicht um den Widerruf der Autorisierung, sondern um eigenständige, aktive Gegenrechte, siehe: BankR Hdb-Ellenberger, § 58 Rn. 100 mwN; aA Einsele, WM 2015, 1225. BT-Drs. 16/11643, S. 115.
2. Abschnitt: Online-Lastschrift
169
lungen erteilt wurde und einer der dann eingezogenen Beträge den Tatbestand des § 675x Abs. 1 BGB n. F. erfüllt.⁶³⁹ Der Anspruch ist gem. § 675x Abs. 4 BGB n. F. innerhalb von acht Wochen nach der Belastungsbuchung geltend zu machen. Der Zahlungsdienstnutzer hat dann einen Anspruch auf Erstattung des gesamten Betrages. Eine Beschränkung auf den Anteil, der zu hoch ausgefallen ist, findet nicht statt.⁶⁴⁰
II. Das bedingungsfreie Erstattungsrecht des § 675x Abs. 2 BGB n. F. Von wesentlicher Bedeutung für Zahlungsdienstnutzer ist die Neufassung des § 675x Abs. 2 BGB n. F.⁶⁴¹ SEPA-Lastschriften unterliegen innerhalb der von § 675x Abs. 4 BGB n. F. vorgegebenen Acht-Wochen-Frist einem bedingungslosen Erstattungsrecht des Zahlungsdienstnutzers. Da die SEPA-Lastschrift ohnehin alle nationalen Lastschriftverfahren verdrängt hat, findet die Vorschrift auf sämtliche in Deutschland getätigten Lastschriften Anwendung.⁶⁴² Das Recht kann zwischen Unternehmern gem. § 675e Abs. 4 BGB n. F. und vertraglich für die Fälle des § 675x Abs. 3 BGB n. F. abbedungen werden. Für Letzteres muss der Zahler jedoch die Zustimmung zur Ausführung des Zahlungsvorgangs seinem Zahlungsdienstleister direkt erteilen, was gerade bei der gewöhnlichen Erteilung eines Lastschriftmandats unüblich ist. Die Inanspruchnahme der Erstattungsansprüche führt zu einer Rückbelastungsbuchung beim Zahlungsempfänger, für die wiederum Kosten bei den beteiligten Kreditinstituten entstehen. Im Valutaverhältnis verpflichtet sich daher in der Regel der Zahler, für derartige Kosten einzustehen, soweit keine berechtigten Gründe für eine Rückbuchung vorlagen. Das bedingungslose Erstattungsrecht hat auch Auswirkungen auf das Valutaverhältnis. Der BGH hat 2010 entschieden, dass eine Erfüllung i. S. d. § 362 Abs. 1 BGB durch Gutschrift eines per Lastschrift einbezogenen Betrags zwar eintritt, aber unter Berücksichtigung der Erstattungsrechte des § 675x BGB a. F. unter der auflösenden Bedingung der Geltendmachung eines derartigen Anspruchs steht.⁶⁴³ Damit kann die Erfüllungswirkung rückwirkend entfallen, sodass die ursprüngliche Forderung des Zahlungsempfängers erneut zur Entstehung gelangt. Der BGH hat darüber hinaus festgestellt,
MünchKommBGB-Zetzsche, § 675x Rn. 19. BT-Drs. 16/11643, S. 115; BankR Hdb-Ellenberger, § 58 Rn. 113; MünchKommBGB-Zetzsche, § 675x Rn. 31; Palandt-Sprau, § 675x Rn. 5. Siehe bereits: Teil 2, 2. Abschnitt, F., IV. Zur Verdrängung siehe bereits oben: Teil 2, 2. Abschnitt, D., II., 2. BGH, Urt. v. 20.07. 2010 – XI ZR 236/07, NJW 2010, 3510 (3513); vgl. auch Piekenbrock/Rodi/ Aßfalg, WM 2017, 2281 (2284); aA Brechtel, WM 2016, 1057 (1062).
170
Teil 3: Giralgeldzahlungen im E-Commerce
dass die Erstattungsansprüche nicht Teil der Insolvenzmasse sind. Zahlungsempfänger müssen daher nicht fürchten, über den Umweg des § 675x BGB a. F. / n. F. das Insolvenzrisiko des Zahlers mitzutragen.⁶⁴⁴
III. Sonstige Ansprüche des Zahlungsdienstnutzers nach §§ 675y, 675z BGB und Rechtsfolgen eines Betrugs Wie auch bei der Online-Überweisung kann der Zahlungsdienstnutzer weitere Ansprüche nach §§ 675y, 675z BGB n. F. geltend machen, soweit eine Lastschrift nicht ordnungsgemäß ausgeführt wurde oder durch die nicht ordnungsgemäße Ausführung Folgeschäden entstanden sind.⁶⁴⁵ Die geringen Authentifizierungsanforderungen sowie der umfassende Schutz des Zahlungsdienstnutzers vor missbräuchlichen Abbuchungen haben zur Folge, dass schlussendlich der Zahlungsempfänger auf den Kosten der Rücklastschrift sowie seinen persönlichen Schäden sitzen bleibt. Diesem bleibt daher nur die Wahl, das Bezahlverfahren gar nicht oder dem konkreten Zahlungsdienstnutzer erst nach einigen erfolgreichen Bestellungen anzubieten.
G. Ergebnis der Betrachtung der Online-Lastschrift Die Online-Lastschrift weist im Vergleich zu einer schriftlich erteilten Lastschrift keine größeren Unterschiede auf.⁶⁴⁶ Dies ist maßgeblich dem Umstand geschuldet, dass im Gegensatz zur Online-Überweisung keine gesonderte technische Umgebung erforderlich ist, die wiederum eigene personalisierte Sicherheitsmerkmale sowie Speichermedien bedürfte. Besondere Pflichten treffen den Zahlungsdienstnutzer im Hinblick auf die Geheimhaltung seiner Bankdaten auch nicht, da er diese gerade für die Erteilung des Lastschriftmandats offenbaren muss. Überdies sind die Missbrauchsrisiken der realen und virtuellen Welt deckungsgleich. Bei jeder Art der Erteilung eines Lastschriftmandats sowie jeder Angabe der Kontodaten besteht die Gefahr, dass Dritte die Daten abgreifen und Lastschriften zu ihren eigenen Gunsten auslösen. Der Missbrauchsgefahr wird durch die umfangreichen Erstattungsvorschriften ausreichend begegnet. Die Unanwendbarkeit des § 675v BGB sowie der kleine Pflichtenkatalog haben über BGH, Urt. v. 20.07. 2010 – XI ZR 236/07, NJW 2010, 3510 (3513 f). Siehe hierzu ausführlich: Teil 2, 2. Abschnitt, F., IV sowie Teil 3, 1. Abschnitt, D., II., 1., b). Für alle sonstigen Fragen der Autorisierung, Erstattung und Haftung der Online-Lastschrift ist daher auf die allgemeine Literatur zur stationären Lastschrift zu verweisen. Siehe z. B.: Langenbucher/Bliesener/Spindler-Werner, 4. Kap; BankR Hdb-Ellenberger, 10. Kap.
3. Abschnitt: Online-Kreditkarten-Zahlung
171
dies zur Folge, dass die Haftungsrisiken aufseiten des Nutzers begrenzter sind als bei der Online-Überweisung. Außerdem muss der Zahlungsdienstnutzer keine zusätzlichen Authentifizierungsverfahren verwenden, sodass die Online-Lastschrift auch in Bezug auf Leichtgängigkeit und Nutzerfreundlichkeit gegenüber der Online-Überweisung Vorteile aufweist. Nicht ohne Grund belegt daher die Online-Lastschrift mit einem Anteil von 20,1 % am Gesamtumsatz im E-Commerce den zweiten Platz der verwendeten Zahlungsmittel und ist damit beliebter als PayPal oder die Kreditkartenzahlung.⁶⁴⁷ Umgekehrt bietet die Lastschrift E-Commerce-Händlern abgesehen von ihrer Attraktivität für Nutzer keine nennenswerten Vorteile. Im Gegenteil, als Zahlungsempfänger tragen sie weitgehend die Risiken betrügerischer Lastschriftmandate und müssen acht Wochen mit einem möglichen Widerruf der Zahlung rechnen. Der Reiz für Zahlungsempfänger, dieses Bezahlverfahren anzubieten, ist daher weitaus geringer als beispielsweise bei der Kreditkartenzahlung.
3. Abschnitt: Online-Kreditkarten-Zahlung Das gängige Mailorder-Verfahren bei Kreditkartenzahlung wurde mit Beginn des E-Commerce in die virtuelle Welt verlagert, sodass sich nur die Erteilung des Mandats, nicht jedoch die rechtliche Handhabe änderte. Dies gilt auch für die von PayPal oder Skrill herausgegebenen virtuellen, also nicht verkörperten Kreditkarten. Diese funktionieren im Online-Handel wie körperliche Kreditkarten mit dem einzigen Unterschied, dass sie in der Regel auf Prepaid-Basis operieren.⁶⁴⁸ Zivilrechtliche Differenzen ergeben sich hieraus meist keine. Aufgrund der erheblichen Missbrauchsgefahren des Kreditkarteneinsatzes unter ausschließlicher Verwendung der Kreditkartendaten haben jedoch die großen Kartenunternehmen Sicherheitsverfahren entwickelt, die eine Neubetrachtung der Sorgfaltspflichten sowie der Risikoverteilung erfordern.
A. Anwendbarkeit des Zahlungsdiensterechts Die Ausführung von Zahlungsvorgängen, die mittels einer Zahlungskarte oder eines ähnlichen Zahlungsinstruments initiiert werden, fällt gem. § 675c Abs. 1 „EHI stellt Ergebnisse der Studie „Online Payment 2018“ vor“, 25.04. 2018, abrufbar unter: https://www.omnisecure.berlin/de/news/markt/7290-ehi-stellt-ergebnisse-der-studie-online-pay ment-2018-vor, zuletzt abgerufen am 16. 8. 2018. Hinsichtlich des Einsatzes einer virtuellen Kreditkarte und Mobiltelefon siehe unten: Teil 7.
172
Teil 3: Giralgeldzahlungen im E-Commerce
und 3 BGB n. F. i.V. m. § 1 Abs. 1 S. 2 Nr. 3 lit. b und Nr. 4 ZAG n. F. in den Anwendungsbereich des Zahlungsdiensterechts. Der erste Tatbestand bezieht Zahlungskarten in den Anwendungsbereich ein, die ohne Kreditgewähr operieren. Zahlungskarten, die dem Nutzer einen Kreditrahmen einräumen, unterliegen nach § 1 Abs. 1 S. 2 Nr. 4 ZAG n. F. dem Zahlungsdiensterecht. Der Begriff der Zahlungskarte wird in beiden Richtlinien zwar nicht näher definiert, ist aber unter Rückgriff auf den ebenfalls verwendeten Begriff des Zahlungsinstruments i. S. d. Art. 4 Nr. 14 PSD II als jedes verkörperte Instrument zu verstehen, dass die Erbringung unbarer Zahlungen im Rechtsverkehr ermöglicht.⁶⁴⁹ Dieser Definition inbegriffen ist das Merkmal der Personalisierung der Zahlungskarte.⁶⁵⁰ Die Zahlungskarte soll zumindest einem konkreten Zahlungsdienstnutzer zugeordnet werden können. Dies ist bereits dann der Fall, wenn der Name des Nutzers auf der Karte vermerkt ist. Für den bewusst weit gefassten Tatbestand ist es ohne Belang, ob bei dem jeweiligen Zahlungsvorgang eine Authentifizierung mittels PIN oder Unterschriftenabgleich erfolgt oder nicht.⁶⁵¹ Ebenfalls ohne Auswirkungen auf den Anwendungsbereich sind die verschiedenen Einsatzbereiche von Zahlungskarten. Der Tatbestand knüpft wie auch beim Überweisungsgeschäft ausschließlich an die Ausführung des Zahlungsvorgangs an, sodass es vollkommen irrelevant ist, ob die Kreditkartendaten manuell eingegeben oder durch ein stationäres Lesegerät ausgelesen werden. Die Abwicklung von Kreditkartenzahlungsvorgängen fällt demnach in jeder Variante unter das Zahlungsdiensterecht. Ausgenommen sind gem. § 2 Abs. 1 Nr. 10 ZAG n. F. Zahlungskarten, die ausschließlich an bestimmten Zahlstellen eingesetzt werden können. Darunter fallen Kundenkreditkarten sowie reine Prepaidkarten, die nur für den Erwerb von Waren oder Dienstleistungen des Ausstellers genutzt werden können. Vorausbezahlte Geldkarten und universal einsetzbare Prepaid-Kreditkarten unterfallen ebenfalls nicht dem Begriff der Zahlungskarte, da sie dem spezielleren E-GeldGeschäft zuzuordnen sind.⁶⁵² Folglich gilt die Richtlinie nur für Zahlungskarten, die universell bei einer Vielzahl von Zahlungsstellen einsetzbar sind und nicht dem E-Geld-Geschäft unterfallen.⁶⁵³ Dies sind die gängigen Universalkreditkarten
Casper/Terlau-Casper, § 1 Rn. 42; EFN-Findeisen, § 1 ZAG Rn. 224; Schwennicke/AuerbachSchwennicke, § 1 ZAG Rn. 34. Casper/Terlau-Casper, § 1 Rn. 42; Danwerth, ZBB 2015, 119 (123). Casper/Terlau-Casper, § 1 Rn. 42, 46; Reymann, DStR 2011, 1959 (1961). Casper/Terlau-Casper, § 1 Rn. 52; EFN-Findeisen, § 1 ZAG Rn. 244 ff; Schwennicke/AuerbachSchwennicke, § 1 ZAG Rn. 34. Casper/Terlau-Casper, § 1 Rn. 42.
3. Abschnitt: Online-Kreditkarten-Zahlung
173
von VISA, MasterCard, Diner’s Club und American Express, die nicht auf PrepaidBasis, sondern mittels Kreditgewähr operieren.
B. Gesonderter Abschluss eines Kreditkartenvertrags Die Ausgabe einer Kreditkarte ist nicht typischer Bestandteil eines Girovertrags, sondern bedarf einer Zusatzvereinbarung, bei der es sich um einen eigenständigen Zahlungsdienstevertrag i. S. d. § 675 f Abs. 2 BGB n. F. handelt. Da die beiden großen Kreditkartenunternehmen VISA und MasterCard mittlerweile ausschließlich als Lizenzgeber agieren ist der Kartenemittent oftmals die hauseigene Bank. Der Kreditkartenvertrag ähnelt der Zusatzvereinbarung über die Ausgabe und Nutzung einer Girokarte und begründet spezifische Sorgfaltspflichten.
C. Zahlungsdienstrechtliche Besonderheiten der 3D Secure Verfahren Die bloßen Kreditkartendaten stellen keine personalisierten Sicherheitsmerkmale dar, da die Daten auf der Karte abgedruckt sind und ohne Weiteres von Dritten eingesehen werden können. Ihre Verwendung bietet keinerlei Gewähr dafür, dass der Berechtigte agiert. Die aus § 675l Abs. 1 S. 1 BGB n. F. folgenden Sorgfaltspflichten finden demnach keine Anwendung im Mail-Order-Verfahren.
I. Vertragliche Vereinbarungen über das zusätzliche Authentifizierungsverfahren Im Gegensatz zur Nutzung der Kreditkarte im Internet ohne Sicherheitsverfahren, welche keine gesonderte vertragliche Vereinbarung erfordert, begründet die Teilnahme des Nutzers am 3D Secure Verfahren zusätzliche Rechte und Pflichten im Deckungsverhältnis mit dem Kreditkartenemittenten. Aus diesem Grund bedarf es einer gesonderten Registrierung des Kunden zum 3D Secure Verfahren, die wiederum den Abschluss einer eigenen Nutzungsabrede beinhaltet. Diese regelt die spezifischen Sorgfaltspflichten des Nutzers im Hinblick auf die zusätzlichen Sicherheitsverfahren. Auch die Vereinbarung von Nachforschungspflichten bei dem Verdacht einer drohenden missbräuchlichen Verwendung ist denkbar und zulässig.⁶⁵⁴
Hofmann, BKR 2018, 62 (64).
174
Teil 3: Giralgeldzahlungen im E-Commerce
II. Passwortgestütztes Authentifizierungsverfahren Das neue Sicherheitsverfahren SecureCode von MasterCard sieht eine Authentifizierung unter Verwendung eines durch den Kunden festgelegten Passworts vor. Dieses Passwort erstellt der Kunde, nachdem er sich bei dem jeweiligen Sicherheitsverfahren durch Angabe persönlicher Informationen authentifiziert hat. Folglich erlangt nur der berechtigte Kreditkartennutzer Kenntnis vom Passwort, sodass es sich nach einhelliger Auffassung um ein personalisiertes Sicherheitsmerkmal handelt, welches nach Maßgabe des § 675l Abs. 1 BGB n. F. zu schützen ist.⁶⁵⁵ Der Zahlungsdienstnutzer hat zum Schutz des Passworts dieselben Sicherheitsvorkehrungen zu ergreifen, die auch im Hinblick auf PIN oder Passwort im Online-Banking gelten. Konkret bedeutet dies, das Passwort vor Dritten geheim zu halten und nicht mit der Kreditkarte gemeinsam aufzubewahren. Auch die elektronische Speicherung von Passwort und Kreditkartendaten auf dem Handy oder dem Computer begründet eine Pflichtverletzung.
III. App oder mTAN-basiertes Authentifizierungsverfahren Das Verified by VISA Sicherheitsverfahren macht sich die Sicherheitsvorteile einer physischen Trennung der Kommunikationskanäle zu Nutze. Die Authentifizierung des Nutzers erfolgt entweder durch eine passwortgeschützte App, mittels derer der Zahlungsauftrag autorisiert werden muss, oder durch das bekannte mTAN-Verfahren, bei der dem Nutzer eine TAN per SMS zugesendet wird. Bei der TAN handelt es sich freilich um ein personalisiertes Sicherheitsmerkmal, welches zwar nach den Vorgaben des § 675l Abs. 1 S. 1 BGB n. F. zu schützen ist, aber aufgrund seiner begrenzten Verwendbarkeit und Gültigkeit diese Pflichten nur temporär entstehen lässt. Das verwendete Smartphone ist auch im mTAN-Verfahren kein Zahlungsinstrument i. S. d. Zahlungsdiensterechts, da es sich lediglich um ein Speichermedium handelt.⁶⁵⁶ Nichtsdestotrotz ist das Smartphone, das den Empfang von TAN ermöglicht, angemessen vor Fremdzugriffen zu schützen.⁶⁵⁷ Allgemeine Geschäftsbedingungen, die eine generelle Haftung des Kunden für Schäden vorsehen, die durch den Verlust des Smartphones entstanden sind, verstoßen jedoch gegen § 675e Abs. 1 i.V. m. § 675v Abs. 1 BGB n. F. und sind daher unwirksam.⁶⁵⁸
Vgl. oben: Teil 2, 2. Abschnitt, B. II. Auch die enge Auslegung käme zum selben Ergebnis. Siehe oben: Teil 3, 1. Abschnitt, B., IV., 1. Siehe ebenfalls: Teil 3, 1. Abschnitt, B., IV., 1. Siehe etwa: Nr. 5.3, DKB, Sonderbedingungen für das 3D Secure Verfahren bei Kreditkarten Online-Transaktionen mit der DKB Kreditkarte, abrufbar unter: https://dok.dkb.de/pdf/sb_3d_ secure_kk_2213.pdf (Stand: August 2016), zuletzt abgerufen am 10.04. 2019, die jegliche Haftung
3. Abschnitt: Online-Kreditkarten-Zahlung
175
D. Autorisierung und das Erfordernis der starken Kundenauthentifizierung I. Rechtslage unter Geltung der MaSI Die Vorgaben der MaSI, die sich auf Internetzahlungen beschränken, sind zwar nicht auf stationäre Kreditkartenzahlungen anwendbar, entfalten jedoch ihre Wirkung bei Online-Kreditkartenzahlung. Die starke Kundenauthentifizierung i. S. d. Titel I Nr. 12 MaSI verlangt, dass keines der verwendeten Authentifizierungsmerkmale reproduzierbar oder wiederverwendbar ist. Authentifizierungsverfahren, die auf statische Passwörter zurückgreifen, sind daher unzulässig. Dabei ist es irrelevant, ob das Passwort auf dem zur Zahlung verwendeten Gerät oder auf einem davon getrennten Gerät, etwa dem Smartphone, eingegeben wird.⁶⁵⁹ Bei Kreditkartenzahlungen ist zwar an die Ausnahmen der Anwendung der MaSI für Kleinbetragszahlungen oder Zahlungen an vertrauenswürdige Empfänger zu denken. Diese speziellen Zahlungen stellen jedoch nicht die Masse der Internetzahlungen dar und können kein grundlegendes Abweichen von den Vorgaben rechtfertigen. Nichtsdestotrotz sind die von MasterCard und VISA praktizierten Verfahren unter Verwendung eines statischen Passworts nicht generell unzulässig, da die MaSI keinen zwingenden Charakter aufweisen. Titel II Nr. 7.3 MaSI stellt klar, dass die ausgegebenen Kreditkarten die Verfahren lediglich unterstützen sollen. Von einer zwingenden Anwendung der starken Kundenauthentifizierung für den Kartenakzeptanten ist nicht die Rede, sodass die MaSI keine universale Anwendungspflicht für die starke Kundenauthentifizierung vorsehen.⁶⁶⁰
II. Neue Rechtslage unter Geltung der PSD II ab dem 14. 09. 2019 Die Vorgaben des § 55 ZAG n. F. sind im Gegensatz zu den MaSI zwingend, sodass ab dem 14.09. 2019 bei Online-Zahlungen das Element der Transaktionsbindung berücksichtigt werden muss.⁶⁶¹ Die Verwendung eines statischen Pass-
der Bank bei dem Verlust des Smartphones ausschließt und somit auch zusätzlich gegen die Voraussetzungen des § 675v Abs. 3 BGB n. F. verstößt. So auch Zahrte, ZBB 2015, 410 (413). Zahrte, ZBB 2015, 410 (413). Vgl. Erwägungsgrund 95 PSD II, wonach auch Fernzahlungen, die über andere Fernkommunikationskanäle mit Ausnahme von Telefonverbindungen getätigt werden von der Vorschrift erfasst sind. Die tatbestandliche Erweiterung auf sonstige Fernkommunikationskanäle soll auch zukünftige innovative Zahlungssysteme erfassen. Aktuell sind jedoch ausschließlich Internetzahlungen betroffen.
176
Teil 3: Giralgeldzahlungen im E-Commerce
worts wird den verstärkten Anforderungen nicht genügen. Es bedarf einer dynamischen Verknüpfung an den Zahlungsvorgang etwa unter Verwendung des mTAN-Verfahrens.⁶⁶² Eine Authentifizierung unter bloßer Angabe der Kreditkartendaten kann mit Inkrafttreten der RTS im September 2019 in zulässiger Weise nur noch erfolgen, soweit der Tatbestand einer der in Betracht kommenden Ausnahmen erfüllt ist. Dies wird insbesondere bei Kleinbetragszahlungen unter 30 Euro und bei vertrauenswürdigen Zahlungsempfängern, die auf einer WhiteList stehen, relevant.
E. Risikoverteilung und Haftung I. Anscheinsbeweis und die Haftung des Zahlungsdienstleisters Die verschiedenen Authentifizierungsverfahren bei Verwendung der Kreditkarte im E-Commerce weisen große Ähnlichkeit zu den teils identischen Verfahren des Online-Bankings auf.⁶⁶³ Während die Verwendung der Originalkreditkarte mit PIN am Bankautomaten oder bei sonstigen stationären Verfügungen den Anscheinsbeweis einer Autorisierung oder zumindest einer grob fahrlässigen Ermöglichung einer Fremdnutzung begründen kann, gilt dies im unsicheren Umfeld des Internets nicht.⁶⁶⁴ Schadprogramme können genauso wie beim Online-Banking durch gefälschte Websites oder Trojaner die Kreditkartendaten sowie die verwendeten personalisierten Sicherheitsmerkmale ausspähen. Auch das mTANVerfahren bietet keine hundertprozentige Sicherheit. Das System ist keineswegs, wie vom BGH für die Anwendung der Grundsätze des Anscheinsbeweises gefordert, praktisch unüberwindbar.⁶⁶⁵ Folglich begründet die Authentifizierung einer Online-Kreditkartenzahlung unter Verwendung des 3D Secure Verfahrens auch nicht den Anschein einer wirksamen Autorisierung. Besteht demnach Streit über
Siehe zur Zulässigkeit des mTAN-Verfahrens bereits oben: Teil 3, 1. Abschnitt, C., II., 3. Siehe außerdem: BaFin, Fragen und Antworten zu den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) vom 28.08. 2015,veröffentlicht mit BaFin Rundschreiben Nr. 4/2015 vom 05.05. 2015. Aus diesem Grund ist auch die Anscheinsvollmacht im Bereich der Online-Kreditkartenzahlung nicht anwendbar, siehe bereits oben: Teil 3, 1. Abschnitt, C., II., 1. Zum Anscheinsbeweis bei stationären Kreditkartenzahlungen siehe: BGH, Urt. v. 29.11. 2011 – XI ZR 370/10, BKR 2012, 128 (129); Urt. v. 05.10. 2004 – XI ZR 210/03, BGHZ 160, 308 (314 ff); vgl. auch Urt. v. 26.01. 2016 – XI ZR 91/14,WM 2016, 691 (699), worin ausdrücklich auf die Unterschiede des stationären und virtuellen Bezahlens eingegangen wird. Stiftung Warentest, Kreditkarten mit „MasterCard Secure Code“ und „Verified by VISA“: Mehr Sicherheit, 06.05. 2011, abrufbar unter: https://www.test.de/Kreditkarten-mit-MastercardSecureCode-und-Verified-by-Visa-Mehr-Sicherheit-4233850-0/, zuletzt abgerufen am 10.04. 2019.
3. Abschnitt: Online-Kreditkarten-Zahlung
177
die Autorisierung einer Zahlung, hat der Zahlungsdienstleister im Regelfall nach § 675u S. 1 BGB n. F. keinen Anspruch auf Erstattung seiner Aufwendungen.
II. Haftung des Zahlungsdienstnutzers 1. Einsatz der Kreditkarte mit 3D Secure Verfahren Nach alter Rechtslage bestimmte sich die beschränkte Haftung im 3D Secure Verfahren nach § 675v Abs. 1 S. 2 BGB a. F., da durch den Einsatz des Passworts oder der TAN ein personalisiertes Sicherheitsmerkmal zum Einsatz kam. Wurde dieses unsorgfältig aufbewahrt, war der Zahlungsdienstnutzer verpflichtet, den entstandenen Schaden bis zu einem Betrag von 150 Euro mitzutragen. Hatte der Nutzer darüber hinaus Sorgfaltspflichten im Hinblick auf die Geheimhaltung des Passworts grob fahrlässig oder gar vorsätzlich verletzt, haftete er unbeschränkt nach § 675v Abs. 2 BGB a. F.⁶⁶⁶ Die beschränkte Haftung des Zahlers bestimmt sich nunmehr gem. § 675v Abs. 1 und 2 BGB n. F. nach der Bemerkbarkeit des Missbrauchs oder des Abhandenkommens der Karte. Bei entwendeten Kreditkarteninformationen und personalisierten Sicherheitsmerkmalen kann eine Haftung daher, wie auch bei „abgefischten“ PIN und TAN, erst entstehen, sobald die Karte erstmalig missbräuchlich verwendet wurde. Geht die Karte verloren, bestimmt sich die Haftung nach der individuellen Bemerkbarkeit des Abhandenkommens. Vertragsbedingungen, die eine Verdachtsanzeige für den vermuteten Verlust vorschreiben, können zulässigerweise vereinbart werden. Der erweiterte Katalog von Sorgfaltspflichten entfaltet im Bereich der betragsmäßig unbeschränkten Haftung des § 675v Abs. 3 BGB n. F. zusätzliche Bedeutung. Die Sorgfaltsanforderungen, die im Online-Banking im Hinblick auf personalisierte Sicherheitsmerkmale und Zahlungsinstrumenten zu erfüllen sind, lassen sich deckungsgleich auf den Online-Kreditkarteneinsatz übertragen. Die grob unsorgfältige Aufbewahrung von Authentifizierungselementen oder Passwörtern kann demnach eine unbeschränkte Haftung begründen. Auch Kreditkartenzahlungen über das Smartphone, welches zum mTAN-Verfahren freigeschaltet ist, sind zu unterlassen. Dies gilt nicht, soweit der Zahlungsdienstleister die Kommunikationskanäle ausreichend separiert und eine einheitliche Verwendung zulässt. Der Computer, über den Kreditkartenzahlungen getätigt werden, muss ausreichend vor Schadsoftware geschützt werden und der Nutzer darf nur über die vereinbarten Kommunikationskanäle sensible Daten übermitteln.
Die Sorgfaltspflichten im Umgang mit der Kreditkarte decken sich mit den bereits zu PIN und TAN erläuterten Sorgfaltspflichten, siehe hierzu oben: Teil 3, 1. Abschnitt, B., IV., 3.
178
Teil 3: Giralgeldzahlungen im E-Commerce
Der Haftungsausschluss nach § 675v Abs. 4 S. 1 BGB n. F. greift ein, soweit Zahlungen ohne Abfrage der aufsichtsrechtlich erforderlichen Kundenauthentifizierung ausgeführt wurden. Dies ist etwa dann der Fall, wenn der Zahlungsdienstleister trotz des Überschreitens der Schwellen für authentifizierungsfreie Kleinbetragszahlungen kein transaktionsgebundenes Authentifizierungsmerkmal verlangt hat.
2. Einsatz der Kreditkarte ohne Sicherheitsverfahren Der Einsatz der Kreditkarte ohne zusätzliches Sicherheitsverfahren wird vom Regelfall zum Ausnahmefall. Schließlich sind Zahlungsdienstleister zukünftig verpflichtet, bei Online-Kreditkartenzahlungen sogar die verstärkte Authentifizierung unter Verwendung einer dynamischen Verknüpfung vorzusehen. Ein Einsatz der Kreditkarte im E-Commerce ohne die Verwendung eines dynamischen Authentifizierungsverfahrens wird in rechtlich zulässiger Weise nur noch bei den Ausnahmefällen nach den RTS, wie etwa bei Kleinbetragszahlungen, bei Zahlungen an vertrauenswürdige Empfänger und risikoarmen Zahlungen, in Betracht kommen. Für diese Fälle wies das alte Haftungsregime einige Besonderheiten auf, da der Online-Einsatz der Kreditkarte ohne zusätzliche Sicherheitsverfahren kein Zahlungsverfahren unter Verwendung eines personalisierten Sicherheitsmerkmals darstellte. Soweit nur die Kreditkartendaten ohne physischen Verlust der Karte entwendet wurden, fanden beide Haftungstatbestände des § 675v Abs. 1 BGB a. F. keine Anwendung. Der Gesetzgeber hatte diesen speziellen Fall bewusst aus der Haftung herausgenommen. Der sorgfältig handelnde Zahlungsdienstnutzer sollte nicht an einem Schaden beteiligt werden, an dessen Verursachung er überhaupt nicht beteiligt war. In diesen Fällen handelt es sich um reinen Drittmissbrauch, der dem Nutzer nicht mehr zurechenbar war.⁶⁶⁷ Einige Stimmen hielten die Gesetzesbegründung für europarechtswidrig und forderten daher eine analoge Anwendung der Haftungsvorschriften.⁶⁶⁸ Dem konnte jedoch nicht nur der Wortlaut der Richtlinie, sondern auch der Wille des Richtliniengebers entgegengehalten werden. Die Anreizhaftung des § 675v Abs. 1 BGB a. F. hatte ihren Sinn und Zweck auch darin, den Zahlungsdienstnutzer zu einer sorgfältigen Verwahrung seiner Zahlungsinstrumente und personalisierten Sicherheitsmerkmale anzuregen. Handelte der Zahlungsdienstnutzer sorgfältig und seine Kreditkartendaten gelangten durch Sicherheitslücken bei einem Ver-
BT-Drs. 16/11643, S. 113. Siehe z. B.: Langenbucher/Bliesener/Spindler-Jungmann, 6. Kap, § 675v Rn. 14.
3. Abschnitt: Online-Kreditkarten-Zahlung
179
tragsunternehmen oder durch manipulierte Bankautoamten in den Besitz von Dritten, hätte eine Haftung nach § 675v Abs. 1 BGB a. F. keineswegs den Zielen der Vorschrift gedient. Aus diesem Grund hatte der europäische Gesetzgeber, entgegen der Annahme von Jungmann,⁶⁶⁹ das Mailorder-Verfahren nicht übersehen, sondern das Missbrauchsrisiko aufgrund der geringen Sicherheitsstandards und den daraus resultierenden Beweisschwierigkeiten mit der Ausnahme grob fahrlässiger Verursachungsbeiträge des Nutzers auf den Zahlungsdienstleister verlagert.⁶⁷⁰ Somit fehlte es bereits an der für eine Analogie notwendigen planwidrigen Regelungslücke. Eine weitere Haftungsproblematik entstand, soweit dem Nutzer seine Kreditkarte abhandenkam und anschließend im Fernabsatz missbräuchlich verwendet wurde. Befürworter einer engen Auslegung des Begriffs des Zahlungs (authentifizierungs‐)instruments mussten konsequenterweise eine Haftung nach § 675v Abs. 1 S. 1 und 2 BGB a. F. ablehnen, da die Kreditkarte im Fernabsatz ohne Einsatz eines personalisierten Sicherheitsmerkmals nach ihrer Auffassung kein Zahlungsinstrument darstellte. Der Wortlaut des § 675v Abs. 1 S. 1 BGB a. F. setzte jedoch tatbestandsmäßig die Nutzung eines Zahlungsinstruments voraus. Da ein Entstehen der Haftung offensichtlich nicht davon abhängen sollte, wie ein Zahlungsinstrument verwendet worden war, wurde § 675v Abs. 1 S. 1 BGB a. F. weit ausgelegt, sodass Zahlungsinstrumente nicht notwendigerweise auch als solche eingesetzt werden mussten.⁶⁷¹ Befürworter einer weiten Auslegung des Begriffs des Zahlungsinstruments gelangten auch ohne derartige Bemühungen zum selben Ergebnis, da jedes verkörperte Zahlungsinstrument tatbestandlich der Vorschrift des § 675v Abs. 1 S. 1 BGB a. F. unterfiel.⁶⁷² Folglich teilten beide Auffassungen die Ansicht, dass jedweder, schadensbegründender Verlust einer Kreditkarte eine Mithaftung des Zahlungsdienstnutzers nach § 675v Abs. 1 S. 1 BGB a. F. begründete. Derartige Auslegungsstreitigkeiten gehören aufgrund des einheitlichen Haftungstatbestands des § 675v Abs. 1 BGB n. F. der Vergangenheit an. Eine Haftung entsteht nach § 675v Abs. 2 Nr. 1 BGB n. F. nicht, soweit der Nutzer sorgfältig agiert und eine missbräuchliche Verwendung nicht hätte erkennen können. Im Gegensatz zur ersten Richtlinie, nach der Zahlungsdienstleister reinen Drittmissbrauch
Langenbucher/Bliesener/Spindler-Jungmann, 6. Kap, § 675v Rn. 14. So wohl auch Staudinger-Omlor, § 675v Rn. 12. MünchKommBGB-Casper, 6. Auflage 2012, § 675v Rn. 14 (aA nunmehr: MünchKommBGBZetzsche, § 675v Rn. 20); siehe auch: Oechsler, WM 2010, 1381 (1383), der zwar prinzipiell davon ausgeht, dass es sich bei der Nutzung von Kreditkartendaten um ein Zahlungsinstrument handelt, jedoch die Haftungsfolgen im Mailorder-Verfahren über § 675v Abs. 1 S. 2 BGB lösen möchte. Vgl. Oechsler, WM 2010, 1381 (1383).
180
Teil 3: Giralgeldzahlungen im E-Commerce
alleine verantworten mussten, besteht nun die Möglichkeit, dass auch in Fällen des reinen Drittmissbrauchs eine Haftung des Nutzers entsteht. Dies ist der einzige Fall, in dem die Haftung des Zahlungsdienstnutzers durch die PSD II erweitert wird, wenn auch nur in einem äußerst geringen Umfang. Hinsichtlich der unbeschränkten Haftung nach § 675v Abs. 3 BGB n. F. ergeben sich keine Neuerungen. So liegt weiterhin eine haftungsbegründende Pflichtverletzung vor, wenn der Zahlungsdienstnutzer trotz des Bemerkens der missbräuchlichen Verwendung keine Anzeige vornimmt, Kreditkartendaten bewusst weitergibt oder seine Kreditkartendaten über ungesicherte Kanäle übermittelt.⁶⁷³ Die Haftung geht gem. § 675v Abs. 4 S. 1 BGB n. F. unter, soweit der Zahlungsdienstleister seine Pflicht zur Anwendung der starken Kundenauthentifizierung verletzt hat.
4. Abschnitt: Gesamtbetrachtung der klassischen Zahlungsdienste im Internet Die Analyse der verschiedenen „klassischen“ Möglichkeiten, Giralgeld im E‐Commerce zu transferieren, zeigt das erhebliche Spannungsfeld zwischen nutzerfreundlicher Effizienz des Zahlungsverkehrs und den Themen Sicherheit und Haftung. Darüber hinaus nehmen die beteiligten Partien grundverschiedene Positionen ein. Auf der einen Seite befinden sich die Zahlungsdienstleister, die wirtschaftlich von der Abwicklung des Zahlungsverkehrs profitieren, während auf der anderen Seite die Zahlungsdienstnutzer stehen, die auf die Leistungen der Zahlungsdienstleister angewiesen sind. Dazwischen finden sich wiederum Internetkriminelle, die entweder versuchen den Zahlungsdienstleister, die Kommunikation oder den Zahlungsdienstnutzer anzugreifen, um sich so an deren Vermögen zu bereichern. Der Richtliniengeber hat diese Faktoren mit der PSD I weitgehend interessengerecht berücksichtigt. Die Änderungen der zweiten Zahlungsdienstrichtlinie korrigieren einige Unklarheiten und stärken erneut die Rechte der Nutzer. Das Vertragsrecht ist eng reguliert und verpflichtet den Zahlungsdienstleister dazu, den Nutzer zu schützen, zu informieren und aufzuklären. Darüber hinaus wird der Verbraucherschutz durch das ZKG flankiert, aus dem unter bestimmten Voraussetzungen Kontrahierungszwänge für Banken erwachsen. Zusätzlich trägt der Zahlungsdienstleister als wirtschaftlich stärkere Partei den Großteil des Haftungsrisikos, während der Zahlungsdienstnutzer weiter entlastet wird.
Vgl. Beispiele bei Oechsler, WM 2010, 1381 (1384 ff).
4. Abschnitt: Gesamtbetrachtung der klassischen Zahlungsdienste im Internet
181
Die konkrete Betrachtung der einzelnen Zahlungsverfahren zeigt außerdem, dass sich die rechtliche Behandlung von Lastschrift und Kreditkarte im Internet nicht wesentlich vom stationären Einsatz unterscheidet. Die Online-Überweisung stellt hingegen ein vollkommen eigenes Zahlungsverfahren dar, dass mit einem papiergebundenen Überweisungsbeleg nur noch wenige Gemeinsamkeiten teilt. Dies ist vor allem den neuartigen Risiken, die die Verlagerung in die virtuelle Welt mit sich bringt, geschuldet. Die Bankprozesse laufen nicht mehr intern ab, sondern können durch Kommunikationskanäle zu den Nutzern auch extern angestoßen werden. Die Risiken haben wiederum die Implementierung stärkerer Sicherheitsmaßnahmen zur Folge, die sich stetig selber oder angestoßen durch den Gesetzgeber weiterentwickeln. Dies bedingt einerseits ein steigendes Sicherheitsniveau und andererseits einen stetig wachsenden Pflichtenkatalog. Die verbraucherfreundliche Haftungsgestaltung hat daher zur Folge, dass eine betragsmäßig unbegrenzte Haftung des Zahlungsdienstnutzers nur in den Fällen zur Entstehung gelangt, in denen der Verbraucher schwerwiegende Pflichtverstöße begangen hat.
Teil 4: Zahlungsauslösedienste Anbieter innovativer Bezahlverfahren versuchen meist nicht den Zahlungsvorgang als solchen weiterzuentwickeln, sondern den Initiierungs- und Authentifizierungsprozess effizienter und bedienungsfreundlicher zu gestalten. Zahlungsauslösedienste nehmen dabei im Umfeld innovativer Bezahlsysteme eine Sonderrolle ein. Im Gegensatz zu Überweisungs-, Zahlungskarten-, E-Geld- und mobilen Zahlungsdiensten führen Zahlungsauslösedienstleister keine Zahlungen aus und nehmen keine Gelder in Besitz. Ihre Dienstleistung beschränkt sich im Wesentlichen auf die Weiterleitung von Zahlungsauftrags- und Authentifizierungsdaten. Dieser Umstand wirft im Wesentlichen datenschutzrechtliche, aber auch haftungsrechtliche und verbraucherschutzrechtliche Fragen auf.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts Nach der ersten Zahlungsdiensterichtlinie unterfielen Zahlungsauslösedienste nicht dem Zahlungsdiensterecht. Dies hatte zwei Gründe. Zum einen hatte sich der Richtliniengeber bei der Definition der Zahlungsdienste in Anhang I PSD I maßgeblich an dem Tatbestandsmerkmal der Ausführung eines Zahlungsvorgangs orientiert. Das Front-End, also die Initiierung eines Zahlungsvorgangs, war und ist auch in der PSD II für die Eröffnung des Anwendungsbereiches nicht von Belang. Dies wurde auch durch die Ausnahmevorschrift für technische Dienstleister in Art. 3 lit. j PSD I zum Ausdruck gebracht, wonach Tätigkeiten privilegiert wurden, bei denen der Dienstleister zu keiner Zeit im Besitz der Gelder war.⁶⁷⁴ Zum anderen hatten zum Zeitpunkt der Ausarbeitung der PSD I Zahlungsauslösedienstleister noch keinen relevanten Marktanteil, der eine Regulierung erforderlich gemacht hätte. Dieser Umstand hat sich in den letzten Jahren verändert. Zahlungsauslösedienste sind stetig beliebter geworden und dadurch in den Fokus des europäischen Gesetzgebers gerückt. Dabei spielte vor allem der Umstand, dass Zahlungsauslösedienstleister Zugriff auf sensible, geheim zu haltende Zahlungsdaten erlangen eine Rolle. Von größerer Bedeutung dürfte aber die Erkenntnis des Richtliniengebers gewesen sein, dass aufgrund der Unanwendbarkeit der ersten Zahlungsdiensterichtlinie zahlreiche rechtliche Fragen nicht
Neu an Art. 3 lit. j PSD II ist lediglich, dass ausdrücklich Zahlungsauslösedienstleister und Kontoinformationsdienstleister aus dem Anwendungsbereich ausgeschlossen werden. Die Anwendung der Ausnahme hat zur Folge, dass die privilegierten Tätigkeiten keine Zahlungsdienste sind und daher nicht dem Zahlungsdiensterecht unterfallen. https://doi.org/10.1515/9783110671629-007
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
183
ausreichend adressiert werden konnten und den allgemeinen Rechtsvorschriften der einzelnen Staaten unterlagen. Dieser Zustand war angesichts der anvisierten Vollharmonisierung des Zahlungsdiensterechts nicht tragbar. Die PSD II schließt diese Lücke und bezieht Zahlungsauslösedienste gem. Art. 2 Abs. 1 i.V. m. Anhang I Nr. 7 PSD II in ihren Anwendungsbereich ein. Gleichzeitig werden kontoführende Zahlungsdienstleister gem. §§ 48 – 52 ZAG n. F. verpflichtet, Zahlungsauslösediensten mittelbare und unmittelbare Zugangsmöglichkeiten zu Online-Zahlungskonten zu gewähren. Ein derartiges Zugangsrecht war vor allem aufgrund des angespannten Verhältnisses zwischen Zahlungsauslösediensten und kontoführenden Zahlungsdienstleistern von Nöten. Letztere sahen teilweise bis zuletzt in ihren AGB vor, dass die Eingabe der personalisierten Sicherheitsmerkmale auf einer nicht gesondert vereinbarten Internetseite einen Sorgfaltspflichtverstoß darstellte und damit zu einer Haftung des Zahlungsdienstnutzers führen konnte.⁶⁷⁵ Hiergegen wandte sich der marktführende Zahlungsauslösedienstleister, die Sofort GmbH, mit Erfolg an das Bundeskartellamt. Mit Beschluss vom 29.06. 2016 wurde festgestellt, dass entsprechende Klauseln sowohl gegen europäisches als auch nationales Wettbewerbsrecht verstießen, indem sie faktisch den Wettbewerb durch dritte Zahlungsdienstleister in diskriminierender Weise unterbänden.⁶⁷⁶ Der Beschluss ist zwar nicht rechtskräftig geworden, hat sich aber durch das Inkrafttreten der PSD II erledigt.⁶⁷⁷ Der europäische Gesetzgeber hat durch die Statuierung einer Zugangspflicht auch die dazu notwendige Weitergabe personalisierter Sicherheitsmerkmale legitimiert. Dieser Gedanke findet auch Ausdruck in Erwägungsgrund 69 PSD II: „Ferner sollten solche Geschäftsbedingungen keine Bestimmungen enthalten, die die Nutzung von Zahlungsdiensten anderer gemäß dieser Richtlinie zugelassener oder registrierter Zahlungsdienstleister in irgendeiner Weise erschweren.“
Bunte, AGB-Banken, 1. Auflage, 2007, SB Online, Rn. 33 ff; im Vergleich die noch 2015 bestehende und streitgegenständliche Regelung der Nr. 7 SB Online-Banking: Bunte, AGB-Banken, 4. Auflage, 2015, SB Online-Banking, Rn. 72, in der Bunte zumindest darauf hinweist, dass bei entsprechender Vereinbarung der Dienst eines „Providers“ (Anm.: also eines Zahlungsauslösedienstes) genutzt werden darf. Ohne entsprechende Vereinbarung hingegen nicht. Bundeskartellamt, Beschluss v. 29.06. 2016, B 4– 71/10, abrufbar unter: http://www.bundes kartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Kartellverbot/2016/B4-71-10.pdf? __blob=publicationFile&v=2, zuletzt abgerufen am 10.04. 2019. Vgl. auch Baumann, GWR 2017, 275 (276).
184
Teil 4: Zahlungsauslösedienste
2. Abschnitt: Der Tatbestand des Zahlungsauslösedienstes Nach Art. 4 Nr. 15 PSD II handelt es sich bei Zahlungsauslösediensten um Dienste, die auf Antrag des Zahlungsdienstnutzers Zahlungsaufträge im Hinblick auf ein, bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslösen. Das wichtigste Tatbestandsmerkmal dieser weit gefassten Definition ist die Auslösung eines Zahlungsauftrags. Ausweislich der Erwägungsgründe hatte der Richtliniengeber dabei solche Dienste vor Augen, die im Bereich der Internetzahlungen entstanden sind und im elektronischen Geschäftsverkehr eine Softwarebrücke zwischen der Website des Händlers und der Online-Banking-Plattform des kontoführenden Zahlungsdienstleisters herstellen, um auf diese Weise Online-Überweisungen auszulösen.⁶⁷⁸ Der Händler wird über die erfolgreiche Auslösung informiert, sodass derartige Dienste aus Sicht der Händler bei Rechnungskäufen das Inkasso- beziehungsweise Vorleistungsrisiko eliminieren.⁶⁷⁹ Diese zusätzlichen Erwägungen machen deutlich, dass der Gesetzgeber offenbar von einem Leitbild ausgegangen ist, das im Tatbestand keinen eindeutigen Niederschlag gefunden hat.⁶⁸⁰ Der Begriff des Zahlungsauslösedienstes ist daher nicht nur anhand der in Art. 4 Nr. 15 PSD II vorhandenen Definition zu bestimmen, sondern unter Berücksichtigung der Erwägungsgründe, des Telos und der weiteren Vorschriften der PSD II zu konkretisieren.
A. Wortlaut und Gesetzessystematik Der Begriff des „Auslösens“ eines Zahlungsauftrags wird in der Richtlinie an einigen Stellen verwendet, erfährt jedoch keine klare Konturierung. Das Auslösen kann daher vom bloßen Anstoßen bis hin zu einem Bewirken verstanden werden.⁶⁸¹ Der Terminus darf jedoch nicht gesondert, sondern nur in Zusammenhang mit dem Zahlungsauftrag betrachtet werden. Dabei handelt es sich gem. Art. 4 Nr. 13 PSD II um die Weisung, die ein Zahler seinem Zahlungsdienstleister zur Ausführung eines Zahlungsvorgangs erteilt. Ein tatsächliches Bewirken im Sinne eines Durchführens des Zahlungsvorgangs kann daher keineswegs erfasst sein, da eine solche Tätigkeit unter den Tatbestand des Überweisungsgeschäfts fallen würde. Aus diesem Grund kann sich der dem Zahlungsauslösedienst zugrunde Erwägungsgrund 27 PSD II. Erwägungsgründe 27 und 29 PSD II. So auch Kunz, CB 2016, 416 (418). Bedeutung lt. Duden, siehe: http://www.duden.de/rechtschreibung/ausloesen, zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Der Tatbestand des Zahlungsauslösedienstes
185
liegende Zahlungsauftrag nur auf ein Zahlungskonto beziehen, das von einem dritten, personenverschiedenen Zahlungsdienstleister geführt wird. Darüber hinaus ist das Auslösen erst auf Antrag des Zahlungsdienstnutzers durchzuführen, sodass auch der ursprüngliche Zahlungsimpuls nicht vom Zahlungsauslösedienstleister ausgeht. Dieser muss vielmehr vom Zahler beauftragt werden, sodass der Zahlungsauslösedienstleister eine Position zwischen Zahler und dessen kontoführendem Zahlungsdienstleister einnimmt. Die Rolle des Zahlungsauslösedienstleisters konkretisiert sich bei weiterer Betrachtung der Richtlinie dahingehend, dass das Auslösen entweder „über“ oder „durch“ ihn erfolgt.⁶⁸² Es bedarf demnach eines aktiven Beitrags im Zusammenhang mit der Auslösung eines Zahlungsvorgangs. Das bloße Weiterleiten auf eine Online-Banking-Plattform kann daher nicht vom Tatbestand erfasst sein. In diesen Fällen erfolgt die Auslösung des Zahlungsvorgangs schließlich durch den Zahler und über den kontoführenden Zahlungsdienstleister. Technische Dienstleister wie giropay, die den Nutzer nur zum Online-Banking weiterleiten, erbringen somit keine Zahlungsauslösedienste.⁶⁸³ Dies ergibt sich auch aus der Betrachtung des Art. 64 Abs. 2 S. 2 PSD II. Der Zahlungsauslösedienstleister leitet nicht nur sensible Zahlungsdaten, die der Authentifizierung dienen, sondern auch die Autorisierung, also die konkrete Zustimmung des Zahlers zur Ausführung des Zahlungsvorgangs, weiter. Diese ist in der Weiterleitung der TAN enthalten. Folglich lässt sich der Zahlungsauslösedienst in einem beschränkten Maße mit der SEPA-Lastschrift vergleichen, bei der die Autorisierung ebenfalls einem Dritten gegenüber erklärt wird, der diese anschließend an den kontoführenden Zahlungsdienstleister weiterleitet. Folgerichtig werden daher diese beiden Varianten auch gemeinsam in Art. 64 Abs. 2 S. 2 PSD II genannt. Aus Erwägungsgrund 31 sowie Art. 66 Abs. 3 lit. a PSD II geht überdies als weiteres ungeschriebenes Tatbestandsmerkmal des Auslösens hervor, dass der Zahlungsauslösedienstleister zu keinem Zeitpunkt im Besitz der Gelder sein darf, soweit er nicht weitere Zahlungsdienste erbringen möchte.⁶⁸⁴ Wortlaut und Systematik sprechen demnach dafür, dass der Zahlungsauslösedienst im Schwerpunkt die Weiterleitung eines Zahlungsauftrags sowie der Autorisierung eines Zahlers an den kontoführenden Zahlungsdienstleister zum Gegenstand hat.
Siehe u. a.: Art. 64 Abs. 2 S. 1, Art. 72 Abs. 1 UAbs. 2, Art. 73 Abs. 2, Art. 79 Abs. 2, Art. 90 Abs. 1 PSD II. i.E. auch Terlau, jurisPR-BKR 2/2016, Anm. 1 S. 6; Kunz, CB 2016, 416 (419). So auch Kunz, CB 2016, 416 (418); siehe auch BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, geändert am 29.11. 2017, Nr. 2 lit. f, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Merkblatt/mb_111222_zag.html (Stand: November 2017), zuletzt abgerufen am 10.04. 2019;
186
Teil 4: Zahlungsauslösedienste
B. Telos der Norm Das Telos der Norm lässt weitere Rückschlüsse auf die wesentlichen Charaktermerkmale des Zahlungsauslösedienstes zu. Aus den Erwägungsgründen 27 und 29 geht hervor, dass Zahlungsauslösedienste dazu dienen, bei Rechnungskäufen Händlern Gewissheit über die Initiierung der fälligen Zahlung zu verschaffen. Die Dienstleistung beschränkt sich nicht nur auf die Weiterleitung von Datensätzen, sondern umfasst auch die Überwachung der erfolgreichen Zahlungsauslösung. Zahlungsauslösedienstleister stehen demnach nicht nur zwischen Zahler und dessen kontoführendem Zahlungsdienstleister, sondern nehmen auch die den Zahlungsdiensten eigene Stellung zwischen Zahler und Zahlungsempfänger ein. Meist ist sogar die vertragliche Beziehung mit dem Händler die Maßgebliche.⁶⁸⁵ Dienstleister, die lediglich im Lager des Nutzers stehen und das Online-BankingRechnungswesen des Zahlungsdienstleisters organisieren, erbringen keine Zahlungsauslösedienste.⁶⁸⁶ Aus der vertraglichen Beziehung zum Zahlungsempfänger schließt Terlau, dass ein Zahlungsauslösedienst nur dann vorliegt, wenn der Dienstleister alle zur Zahlungsauslösung erforderlichen Schritte durchführt.⁶⁸⁷ Unter Durchführen ist danach die Übermittlung der vereinbarten Authentifizierungsmerkmale zu verstehen. Die Auffassung deckt sich insofern mit dem durch die Wortlautauslegung ermittelten Ergebnis, dass der Zahlungsauftrag zumindest durch oder über den Zahlungsauslösedienstleister erfolgen muss. Dies hängt untrennbar mit dem Sinn und Zweck der Regulierung von Zahlungsinstituten zusammen. Das Regulierungsbedürfnis speist sich aus dem jedem Zahlungsdienst eigenen Risikoniveau.⁶⁸⁸ Soweit die Dienstleistung ein eigenes, zusätzliches Missbrauchsrisiko aufweist, ist von dem Erbringen eines Zahlungsauslösedienstes auszugehen. Dies wird immer dann der Fall sein, wenn der Dienstleister in den Besitz sensibler Zahlungsdaten gelangt und dadurch die Gefahr der Offenbarung steigt.⁶⁸⁹ Bei Dienstleistern wie giropay, die lediglich die technische Weiterleitung des Kunden auf das Online-Banking-Portal des kontoführenden Zahlungsdienstleisters ermöglichen, entsteht kein zusätzliches Risiko. Selbiges gilt für den bankeigenen Dienst Paydirekt, der über die eigene Website eine direkte Verbindung zum Online-Banking des Kreditinstituts herstellt.⁶⁹⁰ Die erhobenen Daten beschränken
Siehe unten: Teil 4, 3. Abschnitt, B. Kunz, CB 2016, 416 (419). Terlau, jurisBR-PKR 2/2016, Anm. 1 S. 5. So wohl auch Kunz, CB 2016, 416 (418). Ebenso Kunz, CB 2016, 416 (419). So auch Werner, in: Gunkel/Richter, WM 2016, 1517 (1527).
3. Abschnitt: Organisationsrahmen der Parteien
187
sich auf Nutzungsdaten, die zum Aufruf der Website erforderlich sind, freiwillig abgegebene personenbezogene Daten sowie die Meldung über die erfolgte Überweisung. Aus diesem Grund spricht auch das Telos dafür, das bloße Eröffnen einer Kommunikationsmöglichkeit mit einem Online-Banking-Portal nicht als Zahlungsauslösedienst zu qualifizieren.⁶⁹¹ Erst das aktive Weiterleiten sensibler Zahlungsdaten führt dazu, dass durch oder über den Dienstleister ein Zahlungsvorgang ausgelöst wird.
C. Zwischenergebnis Zahlungsauslösedienste werden auf Antrag des Zahlungsdienstnutzers erbracht, um den Zugang eines Zahlungsauftrags sowie einer in der Regel notwendigen Authentifizierung und, falls diese nicht erforderlich ist, der Autorisierung an den kontoführenden Zahlungsdienstleister zu bewirken und die erfolgreiche Auslösung zu überwachen. Der Zahlungsauslösedienstleister darf dabei zu keinem Zeitpunkt im Besitz der zu übertragenden Gelder sein. Dienstleister wie giropay, iDeal oder eps leiten den Nutzer auf sein Online-Banking Portal weiter und übermitteln dem kontoführenden Zahlungsdienstleister die Überweisungsdaten des Zahlungsempfängers. Mangels aktiven Parts in der Zahlungsauslösung handelt es sich hierbei nicht um eine Zahlungsauslösung im Sinne der PSD II. Diese Dienstleister gelangen auch entgegen Anbieter wie der Sofort GmbH nicht in den Besitz sensibler Zahlungsdaten, wie PIN und TAN, was weitere Tatbestandsvoraussetzung des Zahlungsauslösedienstes ist.
3. Abschnitt: Organisationsrahmen der Parteien Die beschriebene Mittlerfunktion zwischen drei unterschiedlichen Parteien wirft die Frage auf, mit welcher Partei der Zahlungsauslösedienstleister vertraglich kontrahiert. Zur Nutzung des Dienstes muss der Verwender nach Auswahl der entsprechende Bezahlmethode zunächst seine Bankleitzahl oder BIC eingeben. Anschließend werden Benutzername und PIN abgefragt. Dem Nutzer werden dann die Details des Zahlungsauftrags noch einmal angezeigt. Die Autorisierung erfolgt durch Eingabe der TAN. Oberhalb des „Bestätigen“ Buttons, der die Zahlung auslöst, ist regelmäßig ein Hinweis auf die Datenschutzrichtlinie des Anbieters zu finden. Eine Einverständniserklärung ist genauso wenig erforderlich,
Kritisch, aber nicht ablehnend: Conreder, BKR 2017, 226 (227).
188
Teil 4: Zahlungsauslösedienste
wie das Akzeptieren etwaiger AGB. Ein konkretes Leistungsangebot wird dem Nutzer folglich nicht unterbreitet. Der Dienst ist zudem kostenfrei und wird allenfalls durch die Erhebung von Daten kompensiert. Die Datenerhebung bei der Nutzung eines kostenfreien Dienstes begründet jedoch nicht ohne das Hinzutreten weiterer Umstände eine vertragliche Beziehung zwischen den Parteien. Aus der maßgeblichen Sicht eines objektiven Empfängers stellt sich die Dienstleistung des Zahlungsauslösedienstleisters daher nicht als Angebot auf Abschluss eines Zahlungsdienstevertrags, sondern als Tätigkeit für den Zahlungsempfänger dar. Der Zahlungsauslösedienstleister wird aufseiten des Zahlungsempfängers tätig, vergleichbar mit einem Kassenterminalbetreiber, der die Annahme von Kartenzahlungen ermöglicht. Demnach fehlt es an einem Vertragsangebot, sodass die Nutzung der Dienste durch den Zahler meist ohne vertragliche Grundlage erfolgt.⁶⁹² Die bereits beschriebene funktionelle Nähe des Zahlungsauslösedienstleisters zum Zahlungsempfänger spiegelt sich demnach auch in dem Fehlen einer Vertragsbeziehung zum Verwender wider.
A. Kontrahierungszwang durch die PSD II? Nachdem der Richtliniengeber beschlossen hat, Zahlungsauslösedienste in den Anwendungsbereich des Zahlungsdiensterechts einzubeziehen, könnte man annehmen, dass zur Durchsetzung der damit verbundenen Ziele auch ein zivilrechtlich reguliertes Vertragsverhältnis zum Zahlungsauslösedienstleister erforderlich wird. Im Gegensatz zu den gewöhnlichen Zahlungsdiensten, führt der Zahlungsauslösedienstleister keine Zahlungen aus, sondern stößt diese nur an. Das Gros der zahlungsdienstrechtlichen Vorschriften zielt jedoch gerade darauf ab, die zivilrechtliche Beziehung zu Zahlungsdienstleistern zu regeln, die Gelder im Besitz haben und Zahlungsvorgänge ausführen. Dies hat zur Folge, dass kraft Natur der Sache der Großteil der Vorschriften ohnehin keine Anwendung findet.⁶⁹³ Die wichtigen, dem Verbraucherschutz dienenden Vorschriften des Art. 248 EGBGB n. F. sind hingegen nach § 675d BGB n. F. auch auf Einzelzahlungen anwendbar, ohne dass es hierfür eines Vertrags bedürfte. Selbiges gilt für die in den §§ 675j – 676c BGB n. F. niedergelegten Sonderregelungen für Zahlungsauslösedienstleister, die ohnehin nur klarstellender Natur sind. Einzig der Ausgleichsanspruch aus § 676a BGB begründet einen zivilrechtlichen Anspruch gegen den
Kunz, CB 2016, 416 (418); Terlau, ZBB 2016, 122, 133 f; ders., jursPR-BKR 2/2016, Anm. 1 S. 9; OLG Frankfurt, Urt. v. 24.08. 2016 – 11 U 123/15, MMR 2017, 268 (272). Vgl. BT-Drs. 18/11495, S. 80.
3. Abschnitt: Organisationsrahmen der Parteien
189
Zahlungsauslösedienstleister, jedoch für den kontoführenden Zahlungsdienstleister und nicht für den Zahler. Dies zeigt, dass sich die Einbeziehung der Zahlungsauslösedienstleister in das Zahlungsdiensterecht zuvorderst im Aufsichtsrecht und nicht im Zivilrecht niederschlägt. Am deutlichsten erschließt sich die Irrelevanz einer vertraglichen Beziehung aus dem haftungsrechtlichen Konzept. Nach dem Willen des Richtliniengebers ist nämlich nur der kontoführende Zahlungsdienstleister und nicht der Zahlungsauslösedienstleister Adressat der Haftungsvorschriften.⁶⁹⁴ Dahinter steht die Überlegung, Zahlungsdienstnutzern stets einen solventen Anspruchsgegner zur Verfügung zu stellen, der ohne das Zutun Dritter direkt das betroffene Zahlungskonto ausgleichen kann. Dieser Umstand ist für die Abgrenzung von Schuld- und Gefälligkeitsverhältnissen von entscheidender Bedeutung. Ein Rechtsbindungswille ist meist dann anzunehmen, wenn eine Partei im Falle der Nicht- oder Schlechtleistung ein berechtigtes Interesse an vertraglichen Schadensersatzansprüchen hat.⁶⁹⁵ Ein derartiges Interesse besteht bei Nutzern von Zahlungsauslösediensten aufgrund des bestehenden Haftungskonzepts und der möglichen Inanspruchnahme des kontoführenden Zahlungsdienstleisters nicht. Demnach setzt die PSD II keine vertragliche Beziehung zwischen Zahlungsdienstnutzer und Zahlungsauslösedienstleister voraus.⁶⁹⁶
B. Rechtliche Einordnung der Funktion des Zahlungsauslösedienstleisters Der Zahlungsauslösedienstleister wird zwar in der Regel nicht Vertragspartner des Zahlers, agiert aber dennoch bei der Übermittlung sensibler Zahlungsdaten an den kontoführenden Zahlungsdienstleister in dessen Interesse. Er erfüllt also entweder die Funktion eines Boten oder eines Vertreters. Der maßgebliche Unterschied zwischen beiden Rechtsfiguren besteht darin, dass Vertreter eine eigene Erklärung abgeben, während Boten eine fremde Erklärung ihres Geschäftsherrn übermitteln.⁶⁹⁷ Nach Art. 66 Abs. 3 lit. h PSD II darf der Zahlungsauslösedienstleister den vom Zahler erteilten Zahlungsauftrag nicht verändern und hat folglich keinen eigenen Erklärungsspielraum. Demnach kommt im Verhältnis zum
Siehe hierzu ausführlich unten: Teil 4, 5. Abschnitt. BeckOK BGB-Sutschet, § 241 Rn. 18. Kunz, CB 2016, 416 (418); Terlau, ZBB 2016, 122, (133 f); ders., jurisPR-BKR 2/2016, Anm. 1 S. 9. hM: BGH, Urt. v. 24.02.1954 – II ZR 63/53, BGHZ 12, 327 (334); MünchKommBGB-Schubert, § 164 Rn. 70; Erman-Maier-Reimer, Vorbem § 164 Rn. 24.
190
Teil 4: Zahlungsauslösedienste
Zahlungsdienstnutzer ausschließlich eine Eigenschaft als Erklärungsbote in Betracht.⁶⁹⁸ Im Verhältnis zum Zahlungsempfänger besteht eine geschäftsbesorgungsrechtliche Beziehung, wonach der Dienstleister Zahlungsaufträge zugunsten des Zahlungsempfängers auslöst und diesen über die erfolgte Auslösung informiert.⁶⁹⁹ Aus dieser vertraglichen Beziehung entspringt die für den Zahler kostenfreie Botenschaft des Zahlungsauslösedienstleisters. Der kontoführende Zahlungsdienstleister wird in der Regel ebenfalls vertragliche Beziehungen zum Zahlungsauslösedienstleister unterhalten. Schließlich besteht ein nicht unerhebliches Interesse, die gesetzliche Zugangspflicht sowie mögliche Haftungsfragen vertraglich zu regeln.
C. Rechte und Pflichten der beteiligten Parteien Der kontoführende Zahlungsdienstleister ist zunächst im Verhältnis zum Zahlungsdienstnutzer gem. § 675 f Abs. 3 BGB n. F. verpflichtet, die Nutzung von Zahlungsauslösediensten zu tolerieren. Die damit korrespondierende Pflicht, Zahlungsauslösedienstleistern Zugang zu Zahlungskonten zu gewähren, ergibt sich aus § 52 Abs. 1 ZAG n. F. Die Toleranzpflicht wird zudem gem. § 48 Abs. 1 Nr. 3 ZAG n. F. durch ein Diskriminierungsverbot flankiert. Hiernach ist der kontoführende Zahlungsdienstleister verpflichtet, Zahlungsvorgänge, die über Zahlungsauslösedienstleister ausgelöst werden, genauso zu behandeln wie Zahlungsvorgänge, die der Zahlungsdienstnutzer persönlich auslöst. Somit können keine zusätzlichen Entgelte für die Zugangsberechtigung erhoben werden. Das Hinzutreten eines weiteren Zahlungsdienstleisters hat daher nicht nur das Entstehen von Pflichten zwischen Zahlungsdienstnutzer und Zahlungsauslösedienstleister zur Folge, sondern begründet auch Pflichten zwischen kontoführendem Zahlungsdienstleister und Zahlungsauslösedienstleister.
I. Vertragliche Pflichten des Zahlungsauslösedienstleisters Auch wenn zwischen dem Zahler und dem Zahlungsauslösedienstleister keine vertraglichen Beziehungen bestehen, könnte der Zahler vertragliche Rechte in Anspruch nehmen, soweit der Geschäftsbesorgungsvertrag zwischen Zahlungsauslösedienstleister und Zahlungsempfänger Drittwirkung entfaltet. Dies ist etwa
So auch MünchKommBGB-Casper, § 675 f Rn. 116; Terlau, jurisPR-BKR 2/2016, Anm. 1 S. 10 Terlau, jurisPR-BKR 2/2016, Anm. 1 S. 10.
3. Abschnitt: Organisationsrahmen der Parteien
191
bei Verträgen zugunsten Dritter i. S. d. § 328 BGB der Fall. Ein solcher Vertrag liegt vor, wenn die Vertragsparteien vereinbaren, dass ein Dritter das Recht erwerben soll, die vertraglich geschuldete Leistung eines Vertragspartners zu fordern. Die Vereinbarungen von Zahlungsauslösedienstleistern und ihren Partnern sind zwar nicht öffentlich einsehbar, dennoch ergibt sich allein aus dem Angebot auf der Internetseite des jeweiligen E-Commerce-Händlers, dass die Wahl eines bestimmten Bezahlverfahrens als zulässige Art der Erfüllung Vertragsbestandteil wird.⁷⁰⁰ Der Zahlungsempfänger hat ein erhebliches Interesse daran, dass die wesentliche Vertragspflicht des Geschäftsbesorgungsvertrags nämlich die Weiterleitung eines Zahlungsauftrags durch den Zahlungsauslösedienstleister auch gegenüber dem tatsächlichen Verwender begründet wird. Diese sind schließlich die einzigen Verwender des Verfahrens. Es ist daher davon auszugehen, dass eine entsprechende Klausel dem jeweiligen Vertragswerk beigefügt ist, sodass der Nutzer einen Anspruch gegen den Zahlungsauslösedienstleister auf Weiterleitung des Zahlungsauftrags hat.⁷⁰¹ Weitere Vertragspflichten, die ebenfalls vom Nutzer geltend gemacht werden können, sind nicht ersichtlich.
II. Gesetzliche Informations- und Mitteilungspflichten Aus dem Gesetz ergeben sich für Zahlungsauslösedienstleister weitere Pflichten. Vor der Auslösung eines Zahlungsvorgangs ist zunächst der Nutzer gem. § 675d Abs. 2 S. 1 BGB n. F. i.V. m. Art. 248 § 13 Abs. 1 EGBGB n. F. über die zur Auslösung des Zahlungsvorgangs erforderlichen Informationen, die Ausführungsfrist, alle Entgelte sowie gegebenenfalls dem Zahlungsvorgang zugrundeliegende Wechselkurse zu unterrichten. Zahlungsauslösedienstleister sind zudem nach § 675d Abs. 2 S. 1 BGB n. F. i.V. m. Art. 248 § 13 Abs. 2 EGBGB n. F. verpflichtet über sich selbst, also Name, Anschrift und Kontaktdaten, sowie über die Kontaktdaten der zuständigen Aufsichtsbehörde aufzuklären. Weitere Informationspflichten können nach § 675d Abs. 2 S. 1 BGB n. F. i.V. m. Art. 248 § 13 Abs. 3 EGBGB n. F. entstehen, soweit die in § 4 Abs. 1 EGBGB n. F. erwähnten Informationen für den Einzelzahlungsvorgang von Belang sind. Hat der Zahlungsauslösedienstleister den Zahlungsvorgang erfolgreich ausgelöst, sind der Zahler und gegebenenfalls auch der Zahlungsempfänger gem. § 675d Abs. 2 S. 1 BGB n. F. i.V. m. Art. 248 § 13a EGBGB n. F. über die erfolgte Auslösung, die dem Zahlungsvorgang zugeordnete Kennung sowie über jede
Vgl. MünchKommBGB-Fetzer, § 362 Rn. 19. So auch Terlau, ZBB 2016, 122, 134; ders., jurisPR-BKR 2/2016, Anm. 1 S. 10; OLG Frankfurt, Urt. v. 24.08. 2016 – 11 U 123/15, n. rkr. MMR 2017, 268 (272).
192
Teil 4: Zahlungsauslösedienste
weitere übermittelte Angabe, den Zahlungsbetrag und gegebenenfalls über alle anfallenden Entgelte zu unterrichten. Überdies ist die Form, in der die Informationen zur Verfügung zu stellen sind, im Vergleich zu Rahmenzahlungsverträgen gem. Art. 248 § 12 EGBGB weniger streng, da der europäische Gesetzgeber davon ausgegangen ist, dass Einzelzahlungsverträge regelmäßig in Anwesenheit beider Parteien abgeschlossen werden.⁷⁰² Bei der Nutzung von Zahlungsauslösediensten ist dies zwar nicht der Fall. Art. 248 § 13 Abs. 4 EGBGBn. F. sieht jedoch für Einzelzahlungen, die über Fernkommunikationsmittel ausgelöst werden, eine Ausnahme hinsichtlich der Mitteilung der Informationspflichten vor. Der Zahlungsauslösedienstleister muss dann die geschuldeten Informationen unverzüglich i. S. d. § 121 Abs. 1 BGB nachreichen.
III. Pflichten nach dem ZAG Auch wenn die aufsichtsrechtlichen Pflichten im Verhältnis zum Zahlungsdienstnutzer ohne Vertragsbeziehung keine direkte Wirkung entfalten können, sind sie zu seinem Schutz von nicht unerheblicher Bedeutung. Soweit eine vertragliche Beziehung besteht, werden zu Recht einige aufsichtsrechtliche Vorgaben, wie etwa das Halteverbot von Geldern des Zahlers, dem zivilrechtlichen Pflichtengefüge zugeordnet.⁷⁰³ Anderenfalls ließe sich nicht der vom europäischen Gesetzgeber bezweckte Schutz des Nutzers herstellen. Die aufsichtsrechtlichen Vorschriften dienen darüber hinaus der Sicherstellung integrer und sicherer Zahlungssysteme. Regulierte Zahlungsdienstleister müssen zahlreichen Anforderungen nachkommen, die ohne vertragliche Beziehung zumindest mittelbar auch den Schutz der Nutzer vor Zahlungsausfall oder unlauteren Praktiken bezwecken. Bisher konnten Zahlungsauslösedienstleister ohne jegliche finanzaufsichtsrechtliche Regulierung ihre Dienste erbringen. Haben sie überdies, wie etwa die Sofort GmbH, ihre Tätigkeit vor dem 12.12. 2016 aufgenommen, finden die eigentlich ab dem 13.01. 2018 geltenden Regulierungsvorschriften gem. § 68 Abs. 1 ZAG n. F. erst 18 Monate nach Inkrafttreten der RTS Anwendung.⁷⁰⁴ Spätestens ab dem 14.09. 2019 sind dann von allen Zahlungsauslösedienstleistern folgende Vorgaben zu berücksichtigen.
Vgl. BT-Drs. 16/11643, S. 136. Für die Einbeziehung von Art. 66 Abs. 3 und 67 Abs. 2 PSD II (§§ 49, 51 ZAG n. F.) im zivilrechtlichen Pflichtengefüge: Omlor, WM 2018, 57 (61). Siehe: Art. 115 Abs. 5 PSD II.
3. Abschnitt: Organisationsrahmen der Parteien
193
1. Beantragung einer Tätigkeitserlaubnis Das Erbringen von Zahlungsauslösediensten bedarf gem. § 10 Abs. 1 S. 1 ZAG n. F. einer schriftlichen Erlaubnis der BaFin. Der Antragsteller muss gem. § 10 Abs. 2 ZAG n. F. eine Vielzahl von Informationen, etwa über das Geschäftsmodell, Nachweise über das Anfangskapital und das Bestehen einer Berufshaftpflichtversicherung sowie Beschreibungen von vorgesehenen Sicherheitsmaßnahmen vorlegen. Hieraus erwachsen Folgepflichten, sodass das Zahlungsinstitut alle Änderungen anzeigen muss, die sich auf die Richtigkeit der nach § 10 Abs. 2 ZAG n. F. mitgeteilten Informationen auswirken können.
2. Anfangskapital und Eigenmittelanforderungen Zahlungsauslösedienstleister können eine Erlaubnis zur Erbringung von Zahlungsauslösediensten nur erhalten, soweit sie gem. § 12 Nr. 3 lit. b ZAG n. F. ein Anfangskapital von mindestens 50.000 Euro nachweisen können. Im Gegensatz zu den „klassischen“ Zahlungsinstituten, die ein Anfangskapital von mindestens 125.000 Euro vorweisen müssen, bedeutet dies eine Privilegierung. E-Geld-Institute benötigen sogar ein Anfangskapital in Höhe von 350.000 Euro. Im Hinblick auf die Eigenmittelanforderungen werden Zahlungsauslösedienste ebenfalls privilegiert. Der ausschließliche Betrieb von Zahlungsauslösediensten bedarf gem. § 16 Abs. 1 S. 1 ZAG n. F. lediglich einer Berufshaftpflichtversicherung, die alle erdenklichen zivilrechtlichen Haftungsfälle abdeckt. Dabei handelt es sich im Schwerpunkt, jedoch nicht ausschließlich, um Regressansprüche kontoführender Zahlungsdienstleister.
3. Vorgaben zum Datenschutz Ein weiterer Aspekt, der den Richtliniengeber dazu erwogen hat, Zahlungsauslösedienstleister dem Regelungsregime des Zahlungsdiensterechts zu unterstellen, war das Thema Datenschutz.⁷⁰⁵ Unter Geltung der ersten Zahlungsdiensterichtlinie gab es keine speziellen Vorschriften zum Datenschutz. Art. 79 S. 2 PSD I enthielt lediglich einen klarstellenden Verweis auf die Anwendbarkeit der Datenschutzrichtlinie,⁷⁰⁶ die ohnehin für Zahlungsdienstleister als datenerhebende
Vgl. Erwägungsgrund 29 PSD II. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, EG.ABl. L 281/31.
194
Teil 4: Zahlungsauslösedienste
Stellen in direkter Anwendung aus § 1 Abs. 2 Nr. 3 BDSG a. F. folgte. Durch die am 25.05. 2018 in Kraft getretene Datenschutzgrundverordnung⁷⁰⁷ gilt nunmehr ein unmittelbar aus dem Sekundärrecht folgender Datenschutz. Das BDSG hat nur noch eine ergänzende und konkretisierende Funktion (§ 1 Abs. 5 BDSG n. F.).
a) Grundprinzipien des europäischen Datenschutzrechts und die bisherige Rechtslage Das DSGVO dient primär dem Schutz der Persönlichkeitsrechte der EU-Bürger. Aus diesem Grund stehen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unter einem Verbot mit Erlaubnisvorbehalt.⁷⁰⁸ Anstelle der Ziele der Datenvermeidung und Datensparsamkeit gilt gem. Art. 5 Abs. 1 lit. c) DSGVO das Gebot der Datenminimierung. Die erhobenen Daten dürfen gem. Art. 5 Abs. 1 lit b) DSGVO nur zweckgebunden, also im Zusammenhang mit dem Grund der Erhebung, verwendet werden. Gleichzeitig wird durch Informationspflichten und Auskunftsansprüche eine ausreichende Transparenz hinsichtlich des Inhalts und Umfangs der erhobenen Daten sichergestellt. Zudem stehen Betroffenen Rechte zur Berichtigung, Sperrung oder Löschung – das sog. Recht auf Vergessen gem. Art. 17 Abs. 2 DSGVO – von fehlerhaften, unzulässigerweise erhobenen oder nicht mehr benötigten Daten zu. Die datenerhebenden Stellen sind zudem verpflichtet, ausreichende Sicherheitsvorkehrungen zum Schutz vor Verlust, Sabotage oder unbefugtem Zugriff durch Dritte zu ergreifen. Gesetzesverstöße können von den staatlichen Aufsichtsbehörden mit teils erheblichen Sanktionen geahndet werden. Die Erlaubnis, die zur Erbringung von Zahlungsdiensten erforderlichen Daten, wie etwa die Kontoinformationen des Zahlers und des Zahlungsempfängers, zu erheben, ergab sich bisher aus der Generalklausel des § 28 Abs. 1 Nr. 1 BDSG a. F., die die notwendige Datenerhebung für geschäftliche Zwecke des Erhebenden erlaubte. Aufgrund des Zweckbindungsgrundsatzes durften die erhobenen Daten nur im Zusammenhang mit den Zahlungsdiensten verwendet werden.
Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27.04. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, EU.ABl. L 119/1. Gola, in: Gola, DSGVO, 2. Auflage 2018, Einl Rn. 25.
3. Abschnitt: Organisationsrahmen der Parteien
195
b) Der spezielle zahlungsdienstrechtliche Datenschutz nach § 59 ZAG n. F. In Zeiten von „Big Data“, also der Nutzung und Verarbeitung großer Datenmengen zur Informationsgewinnung und wirtschaftlichen Verwertung, hat sich für viele Unternehmen die Datenerhebung zu einem äußerst lukrativen Geschäftsfeld entwickelt.⁷⁰⁹ Zahlungsverkehrsdaten lassen logischerweise tiefgreifende Rückschlüsse auf das Konsumentenverhalten sowohl im Einzelhandel als auch im Online-Handel zu. Aus diesem Grund hat der Richtliniengeber in Art. 94 PSD II eine spezielle zahlungsdienstrechtliche Vorschrift zum Datenschutz eingefügt. In der Umsetzungsvorschrift des § 59 ZAG n. F. ist im ersten Absatz ein klarstellender Erlaubnisvorbehalt für die Verarbeitung von Zahlungsdaten vorgesehen, soweit dies zur Verhütung, Feststellung und Ermittlung von Betrugsfällen im Zahlungsverkehr erforderlich ist. Dieser Erlaubnisvorbehalt fand sich bereits in der PSD I wieder, wurde jedoch aufgrund der früheren Generalklausel des § 28 Abs. 1 BDSG a. F. nicht gesondert umgesetzt. Interessanter ist daher die Vorschrift des § 59 Abs. 2 ZAG n. F., die für alle über § 59 Abs. 1 ZAG n. F. hinausgehenden Fälle eine ausdrückliche Zustimmung des Zahlungsdienstnutzers erforderlich macht. Das Verhältnis des § 59 Abs. 2 ZAG n. F. zu den Ermächtigungsgrundlagen nach Art. 6 ff DSGVO ist nicht abschließend geklärt.⁷¹⁰ Offen ist insbesondere die Frage, ob sich der ausdrückliche Einwilligungsvorbehalt auf jegliche Datenerhebung oder nur auf die Datenverarbeitung zur Erbringung des Zahlungsdienstes bezieht. Aufgrund der teils gesetzlich vorgesehenen Datenverarbeitung – etwa nach § 11 GWG – sowie den Abwägungsgrundsätzen der DSGVO sprechen die besseren Argumente für eine einschränkende Auslegung des § 59 Abs. 2 ZAG n. F., wonach dieser nur verarbeitungsbezogen Anwendung findet. Für Zahlungsauslösedienstleister ist diese Differenzierung von erheblicher Bedeutung. Aufgrund des dem Datenschutzrecht zugrundeliegenden Verbots mit Erlaubnisvorbehalt war bereits vor Geltung der DSGVO allgemeiner Konsens, dass eine Einwilligung stets ausdrücklich zu erfolgen hat.⁷¹¹ Zwischen der Einwilligung nach der DSGVO und der ausdrücklichen Zustimmung nach § 59 Abs. 2 ZAG n. F. besteht dennoch ein entscheidender Unterschied. Eine Einwilligung i. S. d. DSGVO setzt lediglich voraus, dass sichergestellt ist, dass die betroffene Person ohne jeden Zweifel ihre auch nur konkludente Einwilligung erteilt hat. Dafür genügt
Siehe ausführlich zu dem Thema Datenschutz und „Big Data“: Ohrtmann/Schwiering, NJW 2014, 2984. Siehe hierzu ausführlich und detailliert: Indenhuck/Stein, BKR 2018, 136. Kühling, in: Gusy/Eichenhofer (Hg.), Beck’scher Online-Kommentar zum Datenschutzrecht, 24. Edition, Stand: 25.07. 2017, § 4a BDSG Rn. 49 f; Hoeren/Sieber/Holznagel-Helfrich, Teil 16.1 Rn. 49 f; jeweils mwN.
196
Teil 4: Zahlungsauslösedienste
bereits der ausdrückliche Hinweis auf die Geltung entsprechender Datenschutzhinweise sowie eine entsprechende Möglichkeit der Kenntnisnahme.⁷¹² Eine Einwilligung in die Erhebung und Verarbeitung von Daten kann demnach auch mit anderen Erklärungen, etwa der Erteilung eines Zahlungsauftrags, zusammenfallen. Sehen hingegen spezialgesetzliche Vorschriften wie § 59 Abs. 2 ZAG n. F. eine ausdrückliche Zustimmung vor, so handelt es sich um ein lex specialis, welches gegenüber den Vorgaben der DSGVO vorrangig anzuwenden ist. Hiernach muss der Betroffene seine konkrete Zustimmung positiv und nicht im Sinne einer Opt-out-Klausel erklären. Letztere liegt etwa vor, wenn der Nutzer eine vorgegebene Einwilligung aus einem Vertragswerk streichen oder im elektronischen Geschäftsverkehr einen bereits voreingestellten Haken entfernen muss. Für Zahlungsauslösedienste bedeutet dies, dass Zahlungsdienstnutzer ihre Einwilligung unter Verwendung einer sogenannten Opt-in-Funktion erteilen müssen.⁷¹³ Bei Online-Einwilligungen bedarf es demnach ein Kästchen, dass der Nutzer aktiv anklicken muss, damit wirksam Daten zur Zahlungsauslösung erhoben werden dürfen. Nach Aussage des nationalen Gesetzgebers ist dies nicht für jeden einzelnen Zahlungsauftrag erforderlich, sondern nur soweit sich Zweck oder Umfang der Datenerhebung ändern.⁷¹⁴ Bei einer rahmenvertraglichen Beziehung ist eine derartige Einschränkung zur Vermeidung unnötiger Arbeitsschritte seitens des Nutzers angezeigt. Außervertragliche Beziehungen, die sich nur in der konkreten Weiterleitung des Zahlungsauftrags erschöpfen, sollten hiervon jedoch nicht erfasst sein, damit sich der Nutzer jedes Mal bewusst ist, dass er personenbezogene Daten an einen Dritten und nicht an sein vertraglich mit ihm verbundenes Kreditinstitut weitergibt.⁷¹⁵
c) Sondervorschriften im Zusammenhang mit der Nutzung von Zahlungsauslösediensten Für Zahlungsauslösedienstleister tritt neben die Vorschrift des § 59 ZAG n. F. eine weitere spezielle datenschutzrechtliche Norm. § 49 Abs. 4 S. 2 ZAG n. F. definiert einen speziellen Zweckbindungsgrundsatz. So dürfen Zahlungsauslösedienstleister nur die für den jeweiligen Zahlungsvorgang erforderlichen Daten verlangen
Ausdrücklich zum Anbieter Sofortüberweisung: OLG Frankfurt, Urt. v. 24.08. 2016 – 11 U 123/ 15, MMR 2017, 268 (272), der zum Zeitpunkt der Fertigstellung dieser Arbeit, exakt auf diese Weise praktiziert hat. Vgl. BGH, Urt. v. 16.07. 2008 – VIII ZR 348/06, NJW 2008, 3055 (3057); Konkret zur PSD II und Sofortüberweisung siehe: OLG Frankfurt, MMR 2017, 268 (272). BT-Drs. 18/11495, S. 143. So im Ergebnis auch: Indenhuck/Stein, BKR 2018, 136 (141).
3. Abschnitt: Organisationsrahmen der Parteien
197
und diese auch lediglich im Zusammenhang mit dem konkreten Zahlungsvorgang verwenden. Alle darüberhinausgehenden über den Zahler erlangten Informationen dürfen nur nach ausdrücklicher Zustimmung und ausschließlich gegenüber dem Zahlungsempfänger offenbart werden. Der strenge Zweckbindungsgrundsatz der Datenverwendung wird durch das in § 49 Abs. 4 S. 1 ZAG n. F. niedergelegte Verbot der Speicherung sensibler Zahlungsdaten ergänzt. Der Schutz sensibler Daten ist weiterhin durch technische Sicherheitsmaßnahmen, wie etwa dem Konzept „Privacy by Design“,⁷¹⁶ vor dem Zugriff Dritter zu gewährleisten. Die konkreten Maßstäbe für die Anforderungen der Sicherheitsmaßnahmen werden gem. Art. 98 Abs. 1 lit. c PSD II von der EBA im Rahmen technischer Regulierungsstandards derzeit herausgearbeitet.⁷¹⁷
4. Sonstige spezifische Pflichten nach § 49 Abs. 1 ZAG n. F. Soweit der Zahlungsauslösedienstleister auch nur als solcher reguliert werden möchte, darf er gem. § 49 Abs. 1 S. 2 ZAG n. F. zu keiner Zeit Gelder des Zahlers im Zusammenhang mit der Erbringung des Auslösedienstes halten. Derartige Tätigkeiten könnten den Tatbestand anderer Zahlungsdienste und damit eine deutlich weitergehende Regulierung zur Folge haben. Des Weiteren ist es dem Zahlungsauslösedienstleister gem. § 49 Abs. 1 S. 1 ZAG n. F. untersagt, Geldbetrag, Zahlungsempfänger oder ein anderes Merkmal des Zahlungsvorgangs zu ändern.
IV. Rechtsverhältnis zum kontoführenden Zahlungsdienstleister Das für Zahlungsauslösedienstleister normierte Zugangsrecht zum Zahlungskonto des Zahlers führt auch zur Entstehung einiger Pflichten gegenüber dem kontoführenden Zahlungsdienstleister. Zunächst begründet § 49 Abs. 2 S. 1 ZAG n. F. eine Identifikationspflicht, der bei jedem einzelnen Zugriff nachzukommen ist.⁷¹⁸ Das Zugangsrecht wird überdies nicht schrankenlos gewährt. Gem. § 52 Abs. 1 ZAG n. F. ist der kontoführende Zahlungsdienstleister berechtigt, den Zugang zu sperren, soweit objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem unautorisierten Zugang oder einer unautorisierten Zahlungsauslösung über einen Zahlungsauslösedienstleister dies rechtfertigen. Hierüber ist gem. § 52 Abs. 2 S. 1 ZAG n. F. die BaFin und gem. § 675k Abs. 3 S. 1 BGB
Dies beinhaltet etwa die Einbettung des Datenschutzes in das Design der Website und das Datenschutzeinstellung standardmäßig aktiv ausgewählt sind „Privacy by default“. Bis zur Fertigstellung der Arbeit hat die EBA noch keinen Entwurf veröffentlicht. Die Vorschrift findet ebenfalls erst ab dem 14.09. 2019 Anwendung.
198
Teil 4: Zahlungsauslösedienste
n. F. der Zahlungsdienstnutzer vor oder unverzüglich nach der Zugangsverweigerung zu informieren. Im Rahmen der Zahlungsauslösung haben Zahlungsauslösedienstleister überdies gem. § 49 Abs. 2 S. 2 ZAG n. F. für eine sichere Kommunikation bei der Übertragung der sensiblen Zahlungsdaten zu sorgen. Diese Daten dürfen nur dem Zahler und der ausgebenden Stelle zugänglich sein. Nach Auslösung des Zahlungsvorgangs ist der Zahlungsauslösedienstleister gem. § 49 Abs. 5 ZAG n. F. verpflichtet, dem kontoführenden Zahlungsdienstleister die Referenzangaben des Zahlungsvorgangs mitzuteilen.
4. Abschnitt: Besonderheiten des Zahlungsvorgangs Der über oder durch einen Zahlungsauslösedienstleister ausgelöste Zahlungsvorgang weicht in seinem Ablauf und seiner Ausgestaltung kaum von einer normalen Online-Überweisung ab. Aus diesem Grund stellt sich die Frage, welche rechtlichen Folgen das Hinzutreten des Zahlungsauslösedienstleisters hat.
A. Unwiderruflichkeit des Zahlungsvorgangs Aus den Vorschriften der zweiten Zahlungsdiensterichtlinie ergibt sich zunächst die Besonderheit, dass der Zahlungsauftrag nach Erteilung gegenüber dem Zahlungsauslösedienstleister gem. § 675p Abs. 2 S. 1 BGB n. F. nicht mehr widerrufen werden kann. Bisher fand die Klausel des § 675p Abs. 1 BGB a. F. Anwendung, wonach die Unwiderruflichkeit erst mit Zugang beim kontoführenden Zahlungsdienstleister eintrat. Die Irreversibilität des Zahlungsauftrags erfolgt somit nach dem neuen Recht nicht nur früher, sondern auch zeitlich gesehen vor dem Eintritt der Unwiderruflichkeit eines gewöhnlichen Online-Banking Zahlungsauftrags. Dieser Vorteil wird zuweilen kritisch betrachtet. Schließlich würden Zahlungsauslösedienstleister eine mit Kartenemittenten vergleichbare Behandlung erfahren, ohne dafür eine Zahlungsgarantie abgeben zu müssen.⁷¹⁹ Eine derartige Sichtweise lässt jedoch die den Zahlungsauslösediensten zugrundeliegenden Rechtstatsachen außer Betracht. Der Zahlungsauslösedienst ist für Händler nur aus dem Grund attraktiv, dass bereits die Initiierung eines Zahlungsvorgangs bestätigt wird. Es wird daher nicht der bloße Zugang des Zahlungsauftrags beim kontoführenden Zahlungsdienstleister, sondern auch die tatsächliche Auslösung,
BeckOGK BGB-Zahrte, § 675p Rn. 62 ff.
4. Abschnitt: Besonderheiten des Zahlungsvorgangs
199
also die Ingangsetzung des Zahlungsvorgangs, gemeldet. Schließlich bliebe nach einem Zugang immer noch das Risiko, dass der kontoführende Zahlungsdienstleister die Ausführung, etwa aufgrund mangelnder Deckung des Zahlungskontos, verweigert, sodass dem Händler eine Mitteilung über den bloßen Zugang des Zahlungsauftrags keinerlei Sicherheit versprechen würde. Würde die Widerruflichkeit überdies erst mit dem Zugang beim kontoführenden Zahlungsdienstleister enden, gäbe es einen Zeitraum, in dem der Nutzer dem Zahlungsauftrag trotz Erteilung noch widersprechen könnte. Der Sachgrund der vermeintlichen Privilegierung liegt daher in dem praktischen Bedürfnis, Beweisprobleme hinsichtlich der Übermittlung an den kontoführenden Zahlungsdienstleister zu vermeiden und Rechtssicherheit für die Unwiderruflichkeit des Zahlungsauftrags zu schaffen.⁷²⁰
B. Autorisierung und starke Kundenauthentifizierung Zahlungsauslösedienstleister agieren ausschließlich im Bereich der OnlineÜberweisungen, sodass sich möglicherweise eine Pflicht zur starken Kundenauthentifizierung aus den MaSI ergeben könnte. Diese sehen in Titel I Ziff. 11 MaSI jedoch explizit vor, dass „Überweisungen, bei denen ein Dritter auf das Zahlungskonto des Kunden zugreift“, aus dem Anwendungsbereich ausgenommen sind. Zahlungsauslösedienstleister müssen demnach selber keine starke Kundenauthentifizierung verlangen. Tatsächliche Auswirkungen hat diese Privilegierung jedoch nicht, da für die Ausführung des über einen Dritten ausgelösten Zahlungsvorgangs weiterhin die starke Kundenauthentifizierung durch den kontoführenden Zahlungsdienstleister als Adressat der MaSI anzuwenden ist.⁷²¹ Die Sicherheit der Online-Überweisung ist damit bereits ausreichend sichergestellt, sodass keine zusätzlichen Maßnahmen durch Zahlungsauslösedienstleister erforderlich werden. Nach der PSD II wird es eine derartige Privilegierung nicht mehr geben. Nach § 55 Abs. 3 S. 1 ZAG n. F. sind die Vorschriften über die starke Kundenauthentifizierung auch für Zahlungsauslösedienstleister bindend. Indem bei der Nutzung von Zahlungsauslösediensten eine Online-Überweisung, also ein elektronischer Fernzahlungsvorgang, ausgelöst wird, wird auch eine dynamische Verknüpfung des Zahlungsvorgangs mit Betrag und Zahlungsempfänger erforderlich.⁷²² Eine Vgl. auch Linardatos, WM 2014, 300 (301). Terlau, jurisPR-BKR 2/2016, Anm. 1 S. 3. Siehe zur Einordnung der Online-Überweisung als elektronische Fernzahlung: Teil 3, 1. Abschnitt, C., II., 3.
200
Teil 4: Zahlungsauslösedienste
doppelte Authentifizierung zunächst gegenüber dem Zahlungsauslösedienstleister und anschließend gegenüber dem kontoführenden Zahlungsdienstleister ist weder sinnvoll noch notwendig. Laut § 55 Abs. 4 ZAG n. F. ist der kontoführende Zahlungsdienstleister daher verpflichtet, seine Authentifizierungsverfahren auch Zahlungsauslösedienstleistern zur Verfügung zu stellen.⁷²³ Folglich genügt die bisher geübte Praxis auch den zukünftigen rechtlichen Anforderungen. Der Rückgriff auf die Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters kann zur Folge habe, dass etwa bei einer Verwendung der unter der PSD II nicht mehr zulässigen iTAN-Listen beide Zahlungsdienstleister gegen aufsichtsrechtliche Pflichten verstoßen. Derartige Pflichtverstöße können mit aufsichtsrechtlichen Maßnahmen geahndet werden. Die zivilrechtliche Flankierung von § 55 ZAG n. F. mittels der in § 675v Abs. 4 BGB n. F. geregelten Haftungsverlagerung trifft jedoch alleinig den kontoführenden Zahlungsdienstleister, der nach dem zahlungsdienstrechtlichen Haftungskonzept der maßgebliche Anspruchsgegner des Zahlungsdienstnutzers ist. Der Zahlungsauslösedienstleister ist somit keiner Haftung gegenüber dem Zahlungsdienstnutzer ausgesetzt.
C. Auswirkungen auf die Autorisierung im Deckungsverhältnis Das Haftungskonzept nimmt einen Schadensausgleich ausschließlich im Verhältnis zwischen kontoführendem Zahlungsdienstleister und Zahlungsdienstnutzer vor, dem eine gewöhnliche Online-Überweisung mit den bereits dargestellten Haftungsfolgen zugrunde liegt. Die Anwendung der Grundsätze des Anscheinsbeweises ist beim Online-Banking zulässig, soweit das genutzte Authentifizierungsverfahren ein „allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem“ darstellt.⁷²⁴ Die Typizität des Geschehens darf keinen anderen Schluss zulassen, als dass der Zahlungsdienstnutzer selbst verfügt hat. Möglicherweise begründet das Hinzutreten von Zahlungsauslösediensten alternative Geschehensabläufe, die den Beweiswert des Geschehens zu Nichte machen könnten. Aufgrund der aus § 49 Abs. 2 S. 1 ZAG n. F. folgenden Identifikationspflicht des Zahlungsauslösedienstleisters gegenüber dem kontoführenden Zahlungsdienstleister ist zunächst einmal stets ersichtlich, ob und welcher Zahlungsaus-
Vgl. auch Terlau, ZBB 2016, 122, 135. BGH NJW 2016, 2024 (2027) = WM 2016, 691 (694).
4. Abschnitt: Besonderheiten des Zahlungsvorgangs
201
lösedienst in Anspruch genommen worden ist. Außerdem kann der Nutzer nachweisen, dass ein Zahlungsauslösedienst zum Einsatz gekommen ist. Diese Konstellation birgt zwei Risiken in sich. Zum einen ist es denkbar, dass sich Betrüger als Zahlungsauslösedienstleister ausgeben, um auf diese Weise an sensible Zahlungsdaten zu gelangen. Schließlich erstellen Zahlungsauslösedienstleister und nicht Zahlungsdienstnutzer den Zahlungsauftrag und leiten diesen an die Bank weiter. Eine betrügerische Website könnte demnach dem Nutzer einen anderen als den im Hintergrund ausgeführten Zahlungsauftrag vortäuschen. Gegenüber der Bank wird der übermittelte Zahlungsauftrag Gegenstand der TANGenerierung und kann daher, soweit der Betrug nicht erkannt wird, wirksam ausgelöst werden. Eine derartige Pharming-Gefahr besteht jedoch auch beim chipTAN-Verfahren. Es kann daher dahinstehen, ob Dritte die Website eines Zahlungsauslösedienstleisters oder der jeweiligen Bank nachbauen. Die Gefahr ist dieselbe und ein Zahlungsauslösedienstleister ist in keinem der beiden Fälle beteiligt. Die technische Integrität des TAN-Verfahrens wird dadurch nicht beeinträchtigt, sondern lediglich der Nutzer über den Adressaten oder Zweck der Zahlung getäuscht. Bei der Nutzung des chipTAN-Verfahrens begründen daher Pharming-Fälle weiterhin den Anschein einer autorisierten, wenn auch irrtumsbedingten, Zahlung. Dieses zusätzliche Risiko wirkt sich somit nicht auf die Anwendung der Grundsätze des Anscheinsbeweises aus.⁷²⁵ Ein weiterer, alternativer Geschehensablauf ließe sich konstruieren, indem bei der Nutzung eines zugelassenen Zahlungsauslösedienstleisters manipulierte Zahlungsaufträge weitergeleitet werden.⁷²⁶ Dieses zusätzliche dem Zahlungsvorgang vorgelagerte Risiko hat zwar ebenfalls keine Auswirkungen auf die Sicherheit des chipTAN-Verfahrens. Es begründet jedoch einen zusätzlichen Geschehensablauf, wonach die Authentifizierung mittels chipTAN-Verfahren nicht mehr typischerweise auf eine Autorisierung durch den Nutzer hinweisen würde. Derartige Fälle sind jedoch noch nicht bekannt geworden, weshalb reintheoretische Geschehensabläufe keine Auswirkungen auf die Zulässigkeit des praxisorientierten Anscheinsbeweises haben kann. Ansonsten würde auch die theoretische Möglichkeit eines Man-in-the-Bank-Angriffs dem Anscheinsbeweis im Rahmen der gewöhnlichen Online-Überweisung entgegenstehen. Demnach hat das Hin-
„Zu den Risiken des Online-Bankings und wie Kunden sich gegen Betrug zur Wehr setzen können“, 14.04. 2015, abrufbar unter: https://www.recht-freundlich.de/phishing-online-banking/ risiken-online-banking-betrug-wehren, zuletzt abgerufen am 10.04. 2019. Spindler/Zahrte, BKR 2014, 265 (269).
202
Teil 4: Zahlungsauslösedienste
zutreten des Zahlungsauslösedienstleisters keine Auswirkungen auf die Anwendung der Grundsätze des Anscheinsbeweises im Deckungsverhältnis.⁷²⁷
5. Abschnitt: Risikoverteilung und Haftung Der Grundgedanke des zahlungsdienstrechtlichen Haftungsregimes besteht darin, die systembedingten Risiken des Zahlungsverkehrs weitgehend den Zahlungsdienstleistern aufzuerlegen. In der Regel agiert im Verhältnis zum Zahlungsdienstnutzer nur ein einziger Zahlungsdienstleister, nämlich derjenige, der Gelder in Besitz nimmt und Zahlungsvorgänge ausführt. Dieser hat unmittelbaren Zugriff auf das Zahlungskonto des Zahlungsdienstnutzers und ist daher jederzeit in der Lage, Verfügungen vorzunehmen. Zahlungsauslösedienstleister, die weder Gelder in Besitz nehmen noch Zahlungsvorgänge ausführen, sind dazu nicht in der Lage, weshalb der Richtliniengeber nach langer Diskussion in der PSD II festgelegt hat, dass bei einer Haftung des Zahlungsauslösedienstleisters der kontoführende Zahlungsdienstleister primärer Anspruchsgegner für das Gros der Ansprüche des Zahlungsdienstnutzers bleibt.⁷²⁸
A. Spezielle Missbrauchsrisiken bei der Nutzung von Zahlungsauslösediensten Spezielle Missbrauchsszenarien ergeben sich durch das Hinzutreten des Zahlungsauslösedienstleisters neben den allgemeinen Risiken des Online-Bankings (noch) nicht. Mit steigender Attraktivität eines Bezahlverfahrens gerät der Anbieter verstärkt in den Fokus von Angreifern, weshalb nicht auszuschließen ist, dass die beschriebene Konstellation, in der Zahlungsauslösedienstleister Opfer von Cyber-Angriffen werden, eines Tages Realität wird. Noch ist dies nicht der Fall, sodass nur das allgemeine Pharming-Risiko besteht.
So auch Hoeren/Kairies, ZBB 2015, 35 (38 f), die den Gesichtspunkt der zulässigen Weitergabe personalisierter Sicherheitsmerkmale an Dritte Zahlungsdienstleister unter der PSD II näher beleuchten; aA wohl Spindler/Zahrte, BKR 2014, 265 (269). Terlau, ZBB 2016, 122, 134
5. Abschnitt: Risikoverteilung und Haftung
203
B. Haftung von Zahlungsauslösedienstleistern gegenüber Zahlungsdienstnutzern Zahlungsauslösedienstleister können natürlich nicht für Pharming-Angriffe, bei denen die eigene Website nachgebaut wird, haftbar gemacht werden, da sie keinen Verursachungsbeitrag zur Schadensentstehung geleistet haben. Doch auch für den Fall, dass die Systeme des Dienstleisters erfolgreich angegriffen werden, sehen § 675u S. 5 BGB n. F. und § 675y Abs. 1 S. 3 BGB n. F. vor, dass Anspruchsgegner des Zahlungsdienstnutzers stets der kontoführende Zahlungsdienstleister bleibt. Ausschließlich § 675z BGB n. F. sieht eine direkte Inanspruchnahmemöglichkeit des Zahlungsauslösedienstleisters durch den Zahlungsdienstnutzer für den Ersatz von Folgeschäden vor. Derartige Schäden, die über die in §§ 675u, 675y BGB n. F. geregelte Haftung hinausgehen, sollen auch unmittelbar vom Zahlungsauslösedienstleister ersetzt verlangt werden können.⁷²⁹ Die Vorschrift des § 675z BGB n. F. wird beispielsweise für Schäden relevant, die dem Nutzer durch die ausgebliebene, verspätete oder fehlerhafte Übermittlung eines Zahlungsauftrags durch den Zahlungsauslösedienstleister entstanden sind. Die Vorschrift ist dabei keine eigene Haftungsnorm, sondern stellt klar, dass das grundsätzlich abschließende Zahlungsdiensterecht im Zusammenhang mit Folgeschäden die Anwendung sonstiger Anspruchsgrundlagen nicht sperrt. Bei der Nutzung von Zahlungsauslösediensten kommen daher aufgrund des Fehlens vertraglicher Beziehungen vor allem deliktische oder bereicherungsrechtliche Anspruchsgrundlagen in Betracht.
C. Regressansprüche des kontoführenden Zahlungsdienstleisters Ausdruck des zahlungsdienstrechtlichen Haftungskonzepts ist die Haftungskonzentration auf einen zentralen Zahlungsdienstleister. Dabei handelt es sich um den kontoführenden Zahlungsdienstleister, der nicht nur dem Zahlungsdienstnutzer funktional am nächsten steht, sondern auch aufgrund der aufsichtsrechtlichen Eigenmittel- und Anfangskapitalanforderungen stets über eine ausreichende Solvenz verfügt. Der Zahlungsdienstnutzer soll überdies nicht gezwungen sein, aufwändig prüfen zu müssen, gegen wen er welche Ansprüche geltend machen kann. Damit es schlussendlich zu einer fairen Haftungsverteilung nach den jeweiligen Verursachungsbeiträgen kommt, soll die Aufarbeitung der Fehlerkette im Innenverhältnis der Zahlungsdienstleister erfolgen. Aus diesem
BT-Drs. 18/11495, S. 176.
204
Teil 4: Zahlungsauslösedienste
Grund sieht das Zahlungsdiensterecht in § 676a BGB n. F. einen Regressanspruch des in Anspruch genommenen Zahlungsdienstleisters gegen andere am Zahlungsvorgang beteiligte Zahlungsdienstleister vor.
I. Tatbestand der Regresshaftung Der Regressanspruch setzt zunächst eine Inanspruchnahme des kontoführenden Zahlungsdienstleisters durch den Zahlungsdienstnutzer nach den §§ 675u, 675y, 675z BGB n. F. voraus. Die Erwähnung des § 675z BGB n. F. macht deutlich, dass sich der Anwendungsbereich nicht auf zahlungsdienstrechtliche Schadensersatzund Erstattungsansprüche beschränkt, sondern auch sonstige vertragliche, deliktische oder bereicherungsrechtliche Ansprüche erfasst, soweit es sich bei dem Anspruchsinhalt um einen nach § 675z BGB n. F. erstattungsfähigen Schaden handelt.⁷³⁰ Darüber hinaus muss ein zweiter Zahlungsdienstleister an dem Zahlungsprozess beteiligt gewesen sein, in dessen Verantwortungsbereich zumindest eine Mitursache für die Haftung des kontoführenden Zahlungsdienstleisters gelegen hat. Der Anspruch richtet sich nach dem Veranlasserprinzip, wonach schlussendlich derjenige Zahlungsdienstleister die Schäden zu tragen hat, die auf seinem haftungsbegründenden Fehlverhalten beruhen.⁷³¹ Dabei kommt es nicht auf ein etwaiges Verschulden an.⁷³² Relevant ist ausschließlich die Risikosphäre, der das haftungsbegründende Verhalten entspringt. Ein solches Verhalten kann beispielsweise auch in technischen Fehlern gesehen werden, die zu einer fehlerhaften oder verspäteten Weiterleitung des Zahlungsauftrags geführt haben. Darüber hinaus liegt auch die Sicherheit der eigenen Systeme im Verantwortungsbereich der Zahlungsauslösedienstleister. Die Haftung ist überdies nicht schuldrechtlicher Natur, setzt also kein Schuldverhältnis zwischen kontoführendem Zahlungsdienstleister und Zahlungsauslösedienstleister voraus.⁷³³ Dies ergibt sich unter anderem aus § 675 f Abs. 3 S. 2 BGB n. F., der klarstellt, dass der kontoführende Zahlungsdienstleister die Nutzung von Zahlungsauslösediensten nicht von einer vertraglichen Beziehung zum jeweiligen Zahlungsauslösedienst-
BeckOK BGB-Schmalenbach, § 676a Rn. 3; MünchKommBGB-Zetzsche, § 676a Rn. 3. Ausführlich BeckOGK BGB-Köndgen, § 676a Rn. 12 ff; BeckOK BGB-Schmalenbach, § 676a Rn. 3; MünchKommBGB-Zetzsche, § 676a Rn. 2. hM siehe etwa: BeckOK BGB-Schmalenbach, § 676a Rn. 3; MünchKommBGB-Zetzsche, § 676a Rn. 2; aA BeckOGK BGB-Köndgen, § 676a Rn. 19, der im Hinblick auf Regressansprüche wegen Ansprüchen aus § 675z S. 3 BGB n. F. ein Verschuldenselement fordert. BT-Drs. 18/11495, S. 177.
5. Abschnitt: Risikoverteilung und Haftung
205
leister abhängig machen darf. Konsequenterweise kann daher auch der Regressanspruch keine derartige Beziehung voraussetzen.
II. Beweislastverteilung zwischen den beteiligten Zahlungsdienstleistern Im Bereich des Online-Bankings und insbesondere bei der Frage, ob die Anwendung der Grundsätze des Anscheinsbeweises gerechtfertigt ist, wurden bereits die Beweisschwierigkeiten deutlich, mit denen Zahlungsdienstleister im Verhältnis zum Zahlungsdienstnutzer zu kämpfen haben. Selbige Probleme treten auch im Verhältnis zu einem weiteren, am Zahlungsvorgang beteiligten Zahlungsdienstleister auf, der für eigene Fehler in Regress genommen werden soll. Die erste Zahlungsdiensterichtlinie hat keine Aussagen über die Beweislastverteilung im Interbankenverhältnis getroffen, weshalb grundsätzlich die allgemeinen Beweislastregeln heranzuziehen waren. Hiernach hatte der den Anspruch erhebende Zahlungsdienstleister die Voraussetzungen seines Anspruchs darzulegen, mithin das ordnungswidrige Verhalten des anderen Zahlungsinstituts zu beweisen. Für die Geltendmachung des Regressanspruchs aus § 676a BGB a. F. wurde darüber diskutiert, die Beweislastregel des § 676 BGB a. F. entsprechend anzuwenden.⁷³⁴ Rechtstatsächlich bestand hierfür jedoch keine Notwendigkeit, da sich aus den kollektiven Regelwerken der Zahlungsverkehrswirtschaft ohnehin eigene Konfliktlösungsmechanismen ergaben.⁷³⁵ Im Interbankenverhältnis ist das Zahlungsdiensterecht weiterhin dispositiver Natur und verbot auch unter dem Regime der PSD I nicht die Vereinbarung bankeninterner Standards.⁷³⁶ Im Hinblick auf den Regress gegen Zahlungsauslösedienstleister sind jedoch sowohl die Erwägungen zu § 676a BGB a. F. als auch die Regelwerke der Zahlungsverkehrswirtschaft ohne Bedeutung. Die Vorschrift des § 676a BGB a. F. war auf Zahlungsauslösedienstleister schlichtweg nicht anwendbar, da diese nicht dem Zahlungsdiensterecht unterfielen. Darüber hinaus sind Zahlungsauslösedienstleister, wie etwa die Sofort GmbH, (noch) nicht Mitglied im EPC und daher auch nicht Adressat der Regelwerke der Zahlungsverkehrswirtschaft. Folglich fanden im Verhältnis zu den Zahlungsauslösedienstleistern die allgemeinen Beweislastregeln Anwendung. Dies hat sich mit Inkrafttreten der PDS II geändert. Der Richtliniengeber mit § 676a Abs. 2 und 3 BGB n. F. spezielle Beweislastregeln für Streitigkeiten zwi Dafür streitend BeckOK BGB-Schmalenbach, § 676a Rn. 5; aA Palandt-Sprau, § 676a Rn. 2, soweit keine vertragliche Beziehung zwischen Anspruchsteller und Anspruchsgegner besteht. BeckOGK BGB-Köndgen, § 676a Rn. 9. BeckOK BGB-Schmalenbach, § 676a Rn. 6; BeckOGK BGB-Köndgen, § 676a Rn. 10; PalandtSprau, § 676a Rn. 1; Erman-v. Westphalen, § 676a Rn. 5.
206
Teil 4: Zahlungsauslösedienste
schen den beteiligten Zahlungsinstituten festgelegt, die insbesondere auch im Regress gegen Zahlungsauslösedienstleister anwendbar sind. Handelt es sich um einen unautorisierten Zahlungsvorgang, für den der Zahlungsdienstleister nach § 675u S. 1 und 2 BGB n. F. haften muss, ist der Zahlungsauslösedienstleister gem. § 676a Abs. 2 BGB n. F. verpflichtet darzulegen, dass in seinem Verantwortungsbereich eine Authentifizierung erfolgt ist, der Zahlungsvorgang ordnungsgemäß aufgezeichnet wurde und keine technischen Störungen den Vorgang beeinträchtigt haben. Den Zahlungsauslösedienstleister treffen somit die aus § 675w S. 1 BGB n. F. korrespondierenden Pflichten des Zahlungsdienstleisters. Hierdurch wird sichergestellt, dass der Zahlungsauslösedienstleister seinen Authentifizierungspflichten aus § 55 Abs. 3 S. 1 ZAG n. F. sowie den allgemeinen technischen Sicherheitspflichten nachgekommen ist. Gelingt der geforderte Nachweis, liegt die Ursache in der unautorisierten Zahlung jedenfalls nicht im Verantwortungsbereich des Zahlungsauslösedienstes. Das allgemeine Missbrauchsrisiko trägt also weiterhin der kontoführende Zahlungsdienstleister, was sich mitunter auch in den verschiedenen Anfangskapital- und Eigenmittelanforderungen in §§ 12, 15 und 16 ZAG n. F. niederschlägt. Während Zahlungsauslösedienstleister ein geringeres Anfangskapital und für die eigene Haftung nur eine Berufshaftpflichtversicherung vorhalten müssen, haben kontoführende Zahlungsdienstleister, soweit sie nicht sogar den schärferen Eigenmittelanforderungen des KWG unterliegen, mindestens das nach § 12 Nr. 3 lit. c ZAG n. F. erforderliche Anfangskapital gem. § 15 Abs. 1 S. 1 Hs. 1 ZAG n. F. dauerhaft als Eigenmittel vorzuweisen. Ist zwischen den Zahlungsdienstleistern die ordnungsgemäße Ausführung eines Zahlungsvorgangs streitig, sodass der kontoführende Zahlungsdienstleister zur Erfüllung von Erstattungsansprüchen aus § 675y BGB n. F. verpflichtet ist, muss der Zahlungsauslösedienstleister gem. § 676a Abs. 3 den rechtzeitigen Zugang des Zahlungsauftrags beim Zahlungsdienstleister, die ordnungsgemäße Aufzeichnung sowie den störungsfreien technischen Ablauf der eigenen Tätigkeiten nachweisen. Im Gegensatz zur Regelung des § 676a Abs. 2 BGB n. F. sollte somit nach Darlegung der beschriebenen Umstände kein Zweifel über die Ursache der nicht ordnungsgemäßen Zahlungsausführung bestehen. In diesen Fällen verbleibt kein Restrisiko, dass der kontoführende Zahlungsdienstleister zu tragen hätte. Derjenige, dem nicht der Nachweis der ordnungsgemäßen Ausführung gelingt, hat die daraus resultierenden Schäden zu tragen.
III. Rechtsfolge des Regressanspruchs Die Entstehung des Haftungstatbestands hat nicht ohne Weiteres zur Folge, dass der in Anspruch genommene Zahlungsdienstleister den Schaden im vollen Umfang tragen muss. Liegt die Ursache nicht ausschließlich im Verantwortungsbe-
5. Abschnitt: Risikoverteilung und Haftung
207
reich eines Zahlungsdienstleisters, ist dem verschuldensunabhängigen Veranlassungsprinzip zu entnehmen, dass die Haftung anteilig nach dem Umfang der Verantwortung, vergleichbar mit dem Gedanken des § 254 BGB, aufzuteilen ist.⁷³⁷ Die Regelung hat gegenüber der bisherigen Rechtslage entscheidende Vorteile. Die Nachweisbarkeit deliktischer Ansprüche ist weitaus schwieriger als die Darlegung der in § 676b BGB niedergelegten Voraussetzungen unter Heranziehung der vereinfachten Beweislastverteilungsregeln. Kontoführende Zahlungsdienstleister können daher gegen Zahlungsauslösedienstleister effektiver regressieren.⁷³⁸
IV. Sonstige zivilrechtliche Ansprüche Der Tatbestand des § 676a BGB n. F. ist wie seine Vorgängerregelung nicht abschließender Natur. Zum einen betrifft die Norm das im Zahlungsdiensterecht nicht abschließend geregelte Interbanken- beziehungsweise das zwischen den Zahlungsinstituten bestehende Verhältnis.⁷³⁹ Zum anderen geht aus Art. 92 Abs. 2 PSD II hervor, dass sich weitere Ansprüche aus Interbanken-Vereinbarungen oder dem den Vereinbarungen zugrundeliegenden Recht ergeben können.⁷⁴⁰
D. Haftung des Kunden für Schäden des Zahlungsauslösedienstleisters Die Haftungskonzeption des Zahlungsdiensterechts sieht bei dem Hinzutreten eines Zahlungsauslösedienstleisters im Verhältnis Zahlungsdienstnutzer zu Zahlungsdienstleister nur eine Inanspruchnahme des kontoführenden Zahlungsdienstleisters vor. Etwaige Schadensverursachungsbeiträge des Zahlungsauslösedienstleisters sind zwischen den Zahlungsinstituten zu ermitteln. Der Zahlungsdienstnutzer soll eine zentrale Anlaufstelle für seine Ansprüche haben.
So auch BeckOK BGB-Schmalenbach, § 676a Rn. 3; MünchKommBGB-Zetzsche, § 676a Rn. 10, 15; siehe auch BeckOGK BGB-Köndgen, § 676a Rn. 14. Dies gilt natürlich nicht, soweit die Banken mit den Zahlungsauslösediensten gesonderte Vereinbarungen getroffen haben, aus denen sich vertragliche Ansprüche ableiten. Schließlich ist eine gute Zusammenarbeit mit den kontoführenden Zahlungsdienstleistern auch im Interesse der Zahlungsauslösedienstleister. Siehe zur nicht zwingenden Regelung des Interbankenverhältnisses: MünchKommBGBZetzsche, § 676a Rn. 6; BeckOK BGB-Schmalenbach, § 676a Rn. 6, der richtigerweise auch darauf hinweist, dass 675e Abs. 1 BGB a. F. richtlinienkonform eingeschränkt anzuwenden ist, soweit im Interbankenverhältnis der Anspruchsinhaber als Zahlungsdienstnutzer den Beschränkungen des § 675e Abs. 1 BGB a. F. unterliegen würde. Ergab sich zuvor aus Art. 77 Abs. 2 PSD I.
208
Teil 4: Zahlungsauslösedienste
Umgekehrt kann daher auch der Zahlungsauslösedienstleister keine Ansprüche nach § 675v BGB n. F. gegen den Zahlungsdienstnutzer geltend machen. Dies obliegt dem kontoführenden Zahlungsdienstleister und wird ohnehin bei Drittmissbrauch für einen dritten Zahlungsdienstleister nicht relevant. Indem der Haftungsausgleich stets im Zwei-Personen-Verhältnis stattfindet, kann der Zahlungsauslösedienstleister dem kontoführenden Zahlungsdienstleister etwaige Mitverschuldensbeiträge des Zahlungsdienstnutzers entgegenhalten. Für den Fall, dass ein betrügerischer Dritter einen Zahlungsauslösedienst imitiert und dadurch missbräuchliche Zahlungsvorgänge initiiert, richtet sich die Frage der Haftung des Zahlungsdienstnutzers nach den aus der Behandlung missbräuchlicher Online-Überweisungen bekannten Grundsätzen. Schließlich ist gar kein dritter Zahlungsdienstleister an dem jeweiligen Zahlungsvorgang beteiligt gewesen. Die beschränkte Haftung des § 675v Abs. 1 und 2 BGB n. F. bestimmt sich nach der Erkennbarkeit des Missbrauchs, also insbesondere der Täuschungsqualität der gefälschten Website. Die unbeschränkte Haftung nach § 675v Abs. 3 BGB n. F. richtet sich hingegen nach dem Grad der Fahrlässigkeit der Pflichtverletzung. Sie hängt also indirekt mit der beschränkten Haftung zusammen. War der Missbrauch für den Nutzer erkennbar, ist die Weitergabe sensibler Zahlungsdaten grob fahrlässig.
6. Abschnitt: Ergebnis Charakteristisches Merkmal für Zahlungsauslösedienste ist in Abgrenzung zu zahlungsdienstrechtlich irrelevanten Nebenleistungen das erhöhte Missbrauchsrisiko. Ein solches erwächst aus der notwendigen Offenbarung sensibler Zahlungsdaten gegenüber dem Auslösedienstleister. Andere Dienstleister, die Nutzern lediglich den Zugriff auf ein Online-Banking-Portal ermöglichen und anschließend die Meldung über die erfolgte Auslösung eines Zahlungsvorgangs weiterleiten, bieten keine regulierten Zahlungsdienste an. Für die Erbringung von Zahlungsauslösediensten schließen Nutzer und Dienstleister in der Regel keinen Vertrag. Die Dienstleistung erfolgt auf Grundlage einer Vereinbarung mit dem Zahlungsempfänger. Im Verhältnis zum Nutzer agiert der Zahlungsauslösedienstleister als Erfüllungsgehilfe i. S.d. § 278 BGB. Aufgrund der vertraglichen Dreieckskonstellation bestehen für Zahlungsauslösedienstleister gegenüber dem Nutzer in erster Linie gesetzliche Pflichten. Neben einigen zahlungsdienstrechtlichen Informations- und Mitteilungspflichten sind insbesondere Pflichten aus dem Datenschutz- und Aufsichtsrecht von Bedeutung. Auf zweiter Ebene folgen schuldrechtliche Verpflichtungen aus der vertraglichen Beziehung zum Zahlungsempfänger, die über die Rechtsfigur des
6. Abschnitt: Ergebnis
209
Vertrags zugunsten Dritter i. S. d. § 328 BGB auch direkt vom Nutzer eingefordert werden können. Hieraus entsteht dem Nutzer etwa der Anspruch auf Weiterleitung des Zahlungsauftrags und der Authentifizierung. Haftungsrechtlich bringt die Zulassung dritter Zahlungsdienstleister ebenfalls Besonderheiten mit sich. Per Gesetz ist der kontoführende Zahlungsdienstleister in Fällen der §§ 675u, 675y BGB Anspruchsgegner des Nutzers. Dieser kann gem. § 676a Abs. 1 BGB Zahlungen an den Nutzer im Wege des Regresses vom Zahlungsauslösedienstleister ersetzt verlangen. In Regressfällen obliegt die Beweislast für eine ordnungsgemäße Authentifizierung und Ausführung der Weiterleitung des Zahlungsauftrags dem Zahlungsauslösedienstleister. Folgeschäden können hingegen auf vertraglicher, deliktischer oder bereicherungsrechtlicher Basis direkt vom Nutzer gegen den Zahlungsauslösedienstleister geltend gemacht werden. Zusammenfassend erhält der Zahlungsdienstnutzer mit Zahlungsauslösediensten die Möglichkeit, Online-Überweisungen schneller und einfacher durchzuführen, ohne dafür jedoch zusätzliche vertragliche Pflichten oder Risiken übernehmen zu müssen. Die zusätzlichen Risiken trägt zunächst der kontoführende Zahlungsdienstleister, der dritte Zahlungsdienstleister durch die Beweislastumkehr des § 676a Abs. 2 BGB jedoch vereinfacht in Regress nehmen kann. Zahlungsauslösungen stellen keinen eigenen Zahlungsvorgang dar. Lediglich die Prozesse der Initiierung, Autorisierung und Authentifizierung werden ausgelagert.
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis Das Recht der E-Geld-Institute nimmt eine Sonderrolle im Zahlungsdiensterecht ein. Im Bereich der zivilrechtlichen Vorschriften findet das E-Geld-Geschäft nur sporadisch Erwähnung.⁷⁴¹ Aufsichtsrechtlich findet das Zahlungsdiensterecht keine Anwendung. Der europäische Gesetzgeber hat die E-Geld-Regulierung speziell in den beiden E-Geld-Richtlinien geregelt. Deren Umsetzung fand sich zunächst im KWG wieder, bis 2009 in Folge der Umsetzung der PSD I das ZAG verabschiedet wurde, welches sowohl die Regulierung von Zahlungsinstituten als auch E-Geld-Instituten beinhaltet.⁷⁴² Der Grund hierfür ist praktischer Natur. Die zahlungsdienstrechtliche Aufsicht als „KWG light“ entspricht in ihrer Zielsetzung weitgehend der E-Geld-Aufsicht.⁷⁴³ Von einer Gleichbehandlung ist man dennoch weit entfernt, wie unter anderem die Vorschrift des § 11 Abs. 1 S. 2 ZAG n. F. zum Ausdruck bringt.⁷⁴⁴ Hiernach dürfen E-Geld-Institute nicht nur Zahlungsdienste erbringen, sondern unter anderem auch Kredite nach Maßgabe des § 3 ZAG n. F. herausgeben. Überdies sind sie befugt, Gelder wie Einlagen entgegenzunehmen, auch wenn diese Einlagen nicht als „Einlagen“ i. S. d. § 1 Abs. 1 S. 2 Nr. 1 KWG gelten. Die Ähnlichkeit der Ausgabe von E-Geld mit der Annahme von Einlagen spiegelt sich in den strengeren Vorschriften über das Anfangskapital sowie den Eigenmitteln wider. E-Geld-Institute müssen nicht nur 125.000 Euro, sondern 350.000 Euro als Anfangskapital und unterste Eigenmittelgrenze vorweisen. Logischerweise dürfen daher Zahlungsinstitute kein E-Geld ausgeben oder das EGeld-Geschäft erbringen. Dies erfordert die gesonderte Erlaubnis der BaFin nach § 11 Abs. 1 S. 1 ZAG n. F.
1. Abschnitt: Anwendbarkeit des zivilrechtlichen Zahlungsdiensterechts Hinsichtlich der zivilrechtlichen Behandlung von Verträgen über die Ausgabe und Nutzung von E-Geld verhält sich der Richtliniengeber sowohl in der PSD I als auch in der PSD II zurückhaltend.⁷⁴⁵ Der Begriff des E-Geldes findet nur in Artikel 1, 42
Hierzu ausführlich: Teil 5, 1. Abschnitt. Fett/Bentele, WM 2011, 1352 (1353). Siehe zur E-Geld-Aufsicht als „KWG light“: Fett/Bentele, WM 2011, 1352. Zuvor unter § 8a Abs. 2 Nr. 1 ZAG a. F. mit vergleichbarem Inhalt zu finden. Die nun folgende Diskussion ergab sich schon nach Inkrafttreten der PSD I, siehe: BT-Drs. 16/ 11643, S. 99. https://doi.org/10.1515/9783110671629-008
1. Abschnitt: Anwendbarkeit des zivilrechtlichen Zahlungsdiensterechts
211
und 63 PSD II Erwähnung.⁷⁴⁶ Diese Zurückhaltung lässt sich damit erklären, dass die einheitlichen Begriffsbestimmungen der Richtlinie für den im deutschen Recht getrennten zivil- und aufsichtsrechtlichen Part gemeinsam Geltung entfalten. Eine explizite Nennung des E-Geld-Geschäfts, dessen Beaufsichtigung sich ausschließlich nach der E-Geld-RL vollzieht, hätte daher für Verwirrung sorgen können. Zudem bedarf die Anwendbarkeit der Titel III und IV der PSD II auf EGeld-Zahlungsvorgänge keiner expliziten Nennung. Dies ergibt sich mittelbar aus den Vorschriften, die sich auf E-Gelder beziehen. So sieht Art. 42 PSD II Erleichterungen für E-Geld-Verträge hinsichtlich des Umfangs der Informationspflichten vor. Der in Titel IV PSD II befindliche Art. 63 PSD II enthält ebenfalls Ausnahmen von der Anwendung von Haftungsvorschriften auf E-Geld-Verträge. Da eine Ausnahme logischerweise nicht ohne eine dazugehörige Regel bestehen kann, lässt die Existenz der Ausnahmevorschriften den einzigen Schluss zu, dass Titel III und IV beider Zahlungsdiensterichtlinien auf E-Geld-Sachverhalte Anwendung finden sollen.⁷⁴⁷ Zum anderen ist dieses Ergebnis auch logische Konsequenz der Gleichstellung von E-Geld und Giralgeld in Art. 4 Nr. 25 PSD II, wonach beispielsweise der Zahlungsdienst der Überweisung auch dann vorliegt, soweit EGeld-Beträge Gegenstand des Zahlungsvorgangs sind.⁷⁴⁸ Die beschaffenheitsneutrale Definition des Geldbegriffs hat zur Folge, dass alle weiteren zahlungsdienstrechtlichen Begriffe wie „Zahlungsauftrag“, „Zahlungskonto“ oder „Zahlungsvorgang“ stets auch für E-Geld-Verträge Geltung entfalten. Zur Klarstellung hat der Gesetzgeber auf nationaler Ebene § 675c Abs. 2 BGB n. F. dem Zahlungsdiensterecht vorangestellt.⁷⁴⁹ Für die Anwendbarkeit des zivilrechtlichen Teils der zahlungsdienstrechtlichen Vorschriften ist nach dem Vorstehenden daher allein die Qualifikation des Vertragsgegenstandes als E-Geld i. S.d. § 1 Abs. 2 S. 3 ZAG n. F. entscheidend.⁷⁵⁰ Nach dem Zahlungsdiensterecht erfahren daher Zahlungsdienstverträge und Verträge über die Ausgabe und Nutzung von E-Geld eine weitgehende Gleichbehandlung.
So auch schon in Art. 34 und 53 PSD I: siehe hierzu auch: BT-Drs. 16/11643, S. 99. So auch Staudinger-Omlor, § 675c Rn. 4. BeckOK BGB-Schmalenbach, § 675c Rn. 8 unter Hinweis auf PayPal-Zahlungen. Keine Neuerung im Vergleich zur alten Rechtslage, siehe: BT-Drs. 18/11495, S. 147. Der Gesetzgeber wies im ZDUG I ausdrücklich auf die klarstellende Funktion der Vorschrift hin, siehe: BT-Drs. 16/11643, S. 99. Richtigerweise ist § 675c Abs. 2 BGB a. F./n. F. nur eine Klarstellung von § 675c Abs. 1 BGB. Die Überweisung eines Geldbetrags i. S.d. § 1 Abs. 1 S. 2 Nr. 3 lit. c ZAG n. F. (vormals § 1 Abs. 2 Nr. 2 lit. b ZAG a. F.) schließt logischerweise auch die Überweisung von E-Geld-Beträgen mit ein, vgl.
212
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
A. PayPal-Geschäftstätigkeiten im deutschen Zahlungsdiensterecht Bevor der Frage nachgegangen wird, ob PayPal-Guthaben als E-Geld-Beträge zu qualifizieren sind, bedarf es zunächst einer Ermittlung des anzuwendenden Rechtsstatuts. Schließlich hat das US-amerikanische Unternehmen PayPal seinen europäischen Sitz in Luxemburg und unterhält in Deutschland weder einen zweiten Sitz noch eine Zweigniederlassung.
I. Anwendbarkeit der nationalen Umsetzungsvorschriften zur PSD I und PSD II Seit 2007 ist PayPal im Besitz einer luxemburgischen Banklizenz i. S.d. Artikels 2 des Gesetzes vom 5. April 1993 über das Kreditwesen.⁷⁵¹ Diese Lizenz erlaubt es dem Inhaber, europaweit Banktätigkeiten zu erbringen. § 53b Abs. 1 S. 1 KWG sieht daher als Ausfluss der europarechtlichen Dienstleistungsfreiheit und des harmonisierten Bankaufsichtsrechts vor, dass die BaFin die Erbringung von Bankgeschäften durch europäische Kreditinstitute regulierungsfrei tolerieren muss. Das zahlungsdienstrechtliche Äquivalent findet sich in § 39 Abs. 1 ZAG n. F. wieder.⁷⁵² Die aufsichtsrechtliche Überwachung der luxemburgischen Kredit- und Zahlungsinstitute nimmt die Commission de Surveillance du Secteur Financier (CSSF) wahr. Folglich findet das ZAG grundsätzliche keine Anwendung auf die Tätigkeiten von PayPal. Rückausnahmen sind nur dann vorgesehen, soweit PayPal bei der Erbringung von Zahlungsdiensten auf deutschem Boden Normen des Aufsichtsrechts verletzt und die CSSF keine geeigneten Abhilfemaßnahmen ergreift. Das Recht der Regulierung hat jedoch keine direkten Auswirkungen auf die individuellen vertraglichen Beziehungen, die sich in erster Linie nach den Vereinbarungen der Vertragsparteien richten. Auf das Rechtsverhältnis soll gem. Nr. 15.1 S. 1 PayPal-Nutzungsbedingungen das Recht von England und Wales Anwendung finden. Da derartige Rechtswahlklauseln in Verbraucherverträgen gem. Art. 3 Abs. 1 und Art. 6 Abs. 2 Rom-I-VO⁷⁵³ i.V. m. § 305c Abs. 1 BGB als überraschend einzuordnen und damit als unwirksam anzusehen sind,⁷⁵⁴ hat PayPal die Klausel 15.1 im vierten Satz relativiert. Deutsche Verbraucherschutzrechte bleiben hiernach von der Rechtswahl unberührt. Handelt es sich bei dem Zahlungsdienstevertrag mit PayPal nicht um einen Verbrauchervertrag, weil der Nr. 1 Abs. 1.1. PayPal-AGB. Vormals § 26 Abs. 1 ZAG a. F. Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I), ABl.EU L 177/6. LG Hamburg, Urt. v. 02.09. 2014 – 327 O 187/14, NJOZ 2015, 535.
1. Abschnitt: Anwendbarkeit des zivilrechtlichen Zahlungsdiensterechts
213
Zahlungsdienstnutzer in Ausübung seiner gewerblichen Tätigkeit agiert, findet auf die Wirksamkeit der Rechtswahlklausel gem. Art. 10 Rom-I-VO grundsätzlich das englische Recht Anwendung. Selbst unter Anwendung des strengen deutschen AGB-Rechts würde die Wahl einer derartigen Klausel im kaufmännischen Verkehr nicht als überraschend angesehen werden.⁷⁵⁵ Kaufleute bedürfen als gewerblich agierende Marktteilnehmer nicht desselben Schutzniveaus wie Verbraucher. Zudem sind Rechtswahlklauseln insbesondere bei Verträgen mit ausländischen Unternehmen üblich.⁷⁵⁶ PayPal weist in Klausel 1.1 unter dem fettgedruckten Hinweis „Wichtig zu wissen“ auf seinen Sitz in Luxemburg und die luxemburgische Regulierung hin. Der Auslandsbezug ist auch für einen Verbraucher ohne weiteres erkennbar. Das trotz des luxemburgischen Bezugs englisches Recht gewählt wird, ist zwar im Verhältnis zu Verbrauchern, nicht jedoch gegenüber Kaufleuten überraschend i. S. d. § 305c Abs. 1 BGB. Aufgrund der vollharmonisierenden Umsetzung sowohl der Zahlungsdiensteals auch der E-Geld-Richtlinien hat die Anwendung unterschiedlicher Rechtsordnungen nach dem gesetzgeberischen Willen keine inhaltliche Divergenz zur Folge. Aus diesem Grund können die deutschen Umsetzungsnormen zur rechtlichen Analyse herangezogen werden, auch wenn sich die rechtliche Bewertung im Verhältnis zu Kaufleuten nach den englischen „Payment Services Regulations 2017“⁷⁵⁷ sowie der „Electronic Money Regulations 2011“⁷⁵⁸ richtet.
II. PayPal-Guthaben als E-Geld-Beträge i. S. d. Art. 2 Nr. 2 E-Geld-RL E-Geld ist gem. § 1 Abs. 2 S. 3 ZAG n. F. und article 2 paragraph 1 Electronic Money Regulations 2011 jeder „elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung gegenüber dem Emittenten, der gegen Zahlung eines Geldbetrages ausgestellt wird, um damit Zahlungsvorgänge im Sinne des § 675 f Absatz 4 Satz 1 des Bürgerlichen Gesetzbuches durchzuführen, und der auch von anderen natürlichen oder juristischen Personen als dem Emittenten angenommen wird.“ Der Begriff „monetärer Wert“ beschreibt die dritte Form – neben Bar- und Giralgeld – des Geldes.⁷⁵⁹ Entscheidend ist die Funktion des Guthabens als Tausch- und Zahlungsmittel.⁷⁶⁰
MünchKommBGB-Spellenberg, Art. 10 ROM I-VO Rn. 214. Vgl. OLG Hamm, Urt. v. 19.05. 2015 – 7 U 26/15, NJOZ 2015, 1369 Rn. 25 ff. Abrufbar unter: http://www.legislation.gov.uk/uksi/2017/752/pdfs/uksi_20170752_en.pdf, zuletzt abgerufen am 10.04. 2019. Abrufbar unter: http://www.legislation.gov.uk/uksi/2011/99/pdfs/uksi_20110099_en.pdf, zuletzt abgerufen am 10.04. 2019. Casper/Terlau-Terlau, § 1a Rn. 41.
214
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
Das Tatbestandsmerkmal der elektronischen Speicherung ist nach Erwägungsgrund 7 E-Geld-RL technisch neutral zu verstehen. In Erwägungsgrund 8 E‐Geld-RL konkretisiert der europäische Gesetzgeber das Tatbestandsmerkmal, indem klargestellt wird, dass die Definition sämtliche monetären Werte erfasst und zwar unabhängig davon, ob sie sich auf einem im Besitz des E-Geld-Inhabers befindlichen Datenträger oder auf einem räumlich entfernten Server befinden.⁷⁶¹ Die nach der ersten E-Geld-Richtlinie noch praktizierte Unterscheidung zwischen Kartengeld und Netzgeld ist somit obsolet.⁷⁶² PayPal-Guthaben, die auf einem Server von PayPal verbucht werden, sind daher elektronisch gespeicherte monetäre Werte.⁷⁶³ Diese Werte lassen sich überdies mittels Rechnerdialog auf andere Datenträger, also auf ein verschiedenes PayPal-Konto, elektronisch übertragen.⁷⁶⁴ Des Weiteren begründen PayPal-Guthaben Forderungen gegen den Emittenten. PayPal ist verpflichtet, elektronische Guthaben der Nutzer in Giralgeld umzutauschen und den giralen Gegenwert an den Forderungsinhaber zu übermitteln. PayPal-Guthaben werden außerdem regelmäßig gegen Zahlung eines Geldbetrags ausgestellt. Bonusguthaben, die ohne Gegenleistung, etwa beim Anwerben von Freunden für das Zahlungssystem, gewährt werden, sind daher nicht als E-Geld zu qualifizieren.⁷⁶⁵ Die erforderliche Drittakzeptanz ist durch die im E-Commerce fast universelle Annahme von PayPal als Zahlungsmittel erwiesen. Demnach sind PayPal-Guthaben europaweit als E-Geld i. S. d. § 1 Abs. 2 S. 3 ZAG n. F. zu qualifizieren und unterfallen gem. § 675c Abs. 2 BGB n. F. dem Zahlungsdiensterecht.⁷⁶⁶
B. Prepaid-Guthaben als E-Geld-Beträge i. S. d. § 1 Abs. 2 S. 3 ZAG n. F. Bei der rechtlichen Einordnung von Prepaid-Zahlungsinstrumenten, wie der Paysafecard und vorausbezahlten Kreditkarten, bestehen hingegen Unklarheiten
Casper/Terlau-Terlau, § 1a Rn. 41; Hahn/Häde, S. 19. Siehe auch: RegBeg zum zweiten E-Geld-RLUG, BT-Drs. 17/3023, S. 40. Zur Historie siehe: BankR Hdb-Terlau, § 55a Rn. 3 ff; siehe außerdem Hoenike/Szodruch, MMR 2006, 519 (524), die seinerzeit für das Vorliegen von E-Geld stets eine Verkörperung des monetären Wertes forderten. So auch Hildner, BKR 2016, 485 (489). Übertragbarkeit wird teilweise in Anlehnung an die Vorgängernorm des § 1 Abs. 14 KWG a. F. gefordert, siehe: Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 18; siehe zur aA: Casper/ Terlau-Terlau, § 1a Rn. 45; eine ausführliche Streitdarstellung ist im nächsten Kap. unter Teil 5, 1. Abschnitt, B. zu finden. Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 21. hM siehe z. B.: Auer-Reinsdorff/Conrad-Kociok, § 27 Rn. 64 ff; Fett/Bentele, WM 2011, 1352.
1. Abschnitt: Anwendbarkeit des zivilrechtlichen Zahlungsdiensterechts
215
über die Qualifikation als E-Geld. Dies liegt daran, dass einige Stimmen als Tatbestandsmerkmal die Übertragbarkeit der E-Geld-Beträge mittels Rechnerdialog oder durch den Abruf von Daten voraussetzen.⁷⁶⁷ Das Erfordernis einer Übertragung von einem Datenträger zu einem anderen Datenträger, also zum Beispiel von einem Prepaid-Guthaben auf einer Zahlungskarte zu einem virtuellen Prepaid-Konto, hätte zur Folge, dass zahlreiche Prepaid-Produkte nicht als E-GeldZahlungsinstrumente behandelt werden könnten. Davon wären all jene Zahlungsinstrumente betroffen, bei denen das Guthaben auf einem Konto des Emittenten gespeichert wird und die Bezahlung nach der Benachrichtigung über die Zahlungsauslösung durch eine Übertragung von Giralgeld erfolgt.⁷⁶⁸ Begründet wird ein solches Erfordernis damit, dass Guthaben, die nicht direkt von einem Datenträger zu einem anderen übertragen werden, gewöhnliche Giralgeldübertragungen seien und damit nicht den Tatbestand des E-Geldes, sondern den Tatbestand der jeweils einschlägigen Zahlungsdienste erfüllen würden.⁷⁶⁹ Eingeschränkt wird diese Auffassung jedoch dadurch, dass eine Ausnahme für einlesbare Datenträger wie Prepaid-Kreditkarten gemacht wird. Ausgeschlossen vom E-Geld-Tatbestand seien daher nur Produkte wie die Paysafecard, die einen Zahlungsvorgang erst nach Eingabe einer auf der Karte vermerkten Nummer sowie eines Codes ermöglicht. Solche Instrumente werden von Vertretern dieser Meinung als bloße Kontozugangsprodukte bewertet.⁷⁷⁰ Allerdings ist weder dem Wortlaut noch den Erwägungsgründen beider E‐Geld-Richtlinien ein derartiges Erfordernis zu entnehmen. Als maßgebliche Definitionsmerkmale dienen die elektronische Speicherung eines Guthabens sowie die Begründung einer Forderung gegen den Emittenten. Die bereits beschriebene Ähnlichkeit des Umtausches von Giralgeld in E-Geld mit der Annahme von Einlagen ist der maßgebliche Grund der gesonderten Regulierung und Behandlung. Die in Erwägungsgrund 8 E-Geld-RL erwähnte Kongruenz von Netzund Kartengeld spricht auch dafür, dass ein konkreter E-Geld-Betrag nicht Gegenstand der Übertragung sein muss. Die Umlauffähigkeit von E-Geld ist nach Wortlaut und Telos daher kein Tatbestandsmerkmal. Es genügt, wenn durch den
Für eine Übertragbarkeit plädierend: Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 18, der jedoch seine Auffassung insofern relativiert, dass Prepaid-Karten als E-Geld zu qualifizieren sind, soweit sie elektronisch eingelesen werden können, was auf die gängigen Prepaid-Karten zutrifft; siehe zur Vorgängerregelung in § 1 Abs. 14 KWG a. F.: Kokemoor, BKR 2003, 859 (866); Hoenike/Szodruch, MMR 2006, 519 (524); Kokemoor, in: Beck/Samm/Kokemoor, KWG, 151. Aktualisierung 2011, § 1 Rn. 1140. Casper/Terlau-Terlau, § 1a Rn. 45. Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 18. Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 18.
216
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
Umtausch eine Forderung gegen den Emittenten begründet wird, wonach dieser verpflichtet ist, einen Zahlungsvorgang in entsprechender Höhe unter Verwendung der klassischen Übertragungsverfahren auszuführen.⁷⁷¹ Dies wird auch bei der Betrachtung des hiermit untrennbar zusammenhängenden Tatbestandsmerkmals der Drittakzeptanz deutlich. Der Dritte akzeptiert schließlich nicht die Übertragung eines E-Geld-Betrags als Zahlungssurrogat, sondern die spezielle Art und Weise der Zahlungsauslösung und damit das konkrete Bezahlverfahren. Würde man für die Drittakzeptanz die konkrete Übermittlung eines monetären Wertes verlangen, hätte dies zur Folge, dass ebenfalls eine elektronische Übertragbarkeit von einem Datenträger zu einem anderen Datenträger vorliegen muss. Diese sehr technische Auslegung widerspricht wiederum der vom Richtliniengeber vorgegebenen technischen Neutralität des E-Geldes. Prepaid-Zahlungskarten wie vorausbezahlte Kreditkarten sind daher genauso wie vorausbezahlte Guthaben, etwa in Form der Paysafecard, als E-Geld-Zahlungsinstrumente zu qualifizieren und unterliegen gem. § 675c Abs. 2 BGB n. F. dem Zahlungsdiensterecht.
C. Bereichsausnahmen des E-Geld-Tatbestands gem. § 1 Abs. 2 S. 4 ZAG n. F. Guthaben, die den E-Geld-Tatbestand erfüllen, unterfallen wie auch manche Zahlungsdienste nicht per se dem Zahlungsdiensterecht. So sind gem. § 1 Abs. 2 S. 4 Nr. 1 ZAG n. F. monetäre Werte, die auf Instrumenten i. S.d. § 2 Abs. 1 Nr. 10 ZAG n. F. gespeichert sind, kein E-Geld. Bei § 2 Abs. 1 Nr. 10 ZAG n. F. handelt es sich um die Bereichsausnahme für Verbundzahlungssysteme, in denen mit den ausgegebenen Zahlungsinstrumenten nur bei bestimmten Dienstleistern oder für den Erwerb sehr begrenzter Waren- oder Dienstleistungsspektren bezahlt werden kann. Darunter fallen beispielsweise Tankkarten, Kundenkarten, Mitgliedskarten oder Essensgutscheine.⁷⁷² Sowohl PayPal als auch die Prepaid-Zahlungskarten sind jedoch nicht nur in Verbundzahlungssystemen, sondern universal einsetzbar und damit nicht von der Ausnahme erfasst. Die zweite Bereichsausnahme nach § 1 Abs. 2 S. 4 Nr. 2 i.V. m. § 2 Abs. 1 Nr. 11 ZAG n. F. erfasst Zahlungsvorgänge, die von Mobilfunkanbietern durchgeführt werden, und entfaltet demnach für mobile Prepaid-Guthaben Geltung, nicht jedoch für die hier dargestellten Zahlungsinstrumente.⁷⁷³
Casper/Terlau-Terlau, § 1a Rn. 45. BT-Drs. 18/11495, S. 115. Siehe hierzu ausführlich unten: Teil 6, 1. Abschnitt, B., I., 2.
2. Abschnitt: Organisationsrahmen der Parteien
217
2. Abschnitt: Organisationsrahmen der Parteien Verträge über die Ausgabe und Nutzung von E-Geld sind gem. § 675c Abs. 2 BGB n. F. als Zahlungsdienstevertrag zu typisieren. Folglich haben sich die Anbieter bei der Ausgestaltung ihrer Vertragsbedingungen an den zwingenden Vorschriften des Zahlungsdiensterechts zu orientieren. Gleichwohl steht es den Vertragsparteien frei, eigene vertragliche Standards für die in der PSD II nicht geregelten Fälle der außergerichtlichen Konfliktlösung zu statuieren. Von dieser Möglichkeit macht PayPal umfassend Gebrauch. Die umfangreichen PayPal-Vertragsbedingungen statuieren dem Zahlungsdiensterecht unbekannte Regelungskomplexe, weshalb einige Autoren schon von einer Parallelrechtsordnung, dem „PayPal Law“, sprechen.⁷⁷⁴
A. „PayPal Law“ im deutschen Rechtssystem Das PayPal Law entfaltet rechtliche Geltung, soweit es regelmäßig wirksamer Bestandteil des Deckungsverhältnisses wird. Bei den Vertragsbedingungen handelt es sich jedenfalls nicht um eine Individualabrede, sondern um allgemeine Geschäftsbedingungen i. S. d. § 305 Abs. 1 S. 1 BGB.⁷⁷⁵ Das Vertragswerk enthält für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen. Diese werden allen Nutzern von PayPal bei Abschluss eines Vertrags i. S. d. § 305 Abs. 1 S. 1 BGB gestellt. Ein Vertragsschluss kommt ohne ihre Akzeptanz nicht zu Stande. Der Nutzer hat demnach keinen Einfluss auf den Inhalt der Bedingungen. Als AGB wird das PayPal Law nur Bestandteil eines Vertrags, wenn alle Bedingungen gem. §§ 305 ff BGB wirksam einbezogen worden sind. Dabei sticht zunächst der ungewöhnlich große Umfang des Vertragswerks mit 31.000 Wörtern beziehungsweise knapp 90 Seiten ins Auge.⁷⁷⁶ § 305 Abs. 1 S. 2 BGB stellt zwar klar, dass der Umfang eines Vertragswerks keine Auswirkungen auf die Qualifikation als AGB hat, trifft
Fries, NJW 2016, 2860. Unstreitig, vgl.: BeckOGK BGB-Köndgen, Rn. 113 f; bereits damals: Meder/Grabe, BKR 2005, 467 (472). Vergleichsweise überschaubar sind hingegen die vom Bundesverband deutscher Banken herausgegebenen Nutzungsbedingungen für Girokonten, Online-Banking oder Zahlungskarten, die nur selten die Grenze von 4.000 Wörtern überschreiten. Bei der Nutzung des Online-Bankings kumulieren sich jedoch die jeweiligen AGB für Online-Banking, Girokonto, Überweisungsverkehr und Lastschriftverfahren in der Summe auch auf ca. 15.000 Wörter. Die Vertragswerke der PayPal Konkurrenten Skrill und Neteller sind mit einem Umfang zwischen 5.000 und 9.000 Worten hingegen tatsächlich deutlich kompakter.
218
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
jedoch keine Aussage über die Zumutbarkeit der Kenntnisnahme i. S. d. § 305 Abs. 2 Nr. 2 BGB. Diese richtet sich hinsichtlich des Umfangs nach der Komplexität des zugrundeliegenden Geschäfts.⁷⁷⁷ Dabei ist zum einen zu berücksichtigen, dass es sich bei PayPal um ein Online-Zahlungssystem handelt, dass darüber hinaus auch gewährleistungsrechtliche Regelungen beinhaltet. Zum anderen wird dem Nutzer das Vertragswerk dauerhaft als gut lesbare PDF-Datei zur Verfügung gestellt, sodass ihm das Studium des Inhalts in zumutbarer Weise ermöglicht wird. Darüber hinaus wird auf die Einbeziehung nicht nur hingewiesen, sondern mit einer Opt-In-Funktion auch sichergestellt, dass der Nutzer aktiv seine Kenntnisnahme bestätigen muss. Demnach wird das PayPal Law vorbehaltlich überraschender Klauseln i. S. d. § 305c BGB⁷⁷⁸ gem. §§ 305 Abs. 2 BGB wirksamer Bestandteil der vertraglichen Basis.⁷⁷⁹ Die Ursache für den ungewöhnlich großen Umfang eines eigentlich rechtlich vorgegebenen Vertragswerks findet sich in den zahlreichen Besonderheiten der PayPal-Konfliktlösung. Das Unternehmen verfolgt zum Schutz von Verbrauchern und Händlern die Devise, das Geld und Ware oder Dienstleistung niemals gleichzeitig bei ein und derselben Person sein dürfen.⁷⁸⁰ Ob eine Partei ein berechtigtes (rechtliches) Interesse daran hat, seine Leistung oder die Gegenleistung zurückzuhalten, spielt dabei keine Rolle. Darin ist auch kein Abbedingen der meist zwingenden gewährleistungsrechtlichen Vorschriften des BGB zu sehen. PayPal bietet seinen Nutzern lediglich eine alternative vertragliche Option zur Rückabwicklung an, die die Geltendmachung gesetzlicher Rechte weder ausschließt noch abändert. Die außergesetzlichen Konfliktlösungsmodelle dienen nicht nur dem Schutz vor betrügerischen Händlern, sondern zuvorderst der schnellen Behebung vertraglicher Leistungsstörungen. Viele Nutzer der Plattform geben dem PayPal-Verfahren gegenüber der staatlichen Rechtsdurchsetzung bei der Geltendmachung gewährleistungsrechtlicher Ansprüche mittlerweile den Vorzug. Dieser Umstand eröffnet die Frage nach einem rechtsstaatlichen Versagen im Bereich des E-Commerce.⁷⁸¹ Dies hat nicht nur mit der vermeintlich einfacheren Rückabwicklung über PayPal zu tun, sondern insbesondere mit der Langwierigkeit der Rechtsdurchsetzung in Deutschland. Das materielle Recht stößt dort an
MünchKommBGB-Basedow, § 305 Rn. 71. Siehe hierzu ausführlich: Jonetzki, Innovative Zahlungssysteme, S. 81 ff. Siehe hierzu ausführlich: OLG Hamburg, Urt. v. 24.04. 2015 – 1 U 185/14, MMR 2015, 608 (608 f). Fries, NJW 2016, 2860 (2861). Fries, NJW 2016, 2860 (2861).
2. Abschnitt: Organisationsrahmen der Parteien
219
seine Grenzen, wo der Aufwand der Durchsetzung prohibitiv hoch ist.⁷⁸² Es ist daher begrüßenswert, dass die Politik etwa mit dem Gesetz zur Rechtsdurchsetzung in sozialen Netzwerken stärker auf die durch das Internet entstehenden Rechtsprobleme eingeht.⁷⁸³ Möglicherweise werden in Zukunft auch die Rechtsdurchsetzungsprobleme des E-Commerce in den Fokus des Gesetzgebers rücken. Das Entstehen von parallelen privaten Rechtsordnungen kann jedenfalls auf Dauer nicht durch den Gesetzgeber hingenommen werden, da hierdurch unter anderem auch der im E-Commerce besonders wichtige Gedanke des Verbraucherschutzes in den Hintergrund geraten könnte.
I. Besondere Rechte und Pflichten Die wesentlichen, durch das Zahlungsdiensterecht vorgegebenen Informations-, Mitteilungs- und Leistungspflichten des Zahlungsdienstleisters werden durch die PayPal-AGB in zulässiger Weise übernommen und an einigen Stellen konkretisiert. Dies gilt insbesondere für Ausführungspflichten im Zusammenhang mit Zahlungsvorgängen sowie für die Erstattungspflichten bei unautorisierten oder über den Zahlungsempfänger ausgelösten Zahlungen.
1. Vertragliches Stundungsrecht, Nr. 6c PayPal-AGB Spezielle vertragliche Rechte und Pflichten finden sich an vielen Stellen des Vertragswerks. Nr. 6c PayPal-AGB gewährt beispielsweise ein Stundungsrecht von Forderungen gegen den Nutzer für eine Dauer von 14 Tagen. Der Zahlungsempfänger erhält den fälligen Betrag von PayPal gutgeschrieben, während die Einziehung beim Zahler per Lastschrift erst 14 Tage nach der ursprünglichen Zahlung erfolgt. Wer in den Genuss dieses Rechts gelangt, behält sich PayPal ausdrücklich vor. Nr. 6c PayPal-AGB definiert nur einige Grundvoraussetzungen, die finale Entscheidung obliegt dem freien Ermessen des Unternehmens.
2. Gründe für eine fristlose Kündigung durch PayPal, Nr. 7 PayPal-AGB PayPal definiert in Nr. 7 PayPal-AGB neben dem in § 675h Abs. 2 BGB n. F. vorgesehen ordentlichen Kündigungsrecht wichtige Gründe für eine außerordentliche Kündigung des PayPal-Vertrags nach § 314 BGB. Diese unterliegen als
Fries, NJW 2016, 2860 (2861). BT-Drs. 18/12356.
220
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
Rechtsergänzungsklauseln, die den Gesetzestext lediglich konkretisieren, nur der Inhaltskontrolle nach § 307 Abs. 3 S. 2 BGB.⁷⁸⁴ Neben den üblichen und rechtlich anerkannten Gründen, dass der Zahlungsdienstnutzer seine Vertragspflichten verletzt oder eine in Nr. 9 PayPal-AGB verbotene Aktivität – dabei handelt es sich um die vertragliche Festlegung gesetzlicher Verbote – vornimmt, normiert PayPal zwei weitere in der klassischen Bankbranche nicht zu findende Gründe. So soll bereits der berechtigte Verdacht, dass eine dritte Person unberechtigt auf das Konto zugegriffen hat, einen wichtigen Grund zur fristlosen Kündigung darstellen. PayPal verwendet zwar in Nr. 9 PayPal-AGB lediglich den Begriff der Schließung, aus der Überschrift „Vertragslaufzeit und Kontoschließung“ geht jedoch auch bei kundenfreundlichster Auslegung hervor, dass hiermit eine Kündigung und keine bloß vorübergehende Sperre gemeint ist.⁷⁸⁵ Die Klausel bedingt den unautorisierten Zugang nicht auf ein Fehlverhalten des Nutzers, sodass von der für die Auslegung von AGB-Klauseln maßgeblichen verbraucherfeindlichsten Variante auszugehen ist. Hiernach hätte PayPal sogar dann ein außerordentliches Kündigungsrecht, wenn etwa durch Sicherheitslücken im eigenen System Fremdzugriffe ermöglicht werden. Dabei bleibt der Grundsatz weitgehend unberücksichtigt, wonach außerordentliche Kündigungsründe in der Regel dem Verantwortungsbereich des Kündigungsgegners entspringen müssen.⁷⁸⁶ Der BGH hat in seiner bisherigen Rechtsprechung nur eine Ausnahme von diesem Grundsatz zugelassen. Wird ein über das gewöhnliche Austauschverhältnis hinausgehendes, besonders enges Vertrauensverhältnis so nachhaltig erschüttert, dass die Fortsetzung des Vertragsverhältnisses unzumutbar wird, kann ungeachtet der Verantwortung für die Ursache eine außerordentliche Kündigung ausgesprochen werden.⁷⁸⁷ Dies gilt sogar dann, wenn der Kündigende selber Vertragspflichten verletzt hat, soweit er nicht ausschließlich für den Vertrauensbruch verantwortlich ist.⁷⁸⁸ Das gegenseitige Anvertrauen von Geldbeträgen begründet ein besonders enges Vertrauensverhältnis. Ohne Vertrauen in die Seriosität des Zahlungssys Vgl. MünchKommBGB-Wurmnest, § 307 Rn. 11. Ungewöhnlich i. S.d. § 305c BGB sind derartige Klauseln nicht, vgl.: Nr. 16.4 Neteller-AGB, abrufbar unter: https://www.neteller.com/de/policies/terms-of-use (Stand: 10.11. 2015), zuletzt abgerufen am 10.04. 2019; Nr. 17.5 Skrill-AGB, abrufbar unter: https://www.skrill.com/fileadmin/ content/pdf/legal/generalterms/termsofuse_de.pdf (Stand: unbekannt), zuletzt abgerufen am 10.04. 2019. Ganz hM: BGH, Urt. v. 01.07.1997 – XI ZR 267/96, BGHZ 136, 161 (164) = NJW 1997, 2875 (2876); BGHZ 196, 285 Rn. 17 = NJW 2013, 2021; NJW-RR 2011, 916 Rn. 9; Erman-Böttcher, § 314 Rn. 4e; Palandt-Grüneberg, § 314 Rn. 9. Vgl. BGH, Urt. v. 07.10. 2004 – I ZR 18/02, NJW 2004, 1360 (1362). Vgl. BeckOGK BGB-Martens, § 314 Rn. 34 mwN.
2. Abschnitt: Organisationsrahmen der Parteien
221
tembetreibers und umgekehrt in die Zuverlässigkeit des Zahlungsdienstnutzers würde bereits die Vertragsbegründung scheitern. Aus diesem Grund gefährdet ein Zugriff Dritter die Integrität des genutzten Zahlungskontos in erhebliche Maße, und zwar sowohl aus der Sicht des Zahlungsdienstleisters als auch aus der Sicht des Zahlungsdienstnutzers. Aufgrund der Besonderheiten des PayPal-Zahlungssystems geht mit dem Zugriff auf das Zahlungskonto auch die Möglichkeit einher, Zahlungsaufträge zu erteilen. Dieser Umstand begründet für Paypal erhebliche Haftungsrisiken, da der sorgfältig agierende Nutzer nicht nach § 675v BGB n. F. für etwaige Schäden in Anspruch genommen werden kann. Wie der Dritte in den Besitz der Zahlungsdaten gelangt ist, kann im Übrigen dahinstehen, da das Vertrauen in die Integrität des betroffenen Zahlungskontos nachhaltig zerstört ist. Im Gegensatz zu einem Girokonto, welches erst nach einer Identifizierung des Antragsstellers mittels Personalausweises eröffnet wird und dessen Zugangsdaten per Post versandt werden, laufen diese Prozesse bei PayPal digital ab. Das geringere Sicherheitsniveau sowohl bei der Anmeldung als auch bei der Nutzung, bietet keine Gewähr dafür, dass auch nach einer Änderung des Passworts der berechtigte Nutzer agiert. Bei einem Girokonto kann dieses Vertrauen durch das postalische Zusenden neuer Zugangscodes wiederhergestellt werden, bei PayPal nicht. Es ist nicht auszuschließen, dass ein unberechtigter Dritter sowohl den zum PayPal-Konto gehörenden E-Mail Account als auch das PayPal-Konto gekapert hat. Demnach ist die Vereinbarung eines verursachungsunabhängigen Kündigungsgrundes konkret bei PayPal zulässig. Neben diesem Aspekt stellt sich auch die Frage nach der Zulässigkeit des Verdachtsmoments im Rahmen der Kündigung. Der Kündigungsgrund entsteht nicht erst mit der Erkenntnis eines Drittzugriffs, sondern bereits bei begründetem Verdacht unberechtigter Zugriffe. Verdachtskündigungen sind zwar auch außerhalb des Arbeitsrechts zulässig, unterliegen aber ebenfalls strengeren Anforderungen. Die übliche Verdachtskündigung bezieht sich meist auf eine vertragliche Pflichtverletzung des Kündigungsgegners. Es handelt sich daher bei der PayPal-Klausel nicht um die Normierung einer Verdachtskündigung im eigentlichen Sinne, sondern um eine Vereinfachung und Vorverlagerung des Kündigungsgrundes. Aufgrund der Anonymität des Internets lässt sich nur selten abschließend klären, ob und aufgrund wessen Fehlverhaltens ein Dritter Zugang zu einem Zahlungskonto erlangt hat. Nichtsdestotrotz muss PayPal alle zeitlich und finanziell zumutbaren Maßnahmen ergreifen, um den Verdacht zunächst aufzuklären. Aus diesem Grund wurde das Merkmal des berechtigten Verdachts verwendet, sodass erst nach der Feststellung, dass jedenfalls nicht der Nutzer auf das Konto zugegriffen hat, das Kündigungsrecht wirksam ausgeübt werden kann. Aufgrund der Besonderheiten des PayPal-Zahlungssystems ist daher der Kündigungsgrund weder unangemessen noch unzulässig. Er deckt sich sogar mit
222
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
dem Interesse des Nutzers, vor betrügerischen Aktivitäten Dritter geschützt zu werden. Des Weiteren lässt sich das Vertragsverhältnis nach der Kündigung jederzeit wiederaufnehmen. Lag die Ursache für den Fremdzugriff im Verantwortungsbereich von PayPal, kann sich aus dem Prinzip von Treu und Glauben ein Anspruch des Nutzers auf Neubegründung der Vertragsbeziehungen ergeben.⁷⁸⁹ Schließlich beschränkt sich die Zerrüttung des Vertrauensverhältnisses in der Regel auf das jeweilige Zahlungskonto und die dazugehörige E-Mail-Adresse und nicht auf den Nutzer selbst. Ein weiterer, ungewöhnlicher Kündigungsgrund ist in Nr. 7.2 Abs. 3 PayPalAGB niedergelegt. Hiernach besteht ein Recht zur fristlosen Kündigung, soweit sich der Nutzer mehr als drei Jahre lang nicht eingeloggt hat. Ein berechtigtes Interesse von PayPal liegt insbesondere in der Vermeidung von „Karteileichen“. Es ist PayPal nicht zuzumuten, ungenutzte und offenbar aufgegebene Konten weiterhin zu betreiben und dafür Serverkapazitäten zu opfern. Dadurch wird der Nutzer auch nicht unzumutbar benachteiligt, indem er die Kündigung durch einen einmaligen Zugriff vor Ablauf der drei Jahre verhindern kann. Außerdem zeigt der Nutzer durch seine konstante Abstinenz, kein besonders schutzwürdiges Interesse an der Fortsetzung der Vertragsbeziehungen zu haben. Überdies besteht weiterhin die Möglichkeit der Wiederaufnahme der Vertragsbeziehungen, sodass auch eine Kündigung nach Nr. 7 Abs. 3 S. 2 Spiegelstrich 2 PayPal-AGB keine unangemessene Benachteiligung für den Nutzer darstellt und als Vertragsklausel somit wirksam ist.
3. Sicherheitsmaßnahmen nach Nr. 9.2 PayPal-AGB In Nr. 9.2 PayPal-AGB ist ein umfassender Katalog von Sorgfaltspflichten und Sicherheitsmaßnahmen niedergelegt. Diese betreffen nur teilweise Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments i. S. d. § 675v Abs. 3 Nr. 2 lit. b BGB n. F. Typischerweise müssen danach Zahlungsquellen, Passwörter oder PIN sicher verwahrt und vor dem Zugriff Dritter geschützt werden. Soweit der Nutzer das mTAN-Verfahren zur zusätzlichen Authentifizierung bei der Anmeldung nutzt, muss er selbstverständlich auch die sechsstellige TAN geheim halten und das Smartphone vor Dritten sicher verwahren. Da PayPal keine Authentifizierungsverfahren im Rahmen der Zahlungsauslösung vorsieht, bestehen diesbezüglich keine weiteren Sorgfaltspflichten. Des Weiteren dürfen sensible Daten nicht auf Drittseiten eingegeben oder lesbar niedergeschrieben werden. Letzteres dürfte unter Berücksichtigung der zahlreichen PIN, Passwörter, E-Mail-Zugangs-
BeckOK BGB-Lorenz, § 314 Rn. 14.
2. Abschnitt: Organisationsrahmen der Parteien
223
daten, PIN für Zahlungskarten und Smartphones etc. nicht zumutbar und damit gem. § 307 Abs. 1 S. 1 BGB zumindest im Verhältnis zu Verbrauchern unwirksam sein.⁷⁹⁰ Die Niederschrift des Passworts hat natürlich zur Folge, dass wiederum das entsprechende Schriftstück sicher verwahrt werden muss. Da das Passwort das zentrale und in der Regel einzige personalisierte Sicherheitsmerkmal ist, welches nicht nur den Zugang zum Zahlungskonto, sondern auch Verfügungen darüber ermöglicht, darf es gem. Nr. 9.2 lit. f. PayPal-AGB weder leicht zu merken noch leicht zu erraten sein. Passwörter und PIN dürfen überdies nicht auf dem zur PayPal Nutzung vorgesehenen Gerät gespeichert werden. Das entsprechende Gerät bedarf außerdem einer ausreichenden technischen Sicherung zum Schutz vor Angriffen Dritter. Dazu zählen nicht nur Virenprogramme, sondern auch eine Bildschirmsperre des für die PayPal-App verwendeten Smartphones. Der Verlust des Gerätes ist PayPal zudem sofort anzuzeigen.
4. Käufer- und Verkäuferschutz gem. Nr. 11 und 13 PayPal-AGB Die bedeutsamste Eigenart des PayPal-Vertragswerkes findet sich in Nr. 11 und 13 PayPal-AGB wieder. Hierin wird Bezug auf die Käufer- und Verkäuferschutzrichtlinie genommen, welche somit Bestandteil des Vertrags werden. Bei diesen Regelungen handelt es sich um private Leistungsstörungsregeln, die eine einfachere und schnellere Rechtdurchsetzung als das staatlich vorgeschriebene Privatrecht ermöglichen sollen. Anspruchsgegner ist stets PayPal. Sowohl Käufer als auch Verkäufer sollen mithilfe dieser Verfahren vor den typischen E-Commerce Risiken – Zahlungsausfall auf der einen und Nicht- oder Schlechtleistung auf der anderen Seite – geschützt werden.
a) Schutz von E-Commerce-Händlern durch die PayPal-Verkäuferschutzrichtlinie⁷⁹¹ Zum Schutz vor Zahlungsausfällen aufseiten gewerblicher Zahlungsempfänger, also meist E-Commerce-Händlern, sieht PayPal das Verkäuferschutzverfahren vor. Dieser Schutz greift ein, sobald es zu Rückbuchungen aufgrund einer Kontounterdeckung, eines unautorisierten Zahlungsvorgangs oder eines ungerechtfertigten Käuferschutzantrags kommt. Zusätzliche Bedingung ist, dass der Grund der Rückbuchung nicht die erhebliche Abweichung des Artikels von der Artikel Vgl. BankR Hdb-Maihold, § 55 Rn. 115 f; Kaufleute, die nicht dem Schutz des deutschen AGBRechts unterfallen (siehe oben: Teil 5, 1. Abschnitt, A. I.), genießen diesen Schutz nicht. Abrufbar unter: https://www.paypal.com/de/webapps/mpp/ua/sellerprotection-full (Stand: 27.04. 2017), zuletzt abgerufen am 10.04. 2019.
224
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
beschreibung, also ein berechtigter Antrag auf das Käuferschutzverfahren, war. Des Weiteren gilt die Verkäuferschutzrichtlinie gem. Nr. 2 Verkäuferschutzrichtlinie nur für gegenständliche, materielle Artikel und daher insbesondere nicht für immaterielle Güter und Dienstleistungen. Fahrzeuge mit einem Motor sind ebenfalls vom Anwendungsbereich ausgeschlossen. Der Zahlungsempfänger muss überdies einen Versandbeleg zum Nachweis der erfolgreichen Zustellung vorlegen. Die Zahlung selbst darf nicht auf Raten erfolgt sein und muss als abgeschlossen angezeigt werden. Die Richtlinie sieht je nach Vorgang weitere detailliertere Anforderungen und Ausschlussgründe vor. Wird der Antrag positiv beschieden, erhält der Händler den Zahlungsbetrag gutgeschrieben. Je nachdem, was der Grund für den Zahlungsausfall aufseiten des Zahlers war, wird dieser mit dem Zahlungsbetrag belastet oder nicht.
b) Schutz von Zahlern durch die PayPal-Käuferschutzrichtlinie⁷⁹² Die Käuferschutzrichtlinie dient dem Schutz des Zahlers vor Nicht- oder Schlechtleistungen. Voraussetzung des Anspruchs ist wie auch bei der Verkäuferschutzrichtlinie, dass es sich um einen Vertragsgegenstand handelt, der nicht unter die in Nr. 3.2 Käuferschutzrichtlinie ausgeschlossenen Waren oder Dienstleistungen fällt. Dazu zählen erneut der Kauf von Autos, aber auch der Erwerb von Unternehmen oder Grundeigentum. Der Kauf muss überdies mit der PayPalZahlung zusammenhängen, etwa dadurch, dass der Nutzer von der E-CommerceSeite auf den PayPal-Checkout-Ablauf weitergeleitet wurde. Daneben müssen noch weitere Voraussetzung, wie etwa die Einhaltung bestimmter Fristen sowie bestimmter Zahlungsmodalitäten, erfüllt werden. Der Anspruch entsteht, soweit der Verkäufer nicht nachweisen kann, dass der Kaufgegenstand versendet wurde, oder der Käufer nachweist, dass der Artikel erheblich von der Artikelbeschreibung abweicht. Hierfür sieht Nr. 4.2 Käuferschutzrichtlinie einige Beispiele für erhebliche Abweichungen vor – anderer Artikel als der Bestellte oder der Zustand entspricht nicht der Beschreibung – sowie einige Beispiele, die keine erhebliche Abweichung begründen – Artikel funktioniert nicht richtig, worauf in der Beschreibung hingewiesen wurde. Hat der Käuferschutzantrag Erfolg, erstattet PayPal nach Nr. 2 Käuferschutzrichtlinie den Kaufbetrag sowie etwaige Versandkosten für die Rücksendung. Im Gegenzug tritt der Zahler alle aus dem Vertragsverhältnis mit dem Zahlungsempfänger bestehenden Rechte gem. Nr. 7.1 Käuferschutzrichtlinie an PayPal ab.
Abrufbar unter: https://www.paypal.com/de/webapps/mpp/ua/buyerprotection-full (Stand: 27.04. 2017), zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Organisationsrahmen der Parteien
225
c) Exkurs: Rechtsfolgen eines erfolgreichen Käuferschutzantrags Ein erfolgreicher Käuferschutzantrag wirft mehrere schuldrechtliche Fragen auf. Zunächst einmal hat das Angebot des Händlers, Bezahlverfahren wie PayPal nutzen zu können, zur Folge, dass eine PayPal-Zahlung eine vertraglich vereinbarte und zulässige Zahlungsmethode wird.⁷⁹³ Mit der vorbehaltlosen Gutschrift des Zahlungsbetrags auf dem Empfängerkonto wird daher die Kaufpreisforderung gem. § 362 BGB erfüllt.⁷⁹⁴ Wird nun ein Antrag auf Käuferschutz gewährt, hat dies zur Folge, dass der streitgegenständliche Betrag zunächst dem PayPal-Konto des Zahlers gutgeschrieben und anschließend vom PayPal-Konto des Zahlungsempfängers wieder abgebucht wird. Demnach erfolgen PayPal-Zahlungen nicht gänzlich vorbehaltlos, was wiederum Auswirkungen auf die Erfüllungswirkung von PayPal-Zahlungen haben könnte. Teilweise wird in derartigen Fällen für ein Wiederaufleben der Kaufpreisforderung plädiert.⁷⁹⁵ Begründet wird dies mit der Ähnlichkeit der PayPal-Zahlung zur SEPA-Lastschrift. Bei eingezogenen Lastschriften führt die Gutschrift ebenfalls zunächst zur Erfüllung i. S. d. § 362 BGB, ist nach Ansicht des BGH jedoch auflösend auf eine etwaige Rückbelastung bedingt.⁷⁹⁶ Der Parteiwille könne unter Berücksichtigung der Möglichkeit der Rückbelastung im Hinblick auf die Erfüllungswirkung nur dahingehend auszulegen sein, dass die ursprüngliche Forderung im Falle der Rückbelastung wieder auflebt.⁷⁹⁷ Diese Konstellation soll nach Omlor und Habel auch bei einem erfolgreichen PayPal-Käuferschutzantrag bestehen, da das Rückbuchungsrecht über das allgemeine Stornorecht der Banken zeitlich wie inhaltlich hinausgeht und im Übrigen die Interessenlage der beteiligten Parteien mit den Parteien einer Lastschriftzahlung vergleichbar sei.⁷⁹⁸ Das LG Saarbrücken sowie einige Stimmen in der Literatur sind hingegen der Auffassung, dass eine derartige Sichtweise die konkrete Ausgestaltung des PayPal-Käuferschutzverfahrens nicht ausreichend berücksichtigen würde.⁷⁹⁹ Anspruchsgegner sei schließlich nicht der Zahlungsempfänger, sondern aus-
MünchKommBGB-Fetzer, § 362 Rn. 3 und 19. BeckOGK BGB-Looschelders, § 362 Rn. 176; Palandt-Grüneberg, § 362 Rn. 12. Staudinger-Omlor, Vorb § 244– 248 Rn. B100; Habel, MMR-Aktuell 2017, 387109. BGH, Urt. v. 20.07. 2010 – XI ZR 236/07, NJW 2010, 3510 (3513). BGH NJW 2010, 3510 (3513). Staudinger-Omlor, Vorb § 244– 248 Rn. B100; Habel, MMR-Aktuell 2017, 387109. LG Saarbrücken, Urt. v. 31.08. 2016 – 5 S 6/16, MMR 2017, 46 (47) n. rkr.; BeckOK BGB-Dennhardt, § 362 Rn. 41; BeckOGK BGB-Looschelders, Stand: 01.11. 2017, § 362 Rn. 177 (i. d. F. vom 01.06. 2018 aufgrund des BGH Urteils revidiert); Grundsätzlich vom selben Ergebnis ausgehend Jonetzki, Innovative Zahlungssysteme, S. 215 f, der jedoch die PayPal-Zahlung der Lastschrift weitgehend gleichstellt und sich somit nach dem Urteil des BGH zur Erfüllungswirkung der SEPA-Lastschrift der Gegenauffassung anschließen dürfte.
226
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
schließlich PayPal. Aus diesem Grund hängt der Erfolg des Käuferschutzantrags auch nicht davon ab, ob PayPal den Zahlungsbetrag vom Zahlungsempfänger wiedererlangen kann oder nicht.⁸⁰⁰ Maßgeblich sind allein die bereits dargestellten Voraussetzungen und Anforderungen des Käuferschutzantrags. Des Weiteren tritt der Nutzer nach erfolgreichem Käuferschutzantrag alle Rechte aus dem Vertrag mit dem Zahlungsempfänger an PayPal ab, was ferner dafürspreche, dass im Gegensatz zur Konstellation des SEPA-Basis-Lastschriftverfahrens zwei Zwei-Personen-Verhältnisse vorlägen und kein zusammenhängendes Vertragsgebilde zwischen Zahler, Zahlungsempfänger und der beteiligten Zahlungsdienstleister bestünde. Folglich sei die konkrete PayPal-Zahlung des Zahlers nicht mit dem Vorbehalt der Rückbuchung belastet. Der Zahlungsempfänger sei lediglich einer vertraglich vereinbarten Belastungsbuchung durch PayPal ausgesetzt, die dem Zahler nicht mehr unmittelbar zuzurechnen sei.⁸⁰¹ Der BGH hat mit zwei Entscheidungen vom 22.11. 2017 dieser Auffassung weitgehend zugestimmt.⁸⁰² Eine Vergleichbarkeit zum SEPA-Lastschriftverfahren liegt aufgrund der unterschiedlichen Ausgestaltungen der Bezahlverfahren nicht vor, sodass die Erfüllungswirkung einer PayPal-Zahlung nicht auflösend auf die Geltendmachung eines PayPal-Käuferschutzantrags bedingt ist.⁸⁰³ Nichtsdestotrotz schließt sich der BGH im Ergebnis der Gegenauffassung an. Die Kaufpreisforderung gelangt durch einen erfolgreichen Käuferschutzantrag wieder zur Entstehung, jedoch nicht durch ein rückwirkendes Entfallen der Erfüllungswirkung, sondern durch eine stillschweigend vereinbarte Wiederbegründung der Kaufpreisforderung.⁸⁰⁴ Es entspräche nicht den schutzwürdigen Interessen der beteiligten Parteien, wenn der Verkäufer seiner gesetzlichen Rechte durch die einseitige Bevorteilung des Käufers beraubt würde. Die gesetzlichen Rechte blieben schließlich durch das PayPal-Käuferschutzverfahren unberührt. Nach den gemeinsamen Vorstellungen der Parteien soll mit der erfolgreichen Durchführung des Käuferschutzverfahrens auch die Kaufpreisforderung wiederaufleben, was den Käufer in keiner Weise unangemessen belastet. Schließlich erhält der Zahler den Geldbetrag zurück, mit dem die ursprüngliche Kaufpreisforderung erfüllt worden ist. Gleichzeitig muss er nicht mehr die negativen prozessualen Konsequenzen der Vorleistung tragen.
Nr. 2 S. 4 Käuferschutzrichtlinie. So auch BeckOGK BGB-Looschelders, Stand: 01.11. 2017, § 362 Rn. 177 (i. d. F. vom 01.06. 2018 aufgrund des BGH Urteils revidiert). Grundlegend: BGH Urt. v. 22.11. 2017– VIII ZR 83/16, NJW 2018, 537; zustimmend Piekenbrock/ Rodi/Aßfalg, WM 2017, 2281 (2288). BGH NJW 2018, 537 Rz. 25. BGH NJW 2018, 537 Rz. 28 ff mwN.
2. Abschnitt: Organisationsrahmen der Parteien
227
Der BGH hat mit dieser Entscheidung den PayPal-Käuferschutz keineswegs entwertet, sondern lediglich auf den Fakt hingewiesen, dass das PayPal-Zahlungssystem sowie die Käufer- und Verkäufer-Schutzverfahren nicht das allgemeine Schuldrecht außer Kraft setzen. In diesem Zusammenhang entstehen weitere schuldrechtliche Konsequenzen. So sind etwa Folgeschäden wie Sachverständigenkosten, die aus der Begutachtung der Mangelhaftigkeit eines Kaufgegenstandes resultieren, einerseits nicht Bestandteil des aus dem Käuferschutzverfahren entstehenden Anspruchs gegen PayPal⁸⁰⁵ und können andererseits auch nicht über die dem Kaufrecht entspringenden Mangelgewährleistungsrechte geltend gemacht werden.⁸⁰⁶ Für Ansprüche nach §§ 434 ff BGB fehlt es am Zusammenhang der vom Käufer getätigten Aufwendungen mit der Geltendmachung kaufrechtlicher Gewährleistungsansprüche.⁸⁰⁷ Die Gutachterkosten sind schließlich nur aufgrund der Geltendmachung der Ansprüche aus der Käuferschutzrichtlinie entstanden. An dieser Stelle offenbart sich die Schwäche des Systems. Die schnelle und effektive Befriedigung der Käuferinteressen auf Rückabwicklung beinhaltet nicht etwaige Folgeschäden und kann dazu führen, dass dem Käufer nicht unerhebliche Nachteile entstehen. Dem Gewährleistungsrecht liegt das Prinzip des Rechts zur zweiten Andienung zugrunde. Dem Verkäufer soll zunächst die Möglichkeit geboten werden, die Vertragswidrigkeit durch eine Nacherfüllung zu beseitigen. Wendet sich der Käufer sofort an PayPal und stellt einen Antrag auf Käuferschutz, wird die Rückabwicklung in Gang gesetzt, ohne dass dem Verkäufer eine Möglichkeit zur Nacherfüllung zustand. In diesen Fällen gelangen die gewährleistungsrechtlichen Schadens- oder Aufwendungsersatzansprüche nicht zur Entstehung, sodass neben Gutachterkosten auch sonstige Folgeschäden nicht geltend gemacht werden können. Hierin spiegelt sich die einfache Ausgestaltung des Käuferschutzverfahrens wider, das sich lediglich auf die Rückerstattung von Kaufpreis und Versandkosten beschränkt, darüber hinaus jedoch keine Regelungen trifft. Die schnellere Rückabwicklung und Beseitigung des Vorleistungsrisikos können demnach den Verlust gesetzlicher Rechte mit sich bringen. PayPal-Nutzern ist daher zu raten, vor der Beantragung des Käuferschutzverfahrens Nacherfüllung verlangen. Wird diesem Begehren nicht ausreichend nachgekommen, besteht immer noch die Möglichkeit, das Käuferschutzverfahren zur effizienten Durchsetzung der Rückzahlungsansprüche einzusetzen. Weitere Gewährleis Siehe: Nr. 2 S. 2 Käuferschutzrichtlinie. LG Saarbrücken, MMR 2017, 46 (48). Vgl. Art. 3 RL 1999/44/EG des europäischen Parlaments und des Rates v. 25. 5.1999 zu bestimmten Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter, ABl.EG Nr. L 171.
228
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
tungsansprüche können anschließend gerichtlich geltend gemacht werden. Demnach sollte das Käuferschutzverfahren nicht als Aliud für die Geltendmachung von Gewährleistungsansprüchen genutzt werden, sondern als zusätzliches Vehikel zur Durchsetzung des Rückzahlungsanspruchs.
5. Vereinbarkeit des Zurückhaltens von Zahlungen mit § 675t Abs. 1 S. 1 BGB n. F.? Eine weitere wichtige Sondervorschrift findet sich in Nr. 10.5 PayPal-AGB, wonach PayPal das Recht zustehen soll, Zahlungen, die nach den internen Risikomodellen ein erhöhtes Risiko aufweisen, vorübergehend einzubehalten. Die Klausel steht nach erster Betrachtung im Widerspruch zu § 675t Abs. 1 BGB, der sowohl nach alter als auch neuer Fassung die Pflicht zur unverzüglichen Gutschrift eingegangener Geldbeträge auf dem Konto des Zahlungsempfängers statuiert. Die Klausel könnte daher gegen zwingendes Recht verstoßen und gem. § 675e Abs. 1 BGB n. F. unwirksam sein. Der Sinn und Zweck der Vorschrift besteht darin, Zahlungsdienstleistern bei der Abwicklung von Zahlungsvorgängen an der Erzielung von Zinsvorteilen zu hindern und eine zeitnahe Gutschrift dem Zahlungsempfänger zustehender Beträge sicherzustellen. In Hochzinsphasen konnten schließlich mit nicht unverzüglich weitergeleiteten Beträgen erhebliche Zinsgewinne erzielt werden. Angesichts der aktuellen Niedrigzinsphase dürften derartige Erwägungen der Vergangenheit angehören. Dies ändert jedoch nichts daran, dass eingegangene Geldbeträge zeitnah dem Konto des Zahlungsempfängers gutzuschreiben sind. Dieser hat schließlich auch ein schutzwürdiges Interesse daran, über die entsprechenden Geldbeträge verfügen zu können. Die Schutzwürdigkeit stößt jedoch bei Zahlungen, die mit hoher Wahrscheinlichkeit nicht dauerhaft beim Zahlungsempfänger verbleiben, an ihre Grenzen. Hat der Zahlungsdienstleister ein berechtigtes Interesse daran, Geldbeträge zurückzuhalten, stehen entsprechende Vereinbarungen der Vorschrift des § 675t Abs. 1 S. 1 BGB n. F. nicht entgegen.⁸⁰⁸ Die Gesetzesbegründung zur Umsetzung der PSD I greift mehrere Anwendungsbeispiele auf. So begründet etwa der Umstand, dass im Verhältnis zum Zahlungsdienstleister des Zahlers eine Erstattung wegen einer Rücklastschrift zu erwarten ist, zulässigerweise das Recht, die Gutschrift unter Vorbehalt zu erteilen.⁸⁰⁹ Die Vorschrift des § 675t BGB n. F. kann überdies schon aus Gründen von Treu und Glauben kein schrankenloses Langenbuchener/Bliesener/Spindler-Langenbucher, 3. Kap, § 675t Rn. 7; MünchKommBGBJungmann, § 675t Rn. 28; Palandt-Sprau, § 675t Rn. 4; siehe auch zur insofern inhaltlich weitgehend unveränderten a. F.: BT-Drs. 16/11643, S. 112. Zur unveränderten Vorgängervorschrift: BT-Drs. 16/11643, S. 112.
2. Abschnitt: Organisationsrahmen der Parteien
229
Recht zur vorbehaltlosen Gutschrift gewähren. Ansonsten wären Zahlungsdienstleister verpflichtet, ein erkennbares Insolvenz- oder Zahlungsausfallrisiko ihres Nutzers zu tragen. Im Interbankenverhältnis haftet schließlich zunächst der kontoführende Zahlungsdienstleister für Rücklastschriften. Ist tatsächlich zu befürchten, dass der gegenständliche Betrag zurückzuzahlen oder zu erstatten ist, kann der Zahlungsdienstleister nicht verpflichtet sein, dem Nutzer eine vorbehaltlose Gutschrift zu erteilen. Der Nutzer könnte die Verfügungsmöglichkeit zum Nachteil des Zahlungsdienstleisters ausnutzen. Vertragliche Zurückbehaltungsrechte sind daher generell zulässig, soweit sie dem Schutz des Zahlungsdienstleisters vor finanziellen Schäden dienen. Nach Nr. 10.5 PayPal-AGB ist PayPal berechtigt, Zahlungen einzubehalten, soweit die Zahlung ein erhöhtes Risiko aufweist, sich das Verkaufsverhalten plötzlich und anormal ändert oder der Verdacht des Vertragsbruchs oder der betrügerischen Verwendung besteht. PayPal möchte sich und auch die Nutzer mit der vorübergehenden Einbehaltung vor einer eventuellen Haftung schützen und bewegt sich somit im Bereich des rechtlich Zulässigen.
6. Recht zur Guthabensperre gem. Nr. 10.2 PayPal-AGB Neben dem soeben beschriebenen Zurückbehaltungsrecht sichert sich PayPal vor Zahlungsausfällen mit zusätzlichen und weitaus umfangreicheren Maßnahmen ab. Klausel Nr. 10.2 PayPal-AGB soll PayPal das Recht gewähren, PayPalKonten zu sperren und/oder Guthaben auf dem Reservekonto einzubehalten. Dieses Recht soll für mehr als 180 Tage ausgeübt werden dürfen und setzt lediglich den begründeten Verdacht voraus, dass der Nutzer gegen eines der in Nr. 9 PayPal-AGB niedergelegten Verbote oder gegen sonstige Vertragspflichten verstoßen hat. Dieses Recht kann insbesondere für Geschäftskunden, die teilweise beträchtliche Beträge über PayPal abwickeln, erhebliche finanzielle Schwierigkeiten zur Folge haben.⁸¹⁰ In Anbetracht der schwerwiegenden Folgen sind die von PayPal vorgeschriebenen Hürden denkbar gering. Die Formulierung „berechtigter Verdacht“ lässt als unbestimmter Rechtsbegriff einen weiten Spielraum. Selbiges gilt für die einbezogenen Verbotsvorschriften aus Nr. 9 PayPal-AGB, die teilweise ebenso begrifflich unklare Tatbestände formulieren wie Nr. 10.2 PayPalAGB.
Keller/Soltenhoff, „Brauchen wir Paypal? Über Sinn und Unsinn des Online-Bezahlsystems“, 18.11. 2010, abrufbar unter: https://www.it-recht-kanzlei.de/Brauchen_wir_PayPal.html, zuletzt abgerufen am 10.04. 2019.
230
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
Die unter reichlich Kritik geratenen Klauseln sind bereits Gegenstand gerichtlicher Auseinandersetzungen gewesen. So entschied das LG Dortmund im Jahr 2016, dass eine Klausel, die die Sperre von Geldbeträgen auf das US-Handelsembargo „Torricelli act and Helms Burton act“ gegen Kuba stützt, gegen europäisches Recht verstößt und damit nicht wirksamer Bestandteil der PayPal-AGB ist.⁸¹¹ Die Duldung einer faktischen Extraterritorialität US-amerikanischen Wirtschaftsrechts war mit europäischem Recht nicht zu vereinbaren.⁸¹² Die in Nr. 9.1 lit. u. PayPal-AGB i.V. m. der „Liste der von PayPal unterstützten Länder“ vorgesehene Einschränkung des räumlichen Anwendungsbereiches ist hingegen nach Auffassung des OLG Hamburgs zulässig.⁸¹³ Die Wahl der Länder, in denen die Dienste in Anspruch genommen werden dürfen, ist berechtigter Ausdruck der Privatautonomie.⁸¹⁴ Bei der Betrachtung der Urteile wird deutlich, dass die entscheidenden Gerichte davon ausgehen, dass generell die Vereinbarung einer Guthabensperre nicht unzulässig ist. Dies liegt zum einen daran, dass die Guthabensperre nicht gegen zwingendes Zahlungsdiensterecht verstößt. § 675t Abs. 1 S. 1 BGB n. F. gilt nur für eingehende Zahlungen, nicht jedoch für das auf dem Zahlungskonto befindliche Guthaben. Zum anderen ist die Vereinbarung von Pfandrechten und Verfügungsbeschränkungen zum Schutz vor Zahlungsausfall gängige Praxis im Bereich des Bank- und Zahlungswesens.⁸¹⁵ Die Vertragsfreiheit stößt erst dann an seine Grenzen, wenn konkrete Klauseln gegen europäisches Recht verstoßen, wie etwa im Fall des Kuba-Embargos, oder einer AGB-rechtlichen Überprüfung nicht standhalten. Bei den Verbotsnormen lassen sich verschiedene Gruppen bilden. Die erste Gruppe der Nr. 9.1 lit. a. bis c. PayPal-AGB umfasst gesetzliche und vertragliche Gebote, gegen die nicht verstoßen werden darf. Verbote der zweiten Gruppe nach Nr. 9.1 lit. d. bis l. PayPal-AGB betreffen das individuelle Nutzerverhalten. Es ist dem Nutzer untersagt, in obszöner oder ehrverletzender Weise zu agieren, gegenüber PayPal falsche Daten oder Identitäten anzugeben oder zu versuchen, sich ungerechtfertigt zu bereichern. Außerdem darf der Nutzer nach Nr. 9.1 lit. k. PayPal-AGB kein Konto führen, dass mit einem anderen, in verbotene Aktivitäten verwickelten Konto verbunden ist. Eine derartige Verbindung entsteht durch übereinstimmende Merkmale, die den Schluss zulassen, dass die Konten von derselben natürlichen oder juristischen Person geführt werden. Tätigkeiten, die
LG Dortmund, Urt. v. 15.01. 2016 – 3 O 610/15, BeckRS 2016, 3046. Vgl. ausführlich: Huck, NJOZ 2015, 993. OLG Hamburg, Urt. v. 24.04. 2015 – 1 U 185/14, MMR 2015, 608. OLG Hamburg, MMR 2015, 608 (609). Vgl. etwa Nr. 14 AGB-Banken.
2. Abschnitt: Organisationsrahmen der Parteien
231
dazu führen, dass eine hohe Anzahl an Rücklastschriften oder Anträgen auf Käuferschutz auftreten oder die auf einen Missbrauch des Systems schließen lassen, sind nach Nr. 9.1 lit. m. bis t. PayPal-AGB untersagt. Neben der Begrenzung der Nutzung auf bestimmte Länder dürfen keine Daten von Dritten ohne deren Einwilligung offenbart sowie keine ungebetenen Spam-Mails versendet werden, vgl. Nr. 9.1 lit. u. bis w. PayPal-AGB. Die letzte Gruppe umfasst Aktivitäten, die die Sicherheit des Systems gefährden, vgl. Nr. 9.1 lit. x. bis z. PayPal-AGB. Die Verbote dienen dem Schutz des Zahlungssystems an sich, von PayPal als Vertragspartner sowie der übrigen Nutzer. Es werden weder fremde Rechtsvorschriften noch unübliche oder überraschende Klauseln Vertragsbestandteil. Der Nutzer, der gegen die dargestellten Verbote verstößt, begeht einen derart schweren Vertragsbruch, der die Sperre seines Kontos rechtfertigt. Aus diesem Grund ist die Guthaben- oder Kontensperrung nach Nr. 10.2 i.V. m. Nr. 9.1 PayPal-AGB zulässig. Jedem Nutzer steht es schließlich frei, sich der PayPal-AGB und damit der Gefahr einer Guthabensperre zu unterwerfen oder nicht. Etwas anderes wäre nur dann anzunehmen, soweit PayPal eine derart dominierende Marktposition innehätte, die es E-Commerce-Händlern nicht gestatten würde, auf das Bezahlverfahren zu verzichten. Teilweise wird unter Hinweis auf das Urteil des LG Dortmund eine derartige marktbeherrschende Stellung für möglich erachtet, aus welcher sich eine Anwendbarkeit der §§ 19, 20 GWB und damit eine schärfere AGB-Kontrolle ergeben könnte.⁸¹⁶ PayPal ist zwar im Bereich des E-Commerce die am häufigsten angebotene Zahlungsart.⁸¹⁷ Der Anteil am Gesamtumsatz des E-Commerce war jedoch bis 2017 rückläufig und befindet sich nach einem Anstieg im letzten Jahr mit einem Anteil von 19,9 % hinter der Lastschrift mit 20,1 % und der beliebtesten E-Payment-Variante, dem Kauf auf Rechnung, mit 28,0 %.⁸¹⁸ Die sich aus dem Bestehen eines Girokontos ergebenden Zahlungsmöglichkeiten übertreffen den Marktanteil von PayPal demnach um mehr als das Doppelte. Die Annahme einer absoluten Marktbeherrschung i. S. d. § 18 Abs. 1 GWB beziehungsweise einer relativen Marktmacht i. S. d. § 20 Abs. 1 S. 1 GWB ist daher nicht gerechtfertigt, sodass auch die Anwendung der §§ 19, 20 GWB auf das PayPal Law nicht angezeigt ist.
So etwa Podszun, GWR 2016, 211. „EHI-Studie „Online Payment 2017“: PayPal büßt ein – Paydirekt stünde bei 34 Prozent der Händler im Fokus“, 22.06. 2017, abrufbar unter: https://www.it-finanzmagazin.de/ehi-studie-on line-payment-2017-paypal-buesst-ein-paydirekt-steht-bei-haendlern-im-fokus-52067/, zuletzt abgerufen am 10.04. 2019. „EHI stellt Ergebnisse der Studie „Online Payment 2018“ vor“, 25.04. 2018, abrufbar unter: https://www.omnisecure.berlin/de/news/markt/7290-ehi-stellt-ergebnisse-der-studie-online-pay ment-2018-vor, zuletzt abgerufen am 16. 8. 2018.
232
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
II. Datenschutzvereinbarung PayPal unterliegt wie alle Zahlungsdienstleister den datenschutzrechtlichen Vorgaben der DSGVO. Im Gegensatz zu den bereits beschriebenen Zahlungsdienstleistern hat PayPal jedoch weder seinen Sitz noch eine Zweigniederlassung in Deutschland. Dies hat gem. § 1 Abs. 4 BDSG n. F. zur Folge, dass die nationalen Konkretisierungen der DSGVO keine Anwendung finden. Wie auch in aufsichtsrechtlichen Fragen ist daher für datenschutzrechtlichen Themen das luxemburgische Recht einschlägig. Die EU-Kommission hat dies konkret für PayPal auf eine Beschwerde eines deutschen Staatsbürgers hin bestätigt.⁸¹⁹ Die kollisionsrechtliche Regelung des zum Zeitpunkt der Entscheidungen geltenden § 1 Abs. 5 BDSG a. F. entsprang dem Harmonisierungsgedanken, dass das ebenfalls auf der EU-Datenschutzrichtlinie basierende Recht eines anderen Mitgliedsstaates bereits für einen ausreichenden Schutz der betroffenen EU-Bürger sorgt. Mit Inkrafttreten der europaweit unmittelbar anzuwenden DSGVO besteht nunmehr ohnehin ein einheitliches Schutzniveau. Ungeachtet der Unanwendbarkeit des BDSG gelten auch für PayPal nicht nur die nach der DSGVO geltenden Grundsätze, sondern auch die aus der PSD II folgenden Vorgaben. Aufgrund des zahlungsdienstrechtlichen Fokus dieser Arbeit soll die PayPal-Datenschutzvereinbarung keiner rechtlichen Prüfung unterzogen werden. Hinsichtlich des Inhalts und Umfangs der Datenerhebung und Weiterverarbeitung ergeben sich ohnehin keine nennenswerten Besonderheiten gegenüber anderen Zahlungsdienstleistern. Die einzige beachtenswerte Differenz ist der Ort der Datenspeicherung. Die erhobenen Daten werden hauptsächlich auf amerikanischen Servern niedergelegt.⁸²⁰ Dies begründet die nicht auszuschließende Gefahr, dass ausländische Geheimdienste, die nicht vergleichbar strengen Regularien wie deutsche Geheimdienste unterworfen sind, Nutzerdaten abrufen könnten.
III. Gebühren und Entgelte Bei PayPal handelt es sich um ein vergleichsweise günstiges Zahlungsmittel. Im Gegensatz zu vielen Girokonto- oder Kreditkartenverträgen muss der Nutzer keine jährliche Nutzungsgebühr entrichten. Auch von den gesetzlich zulässigen Aus-
Stellungnahme der Kommission vom 28.02. 2017, Europäisches Parlament, Petitionsausschuss, 2014– 2019; abrufbar unter: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-% 2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-578.586%2b02%2bDOC%2bPDF%2bV0%2f% 2fDE, zuletzt abgerufen am 10.04. 2019. Nr. 3 Abs. 1 S. 1 PayPal-Datenschutzgrundsätze.
2. Abschnitt: Organisationsrahmen der Parteien
233
nahmen für Entgelte bei dem Erbringen von Nebenpflichten macht PayPal keinen Gebrauch. Lediglich die Gebühren für Rücklastschriften oder für fehlgeschlagene Abbuchungen auf das Bankkonto wegen fehlerhafter Angaben werden dem Nutzer in Rechnung gestellt.⁸²¹ Darüber hinaus fallen Gebühren für Währungsumrechnungen und grenzüberschreitende Zahlungen an. Derartige Gebühren trägt jedoch der Zahlungsempfänger, der bei einer geschäftlichen Nutzung von PayPal je nach Zahlungsart ohnehin Disagio-Gebühren zu entrichten hat. In Deutschland liegen diese für den Empfang geschäftlicher Zahlungen bei 1,9 % des Zahlungsbetrags zuzüglich einer Festgebühr von 0,35 Euro pro Zahlungsvorgang. Im Vergleich zu Kreditkartenzahlungen im Drei-Personen-Verhältnis, bei denen für jede Zahlung je nach Acquirer und Lizenzgeber ein Disagio von ca. 3 % zuzüglich einer Festgebühr sowie einer Jahresgebühr anfällt, bietet die Verwendung von PayPal daher einen nicht unerheblichen finanziellen Anreiz.⁸²²
B. Vereinbarungen über die Ausgabe von E-Geld-Zahlungsinstrumenten Im Gegensatz zum umfangreichen PayPal-Vertragswerk sind die Ausgabebedingungen für Prepaid-Zahlungsinstrumente, die nicht auf Basis eines virtuellen Kontos operieren, deutlich übersichtlicher.
I. Paysafecard-Zahlungsverfahren Das Paysafecard-Zahlungsverfahren ist nicht, wie der Name suggeriert, auf einer Zahlungskarte verkörpert, sondern besteht lediglich aus einer Seriennummer sowie einer PIN. Durch Eingabe dieser Daten können bei Vertragsunternehmen Beträge bis maximal 30 Euro unter Verwendung drei verschiedener PaysafecardSeriennummern bezahlt werden.⁸²³ Der Einsatzbereich beschränkt sich auf den E‐Commerce.⁸²⁴ Da es sich um ein Bezahlverfahren handelt, dessen Prozesse
Vgl. Anhang I Nr. A4.6 PayPal-AGB. Es handelt sich bei derartigen Gebühren um die Normierung zulässiger Schadensersatzansprüche für die Verletzung vertraglicher Pflichten. Siehe zum Beispiel das E-Commerce Angebotsblatt des in Deutschland tätigen Acquirers B+S Card Service GmbH, abrufbar unter: https://www.bs-card-service.com/fileadmin/user_upload/ com-de/Dokumente/01_META/02_Unternehmen/Angebotsblatt_B_Sallpos.pdf, zuletzt abgerufen am 10.04. 2019. Nr. 4.3 S. 1 Paysafecard-AGB. Nr. 4.1 S. 1 Paysafecard-AGB, abrufbar unter: https://www.paysafecard.com/fileadmin/Web site/Dokumente/AGB/TC_DE_paysafecard_04_2017.pdf (Stand: 04/2017), zuletzt abgerufen am 10.04. 2019.
234
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
online abgewickelt werden, können konkrete Seriennummern jederzeit gesperrt werden.⁸²⁵ Besondere Pflichten werden für die sorgfältige Verwahrung von PIN und Seriennummer sowie für die ausschließliche Zahlungsauslösung über das Zahlungsfenster des Emittenten statuiert. Für die Nutzung des Paysafecard-Verfahrens fallen nach 12 Monaten Gebühren von 3 Euro pro Monat an. Die Rücktauschbarkeit der E-Geld-Beträge wird gem. Nr. 2.1.3 Paysafecard-AGB mit 7,50 Euro berechnet. Eine derartige Gebühr kann gem. § 33 Abs. 3 S. 2 ZAG n. F.⁸²⁶ nur vereinbart werden, soweit der E-Geld-Inhaber den Rücktausch vor Beendigung des Vertrags verlangt, ein befristeter Vertrag vorzeitig vom Nutzer gekündigt wird oder der E-Geld-Inhaber den Rücktausch nach mehr als einem Jahr nach Beendigung des Vertrags verlangt. Der Paysafecard-Emittent schränkt in Nr. 5.2 Paysafecard-AGB die Gebührenklausel den Vorgaben entsprechend ein, sodass die Klausel wirksam ist. Aufgrund der Begrenzung des Paysafecard-Verfahrens auf Zahlungsvorgänge bis höchstens 30 Euro handelt es sich um ein Kleinbetragsinstrument i. S. d. § 675i Abs. 1 S. 1 Nr. 1 BGB n. F. Das Gesetz sieht für derartige Instrumente einige vertragliche Abweichungsmöglichkeiten von den ansonsten zwingenden Vorschriften des Zahlungsdiensterechts vor. Von großer Relevanz sind insbesondere die Abweichungsmöglichkeiten im Haftungsregime.
II. Prepaid-Kreditkarten Prepaid-Kreditkartenverträge weisen keine Besonderheiten gegenüber normalen Kreditkartenverträgen auf. Die Festlegung der Gebühren für die Bereitstellung der Kreditkarte obliegt ohnehin dem jeweiligen Emittenten. Des Weiteren sind die Sorgfaltspflichten im Hinblick auf die personalisierten Sicherheitsmerkmale und die sichere Verwahrung der Karte deckungsgleich. Der einzige wesentliche Unterschied ist im Verfügungslimit zu sehen, welches sich bei der Prepaid-Kreditkarte logischerweise nach dem vorhandenen Guthaben richtet.⁸²⁷ Da auch keine Beschränkung auf Kleinbetragszahlungen erfolgt und die Kreditkarte gesperrt werden kann, besteht eine Kongruenz mit der normalen Online-Kreditkartenzahlung. Aus diesem Grund kann für die weitere Betrachtung von Prepaid-Kreditkarten im E-Commerce auf den dritten Teil dieser Arbeit zurückgegriffen werden.⁸²⁸ Nr. 6.2 und 8.4 Paysafecard-AGB. Vormals mit identischem Wortlaut § 23b Abs. 3 ZAG a. F. Vgl. z. B. VII-Sonderbedingungen für die MasterCard der netbank, abrufbar unter: https:// www.netbank.de/nb/downloads/AGBs.pdf (Stand: 28.02. 2017), zuletzt abgerufen am 10.04. 2019. Siehe: Teil 3, 3. Abschnitt.
3. Abschnitt: Zahlungsvorgänge auf E-Geld-Basis
235
3. Abschnitt: Zahlungsvorgänge auf E-Geld-Basis Bei der Betrachtung von E-Geld-Zahlungssystemen ist zunächst zu berücksichtigen, dass die Aufladung des jeweiligen E-Geld-Zahlungsinstruments nicht Gegenstand der Betrachtung ist. Hierbei handelt es sich um gewöhnliche Überweisungen, Lastschriften oder Kreditkartenzahlungen, bei denen der E-Geld-Emittent Zahlungsempfänger ist. In der Eigenschaft als Zahlungsdienstleister agiert der E‐Geld-Emittent nur hinsichtlich des mit dem E-Geld-Instrument an einen Dritten getätigten Bezahlvorgangs.
A. PayPal-Zahlungsvorgänge Die unterschiedliche kollisionsrechtliche Behandlung des PayPal-Zahlungssystems hinsichtlich des Aufsichts- und Zivilrechts hat zur Folge, dass das ZAG grundsätzlich nicht anwendbar ist. Es gilt insofern das luxemburgische Aufsichtsrecht. Im Verhältnis zum Zahlungsdienstnutzer finden lediglich die Begriffsbestimmungen des ZAG und des KWG gem. § 675c Abs. 3 BGB n. F. entsprechend Anwendung. Eine zivilrechtliche Pflicht, die der Nutzer gegenüber dem Dienstleister auf Durchführung einer entsprechenden Authentifizierung hat, gibt es zumindest nach der deutschen Umsetzung nicht. Bei § 675v Abs. 4 S. 1 BGB n. F. handelt es sich vielmehr um eine nicht einklagbare Obliegenheit. Dies wirft die Frage auf, nach welchen Vorschriften die Konkretisierung des § 675v Abs. 4 S. 1 BGB n. F. zu erfolgen hat.
I. Indirekte Geltung luxemburgischen Rechts im zivilrechtlichen Deckungsverhältnis? Art. 97 PSD II, der die Pflicht beinhaltet, eine starke Kundenauthentifizierung vorzusehen, erfasst als Vorschrift über Zahlungsvorgänge alle Zahlungsdienstleister, mithin auch E-Geld-Institute.⁸²⁹ Für PayPal werden sich die jeweiligen Pflichten aus dem luxemburgischen Umsetzungsgesetz zur PSD II ergeben. Dies lässt zunächst befürchten, dass bei Verbraucherverträgen entgegen dem Sinn und Zweck der Vorschriften des Art. 3 Abs. 1 und Art. 6 Abs. 2 Rom-I-VO schlussendlich doch ausländisches Recht, wenn auch indirekt, zur Anwendung kommt. Eine derartige Befürchtung lässt jedoch zweierlei Aspekte außer Betracht.
Vgl. Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 lit. b PSD II.
236
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
Sinn und Zweck der kollisionsrechtlichen Vorschriften ist zum einen der Schutz des Verbrauchers als schwächere Vertragspartei vor Rechtsanwendungsnachteilen sowie zum anderen die Senkung von Transaktionskosten.⁸³⁰ Für international agierende Unternehmen, die eine Vielzahl von Verträgen in unterschiedlichen Rechtssphären abschließen, lohnt es sich, das jeweilige Recht zu kennen. Umgekehrt ist es für einen Verbraucher sowohl zeitlich als auch ökonomisch unsinnig, sich für jeden einzelnen Vertrag mit einem im Ausland sitzenden Unternehmen mit dem dort geltenden Recht, für das es auch nur selten Übersetzungen gibt, vertraut zu machen.⁸³¹ Der Informationsvorsprung des Zahlungsdienstleisters soll daher durch die vorgeschriebene Anwendung des Rechts des Staates, in dem der Verbraucher seinen Wohnsitz hat, zumindest abgefedert werden. Die zweite Zielsetzung, die Senkung der Transaktionskosten, beruht auf der Überlegung, dass auch bei grenzüberschreitenden Verbraucherverträgen in der Regel keine besonders hohen Vertragssummen vorliegen. Die Mühen und Kosten, die in Streitfällen vor ausländischen Gerichten entstehen, könnten den zu erstreitenden Nutzen schnell überwiegen und somit Verbraucher davon abhalten, ihre Rechte gerichtlich geltend zu machen. Unter Berücksichtigung der Zielsetzung des europäischen Kollisionsrechts stellt sich die Frage, welche Auswirkungen eine etwaige Drittwirkung luxemburgischen Rechts auf deutsche zahlungsdienstrechtliche Verbraucherverträge hätte. Dabei spielt nicht nur das Gebot der Vollharmonisierung eine erhebliche Rolle. Die technischen Regulierungsstandards, die unter anderem Art. 97 PSD II umfassend konkretisieren, wurden als europäische Verordnung und somit als unmittelbar geltendes Recht verabschiedet. Folglich sind lediglich die rahmenartigen Vorgaben des Art. 97 PSD II Gegenstand der Anwendung luxemburgischen Rechts, welche durch unmittelbar anwendbares europäisches Recht überlagert werden. Das Schutzniveau wird infolge der einheitlichen Regulierung weitgehend dasselbe sein. Bei der Umsetzung europäischen Rechts ist zwar nicht auszuschließen, dass bei der Vielzahl der Aufsichtsbehörden unterschiedliche Auffassungen zur Auslegung der Vorschriften bestehen werden. Im Bereich des Art. 97 PSD II besteht mit Ausnahme der haftungsrechtlichen Relevanz der starken Kundenauthentifizierung aufgrund des im Übrigen klaren und unmissverständlichen Wortlauts sowie der Detailtiefe der RTS kein Umsetzungs- oder Auslegungsspielraum. Der Entstehung länderspezifischer Rechtsvorteile wird damit umfangreich vorgebeugt. Dies hat wiederum zur Folge, dass die mit der Rom-I-VO
Erwägungsgründe 23 und 24 Rom-I-VO. BeckOGK Rom-I-VO-Rühl, Artikel 6 Rn. 5 f.
3. Abschnitt: Zahlungsvorgänge auf E-Geld-Basis
237
bezweckten Ziele für Verbraucherverträge durch eine Drittwirkung luxemburgischen Rechts nicht untergraben werden. Überdies ist gerade im Hinblick auf die Auslegungsschwierigkeiten zu berücksichtigen, dass die jeweiligen Umsetzungsgesetze zwar die unmittelbar geltenden Pflichten statuieren, jedoch der Auslegungsvorrang des europäischen Rechts stets Geltung entfaltet. Aus diesem Grund sollte sich vor allen europäischen Gerichten die Auslegung des Zahlungsdiensterechts ohnehin nach den Vorgaben der PSD II und nicht nach den jeweiligen Umsetzungsgesetzen vollziehen. Selbst abweichende luxemburgische Vorgaben hätten daher vor Gericht keinen Bestand. Aus diesem Grund werden der weiteren Untersuchung die Vorgaben der PSD II zugrunde gelegt.
II. Zugriff auf das PayPal-Konto Bevor der Nutzer in der Lage ist, Zahlungsaufträge über die PayPal-Plattform zu erteilen, muss er sich zunächst unter Angabe seines Nutzernamens und eines zuvor selbst gewählten Passworts einloggen. Derartige Vorgänge erfordern nach den MaSI eine starke Kundenauthentifizierung, soweit der Nutzer durch die Anmeldung Zugriff auf sensible Daten erlangt. Die MaSI der BaFin finden jedoch keine Anwendung, da PayPal als ein in Luxemburg reguliertes Kreditinstitut nicht dem räumlichen Anwendungsbereich des Rundschreibens unterfällt.⁸³² Zuständig ist die luxemburgische Aufsichtsbehörde CSSF, welche die EBA-Richtlinien über die Sicherheit von Internetzahlungen mit dem im Augst 2015 in Kraft getretenen Rundschreiben „Circulaire CSSF 15/603“ umgesetzt hat.⁸³³ Die CSSF hat sich genauso wie die BaFin nicht die Mühe gemacht, eine eigene Umsetzung zu verabschieden. Dem Rundschreiben ist lediglich die ursprüngliche Leitlinie beigefügt.⁸³⁴ Die Vorgaben sind demnach identisch. Nach Titel I Nr. 2 EBA/GL/2014/12 sind sachlich alle Zahlungsdienstleister erfasst, die der PSD I unterfallen beziehungsweise unterfielen, sodass auch PayPal Adressat der EBA-Richtlinie ist. Nach dem Login-Prozess kann der Nutzer zwar Übersichten über Kontobewegungen sowie persönliche Daten wie Name und Anschrift einsehen. Sensible Zahlungs-
Titel I Nr. 3 MaSI. Circulaire CSSF 15/603, abrufbar unter: http://www.cssf.lu/fileadmin/files/Lois_reglements/ Circulaires/Hors_blanchiment_terrorisme/cssf15_603.pdf, zuletzt abgerufen am 10.04. 2019. Die BaFin hatte ursprünglich vorgesehen, die EBA-Richtlinien verschärft umzusetzen. Nach heftigen Reaktionen der betroffenen Institute sah die BaFin von einem derartigen Vorgehen ab und setzte mit den MaSI die Richtlinie Eins-zu-Eins um. Siehe hierzu: Hanno Bender, „BaFin macht Rückzieher bei MaSin“, 15.05. 2015, abrufbar unter: http://www.bargeldlosblog.de/bafinmacht-rueckzieher-bei-masin/, zuletzt abgerufen am 10.04. 2019.
238
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
daten, wie zum Beispiel die als Zahlungsquelle hinterlegte Kreditkartennummer, werden hingegen nur verschlüsselt angezeigt. Folglich ergibt sich aus der EBARichtlinie für PayPal keine Pflicht, den Login-Prozess mittels starker Kundenauthentifizierung abzusichern. Mit Inkrafttreten von Art. 97 PSD II am 14.09. 2019 wird sich dies ändern. Tatbestandlich erfasst Art. 97 Abs. 1 lit. a PSD II jeden Online-Zugriff auf ein Zahlungskonto i. S. d. Art. 4 Nr. 12 PSD II. Die neutrale Definition von Geldbeträgen erfasst auch PayPal-Konten als Zahlungskonten. Das PayPal-Zahlungssystem funktioniert ausschließlich über das Internet, sodass der Zugriff auch nur mittels Fernkommunikation erfolgen kann. Anmeldevorgänge bedürften daher künftig gem. Art. 97 Abs. 1 lit. a PSD II einer starken Kundenauthentifizierung. Im Rahmen des aktuellen Login-Prozesses greift PayPal nur auf ein Authentifizierungsmerkmal zurück. Dabei handelt es sich um das selbst gewählte Passwort. Die zum Login verwendete E-Mail-Adresse ist hingegen von anderen Nutzern, etwa nach einer Transaktion, einsehbar und erfüllt daher nicht die Eigenschaften eines Authentifizierungsmerkmals.⁸³⁵ Wie auch die Kontonummer ist die E-Mail-Adresse nicht geeignet, den Anforderungen der starken Kundenauthentifizierung gerecht zu werden. Die Ausnahmen nach Art. 10 Abs. 1 RTS finden gem. Art. 10 Abs. 2 RTS zwar für gewisse Zeiträume Anwendung, entbinden jedoch nicht gänzlich von der Authentifizierungspflicht bei Kontozugriffen. So ist bei allen erstmaligen Online-Zugriffen und bei der Abfrage von Kontobewegungen i. S. d. Art. 10 Abs. 1 lit. b RTS eine starke Kundenauthentifizierung vorzusehen, soweit die letzte Authentifizierung mehr als 90 Tage zurückliegt. Hinsichtlich des Login-Verfahrens muss PayPal daher bis September 2019 Anpassungen vorsehen, um den aufsichtsrechtlichen Anforderungen gerecht zu werden.
III. Autorisierung und das Erfordernis der starken Kundenauthentifizierung Ein PayPal-Zahlungsauftrag wird durch das Eingeben der Anmeldedaten – Nutzername und Passwort – sowie das Anklicken eines Zahlungsbuttons durch den berechtigten Zahlungsdienstnutzer autorisiert.⁸³⁶ Dabei ist es unerheblich, ob die Zahlung im E-Commerce oder stationär erfolgt, da sich die stets online erfolgenden Zahlungsvorgänge nicht unterscheiden. Eine gesonderte Authentifizierung mittels TAN oder sonstiger Sicherheitsmechanismen findet nicht statt.
Nr. 5 S. 1 PayPal-Datenschutzgrundsätze. Nr. 4.1.5.1 PayPal-AGB.
3. Abschnitt: Zahlungsvorgänge auf E-Geld-Basis
239
1. Verwaltungsrechtliche Authentifizierungspflicht nach den Circulaire CSSF 15/603 Die schwache eindimensionale Sicherung des PayPal-Kontos entspricht nicht den Vorgaben der starken Kundenauthentifizierung i. S. d. EBA-Richtlinien zur Sicherheit von Internetzahlungen. Neben dem öffentlich bekannten Nutzernamen ist auch das Passwort statisch und kann wiederverwendet werden. Die in Titel II Nr. 7.1 EBA/GL/2014/12 vorgesehene Anwendung der starken Kundenauthentifizierung erfolgt jedoch nicht schrankenlos. So bedürfen gem. Titel II Nr. 7.1 S. 2 Spiegelstrich 3 EBA/GL/2014/12 insbesondere Zahlungen keiner starken Kundenauthentifizierung, die innerhalb eines geschlossenen Zahlungssystems eines einzigen Zahlungsdienstleisters durchgeführt werden, soweit für die einzelne Zahlung durch eine Transaktionsrisikoanalyse ein geringes Missbrauchsrisiko festgestellt worden ist. Nach Titel I Nr. 12 Spiegelstrich 6 EBA/GL/2014/12 beruht eine derartige Analyse auf den beispielhaft genannten Kriterien des Zahlungsmusters des Nutzers, des Werts der Transaktion, der Art des Produkts und des Profils des Zahlungsempfängers. Den Akteuren werden die Ausgestaltung und Konkretisierung der Analyse selbst überlassen. Sowohl die BaFin als auch die CSSF haben in ihren jeweiligen Rundschreiben keine konkreten Leitfäden über die Durchführung einer sogenannten Transaktionsrisikoanalyse veröffentlicht. Die in der PSD II und insbesondere in den RTS vorgesehenen Konkretisierungen entfalten jedoch bereits jetzt eine gewisse Ausstrahlungswirkung, da die Aufsichtsbehörden den Zahlungsdienstleistern empfehlen, den ab dem 14.09. 2019 geltenden Anforderungen möglichst zeitnah gerecht zu werden.⁸³⁷ Auch wenn es keine offiziellen Angaben über die Zahlungsdienstleister gibt, die von den Ausnahmeregelungen Gebrauch machen, spricht der Umstand, dass PayPal keine starke Kundenauthentifizierung verlangt, für eine Privilegierung.⁸³⁸ Pflichtwidriges Verhalten von Zahlungsdienstleistern wird zum Schutz des Zahlungsverkehrs nicht toleriert. Die Aufsichtsbehörden legen beispielsweise Zahlungsdienstleistern, die ungenügende Transaktionsrisikoanalysen durchführen, die Pflicht zur Anwendung der starken Kundenauthentifizierung auf.⁸³⁹ Ein weiteres Zuwiderhandeln könnte weitreichende Folgen, wie etwa eine Entziehung der Erlaubnis, hervorrufen. Darüber hinaus hat PayPal im Konsultationsprozess zu den RTS auf die Durchführung derartiger Analysen verwiesen und zusätzlich auch Details offengelegt, um das Implementieren einer vergleichbaren Ausnahme in den RTS zu
Telefonat mit der CSSF v. 16.08. 2017. So auch Terlau, jurisPR-BKR 2/2016 S. 7; Zahrte, ZBB 2015, 410 (411). Telefonat mit der CSSF v. 16.08. 2017.
240
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
erreichen.⁸⁴⁰ Zu den genannten Faktoren zählen etwa das Risikolevel des jeweiligen Zahlungsinstruments und des System- oder Serviceanbieters, das Risikoprofil des Zahlers und des Zahlungsempfängers, welche jeweils anhand der Transaktionshistorie, dem Zahlungsverhalten und dem Gerät sowie dessen Standortdaten ermittelt werden, und der Kontext der Transaktion, wozu beispielsweise Betrag, Ort der Zahlungsauslösung und der Kaufgegenstand zählen. Es spricht daher vieles dafür, dass PayPal den Ausnahmetatbestand erfüllt und nach der aktuellen Rechtslage weder bei der Anmeldung noch bei der Auslösung eines Zahlungsvorgangs verpflichtet ist, eine starke Kundenauthentifizierung vorzusehen.⁸⁴¹
2. Verstärkte Authentifizierung nach Art. 97 PSD II Mit Inkrafttreten des Art. 97 PSD II am 14.09. 2019, der unter anderem die Verschärfung der Sicherheitsvorschriften für Zahlungsvorgänge zum Gegenstand hat, könnte sich die Rechtslage für PayPal künftig anders darstellen.
a) Tatbestandsverwirklichung des Art. 97 Abs. 1 PSD II durch das E-Geld-Geschäft Eine starke Kundenauthentifizierung wird bei dem Transfer von E-Geld-Beträgen erforderlich, soweit derartige Vorgänge den Tatbestand des Art. 97 Abs. 1 lit. b PSD II erfüllen. Dafür müsste der Transfer von E-Geld-Beträgen einen elektronischen Zahlungsvorgang darstellen, der durch den Zahlungsdienstnutzer ausgelöst wird. Aufgrund der beschaffenheitsneutralen Gelddefinition fällt unter den Begriff des Zahlungsvorgangs auch der Transfer von E-Geld. Die elektronische Komponente schließt lediglich papiergestützte Zahlungsvorgänge oder Bestellungen per Telefon oder Post aus,⁸⁴² sodass PayPal-Zahlungen als elektronische Zahlungsvorgänge zu behandeln sind. Eine starke Kundenauthentifizierung ist Stellungnahme von PayPal im Konsultationsverfahren, abrufbar unter: https://www.eba.eu ropa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technicalstandards-on-strong-customer-authentication-and-secure-communication-under-psd2?p_p_ auth=H8rfX3HO&p_p_id=169&p_p_lifecycle=0&p_p_state=maximized&p_p_col_id=column2&p_p_col_pos=1&p_p_col_count=2&_169_struts_action=%2Fdynamic_data_list_display% 2Fview_record&_169_recordId=1617934&_169_redirect=https%3A%2F%2Fwww.eba.europa.eu% 2Fregulation-and-policy%2Fpayment-services-and-electronic-money%2Fregulatory-technicalstandards-on-strong-customer-authentication-and-secure-communication-under-psd2%2F-% 2Fregulatory-activity%2Fconsultation-paper%2F1548180, zuletzt abgerufen am 10.04. 2019. Das Unternehmen selbst hat auf eine entsprechende Anfrage nicht reagiert. Siehe oben: Teil 2, 2. Abschnitt, E., II., 3., a), aa) und Erwägungsgrund 95 PSD II.
3. Abschnitt: Zahlungsvorgänge auf E-Geld-Basis
241
demnach für die Auslösung einer PayPal-Zahlung durch den Zahlungsdienstnutzer erforderlich.
b) Zusätzliches Erfordernis der dynamischen Verknüpfung i. S. d. Art. 97 Abs. 2 PSD II Soweit es sich bei PayPal-Zahlungsvorgängen um elektronische Fernzahlungsvorgänge handelt, könnten die Anforderungen der starken Kundenauthentifizierung durch das Erfordernis einer dynamischen Verknüpfung i. S. d. Art. 97 Abs. 2 PSD II zusätzlich verstärkt werden. Charakteristikum eines Fernzahlungsvorgangs ist die räumlich ungebundene Möglichkeit der Zahlungsauslösung. Die Zahlung wird mittels Fernkommunikation über ein Gerät ausgeführt, das nicht ausschließlich der Auslösung von Zahlungsvorgängen dient. Bei Fernzahlungsvorgängen hatte der Richtliniengeber ausweislich Erwägungsgrund 95 PSD II insbesondere Internetzahlungen im Sinn. PayPal-Zahlungen lassen sich nur unter Verwendung des Online-Zahlungssystems, also ausschließlich mittels Fernkommunikation, auslösen. Demnach bedürfen PayPal-Zahlungen mit Inkrafttreten der PSD II vorbehaltlich etwaiger Ausnahmen auch einer qualifizierten starken Kundenauthentifizierung.
c) Ausnahmen für PayPal-Zahlungen gem. Art. 18 RTS PayPal profitiert nach der aktuellen Rechtslage im Hinblick auf die Anwendung der starken Kundenauthentifizierung von der Ausnahme für Transfers innerhalb geschlossener Zahlungssysteme, die aufgrund einer Transaktionsrisikoanalyse eine geringe Missbrauchsgefahr aufweisen. Im ursprünglichen Konsultationspapier der EBA zu den technischen Regulierungsstandards für die starke Kundenauthentifizierung war eine vergleichbare Ausnahme nicht vorgesehen. Die EBA war der Auffassung, dass eine Ausnahme gestützt auf eine Transaktionsrisikoanalyse einerseits keine ausreichende Zuverlässigkeit für eine Befreiung von den Anforderungen der starken Kundenauthentifizierung bieten würde und andererseits den fairen Wettbewerb unter den Anbietern gefährden könnte.⁸⁴³ Verständlicherweise setzte sich PayPal hiergegen zur Wehr und wies im Konsultationsverfahren darauf hin, dass eine universelle Anwendung der starken Kundenauthentifizierung nicht nur das Kauferlebnis im E-Commerce schmälern,
Siehe: Kap. 3 Nr. 54 EBA/CP/2016/11 v. 12.08. 2016, abrufbar unter: https://www.eba.europa. eu/documents/10180/1548183/Consultation+Paper+on+draft+RTS+on+SCA+and+CSC+%28EBACP-2016-11%29.pdf, zuletzt abgerufen am 10.04. 2019.
242
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
sondern auch den tatsächlichen Risiken bei Online-Zahlungen nicht gerecht werden würde.⁸⁴⁴ Des Weiteren wurden unter Hinweis auf die Erkenntnisse, die aus dem Zahlungsverhalten tausender zuverlässiger Nutzer gewonnen wurden, die Bedenken gegen die Effizienz und Wirksamkeit einer Transaktionsrisikoanalyse mit Erfolg revidiert. Die EBA hatte in ihrem finalen Entwurf in Art. 16 RTS-E eine entsprechende Ausnahme berücksichtigt. Die Kommission betrachtete den EBA-Vorschlag kritisch. In einer Stellungnahme wies die Kommission zunächst darauf hin, dass die Methode der Risikoanalyse äußerst anspruchsvoll sei. Die Kontrolle der Methode, der gemeldeten Betrugsraten sowie des Risikomodells sollte daher unabhängigen Prüfern vorbehalten sein, um so eine ausreichende Objektivität hinsichtlich der Anwendung der Ausnahme zu erreichen, eine unabhängige Überprüfung der vorgegebenen Voraussetzungen zu gewährleisten und eine gute Qualität der übermittelten Daten sicherzustellen. Des Weiteren hat die Kommission die Ausnahme konkretisiert und strukturell überarbeitet. Der hiernach geltende Grundsatz lautet, dass auf die Anwendung der starken Kundenauthentifizierung verzichtet werden darf, soweit eine Transaktion aufgrund bestimmter Transaktionsüberwachungsmechanismen ein niedriges Risikolevel aufweist. Diese Mechanismen sind generell in Art. 2 RTS sowie speziell in Art. 18 Abs. 3 RTS geregelt. Die Risikoevaluierung nach Art. 18 Abs. 2 RTS erfolgt zweistufig. Zunächst darf die vom Zahlungsdienstleister übermittelte und nach den Vorgaben des Art. 19 RTS kalkulierte Betrugsrate⁸⁴⁵ für die jeweilige Transaktionsart die Referenzwerte nach Anhang I RTS nicht überschreiten:
Stellungnahme von PayPal im Konsultationsverfahren, abrufbar unter: https://www.eba.eu ropa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technicalstandards-on-strong-customer-authentication-and-secure-communication-under-psd2?p_p_ auth=H8rfX3HO&p_p_id=169&p_p_lifecycle=0&p_p_state=maximized&p_p_col_id=column2&p_p_col_pos=1&p_p_col_count=2&_169_struts_action=%2Fdynamic_data_list_display% 2Fview_record&_169_recordId=1617934&_169_redirect=https%3A%2F%2Fwww.eba.europa.eu% 2Fregulation-and-policy%2Fpayment-services-and-electronic-money%2Fregulatory-technicalstandards-on-strong-customer-authentication-and-secure-communication-under-psd2%2F-% 2Fregulatory-activity%2Fconsultation-paper%2F1548180, zuletzt abgerufen am 10.04. 2019. Der Rechnung werden alle Transaktionen, egal ob mit oder ohne starke Kundenauthentifizierung ausgeführt, zugrunde gelegt. Zudem finden alle betrügerischen Zahlungen Berücksichtigung, auch diese, bei denen der gegenständliche Betrag zurückerlangt werden konnte.
3. Abschnitt: Zahlungsvorgänge auf E-Geld-Basis
243
Abbildung : Referenzwerte der TRA gem. Anhang I RTS
Für PayPal, die keine kartenbasierten Fernzahlungen anbieten, ist die rechte Spalte maßgeblich. Bei Zahlungen zwischen 250 und 500 Euro darf danach die ermittelte Betrugsrate von 0,005 % nicht überschritten werden. Das bedeutet, dass maximal ein Betrugsfall bei 20.000 Zahlungen auftreten darf. Je niedriger die Exemption Threshold Value „ETV“ ist, also der maximale Referenzwert der jeweiligen Zahlung für die jeweilige Betrugsrate, desto höher ist der zulässige Referenzwert der Betrugsrate. Für Zahlungen unter 100 Euro darf daher ein Betrugsfall bei 6667 Zahlungsvorgängen bekannt werden. Auf zweiter Stufe muss der Zahlungsdienstleister gewährleisten, dass gem. Art. 18 Abs. 2 lit. c. RTS verschiedene Bedingungen erfüllt sind, deren Vorliegen wiederum durch die Transaktionsüberwachung darzulegen ist. Es darf kein abnormales Ausgabe- oder Verhaltensmuster entdeckt worden sein. Über das Zugangsgerät oder die Zugangssoftware dürfen keine ungewöhnlichen Erkenntnisse vorliegen. Darüber hinaus darf weder Schadsoftware in den einzelnen Prozessen der Authentifizierung noch bekannte Betrugsszenarien festgestellt worden sein. Abschließend muss der Ort des Zahlers seinen üblichen Gewohnheiten entsprechen und darf nicht als hochrisikoreich gelten. Letzteres sind beispielsweise Orte, die der Nutzer nicht regelmäßig aufsucht oder die bekannt sind für betrügerische Aktivitäten. Die Transaktionsüberwachung, die der Feststellung der nach Art. 18 Abs. 2 lit. c. RTS erforderlichen Bedingungen dient, erfolgt ebenfalls zweistufig. Art. 2 RTS legt zunächst einen Grundstock an Risikofaktoren fest, die durch die Überwachung festzustellen sind. Dabei handelt es sich um die Registrierung kompromittierter oder gestohlener Authentifizierungselemente sowie die Aufzeichnung der Zahlungsbeträge jeder Transaktion, der bekannten Betrugsszenarien und der Anzeichen für eine Infizierung mit Schadsoftware in jeder Phase der
244
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
Authentifizierung. Zusätzlich bedarf es der Erhebung weiterer Datensätze, um die geforderten Bedingungen, die eine Niedrigrisikozahlung begründen, nachweisen zu können. Nach Art. 18 Abs. 3 RTS müssen Zahlungsdienstleister Überwachungsmechanismen implementieren, die es ihnen ermöglichen, eine Risikoanalyse in Echtzeit durchzuführen. Gegenstand der Überwachung sind das bisherige Ausgabemuster des Zahlungsdienstnutzers, die Zahlungsvorgangshistorie jedes Zahlungsdienstnutzers, der Standort des Zahlers und des Zahlungsempfängers zum Zeitpunkt der Zahlung, soweit das für die Zahlung genutzte Gerät oder die verwendete Software vom Zahlungsdienstleister zur Verfügung gestellt wurde und abschließend das Verhältnis abnormaler Zahlungsmuster im Vergleich zur Zahlungshistorie des Zahlungsdienstleisters. All diese Faktoren müssen vom Zahlungsdienstleister zu einer detaillierten Risikobewertung zusammengefügt werden, um auf diese Weise das tatsächliche Risikolevel einzelner Zahlungen i. S. d. Art. 18 Abs. 2 lit. c RTS feststellen zu können. PayPal betreibt nach den bisherigen Erkenntnissen eine Transaktionsrisikoanalyse, um von der Anwendung der starken Kundenauthentifizierung nach der EBA-Richtlinie über die Sicherheit von Internetzahlungen befreit zu werden. Die Bemühungen im Konsultationsverfahren zeigen überdies, dass das Unternehmen auch nach Inkrafttreten des Art. 97 PSD II am 14.09. 2019 von der Ausnahme profitieren möchte, um weiterhin die beliebten Ein-Klick-Zahlungen anbieten zu können. Für Zahlungen über 500 Euro ist die Ausnahme nicht anwendbar. Außerdem kann auch das Überschreiten der Betrugsraten zu einem Wiederaufleben der Authentifizierungspflicht führen, sodass sich PayPal nicht in Gänze von einer Anwendung des verstärkten Authentifizierungsverfahrens befreien kann. Wie bereits beim Zugriff auf das PayPal-Konto erläutert, bedarf es daher zusätzlicher Authentifizierungsmechanismen, um den europäischen Anforderungen gerecht zu werden. Das bereits praktizierte SMS-TAN-Verfahren sichert in seiner aktuellen Ausgestaltung ausschließlich den Kontozugriff ab. Zahlungsvorgänge werden wie gewohnt ohne eine zusätzliche Authentifizierung ausgelöst. Demnach bedarf es noch der Implementierung eines Verfahrens, das ein Authentifizierungsmerkmal dynamisch mit dem Zahlungsbetrag und dem Zahlungsempfänger verbindet.
IV. Zugang und Ausführung eines Zahlungsauftrags Für den Zugang von Zahlungsaufträgen gilt wie auch beim Online-Banking die Vorschrift des § 675n BGB. Zulässigerweise i. S.d. § 675n Abs. 1 S. 3 BGB n. F. legt PayPal fest, dass Zahlungsaufträge, die nach 16 Uhr eingehen, erst als am
3. Abschnitt: Zahlungsvorgänge auf E-Geld-Basis
245
nächsten Geschäftstag zugegangen gelten.⁸⁴⁶ Nach dem Zugang kann der Zahlungsauftrag gem. § 675p Abs. 1 BGB n. F. nicht mehr widerrufen werden. Die Ablehnung von Zahlungsaufträgen ist nach Nr. 3.1 PayPal-Nutzungsbedingungen zulässig, wenn etwa Pflichtfelder nicht korrekt ausgefüllt wurden oder Zahlungsquellen nicht die nötige Deckung aufweisen. Hinsichtlich der Ausführung bestehen keine Besonderheiten. PayPal ist gem. § 675s Abs. 1 S. 1 BGB n. F. verpflichtet, den Zahlungsbetrag bis spätestens zum Ende des auf den Tag des Zugangs folgenden Geschäftstags dem Zahlungsempfänger gutzuschreiben. In der Realität erfolgen PayPal-Zahlungen schon jetzt als Instant Payments. Der gegenständliche Zahlungsbetrag wird also augenblicklich gutgeschrieben. PayPal ist damit den klassischen Kreditinstituten bereits einen Schritt voraus, die derzeit noch an der technischen Umsetzung von Echtzeitzahlungen arbeiten.⁸⁴⁷
V. Anwendung der Grundsätze des Anscheinsbeweises Die bisherige Untersuchung hat gezeigt, dass PayPal ein anderes Sicherheitskonzept verfolgt als die übrigen Zahlungsdienstleister. Während kontoführende Zahlungsdienstleister mit der Anwendung komplexer Authentifizierungsverfahren versuchen, Fremdzugriffe und die Erteilung von Zahlungsaufträgen zu verhindern, greift die Betrugsprävention von PayPal erst bei der Zahlungsausführung ein. Unautorisierte und missbräuchliche Zahlungen sollen durch die Transaktionsrisikoanalyse identifiziert und verhindert werden. Die bereits beschriebenen betrugspräventiven Mechanismen sollen dafür Sorge tragen, dass unberechtigte Zahlungen gar nicht erst zur Ausführung gelangen. Im Gegensatz zu den verschiedenen Authentifizierungsverfahren der kontoführenden Zahlungsdienstleister werden somit dem Nutzer keine, beziehungsweise nur geringe Sicherheitsinstrumente in die Hand gelegt, sodass PayPal fast ausschließlich für die Betrugsprävention zuständig ist. Das Sicherheitskonzept spiegelt die Philosophie und Attraktivität von PayPal wieder. Kundenfreundlichkeit – durch den Verzicht teils mühsamer TAN-Generation und Eingabe – soll mit einem hohen Schutzniveau kombiniert werden. Diese Philosophie birgt für den Nutzer zweierlei Rechtsvorteile. Zunächst bietet die eindimensionale Sicherung mittels statischen Passworts keine ausreichende Grundlage für die Annahme eines praktisch unüberwindbaren Sicherheitssystems. Das Passwort lässt sich auf mannigfaltigen reellen sowie virtuellen Wegen herausfinden, ohne dass der Nutzer dafür Sorgfaltspflichten verletzen
Nr. 4.1.1 PayPal-AGB. Terlau, jurisPR-BKR 2/2016, Anm. 1 S. 1.
246
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
müsste. Die Verwendung des Accounts lässt daher keine Rückschlüsse auf den tatsächlichen Nutzer zu, sodass die Anwendung des Anscheinsbeweises bei PayPal-Zahlungen nicht gerechtfertigt ist. Dies gilt auch, soweit PayPal auf das SMS-TAN-Verfahren zurückgreift, welches zwar durch die Einbeziehung eines zusätzlichen Geräts für ein Plus an Sicherheit sorgt, jedoch in der Praxis bereits überwunden wurde.⁸⁴⁸ Indem PayPal außerdem die Sicherheit weitgehend auf die eigenen Systeme verlagert, treffen den Nutzer weniger Sorgfaltspflichten im Hinblick auf die sichere Verwahrung von Speichermedien und zusätzlichen personalisierten Sicherheitsmerkmalen.⁸⁴⁹ Die ohnehin durch das Zahlungsdiensterecht vorgesehene Risikoverlagerung auf den Zahlungsdienstleister wird somit privatautonom verstärkt.
B. E-Geld-Zahlungsvorgänge im Paysafecard-Verfahren Das Paysafecard-Verfahren bewegt sich im Gegensatz zu PayPal im Segment der Kleinbetragszahlungen. Diese charakterisieren sich oftmals durch ihre bloß temporäre Nutzung und damit einhergehende Anonymität. Die geringwertigen Zahlungsbeträge rechtfertigen meist nicht den Aufwand einer Personalisierung des Zahlungsinstruments. Dies gilt auch für das Paysafecard-Zahlungsverfahren, welches unter ausschließlicher Verwendung von Seriennummer und PIN funktioniert. Rückschlüsse auf den berechtigten Inhaber oder überhaupt den Verwender sind nicht möglich. Kraft Natur der Sache kann die Autorisierung bei anonymen Zahlungsinstrumenten auch nicht unter Anwendung einer starken Kundenauthentifizierung erfolgen.⁸⁵⁰ Während sich dies in den MaSI ausdrücklich aus Nr. 7.1 S. 2 Spiegelstrich 4 MaSI ergibt, geht der Richtliniengeber stillschweigend davon aus.⁸⁵¹ Kaum erwähnenswert ist dementsprechend auch die Unanwendbarkeit der Grundsätze des Anscheinsbeweises.
Siehe oben: Teil 3, 1. Abschnitt, D., I., 4. Siehe oben: Teil 5, 2. Abschnitt, A., I., 3. Prepaid-Kreditkarten, die durchweg personalisiert sind, erfordern hingegen eine starke Kundenauthentifizierung, soweit sie nicht nach den RTS privilegiert sind, siehe unten: Teil 7, 1. Abschnitt, B. Vgl. Explanatory Memorandum Nr. 3 Abs. 4 RTS.
4. Abschnitt: Risikoverteilung und Haftung
247
4. Abschnitt: Risikoverteilung und Haftung A. Haftung im Zusammenhang mit der Nutzung des PayPal-Zahlungssystems Das PayPal-Zahlungssystem bietet aufgrund seines meist nur eindimensionalen Schutzes eine große Angriffsfläche. Im Gegensatz zum Online-Banking müssen Angreifer lediglich die ohnehin halb-öffentliche E-Mail-Adresse sowie das statische Passwort des Nutzers erlangen, um Zahlungsvorgänge auslösen zu können. Besonders beliebt sind daher Phishing- oder Pharming-Angriffe, bei denen der Nutzer entweder per Mail oder auf einer nachgebauten E-Commerce-Website dazu aufgefordert wird, sein PayPal-Passwort einzugeben. Auch Trojaner, die die im Tastaturfeld eingegebenen Buchstaben aufzeichnen, sogenannte „Keylogger“, können das PayPal-Passwort Dritten gegenüber offenbaren.
I. Haftung von PayPal 1. Haftung für unautorisierte Zahlungsvorgänge i. S. d. § 675u S. 1 BGB n. F. Das Paypal Law sieht in Nr. 12.4 Abs. 1 PayPal-AGB vor, dass PayPal für unautorisierte Zahlungen einsteht, soweit es keine Nachweise für betrügerisches, vorsätzliches oder grob fahrlässiges Fehlverhalten des Nutzers gibt. Nach Nr. 12.4 Abs. 2 PayPal-AGB muss die Anzeige über den unautorisierten Zahlungsvorgang innerhalb von 13 Monaten erfolgen. Erfolgt die Anzeige danach, ist der Anspruch ohnehin gem. § 676b Abs. 2 S. 1 BGB n. F.⁸⁵² ausgeschlossen. Indem PayPal-Zahlungen meist sofort nach der Autorisierung ausgeführt werden, verliert PayPal in Haftungsfällen nicht nur den Anspruch auf Aufwendungsersatz, sondern wird gem. § 675u S. 2 BGB n. F. darüber hinaus verpflichtet, den gegenständlichen Betrag unverzüglich zu erstatten.⁸⁵³ Unverzüglich i. S. d. § 121 Abs. 1 S. 1 BGB bedeutet ohne schuldhaftes Zögern. Die Konkretisierung der Unverzüglichkeit bestimmt sich nach den berechtigten Belangen der Beteiligten.⁸⁵⁴ Dem Zahlungsdienstleister ist daher ein angemessener Zeitraum zu gewähren, innerhalb dessen die Anspruchsvoraussetzungen, also insbesondere die fehlende Autorisierung, geprüft werden können.
Identisch mit der alten Fassung. Streng genommen ist noch die alte, jedoch identische Fassung für die Überprüfung der AGB heranzuziehen, da bis zum 13.01. 2018, das alte Recht noch Anwendung findet. Aufgrund der identischen Verfassungen der beiden Vorschriften kann auf eine Unterscheidung verzichtet werden. BeckOK BGB-Wendtland, § 121 Rn. 7 mwN.
248
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
PayPal legt in Nr. 12.3 Abs. 1 PayPal-AGB fest, dass der Nutzer innerhalb von 20 Geschäftstagen nach Eingang der Meldung über das Ergebnis der Prüfung informiert wird. Sollte PayPal innerhalb dieser Frist feststellen, dass die Prüfung länger als 60 Tage dauern wird, wird der gegenständliche Betrag innerhalb von 10 Tagen dem Nutzer zur freien Verfügung wiedergutschreiben. Bei kundenfeindlichster Auslegung bedeutet dies, dass bis zu 20 Geschäftstage vergehen können, bis der Nutzer den Geldbetrag unter Vorbehalt erstattet bekommt. Die Erstattungsvorschrift bezieht sich schließlich mit dem Passus „in diesen Fällen“ nur auf die intensivere Prüfung nach Nr. 12.3 Abs. 2 PayPal-AGB. Dieser Umstand wirft die Frage auf, ob Nr. 12.4 Abs. 1 i.V. m. Nr. 12.3 Abs. 1 und 2 PayPal-AGB die Vorgaben des § 675u S. 2 BGB n. F. in zulässiger Weise konkretisiert. Dies hängt davon ab, welche Prüfungen vernünftigerweise angestrengt werden dürfen, um die Anspruchsvoraussetzungen nachzuvollziehen. Neben der Analyse der technischen Aufzeichnung des Zahlungsvorgangs und der Zahlungshistorie, auf die PayPal als Inhaber der Daten schnellen Zugriff hat, werden weitere Schritte, wie etwa eine Auswertung von Videokameras, nicht erforderlich. Schließlich vollzieht sich der Großteil der Zahlungen im Internet.⁸⁵⁵ Zusätzlich könnten Informationen über den Zahlungsempfänger eingeholt werden. Schlussendlich beschränkt sich jedoch die Prüfung auf die Auswertung sofort verfügbarer technischer Daten. Aus diesem Grund ist nicht ersichtlich, warum 20 Geschäftstage⁸⁵⁶, also fast vier Wochen, vernünftigerweise nötig wären, um die Rechtmäßigkeit einer Erstattung zu überprüfen. Von einer Unverzüglichkeit kann daher nicht mehr gesprochen werden, sodass die Klausel gem. § 675e Abs. 1 i.V. m. § 675u S. 2 BGB n. F. unwirksam ist. An die Stelle der unwirksamen Klausel tritt § 675u S. 2 BGB n. F. Generell wird angenommen, dass eine zweiwöchige Frist als angemessen i. S.d. § 121 Abs. 1 S. 1 BGB gilt.⁸⁵⁷
2. Haftung für Nicht-, Schlecht- oder Spätleistungen i. S. d. § 675y BGB n. F. Nicht-, Schlecht- und Spätleistungen i. S. d. § 675y BGB n. F. werden im PayPalVertragswerk als Bearbeitungsfehler definiert. Die ebenfalls in Nr. 12 PayPal-AGB geregelte Rückabwicklung von Bearbeitungsfehlern entspricht weitgehend der Behandlung unautorisierter Zahlungen. Ebenfalls unwirksam ist daher die in Nr. 12.3 Abs. 1 PayPal-AGB vorgesehene Bearbeitungsdauer von 20 Tagen. § 675y Bei den (wenigen) stationären Annahmestellen stehen der Weitergabe von eventuellem Videomaterial datenschutzrechtliche Bedenken entgegen. Im Bankwesen fallen unter die Geschäftstage regelmäßig nur die Wochentage Montag bis Freitag. MünchKommBGB-Armbrüster, § 121 Rn. 7 mwN.
4. Abschnitt: Risikoverteilung und Haftung
249
Abs. 1 S. 1 BGB n. F.⁸⁵⁸ sieht schließlich ebenfalls eine unverzügliche Erstattung des gegenständlichen Zahlungsbetrags vor. Bearbeitungsfehler sind daher binnen 14 Tagen zu korrigieren. PayPal haftet nach den Vorgaben des § 675y BGB n. F. auch für alle vorhersehbaren Folgeschäden, wie etwa Zinsschäden. Dies ergibt sich bereits aus Nr. 12.6 Abs. 4 S. 2 PayPal-AGB.
II. Haftung des Zahlungsdienstnutzers i. S. d. § 675v BGB n. F. PayPal gibt keine verkörperten Zahlungsinstrumente aus. Das Zahlungssystem kann allerdings über die PayPal-App auf dem Smartphone verwendet werden. Dessen Einsatzbereich beschränkt sich nicht nur auf den E-Commerce, sondern erstreckt sich auch auf das stationäre Bezahlen. Dies könnte zusätzliche Haftungsfragen aufwerfen.
1. Das Smartphone als Zahlungsinstrument i. S. d. Zahlungsdiensterechts? Haftungsrechtlich hat der Umstand, ob ein Zahlungsinstrument verkörpert ist oder nicht, erhebliche Auswirkungen. Es ergeben sich zusätzliche Sorgfaltspflichten, die im Falle einer Verletzung durch den Nutzer wiederum eine umfangreichere Haftung begründen können. Aus diesem Grund stellt sich die Frage, ob ein Smartphone ausgestattet mit der PayPal-App als haftungsrechtlich unbedeutendes Zahlungszugangsmedium oder als haftungsrechtlich relevantes Zahlungsinstrument einzuordnen ist. Die Intention des Gesetzgebers, Zahlungsinstrumenten besonderen Schutz zu gewähren, begründet sich durch die größere Missbrauchsanfälligkeit verkörperter Zahlungsinstrumente. Der bloße Besitz ist die erste und manchmal einzige Stütze der Authentifizierung. Der zusätzliche Schutz, der sich in den gesteigerten Sorgfaltspflichten und schärferen Haftungsfolgen wiederspiegelt, ist also nur für Geräte oder Gegenstände gerechtfertigt, deren Entwendung eine gesteigerte Missbrauchsgefahr begründet. Es reicht daher nicht aus, wenn das Gerät lediglich Zugangskanäle zu Zahlungsinstrumenten beinhaltet, die auch über andere Geräte hergestellt werden können. Der für den Zugang zum Online-Banking verwendete Computer ist daher beispielsweise ohne zahlungsdienstrechtlichen Belang. Entscheidendes Differenzierungsmerkmal ist die Personalisierung des für die Zahlung verwendeten Gerätes. Kann beispielsweise aufgrund einer Personalisierung und Registrierung nur das konkrete Smartphone des Nutzers für mobile Zahlungen genutzt werden, handelt es sich bei dem Smartphone um ein Zahlungsin-
Ebenfalls im Vergleich zur alten Regelung unverändert.
250
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
strument. Denn in diesen Fällen ist das Smartphone zwingender Bestandteil der Authentifizierung und bietet eine zusätzliche Gewähr für die Integrität des Zahlungsvorgangs. Bei der Nutzung der PayPal-App werden zwar aus Sicherheitsgründen auch gerätespezifische Daten wie die Geräte-ID gesammelt, eine Nutzung über andere Smartphones ist jedoch weiterhin möglich. Eine Kopplung zwischen Smartphone und PayPal-Account findet nicht statt, sodass jedes Smartphone mit der entsprechenden PayPal-App und den jeweiligen Zugangsdaten für Zahlungsvorgänge genutzt werden kann. Demnach erfüllt das Smartphone im PayPalZahlungssystem nur die Funktion eines Zahlungszugangsgeräts und ist nicht als Zahlungsinstrument i. S. d. Zahlungsdiensterechts zu qualifizieren.
2. Beschränke Haftung i. S. d. § 675v Abs. 1 und 2 BGB n. F. Die Disqualifikation des Smartphones als Zahlungsinstrument hatte nach der alten Rechtslage zur Folge, dass eine beschränkte Haftung nur nach § 675v Abs. 1 S. 2 BGB a. F. in Betracht kam. Die Gefährdungshaftung nach § 675v Abs. 1 S. 1 BGB a. F. fand schließlich nur auf verkörperte Zahlungsinstrumente Anwendung. Dies hatte zur Folge, dass tatbestandlich eine unsorgfältige Aufbewahrung der personalisierten Sicherheitsmerkmale erforderlich war. Folglich konnte nach der alten Rechtslage eine unsorgfältige Aufbewahrung des PayPal-Passworts zu einer Haftung bis zu einem Betrag von 150 Euro führen. Die PayPal-AGB sehen jedoch weiterhin gem. Nr. 12.4 PayPal-AGB eine Haftung des Nutzers für unautorisierte Zahlungen nur bei einem betrügerischen, vorsätzlichen oder grob fahrlässigen Fehlverhalten vor. Demnach war und ist die beschränkte Haftung nach § 675v Abs. 1 BGB a. F. vertraglich abbedungen. Hierbei kommt dem Nutzer der halbzwingende Charakter des Zahlungsdiensterechts entgegen, indem Abweichungen zu Gunsten des Nutzers stets zulässig sind.⁸⁵⁹
3. Unbeschränkte Haftung i. S. d. § 675v Abs. 3 BGB n. F. Möglicherweise hat PayPal die beschränkte Gefährdungshaftung aus Kostenund Beweisgründen abbedungen. So könnte die Führung des Nachweises einer unsorgfältigen Aufbewahrung des Passworts den Nutzen, also die Entschädigung von ehemals 150 Euro und nunmehr 50 Euro, nicht rechtfertigen.⁸⁶⁰ Überdies sind die Entschädigungsbeträge angesichts der bereits dargestellten durchschnittli Umkehrschluss aus § 675e Abs. 1 BGB a. F./n. F. Der Verlust einer Zahlungskarte lässt sich beispielsweise deutlich leichter dadurch nachweisen, dass der Nutzer, jeglichen Verlust im eigenen Interesse zur Anzeige bringt und rechtlich gesehen auch zur Anzeige bringen muss.
4. Abschnitt: Risikoverteilung und Haftung
251
chen Schadenssummen nur ein Tropfen auf dem heißen Stein, weshalb sich PayPal einzig auf die unbeschränkte Haftung nach § 675v Abs. 3 BGB n. F. konzentriert. Diese greift ein, sobald der Nachweis gelingt, dass der Nutzer betrügerisch, vorsätzlich oder zumindest grob fahrlässig gesetzliche oder vertragliche Pflichten verletzt hat. Aufgrund des soeben beschriebenen Sicherheitskonzepts gibt es im Vergleich zum Online-Banking aufgrund der abgeschwächten Authentifizierungsverfahren weniger Sorgfaltspflichten, die der Nutzer verletzen könnte. Umgekehrt hat die weitgehende Verlagerung der Missbrauchsprävention auf die technischen Systeme von PayPal zur Folge, dass das Unternehmen verschuldensunabhängig für deren Integrität und Sicherheit einstehen muss. Von Bedeutung für eine Haftung des Nutzers sind daher nur die in Nr. 9.2 PayPal-AGB niedergelegten Sorgfaltspflichten. Dabei handelt es sich meist um Pflichten, die vom Online-Banking bekannt sind. So dürfen personalisierte Sicherheitsmerkmale nicht gegenüber Dritten offenbart, auf Drittseiten eingegeben oder elektronisch gespeichert werden. Das für den PayPal-Kontozugriff genutzte Gerät muss überdies technisch vor Drittangriffen geschützt werden. Das Passwort darf weder leicht zu erraten noch leicht zu merken sein. PayPal kann aufgrund der eindimensionalen Sicherung zur Beweisführung nicht auf die Anwendung der Grundsätze des Anscheinsbeweises zurückgreifen. Dies gilt auch, soweit der Nutzer das zusätzliche SMS-TANVerfahren verwendet, sodass PayPal zumindest die grob fahrlässige begangene Pflichtverletzung nachzuweisen hat. Nichtsdestotrotz kann die Rechtsprechung zur Schadensersatzpflicht des Nutzers im Zusammenhang mit dem wesensverwandten Online-Banking herangezogen werden. Wird also das Passwort auf dem mit der PayPal-App versehenen Smartphone oder auf dem regelmäßig für PayPalZahlungen verwendeten Computer gespeichert, liegt objektiv eine grob fahrlässige Pflichtverletzung vor. Selbiges gilt, wenn der Nutzer bei Pharming- oder Phishing-Angriffen die Zugangsdaten nicht über die vereinbarten Kommunikationskanäle an Dritte weitergibt. In Anbetracht der Unanwendbarkeit des Anscheinsbeweises ist regelmäßig davon auszugehen, dass eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers schwer nachzuweisen sein wird, sodass meist PayPal auf den Schäden sitzen bleiben wird.
4. Haftungsausschluss und -wechsel gem. § 675v Abs. 4 BGB n. F. Bis zum Inkrafttreten von Art. 97 PSD II am 14.09. 2019 richten sich die Voraussetzungen und Ausnahmen von der Anwendung der starken Kundenauthentifizierung gem. § 68 Abs. 4 ZAG n. F. nach den Vorgaben der MaSI. Sowohl das ZAG und die MaSI finden als deutsche Vorschriften des Aufsichtsrechts keine Anwendung auf das PayPal-Zahlungssystem. Dies regelt das luxemburgische Zah-
252
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
lungsdienstegesetz, dessen Anpassung an die PSD II allerdings erst am 10.07. 2018 vom luxemburgischen Parlament beschlossen worden ist.⁸⁶¹ Eine vergleichbare Übergangsregelung, die auf die der MaSI entsprechenden Circulaire 15/603 der CSSF verweist, ist nicht enthalten.⁸⁶² Unter Berücksichtigung der Ziele der PSD II sowie des effet-utile-Grundsatzes ist ein Verweis jedoch nicht zwingend erforderlich. Art. 88 Abs. 2 des luxemburgischen Zahlungsdienstegesetzes, das Äquivalent zu § 675v Abs. 4 BGB n. F., ist – ohne den entsprechenden Verweis – europarechtskonform auszulegen. Die PSD II verfolgt mit der Implementierung der starken Kundenauthentifizierung das Ziel, Missbrauch von Zahlungsinstrumenten zu bekämpfen und dadurch das Vertrauen der Zahlungsdienstnutzer in elektronische Zahlungen zu stärken.⁸⁶³ Als Anreiz für Zahlungsinstitute dient hierzu auch die in Art. 74 Abs. 2 PSD II vorgesehene Haftungsverlagerung. Zahlungsinstitute, die ihren Sicherheitspflichten nicht nachkommen, werden mittelbar sanktioniert. Aufgrund der EBA Leitlinien für die Sicherheit von Internetzahlungen besteht bereits eine europaweite verwaltungsrechtliche Vorgabe, wie die starke Kundenauthentifizierung anzuwenden ist. Unter Berücksichtigung der verfolgten Ziele, wäre es daher widersprüchlich, wenn Art. 74 Abs. 2 PSD II in der Übergangsphase ins Leere liefe, obwohl eine entsprechende Pflicht bereits besteht. Anderenfalls hätte der Europäische Gesetzgeber ebenfalls eine Übergangsphase für Art. 74 Abs. 2 PSD II vorgesehen. Die Vorschrift findet demnach auch bei PayPal-Zahlungen grundsätzlich Anwendung. Solange PayPal berechtigterweise aufgrund einer durchgeführten Transaktionsrisikoanalyse von der Authentifizierungspflicht befreit ist, kommt ein Haftungsausschluss des Nutzers nicht in Betracht. Dieser wird erst dann wieder relevant, wenn PayPal den Anforderungen der EBA-Leitlinien beziehungsweise ab September 2019 der RTS nicht mehr gerecht wird und unberechtigterweise auf eine starke Kundenauthentifizierung verzichtet.
5. Auswirkungen von Betrug im Valutaverhältnis auf die Haftung des Nutzers Im Bereich des Online-Bankings sind die sogenannten Rücküberweisungstrojaner eine beliebte Angriffsmethode. Sie sind im Hinblick auf die Haftung des Nutzers besonders nachteilig, da der Nutzer bedingt durch einen unbeachtlichen Motiv-
Draft bill no. 7195, abrufbar unter: https://www.chd.lu/wps/PA_RoleDesAffaires/FTSByte ServingServletImpl?path=3BADCB5082000FCAD741E C2E39BBBD56540D9FC10EA151AB24F18049235B6F75DCDC29F242F1D96B504466EBCABD3AB7 $DA4FBCCA3AA2B6F5E2AC1969FA0B7E12, zuletzt abgerufen am 10.04. 2019. Selbiges gilt für die englische und französische Umsetzung. Vgl. Anschreiben zum Rundschreiben 4/2015 – MaSI und Erwägungsgrund 95 PSD II.
4. Abschnitt: Risikoverteilung und Haftung
253
irrtum eine autorisierte Zahlung initiiert. Er hat demnach keinen Erstattungsanspruch gegen den Zahlungsdienstleister und muss den Schaden in voller Höhe selber tragen.⁸⁶⁴ Selbiges gilt auch für sonstige Irrtümer im Valutaverhältnis, die nicht auf das zahlungsdienstrechtliche Deckungsverhältnis, in dem lediglich die Autorisierung für eine Rückabwicklung maßgeblich ist, durchschlagen. Der Nutzer muss sich hier im Verhältnis zu seinem Vertragspartner, der im Zweifel mit den gegenständlichen Geldbeträgen längst verschwunden ist, auseinandersetzen. Bei der Nutzung von PayPal ist dies nicht der Regelfall. Die gesetzlich vorgesehene Abstraktheit von Deckungs- und Valutaverhältnis wird durch den PayPal-Käuferschutz aufgehoben. Betrügereien im Valutaverhältnis, etwa durch gefälschte ECommerce-Websites oder unlauter agierende E-Commerce-Händler, können aufgrund des geschlossenen Zahlungssystems, mit dem PayPal auch Handhabe über das Konto des Zahlungsempfängers hat, im Deckungsverhältnis bekämpft werden. Der PayPal-Nutzer hat gegenüber dem Online-Banking im Rahmen der Haftung damit einen entscheidenden Vorteil. Bei der betrugsbedingten Veranlassung einer Zahlung, verbleibt dem Nutzer der Rückgriff auf die Käuferschutzrichtlinie, wonach PayPal in der Regel den streitgegenständlichen Betrag zurückerstattet. Dies gilt jedoch nur für gewerbliche und nicht für private Zahlungen. Überweist der Nutzer irrtümlich eine private Zahlung an einen Dritten, kann das Käuferschutzverfahren nicht in Anspruch genommen werden.
III. Exkurs: Einlagensicherung und PayPal – Risiken für den Verwender? PayPal verfügt über eine luxemburgische Banklizenz. Mit dem Erbringen von Bankgeschäften geht jedoch nicht automatisch eine Einlagensicherungspflicht einher. Eine solche ist nach der neusten EU-Einlagensicherungsrichtlinie⁸⁶⁵ nur erforderlich, soweit ein Institut Gelder als Einlagen entgegennimmt und damit als CRR-Kreditinstitut i. S. d. Art. 4 Abs. 1 Nr. 1 CRR-VO zu qualifizieren ist. Das weitgehend vollharmonisierte Bank- und Zahlungsdiensterecht sieht in Art. 6 Abs. 3 S. 2 E-Geld-RL vor, dass Gelder, die für den Umtausch in E-Geld entgegengenommen werden, nicht als Einlagen i. S. d. Einlagensicherungsrechts gelten. Dies bestätigt der europäische Gesetzgeber ausdrücklich in Erwägungsgrund 29
Einige Banken erstatten die Schadensbeträge aus Kulanz: Christian Solmecke, „Phishing – Was heißt das eigentlich und wie kann ich mich davor schützen?“, 27.08. 2013, abrufbar unter: https://www.anwalt.de/rechtstipps/phishing-was-heisst-das-eigentlich-und-wie-kann-ich-michdavor-schuetzen_048836.html, zuletzt abgerufen am 10.04. 2019. Richtlinie 2014/49/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über Einlagensicherungssysteme, ABl.EU L 173/149.
254
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
der Einlagensicherungsrichtlinie. Darin heißt es: „E-Geld und für die Ausgabe von E-Geld entgegengenommene Geldbeträge sollten im Einklang mit der Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates nicht als Einlagen gelten und daher nicht in den Anwendungsbereich dieser Richtlinie fallen.“ Der sachliche Grund liegt in der unterschiedlichen Zielsetzung von Zahlungs- und Einlagengeschäft. Die Einlagensicherungspflicht dient gem. § 1 Abs. 1 S. 2 Nr. 1 KWG dem Schutz des breiten Publikums vor dem Verlust angelegter Geldmittel. Kapitalanlagen zeichnen sich durch ihren langfristigen Horizont aus. Auch wenn auf Girokonten neben den Zuflüssen auch regelmäßig Abflüsse erfolgen, liegt der wesentliche Grund für die Konteneröffnung in dem Aufbau und der Mehrung von Vermögen. Werden hingegen Gelder ausschließlich für Zahlungsvorgänge auf speziellen Zahlungskonten, wie etwa einem PayPal-Konto, eingezahlt, liegt diesem Vorgang kein langfristiges Anlageziel zu Grunde, sondern nur die kurzfristige Verfügbarkeit übertragbarer Geldmittel.⁸⁶⁶ Aus diesem Grund werden E-Geld-Beträge auch regelmäßig nicht verzinst.⁸⁶⁷ PayPal-Guthaben sind daher nicht durch das Luxemburger Einlagensicherungssystem Conseil de protection des déposants et des investisseurs (CPDI) geschützt.⁸⁶⁸ Im Falle einer Insolvenz des E-Geld-Instituts stehen Kunden jedoch nicht schutzlos dar. Art. 10 Abs. 1 PSD II sieht zwei insolvenzspezifische Sicherungsmechanismen vor, von denen Zahlungsdienstleister, die nicht in den Anwendungsbereich der Einlagensicherungsrichtlinie fallen, zumindest einen Mechanismus implementieren müssen.⁸⁶⁹ Die erste Variante verpflichtet das Zahlungsinstitut nach Art. 10 Abs. 1 Nr. 1 PSD II, für Zahlungszwecke entgegengenommene Gelder nicht mit Geldern anderer Personen zu vermischen und diese Gelder, falls sie nicht binnen eines Tages weitergeleitet werden, auf einem gesonderten Konto bei einem CRR-Kreditinstitut zu hinterlegen. Alternativ ist auch eine Investition der Gelder in von den zuständigen Behörden des Herkunftsmitgliedstaats als sicher und risikoarm definierte liquide Aktiva zulässig. Die zweite Sicherungsalternative gem. Art. 10 Abs. 1 Nr. 2 PSD II sieht den Abschluss einer Versicherungspolice oder einer Garantie vor. Diese Police oder Garantie dürfen nur von einer Versicherungsgesellschaft oder einem Kreditinstitut begeben wer-
Vgl. BT-Drs. 16/11613, S. 27. Vgl. BT-Drs. 16/11613, S. 36; natürlich gibt es Ausnahmen hiervon. So gibt es Institute, die Guthabenbeträge auf dem Kreditkartenkonto verzinsen. Diese fallen dann regelmäßig in den Anwendungsbereich der Einlagensicherungspflicht. Siehe auch den Hinweis in Nr. 1.1 Abs. 5 PayPal-AGB. Siehe BT-Drs. 18/11495, S. 124 f.
4. Abschnitt: Risikoverteilung und Haftung
255
den, die nicht zur Gruppe des Zahlungsinstituts gehören und der Aufsicht einer Behörde des Europäischen Wirtschaftsraums unterliegen.⁸⁷⁰ Indem die Abmilderung des Insolvenzrisikos in den Verantwortungsbereich des jeweiligen Zahlungsinstituts gestellt wird, verbleibt demnach ein Restrisiko, dass das jeweilige Zahlungsinstitut den speziellen Insolvenzvorsorgepflichten in einer Krise nicht angemessen nachkommt. In solchen Fällen muss die Finanzaufsicht zum Schutz der Zahlungsdienstnutzer einschreiten. Pflichtwidriges Unterlassen könnte das Entstehen von Amtshaftungsansprüchen zur Folge haben. Da die Insolvenzabsicherung im Gegensatz zur Einlagensicherung nicht auf ein unabhängiges Institut ausgelagert ist, bestehen für den Nutzer strukturelle Restrisiken. Angesichts der erfolgreichen Geschäftsentwicklung des Unternehmens dürfte ein derartiges Risiko als gering einzustufen sein. Nichtsdestotrotz hat die Finanzkrise von 2008 gezeigt, wie vermeintlich krisensichere Institute nur durch Staatshilfen vor dem Bankrott gerettet werden konnten. Demnach ist als Nachteil des PayPal-Zahlungssystems festzuhalten, dass die PayPal-Guthaben im Gegensatz zu Guthaben auf Girokonten einem geringen Insolvenzrisiko ausgesetzt sind.
B. Haftungsverteilung bei der Nutzung von Prepaid-Zahlungssystemen Die Unterscheidung von Kleinbetragsinstrumenten und „normalen“ Zahlungsinstrumenten macht sich besonders im Bereich der Haftung bemerkbar. Die Anonymisierung des Paysafecard-Verfahrens hat erhebliche Auswirkungen. Der Emittent ist gem. § 675i Abs. 2 Nr. 3 BGB n. F. befugt, das zahlungsdienstrechtliche Haftungsregime weitgehend abzubedingen. Diese Vorschrift gestattet dem Emittenten, unter anderem die Anwendung von §§ 675u, 675v Abs. 1– 3 und 5 BGB n. F. vertraglich auszuschließen. Nach alter Rechtslage war lediglich ein Abbedingen von §§ 675v Abs. 1 und 2 BGB a. F. möglich.
I. Redaktioneller Fehler im Verweis des Art. 63 PSD II? Die neue Vorschrift des § 675i Abs. 2 Nr. 3 BGB n. F. erlaubt nunmehr zusätzlich auch das Abbedingen des § 675v Abs. 5 BGB n. F., der die Nachfolgevorschrift von § 675v Abs. 3 BGB a. F. ist. Die Abbedingungsmöglichkeit ginge damit soweit, dass der Nutzer bei der Verwendung sperrbarer Kleinbetragsinstrumente auch für unautorisierte Buchungen haftbar gemacht werden könnte, die erst nach einer Sperranzeige entstanden wären und dies obwohl der Emittent in der Lage wäre,
BT-Drs. 18/11495, S. 125.
256
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
derartige Zahlungsvorgänge zu verhindern. Dem nationalen Gesetzgeber ist, wie man zunächst annehmen könnte, kein Umsetzungsfehler unterlaufen. Der Richtliniengeber sieht in Art. 63 Abs. 1 lit. b PSD II, welche die § 675i Abs. 2 Nr. 3 BGB n. F. zugrundeliegende Vorschrift ist, das Abbedingen von Art. 74 Abs. 1 und 3 PSD II für Kleinbetragszahlungsinstrumente vor. Bei Art. 74 Abs. 3 PSD II handelt es sich um die § 675v Abs. 5 BGB n. F. zugrundeliegende Vorschrift. Möglicherweise ist dem Richtliniengeber durch die Neuanordnung des Art. 74 PSD II ein redaktioneller Fehler unterlaufen. Die Vorschrift des Art. 63 Abs. 1 lit. a PSD II wurde bereits entsprechend korrigiert.⁸⁷¹ Hier wurde fälschlicherweise nicht auf Art. 74 Abs. 3 PSD II, sondern auf Art. 74 Abs. 2 PSD II verwiesen. Für Zahlungsinstrumente, die nicht gesperrt werden können, hätte die Vorschrift des § 675v Abs. 5 BGB n. F. nicht abbedungen werden können, da dies offensichtlich sachfremd gewesen wäre. Art. 63 Abs. 1 lit. a PSD II bezieht sich daher nun korrekterweise auf Art. 74 Abs. 3 PSD II. Vergleicht man nun die korrigierte Fassung des Art. 63 PSD II mit der Vorgängervorschrift wird deutlich, dass der Verweis in Art. 63 Abs. 1 lit. b PSD II fehl am Platz ist. Denn nach der alten Rechtslage bestanden keine Überschneidungen in den abdingbaren Vorschriften der Art. 53 Abs. 1 lit. a PSD I und Art. 53 Abs. 1 lit. b PSD I. Dies hatte den einfachen Hintergrund, dass sich die erste Variante auf nicht sperrbare Zahlungsinstrumente und die zweite Variante auf anonyme Zahlungsinstrumente bezogen. Es ging daher um zwei charakterlich gänzlich verschiedene Zahlungsinstrumente. Das nach der PSD II nunmehr bei beiden Instrumenten gem. Art. 63 Abs. 1 lit. a und b PSD II von der Vorschrift des Art. 74 Abs. 3 PSD II abgewichen werden kann, ist unlogisch. Zum einen wird aus den Erwägungsgründen nicht ersichtlich, dass der Richtliniengeber eine Änderung der Rechtslage für Kleinbetragsinstrumente beabsichtigt hat. Zum anderen wäre es vollkommen inkonsequent, wenn bei der Ausgabe von anonymisierten, aber der Sperrung zugänglichen Zahlungsinstrumenten neben der Anwendung der allgemeinen Haftungsvorschriften auch die Anwendung der Vorschrift über die Haftung für unautorisierte Zahlungen nach einer Sperranzeige abbedungen werden könnte. Damit würden Sinn und Zweck der Sperranzeige völlig konterkariert. Der Zahlungsdienstnutzer wäre nach § 675l Abs. 1 S. 2 BGB n. F., der bei einer Sperrbarkeit des Zahlungsinstruments gem. § 675i Abs. 2 Nr. 2 BGB n. F. nicht abbedungen werden kann, zur Anzeige des Verlusts des Zahlungsinstruments verpflichtet, müsste aber weiterhin für unautorisierte Zahlungsvorgänge einste Berichtigung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/ EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl.EU L 169/18.
5. Abschnitt: Ergebnis
257
hen. Eine derart sinnwidrige Rechtslage kann nicht dem Willen des Richtliniengebers entsprechen und muss auf einem redaktionellen Fehler beruhen. Vermutlich sollte nicht Art. 74 Abs. 3 PSD II, sondern Art. 74 Abs. 2 PSD II, der ohnehin auf anonymisierte Zahlungsinstrumente keine Anwendung finden kann, Gegenstand der Verweisung sein. Möglicherweise beruht der Fehler auch darauf, dass die Vorgängervorschrift auf Art. 61 Abs. 1 und 2 PSD I verwies, die in Art. 74 Abs. 1 PSD II zusammengefasst worden sind. Jedenfalls wird sich das Haftungskonzept für Kleinbetragsinstrumente nicht ändern.
II. Haftung bei Verlust der Paysafecard-Daten Das gesetzliche Leitbild zur Haftung im Umgang mit Kleinbetragsinstrumenten entspricht nach dem Vorstehenden meist nicht dem zahlungsdienstrechtlichen Regime, sondern ist mit der Haftung im Umgang mit Bargeld vergleichbar. Der Besitzer trägt nach Nr. 8.2 Paysafecard-AGB das Verlustrisiko. Indem sich das Paysafecard-Verfahren sperren lässt, finden §§ 675i Abs. 2 Nr. 2 und Abs. 3 BGB n. F. keine Anwendung. Das bedeutet, dass der Zahlungsdienstnutzer für unautorisierte Zahlungsvorgänge nur bis zur Abgabe der Sperranzeige eintreten muss. Ab dann haftet der Paysafecard-Emittent für alle weiteren Verfügungen und zwar unabhängig davon, ob der Nutzer Sorgfaltspflichten verletzt hat. § 675v BGB n. F. ist schließlich abbedungen. Folglich handelt es sich um eine rein zeitpunktabhängige und nicht um eine verschuldensabhängige Haftung.
5. Abschnitt: Ergebnis Das PayPal-Zahlungssystem weist viele Besonderheiten im Vergleich zu den bisher untersuchten Zahlungsmethoden auf und ist dadurch aus rechtlicher Perspektive besonders interessant. Zunächst beinhalten die Nutzungsbedingungen des „PayPal Law“ einige Besonderheiten gegenüber dem zahlungsdienstrechtlichen Vertragsrahmen des europäischen Gesetzgebers. Im Käuferschutzverfahren haben Nutzer etwa das Recht, über PayPal geleistete Geldbeträge im Fall einer Schlecht- oder Nichtleistung des Zahlungsempfängers zurückzufordern. Hierdurch lässt sich für einen etwaigen gerichtlichen Prozess die eigene Position durch die Rückführung der getätigten Kaufpreiszahlung verbessern. Mit dem Käuferschutzverfahren durchbricht PayPal den Grundsatz der Unabhängigkeit von Deckungs- und Valutaverhältnis. Dies birgt für den Nutzer jedoch auch die Gefahr negativer Rechtsfolgen. Die erfolgreiche Geltendmachung eines Antrags auf Käuferschutz hat nach höchstrichterlicher Rechtsprechung die Wiederbegründung der Kaufpreisforderung zur Folge. Des Weiteren kann die verfrühte,
258
Teil 5: Online-Zahlungssysteme auf E-Geld-Basis
ohne vorherige Aufforderung zur Nacherfüllung erfolgte Antragstellung den Verlust gewährleistungsrechtlicher Ansprüche auf die Erstattung von Folgeschäden zur Folge haben. Auch im Bereich des Haftungsrechts sieht das PayPal-Zahlungssystem eine Besserstellung des Nutzers gegenüber der Gesetzeslage vor, indem die beschränkte Haftung des § 675v Abs. 1 und 2 BGB n. F. abbedungen ist. Darüber hinaus verfügt PayPal über ein einzigartiges Sicherheitskonzept. Mit Hilfe einer Transaktionsrisikoanalyse wird in Echtzeit die Auslösung betrügerischer Zahlungsvorgänge verhindert. Kontenzugriff und Zahlungsauslösung werden aus diesem Grund und im Gegensatz zu anderen Online-Zahlungssystemen nur mittels statischen Passworts geschützt. Hierdurch wird die Betrugsprävention auf die eigenen technischen Systeme verlagert, sodass der Nutzer keine zusätzlichen TAN-Geräte oder Passwörter empfangen muss und ihn folglich weniger Sorgfaltspflichten treffen. Neben der beschränkten Haftung kommt dadurch auch eine Haftung nach § 675v Abs. 3 BGB n. F. seltener in Betracht. Die Funktionalität der Transaktionsrisikoanalyse stellt nach der aktuellen Rechtslage überdies auch eine Ausnahme von der Anwendung der starken Kundenauthentifizierung dar. PayPal könnte somit auch nach Inkrafttreten der RTS am 14.09. 2019 die Leichtgängigkeit und Schnelligkeit von PayPal-Zahlungsvorgängen weiter sicherstellen und hätte damit weiterhin im Hinblick auf Nutzerfreundlichkeit und Bedienbarkeit Vorteile gegenüber anderen Online-Zahlungssystemen. Nutzer eines Girokontos genießen hingegen für ihre Kontoguthaben den Schutz von unabhängigen Einlagensicherungssystemen der Kreditinstitute. Guthaben von PayPal-Nutzern werden nur durch insolvenzspezifische Aufsichtspflichten geschützt. Im Gegensatz zum gewöhnlichen Sparer tragen PayPalNutzer hierdurch ein gewisses Restinsolvenzrisiko, da der potenzielle Insolvenzschuldner Adressat der Pflichten ist und diese logischerweise auch verletzen kann. Für Anbieter von Kleinbetragszahlungsinstrumenten auf E-Geld-Basis bietet das Zahlungsdiensterecht eine große Flexibilität bei der Vertragsgestaltung. Zahlreiche zwingende Normen sind zur Disposition der Parteien gestellt oder werden für unanwendbar erklärt. Dies hat insbesondere haftungsrechtlich erhebliche Auswirkungen. Da Zahlungen ohne zusätzliche Authentifizierung etwa durch bloßes Vorhalten einer Karte ausgelöst werden können, besteht eine große Ähnlichkeit zum Bargeld. Bei E-Geld-Zahlungsinstrumenten, die nicht gesperrt werden können, trägt daher der Nutzer gem. § 675i Abs. 3 BGB n. F. das Verlustund Diebstahlrisiko. Bei allen anderen Kleinbetragszahlungsinstrumenten kann die Vorschrift des § 675u BGB abbedungen werden, soweit das Zahlungsinstrument anonym funktioniert. Der Zahlungsdienstleister kann die Berechtigung einer Verwendung unmöglich nachvollziehen, sodass es unbillig wäre, ihm
5. Abschnitt: Ergebnis
259
dennoch die Haftung für unautorisierte Zahlungen aufzubürden. Die Erbringung des Gegenbeweises wäre in einem solchen Fall ausgeschlossen. Die flexible Handhabe des Zahlungsdiensterechts ermöglicht im Bereich der Kleinbetragszahlungen, die aufgrund der geringen Zahlungsbeträge ohnehin ein geringeres Haftungsrisiko aufweisen, eine interessengerechte Vertragsgestaltung und Haftungsverteilung.
Teil 6: Remote Payments im E-Commerce Die definitorische Untersuchung des ersten Teils dieser Arbeit hat gezeigt, dass Remote Payments im E-Commerce nur selten eigene Bezahlverfahren darstellen. Wird etwa das Smartphone zum Erwerb von Waren oder Dienstleistungen im E‐Commerce eingesetzt, ohne dass die Zahlung über die Mobilfunkrechnung eingezogen wird oder an einen App-Store-Betreiber erfolgt, handelt es sich um ganz gewöhnliche Online-Zahlungen mittels Kreditkarte, PayPal oder Lastschrift. Das Smartphone nimmt wie auch der Computer keine Zahlungsfunktion, sondern eine Zahlungszugangsfunktion wahr. Derartige Zahlungen können unter Verwendung der jeweiligen Zugangsdaten über jedes zum Internet zugangsfähige Gerät abgeschlossen werden. Diese Fälle bedürfen daher keiner gesonderten Betrachtung.⁸⁷² Bei App- oder In-App-Käufen, die über den App-Store-Betreiber abgerechnet werden, liegt ein ähnlicher, aber nicht identischer Sachverhalt vor. Zwar wird auch hier das Smartphone nicht zum Zahlungsinstrument, der AppStore-Betreiber tritt aber für die Zahlungsabwicklung zwischen Zahler und Zahlungsempfänger, indem er die fälligen Beträge über das hinterlegte Zahlungsmittel einzieht und unter Abzug von Gebühren, Steuern etc. an den Zahlungsempfänger auskehrt. Derartige Dienstleistungen könnten daher als Zahlungsdienst in den Anwendungsbereich des Zahlungsdiensterechts fallen. Lediglich beim Direct Carrier Billing erlangt das Smartphone eine wesentliche Funktion im Zahlungsprozess, indem nicht nur der Zahlungsvorgang ausschließlich mit dem Smartphone angestoßen werden kann, sondern auch die Abrechnung über die Mobilfunkrechnung oder das Prepaid-Guthaben erfolgt. Demnach handelt es sich bei Einkäufen, die über die Mobilfunkrechnung oder das Prepaid-Guthaben abgerechnet werden, um die einzigen „wirklichen“ Remote Payments.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts A. Remote Payments an den App-Store-Betreiber Bei Zahlungen an den App-Store-Betreiber kommen als Anknüpfungspunkt für die Anwendung des Zahlungsdiensterechts ausschließlich Geldtransferdienstleistungen in Betracht. Die technischen Dienstleistungen des Mobilfunkanbieters, der die Datenkommunikation zwischen App-Store und Nutzer ermöglicht, So auch Busch, GewArch, 148 (149). https://doi.org/10.1515/9783110671629-009
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
261
sind genauso wenig wie die Leistungen von Internetanbietern erlaubnispflichtig. Eine solch untergeordnete Funktion rechtfertigt und erfordert keine zahlungsdienstrechtliche Regulierung. Dies stellt die Bereichsausnahme für technische Dienstleister gem. § 2 Abs. 1 Nr. 9 ZAG n. F. klar.
I. Zahlungsdienstrechtliches Drei-Personen-Verhältnis Grundvoraussetzung für die Anwendung des Zahlungsdiensterechts ist ein DreiPersonen-Verhältnis bestehend aus Zahler, Zahlungsdienstleister und Zahlungsempfänger. Die Geschäftsmodelle der drei großen App-Store-Betreiber Google, Apple und Windows weisen hierbei einige Unterschiede auf. So wandelt Google laut den eigenen Nutzungsbedingungen den eingezogenen Betrag des Kunden in E-Geld um und schreibt ihn anschließend dem Zahlungskonto des App-Anbieters gut.⁸⁷³ Dies erfolgt über den hauseigenen Google Payment Dienst.⁸⁷⁴ Apple und Windows übernehmen hingegen direkt das Inkasso und zahlen den Drittanbieter monatlich aus.⁸⁷⁵ Die Inkassodienstleistung der Betreiber wirft die Frage auf, ob möglicherweise der Anwender ausschließlich mit dem Betreiber kontrahiert und die anschließende (interne) Verrechnung mit dem Drittanbieter ein ausschließlich nachgelagerter, mit dem Erwerb nicht mehr zusammenhängender Prozess ist.⁸⁷⁶
1. Vertragspartner des App-Store-Kunden bei App- oder In-App-Käufen Maßgeblich für die Begründung des Valutaverhältnisses ist stets der objektive Empfängerhorizont. Aus der Sicht eines objektiven Erklärungsempfängers spricht vieles dafür, dass Vertragspartner der App-Store-Betreiber werden soll. Der Betreiber gibt zwar den Namen des Drittanbieters unter dem Namen der App an, hieraus wird jedoch nicht ersichtlich, dass damit auf den Vertragspartner hingewiesen werden soll. Schließlich kann dies auch als Hinweis auf den Entwickler zu verstehen sein, dessen Name für eine gewisse Qualität oder Seriosität der App steht. Auch im weiteren Kaufprozess fehlt es an eindeutigen Hinweisen auf den Vertragspartner. Nachdem der Kauf-Button betätigt wurde, werden nur noch Berechtigungsanforderungen der App angezeigt und der Kauf ist abgeschlossen. Die
Nr. 11.4 Nutzungsbedingungen Google Payment Ltd., abrufbar unter: https://payments. google.com/payments/apis-secure/get_legal_document?ldo=0&ldt=buyertos&ldr=DE (Stand: 28.03. 2018), zuletzt abgerufen am 10.04. 2019. Bräutigam/Rücker-Zdanowiecki, 11. Teil, C., Rn. 9. Bräutigam/Rücker-Zdanowiecki, 11. Teil, C., Rn. 9. Zum Valutaverhältnis und der Beantwortung der Frage, wer tatsächlich Vertragspartner wird, siehe unten: Teil 6, 2. Abschnitt, A.
262
Teil 6: Remote Payments im E-Commerce
Bezahlung erfolgt ebenfalls an den App-Store-Betreiber, was objektiv betrachtet für einen Vertragsschluss mit diesem streitet.⁸⁷⁷ Dabei dürfen jedoch die Nutzungsbedingungen über die Verwendung des jeweiligen App-Stores, denen im Rahmen der Anmeldung zugestimmt werden muss, nicht außer Betracht bleiben. Hinsichtlich des Grundgeschäfts beschreibt Apple in seinen Nutzungsbedingungen die eigene Funktion als Vertretung des Anbieters. Google sah dies bis zum Jahreswechsel ebenfalls vor, legt nun jedoch fest, dass alle Käufe separate Verträge mit der Tochter Google Commerce Limited begründen.⁸⁷⁸ Allgemeine Geschäftsbedingungen von Handelsplattformen werden zwar nicht direkt Vertragsinhalt der über die Handelsplattform geschlossenen Verträge, dienen jedoch der Auslegung der abgegebenen Willenserklärungen und erlangen so zumindest mittelbar Eingang in den jeweiligen Vertrag.⁸⁷⁹ So zieht auch der BGH in ständiger Rechtsprechung bei Online-Auktionsplattformen die AGB des Plattformbetreibers heran, um den Erklärungsgehalt der Willenserklärungen der Nutzer zu ermitteln.⁸⁸⁰ Indem sich die Nutzer mit den jeweiligen AGB einverstanden erklären, spiegelt sich deren Inhalt in den auf der jeweiligen Plattform abgegebenen Willenserklärungen wieder. Eine Ausnahme hiervon ist nur zu machen, soweit der Nutzer erkennbar von den jeweiligen Nutzungsbedingungen abweicht.⁸⁸¹ Mit Blick auf die Vertragsschlüsse in App-Stores sind die Willenserklärungen der Nutzer daher im Sinne der Nutzungsbedingungen auszulegen.⁸⁸² Sodann besteht etwa beim Apple App-Store aus vertraglicher Sicht ein Drei-Personen-Verhältnis, in dem der App-Store-Betreiber auch die Funktion eines Zahlungsabwicklers übernimmt.
Hierfür streitend Auer-Reinsdorff/Conrad-Kremer, § 28 Rn. 16; Degmair, K&R 2013, 213 (215). Vgl. Nr. 3 Google-Play Nutzungsbedingungen, abrufbar unter: https://play.google.com/intl/ de_de/about/play-terms.html (Stand: 28.03. 2018), zuletzt abgerufen am 10.04. 2019; siehe auch: Ewald, in: Baumgartner/Ewald, Apps und Recht, 2. Auflage, Rn. 129. Vgl. BGH, Urt. v. 15.02. 2017 – VIII ZR 59/16, NJW 2017, 1660 (1661) mwN; iE wohl auch Zdanowiecki, in: Bräutigam/Rücker, E-Commerce, 11. Teil, C., Rn. 19 f, der davon ausgeht, dass die App-Store-Bedingungen über § 305 Abs. 3 BGB direkt in den Vertrag miteinbezogen werden. BGH NJW 2017, 1660 (1661); WM 2012, 2299 (2300); NJW 2017, 468 (469). BGH NJW 2017, 1660 (1661). So auch Bisges, NJW 2014, 183 (184); iE wohl auch Zdanowiecki, in: Bräutigam/Rücker, E‐Commerce, 11. Teil, C., Rn. 13 ff, der seiner Untersuchung die alten iTunes-Store Nutzungsbedingungen zugrunde legt, die aufgrund ihrer Widersprüchlichkeit tatsächlich dafürsprachen, dass Vertragspartner Apple wird.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
263
2. Zahlungsdienstrechtliche Irrelevanz des Valutaverhältnisses Das zugrundeliegende Valutaverhältnis ist im zahlungsdienstrechtlichen Kontext allenfalls nur ein Indikator für die Annahme eines Zahlungsdienstleisters. Sinn und Zweck der Finanzaufsicht ist schließlich die Regulierung von Instituten, die Geldbeträge zwischen anderen Personen verschieben und somit den Zahlungsverkehr ermöglichen. Das Risiko, dass durch die Inbesitznahme und Weiterleitung fremder Gelder durch Dritte entsteht, soll mit der Regulierung abgesichert werden. Das Valutaverhältnis kann daher keine zahlungsdienstrechtliche Bedeutung entfalten. Es zählt allein die wirtschaftliche Betrachtung des Zahlungsflusses.⁸⁸³ Bei Inkassotätigkeiten ist daher zu unterscheiden, ob eine Zahlungsabwicklung im Drei-Personen-Verhältnis erfolgt und die Inkassostelle lediglich zwischengeschaltet ist oder ob es sich um zwei Zwei-Personen-Verhältnisse handelt, die insofern unabhängig voneinander sind. Letztere liegen beispielsweise vor, wenn ein E-Commerce-Händler Produkte eines Dritten einkauft und diese anschließend im eigenen Namen vertreibt. Auch bei Kommissionskäufen werden lediglich Geldschulden eines Dritten beglichen, jedoch keine Zahlungsdienste erbracht. Bei App-Store-Betreibern ist der Fall anders gelagert. Die Zahlungsabwicklung findet aus wirtschaftlicher Sicht im Drei-Personen-Verhältnis statt. Der Zahlungsbetrag wird stets unter Abzug von Gebühren im Zusammenhang mit der Abwicklung des zugrundeliegenden Geschäfts dem Anbieter der App übermittelt.⁸⁸⁴ Dabei ist es vollkommen unbeachtlich, ob die Beträge für jeden einzelnen Kauf gesondert oder als Sammelbetrag zu einem bestimmten Zeitpunkt übertragen werden. Die Zahlungsabwicklung kann demnach, soweit sie einen Zahlungsdienst darstellt, als Geschäftsbesorgung Gegenstand eines zusätzlichen oder bereits im ursprünglichen Vertrag eingegliederten Zahlungsdienstevertrags sein. Dies ist natürlich nicht der Fall, soweit der App-Store-Betreiber auch Anbieter der App ist. Dann besteht bei App-Verkäufen auch aus zahlungsdienstrechtlicher Perspektive ein bloßes Zwei-Personen-Verhältnis und kein Raum für eine Anwendung des Zahlungsdiensterechts.
Casper/Terlau-Casper, § 1 Rn. 15; EFN-Findeisen, § 1 ZAG Rn. 153; Schwennicke/AuerbachSchwennicke, § 1a ZAG Rn. 22. Der Abzug etwaiger Gebühren ist nur bei einer entsprechenden Vereinbarung mit dem Zahlungsempfänger wirksam, vgl. § 675q Abs. 2 S. 1 BGB n. F.
264
Teil 6: Remote Payments im E-Commerce
II. Rechtliche Qualifikation von Remote Payments im App-Store 1. E-Geld-Geschäft i. S. d. § 1 Abs. 2 S. 2 ZAG n. F. Möglicherweise eröffnen die Dienste von Google als E-Geld-Geschäfte den Anwendungsbereich des Zahlungsdiensterechts. Das amerikanische Unternehmen verfügt über seine Tochterfirma Google Payments Ltd. über eine E-Geld-Lizenz in Großbritannien und beschreibt in den Nutzungsbedingungen die eigenen AppStore-Zahlungstätigkeiten als E-Geld-Geschäft.⁸⁸⁵ Dies ist insofern verwunderlich, da sich die Zahlungstätigkeiten von Apple und Google kaum unterscheiden. Google nimmt für sich in Anspruch, das meist per Kreditkarte übermittelte Giralgeld in E-Geld umzutauschen und dieses unmittelbar an das Konto des AppAnbieters weiterzuleiten. E-Geld zeichnet sich meist dadurch aus, dass der elektronisch gespeicherte monetäre Wert, das Guthaben, von Drittanbietern als Zahlungsmittel akzeptiert wird. Bei einer Zahlung über Google liegt jedoch zunächst schon kein Guthaben im eigentlichen Sinne vor, das akzeptiert werden könnte. Denn im Gegensatz zum PayPal-Guthaben stellt das Google-Guthaben keinen eigenständigen Wert und insbesondere kein Zahlungsmittel dar, über das man verfügen könnte. Im Gegenteil der App-Store-Nutzer zahlt wie gewohnt per Kreditkarte, PayPal oder Lastschrift. Es handelt sich in erster Linie um eine besondere Verrechnungsmethode. Der Dritte akzeptiert keine Bezahlung aus einem speziellen Guthaben, sondern die wiederkehrende gewöhnliche Auszahlung vereinnahmter Geldbeträge. Auch das Guthaben des Dritten stellt kein E-Geld dar, da mit diesem Guthaben keine Zahlungen getätigt werden können. Das Konto des Zahlungsempfängers ist ein bloßes Guthabenkonto, welches zur Verrechnung gegenseitiger Forderungen genutzt wird. Es fehlt somit an der erforderlichen Drittakzeptanz.⁸⁸⁶ Zahlungen im Google Play-Store erfüllen daher nicht die Tatbestandsmerkmale des E-Geldes.⁸⁸⁷ Anderenfalls würde der Anwendungsbereich des Tatbestands erheblich und gegen die Intention des Richtliniengebers ausgedehnt.⁸⁸⁸ Regulatorisch hat dieser Umstand keine Auswirkungen, da der Besitz
Vgl. Präambel der Google-Payments Bedingungen: https://payments.google.com/payments/ apis-secure/get_legal_document?ldo=0&ldt=buyertos&ldr=de, zuletzt abgerufen am 10.04. 2019. Zu den Tatbestandsvoraussetzungen des § 1 Abs. 2 S. 3 ZAG n. F. siehe oben: Teil 5, 1. Abschnitt. Vgl. BankR Hdb-Terlau, § 55a Rn. 31; Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 24. Die Gründe von Google sich über das E-Geld-Geschäft regulieren zu lassen, liegen womöglich in anderen Produktsparten wie etwa dem Google Wallet oder Google Pay. Die E-Geld-Aufsicht unterscheidet sich jedenfalls nicht groß von der Zahlungsdiensteaufsicht, siehe: Fett/Bentele, WM 2011, 1352 (1353 ff). Vgl. Erwägungsgrund 7 E-Geld-RL.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
265
einer E-Geld-Lizenz, die strengeren Anforderungen unterliegt als eine Zahlungsdienstlizenz, auch zur Erbringung von Zahlungsdiensten berechtigt.⁸⁸⁹
2. Akquisitionsgeschäft i. S. d. § 1 Abs. 1 S. 2 Nr. 5 ZAG n. F. Der App-Store-Betreiber könnte durch die Übermittlung der eingegangenen Zahlungsbeträge an den Zahlungsempfänger Akquisitionsgeschäfte i. S. d. § 1 Abs. 1 S. 2 Nr. 5 2. Var. ZAG n. F. erbringen.⁸⁹⁰ Nach der alten Rechtslage war die Annahme und Abrechnung von Zahlungsvorgängen gem. § 1 Abs. 2 Nr. 4 ZAG a. F. nur dann als Zahlungsdienst zu bewerten, soweit die Zahlungsvorgänge mit einem Zahlungs(authentifizierungs‐)instrument ausgelöst wurden. Der Richtliniengeber hatte hiermit insbesondere die Regulierung von Zahlungskartenemittenten vor Augen. Das Erfordernis der Zahlungsauslösung per Zahlungsinstrument wurde in der PSD II gestrichen, um den Anwendungsbereich geschäftsneutral zu erweitern.⁸⁹¹ Erfasst ist nunmehr die Annahme und Abrechnung aller Zahlungsvorgänge, die als solche nicht bereits andere zahlungsdienstrechtliche Tatbestände erfüllen. Nach Art. 4 Nr. 44 PSD II stellt die Annahme und Abrechnung von Zahlungsvorgängen „einen den Transfer von Geldbeträgen zum Zahlungsempfänger bewirkenden Zahlungsdienst eines Zahlungsdienstleisters, der mit einem Zahlungsempfänger eine vertragliche Vereinbarung über die Annahme und die Verarbeitung von Zahlungsvorgängen schließt“ dar. Erforderlich ist demnach eine vertragliche Vereinbarung zwischen Zahlungsempfänger und Zahlungsdienstleister über die Annahme und Verarbeitung von Zahlungsvorgängen sowie die tatsächliche Durchführung eines Geldtransfers zum Zahlungsempfänger.⁸⁹² Inkassotätigkeiten, die im Wege des echten Factorings vollzogen werden, fallen nicht in den Anwendungsbereich, da hier kein Geldtransfer des eingezogenen Betrags an den Zahlungsempfänger stattfindet. Zu den typischen Zahlungsvorgängen zählen insbesondere die Annahme und Abrechnung von Lastschriften und Überweisungen.⁸⁹³ Händler sollen so ein unabhängig vom jeweiligen Zahlungsinstrument gleichbleibendes Schutzniveau genießen. Der Akquisitionstatbestand erfasst demnach typischerweise Dienst-
Für das Unternehmen Google, welches in Irland sitzt, vgl. Art. 11 Abs. 1 S. 1 PSD II. Für den Fall, dass der App-Store-Betreiber ausnahmsweise auch der Anbieter der App ist, ist er wie jeder gewöhnliche E-Commerce-Händler zu behandeln und leistet keine Zahlungsdienste. Vgl. Erwägungsgrund 10 PSD II, wobei darauf hinzuweisen ist, dass die europarechtlich gebotene Auslegung des „Zahlungsinstruments“ ohnehin einen weiten Anwendungsbereich zur Folge hatte. Siehe: Erwägungsgrund 10 PSD II. BT-Drs. 18/11495, S. 106.
266
Teil 6: Remote Payments im E-Commerce
leister, die Händler für bestimmte Zahlungsmittel akquirieren und gleichzeitig auch die Abrechnung übernehmen. Aus diesem Grund soll nach der Vorstellung des Richtliniengebers der Tatbestand auch nur erfüllt sein, wenn eine Vergleichbarkeit mit der Tätigkeit von Kartenacquirern besteht.⁸⁹⁴ App-Store-Betreiber akquirieren hingegen keine Händler für ein besonderes Zahlungsmittel, sondern stellen eine Plattform zum Vertrieb digitaler Waren zur Verfügung und sehen zur Zahlungsabwicklung lediglich bestimmte Verrechnungsmethoden vor. Diese Tätigkeiten sind nicht dem Akquisitionsgeschäft zuzuordnen.
3. Finanztransfergeschäft i S. d. § 1 Abs. 1 S. 2 Nr. 6 ZAG n. F. Für die Dienste des App-Store-Betreibers kommt final nur der inhaltlich unveränderte⁸⁹⁵ Auffangtatbestand des Finanztransfergeschäfts nach § 1 Abs. 1 S. 2 Nr. 6 ZAG n. F. in Betracht.⁸⁹⁶ Hierunter fallen alle Zahlungen, „bei denen ohne Errichtung eines Zahlungskontos auf den Namen eines Zahlers oder eines Zahlungsempfängers ein Geldbetrag des Zahlers ausschließlich zur Übermittlung eines entsprechenden Betrags an den Zahlungsempfänger oder an einen anderen, im Namen des Zahlungsempfängers handelnden Zahlungsdienstleister entgegengenommen wird oder bei dem der Geldbetrag im Namen des Zahlungsempfängers entgegengenommen und diesem verfügbar gemacht wird“. Der Tatbestand ist aufgrund der Intention des Richtliniengebers, alle elektronischen Zahlungsdienste zu regulieren, weit auszulegen.⁸⁹⁷ So sind nicht nur Bargeldentgegennahmen oder -übermittlungen Gegenstand der Vorschrift, sondern auch Übermittlungen von Buch- und E-Geld-Beträgen. Entscheidend ist dabei weder die Art der Übermittlung noch der Adressat, sondern ausschließlich das wirtschaftliche Ergebnis des Finanztransfers.⁸⁹⁸ Vereinfacht gesagt bedeutet dies, dass ein Finanztransfer
Siehe: Erwägungsgrund 10 PSD II sowie BT-Drs. 18/11495, S. 113. Siehe ausführlich zu den Änderungen des Tatbestands und ihren (ausbleibenden) Auswirkungen: Danwerth, ZBB 2017, 14 (16 ff). Vgl. Erwägungsgrund 9 PSD II, der beispielhaft die Entgegennahme von Bargeld und dessen Übermittlung an Dritte nennt, jedoch sonstigen Geldtransferdienste, auch durch Annahme von Giralgeld, gerade nicht ausschließt. Der deutsche Gesetzgeber geht in seinem Entwurf zum ZDUG II auch deshalb davon aus, dass das weggefallene digitalisierte Zahlungsgeschäft entweder dem Akquisitions- oder Finanztransfergeschäft unterfällt, vgl. BT-Drs. 18/11495, S. 104. EFN-Findeisen, Rn. 285; etwas restriktiver aber i. E. ähnlich Hingst/Lösing, BKR 2012, 334 (336 f); aA Bauerfeind, WM 2018, 456. BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, geändert am 29.11. 2017, Nr. 2 lit. e, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichun gen/DE/Merkblatt/mb_111222_zag.html (Stand: November 2017), zuletzt abgerufen am 10.04. 2019; so wohl auch die verwaltungsrechtliche Rechtsprechung: VG Frankfurt a. M., Beschluss v.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
267
vorliegt, soweit ein Geldbetrag unter Zwischenschaltung einer dritten Partei zum Zweck der Übermittlung entgegengenommen und an den Zahlungsempfänger übermittelt wird. Die wirtschaftliche Betrachtung des Zahlungsvorgangs hat zur Folge, dass es vollkommen unerheblich ist, ob dabei eine eigene (abgetretene) oder fremde Forderung eingezogen wird.⁸⁹⁹ Die Übertragung der Forderung ist eine reine Abwicklungsmodalität, die das wirtschaftliche Ergebnis des Zahlungsprozesses nicht beeinflusst. Entscheidend ist beim Factoring die Frage, ob die Zahlungsabwicklung oder die Finanzierung des Vertragspartners im Vordergrund steht.⁹⁰⁰ Ersteres ist beim echten Factoring der Fall, da der Vertragspartner erst nach erfolgreicher Einziehung der Entgelte seinen Anteil erhält und somit selber das Inkassorisiko trägt.⁹⁰¹ In diesen Fällen liegen zwei voneinander unabhängige Vertragssphären vor, die wie bei verschiedenen Umsatzgeschäften – An- und Verkauf von Waren – keine Weiterleitung von Geldern im eigentlichen Sinne beinhalten.⁹⁰² App-Store-Betreiber übernehmen nach den geltenden Nutzungsbedingungen nicht das Delkredererisiko.⁹⁰³ Ihr Geschäftsmodell entspricht somit dem unechten Factoring, also dem Forderungskauf ohne Übernahme des Inkassorisikos. Das unechte Factoring dient zuvorderst der Zahlungsabwicklung und erfüllt aus wirtschaftlicher Sicht den Tatbestand des Finanztransfers.⁹⁰⁴ Eine
05.10. 2012 – 9 L 2833/12.F, BeckRS 2012, 58784; Urt. v. 12.11. 2014, BeckRS 2015, 45686, Rn. 14, siehe auch: Danwerth, Finanztransfergeschäft, S. 92 ff; Terlau, K&R 2011, 813 (815); MünchKommBGBCasper, § 675c Rn. 12. Bafin Journal 2014, S. 9 f; VG Frankfurt a. M., Beschluss v. 05.10. 2012 – 9 L 2833/12.F, BeckRS 2012, 58784; siehe auch: BankR Hdb-Walther, § 42 Rn. 619. BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, geändert am 29.11. 2017, Nr. 2 lit. e, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichun gen/DE/Merkblatt/mb_111222_zag.html (Stand: November 2017), zuletzt abgerufen am 10.04. 2019. BankR Hdb-Walther, § 42 Rn. 619. Vgl. BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, geändert am 29.11. 2017, Nr. 2 lit. e, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffent lichungen/DE/Merkblatt/mb_111222_zag.html (Stand: November 2017), zuletzt abgerufen am 10.04. 2019. Nr. 3.4 Google Developer Distribution Agreement, abrufbar unter: https://play.google.com/ intl/ALL_de/about/developer-distribution-agreement.html (Stand: 17.05. 2017), zuletzt abgerufen am 10.04. 2019: Apple hält seine Developer Distribution Agreements geheim. Die Nutzungsbedingungen erwecken jedoch den Eindruck, dass auch Apple die Zahlungen abwickelt, da sie ungeachtet wer Vertragspartner geworden ist, die Rückerstattung vornehmen, Siehe: lit. B iTunesNutzungsbedingungen, abrufbar unter: https://www.apple.com/legal/internet-services/itunes/ de/terms.html (Stand: 13.09. 2016), zuletzt abgerufen am 10.04. 2019. So auch Danwerth, ZBB 2017, 14 (20); MünchKommBGB-Casper, § 675c Rn. 13.
268
Teil 6: Remote Payments im E-Commerce
wirklich trennscharfe Abgrenzung ermöglichen jedoch weder der unklare Tatbestand noch die wenig hilfreichen Konkretisierungen durch den Gesetzgeber und die Finanzaufsicht. Danwerth hat in diesem Zusammenhang auf das in der Gesetzesbegründung und in der Verwaltungspraxis vernachlässigte Tatbestandsmerkmal des Übermittlungszwecks hingewiesen.⁹⁰⁵ Der gegenständliche Geldbetrag muss „ausschließlich zur Übermittlung“ entgegengenommen werden.⁹⁰⁶ Dieser Zweck besteht nach Ansicht des Verwaltungsgerichts Frankfurt nicht mehr, wenn Geldbeträge zur Realisierung eines Gewinnes entgegengenommen werden. Derartige Konstellationen ergeben sich etwa im Bereich des Police-Factorings, bei dem Unternehmen Versicherungsverträge aufkaufen, sich die Forderungen abtreten lassen und anschließend die Verträge gegenüber den Versicherungsunternehmen kündigen, um den Rückkaufwert zu realisieren.⁹⁰⁷ Dies bedeutet jedoch keineswegs, dass ein App-Store-Betreiber, der Geldbeträge im eigenen Namen einzieht, diese mit eigenen Forderungen, etwa Honoraren für Dienstleistungen, verrechnet und erst anschließend auskehrt, keine Zahlungsdienste betreibt.⁹⁰⁸ Maßgeblich für eine Erlaubnisfreiheit ist, ob mit der Entgegennahme der Geldbeträge auch übermittlungsfremde Zwecke verfolgt werden.⁹⁰⁹ Die Zwecksetzung der Zahlungsabwicklung ermittelt sich grundsätzlich nach der bereits beschriebenen wirtschaftlichen Analyse des Zahlungsstroms. Eine Gesamtbetrachtung unter Berücksichtigung des Valutaverhältnisses ist nur angezeigt, soweit ein untrennbarer Zusammenhang zwischen Grundgeschäft und Zahlungsabwicklung besteht, aufgrund dessen sich die Geschäfte gegenseitig bedingen.⁹¹⁰ Dies ist etwa dann anzunehmen, wenn die Zahlungsabwicklung das Leitmotiv der Beauftragung des Dienstleisters ist.⁹¹¹ Nach Danwerth sind daher Inkassodienstleistungen erlaubnisfrei, da der Geldbetrag nicht ausschließlich zur Übermittlung, sondern auch zur Erfüllung der Vertragspflichten entgegen genommen wird.⁹¹² App-Store-Betreiber sind keine reinen Inkassodienstleister, sondern bieten in erster Linie die technische Infrastruktur für den Vertrieb von Apps an, welche
Danwerth, Finanztransfergeschäft, S. 201 ff. Vgl. hierzu ausführlich: VG Frankfurt a. M., Urt. v. 12.11. 2014 – 7 K 1239/14.F, BeckRS 2015, 45686; Danwerth, Finanztransfergeschäft, S. 201 ff. VG Frankfurt a. M., Urt. v. 12.11. 2014 – 7 K 1239/14.F, BeckRS 2015, 45686. Vgl. VG Frankfurt a. M., Beschluss v. 05.10. 2012 – 9 L 2833/12.F. Danwerth, ZBB 2017, 14 (20); ders., Finanztransfergeschäft, S. 201 ff; MünKommBGB-Casper, § 675c Rn. 13. Danwerth, ZBB 2017, 14 (20); MünchKommBGB-Casper, § 675c Rn. 13. MünchKommBGB-Casper, § 675c Rn. 13. Danwerth, ZBB 2017, 14 (20); MünchKommBGB-Casper, § 675c Rn. 13.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
269
oftmals auch kostenfrei sind. Im Vordergrund steht zum einen die Vertriebsplattform und zum anderen der Zugriff auf den bereits bestehenden großen Kundenstamm. Die Zahlungsabwicklung ist somit nicht Leitmotiv der Mandatierung, weshalb sich eine Gesamtbetrachtung von Grundgeschäft und Zahlungsabwicklung verbietet. Es bleibt damit bei der wirtschaftlichen Betrachtung, was zur Folge hat, dass App-Store-Betreiber Finanztransfergeschäfte i. S. d. § 1 Abs. 1 S. 2 Nr. 6 ZAG n. F. erbringen. Schließlich nimmt der App-Store-Betreiber Geldbeträge des Zahlers im Namen des Zahlungsempfängers auf einem Verrechnungskonto entgegen, das nicht als Zahlungskonto i. S. d. Zahlungsdiensterechts zu qualifizieren ist, und übermittelt die Zahlungsmittel anschließend an den Empfänger.⁹¹³ Der Rückgriff auf andere Zahlungsdienstleister zur Übermittlung der Gelder ist ohne Bedeutung.⁹¹⁴ Nicht die Durchführung der Übermittlung, sondern die Initiierung der Übermittlung ist entscheidend.
III. Inanspruchnahme einer Bereichsausnahme des ZAG 1. Privilegierung als Handelsvertreter gem. § 2 Abs. 1 Nr. 2 ZAG n. F. In der Vergangenheit beriefen sich Anbieter von Online-Marktplätzen oftmals auf die kaum veränderte Bereichsausnahme für Handelsvertreter nach § 1 Abs. 10 Nr. 2 ZAG a. F. und einer damit einhergehenden Regulierungsfreiheit. Als Handelsvertreter werden Dienstleister privilegiert, die zwischen den Parteien den Kauf von Waren und Dienstleistungen aushandeln oder abschließen.⁹¹⁵ Die nachgelagerte und als Nebenleistung erbrachte Zahlungsabwicklung stellt keinen Zahlungsdienst mehr dar, da die Haupttätigkeiten, das Aushandeln und Abschließen, eine dominierende Stellung einnehmen. Der Handelsvertreter tritt einseitig im Lager des Auftraggebers auf und ist gem. Art. 3 Abs. 1 Handelsvertreterrichtlinie⁹¹⁶ zur Wahrung der Interessen des Auftraggebers verpflichtet. Hieraus entspringen Pflichten zum aktiven Tätigwerden und das Unterlassen potentiell schädigender Tätigkeiten.⁹¹⁷ Die Interessenwahrungspflicht ist dabei nicht nur wesentlicher Faktor für die Eigenschaft als Handelsvertreter, sondern auch Kernbestandteil
So auch Casper/Terlau-Casper, § 1 Rn. 71; Hingst/Lösing, BKR 2012, 334 (336 f). Siehe: BaFin Journal, April 2014, S. 9. Siehe ausführlich zum Begriff des Handeslvertreters i. S.d. HandelsvertreterRL (RL 86/653 EWG): Terlau, ZBB 2014, 291 (295); siehe auch: Casper/Terlau-Casper, § 1 Rn. 80. RL 86/653/EWG des Rates v. 18.12.1986 zur Koordinierung der Rechtsvorschriften der Mitgliedsstaaten betreffend die selbstständigen Handelsvertreter, ABl.EG L 382/17. Terlau, ZBB 2014, 291 (295) mwN; BGH, Urt. v. 18.06.1964 – VII ZR 254/62, NJW 1964, 1621 (1622).
270
Teil 6: Remote Payments im E-Commerce
des Pflichtenkatalogs.⁹¹⁸ Hieraus folgt die Privilegierung des Handelsvertreters, der durch den Prinzipal beaufsichtigt und überwacht werden kann.⁹¹⁹ Einer zusätzlichen Aufsicht durch die Obrigkeit bedarf es nicht. Der zahlende Verbraucher muss ebenfalls nicht zusätzlich geschützt werden, da seine Zahlungen mit Eingang beim empfangszuständigen Handelsvertreter Erfüllungswirkung haben.⁹²⁰ Die besondere Nähe von Handelsvertreter und Prinzipal hat unweigerlich zur Folge, dass mit einer steigenden Anzahl von Prinzipalen und einer daraus erwachsenden Marktmacht des Handelsvertreters dessen Beauftragung teilweise zwingenden Charakter bekommt.⁹²¹ Im Massengeschäft lässt sich daher die Zuverlässigkeit marktbeherrschender Handelsvertreter wie großer Online-Plattformen durch die Prinzipale kaum noch überprüfen. Dies hat zur Folge, dass die Inanspruchnahme des Handelsvertreterprivilegs durch die großen App-StoreBetreiber der Zwecksetzung der Ausnahme widerspricht und daher unzulässig ist. Zu einer ähnlichen Auffassung sind auch die Rechtsprechung und Verwaltungspraxis gelangt. Nach einem viel beachteten Urteil des Landgerichts Köln vom 29.09. 2011 sind Anbieter von Internetplattformen, die Bestellungen für Dienstleistungen Dritter – in diesem Fall Essensbestellungen – entgegennehmen und die Einziehung der Gelder durch den Zahler und die Auskehrung an den Zahlungsempfänger bewirken, nicht als Handelsvertreter nach § 1 Abs. 10 Nr. 2 ZAG a. F. privilegiert.⁹²² Die Ausnahmetatbestände des § 1 Abs. 10 ZAG a. F. seien restriktiv auszulegen, ein allgemeines Nebendienstleistungsprivileg für die Erbringung von Zahlungsdiensten als Annex zur Haupttätigkeit bestünde nicht.⁹²³ Ob die Erbringung von Zahlungsdiensten Haupt- oder Nebentätigkeit ist, spielt keine Rolle. Sinn und Zweck der Zahlungsdiensteaufsicht ist die Regulierung von Instituten, die elektronische Zahlungsvorgänge durchführen, ohne dabei in nennenswerter Weise an der Wertschöpfungskette beteiligt zu sein.⁹²⁴ Die operationellen und finanziellen Risiken ergeben sich aus der Abwicklung des Zahlungsverkehrs und nicht daraus, ob es sich dabei um die Kerntätigkeit des Instituts handelt oder nicht. Ein Aushandeln setzt daher ein Nähe- und Vertrauensverhältnis der Parteien voraus, dass sich gerade nicht in der Bereitstellung der
Grundmann, Der Treuhandvertrag, S. 385; Terlau, ZBB 2014, 291 (295). Terlau, ZBB 2014, 291 (296). BeckOK BGB-Dennhardt, § 362 Rn. 16; BeckOGK BGB-Looschelders, § 362 Rn. 110; MünchKommBGB-Fetzer, § 362 Rn. 14. Terlau, ZBB 2014, 291 (298). LG Köln, Urt. v. 29.09. 2011– 81 O 91/11, MMR 2011, 815 (816). LG Köln, Urt. v. 29.09. 2011– 81 O 91/11, MMR 2011, 815 (816). So auch MünchKommBGB-Casper, § 675c Rn. 10.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
271
technischer Systeme erschöpft.⁹²⁵ Diese Auslegung entspricht auch der gängigen Verwaltungspraxis der BaFin, die in restriktiver Anwendung der Vorschrift eine tatsächliche Befugnis zum Aushandeln oder Abschließen für den Rückgriff auf die Bereichsausnahme verlangt.⁹²⁶ Dieser Auffassung hat sich nunmehr auch der Richtliniengeber angeschlossen und das Handelsvertreterprivileg in der PSD II an das Bestehen einer vertraglichen Vereinbarung entweder mit dem Zahlungsempfänger oder mit dem Zahler, nicht jedoch mit beiden gleichzeitig, zum Aushandeln oder Abschließen geknüpft.⁹²⁷ Der Richtliniengeber hatte dabei insbesondere die Regulierung von Online-Marktplätzen im Blick.⁹²⁸ Der Gesetzgeber konkretisiert die Anforderungen dahingehend, dass „der Handelsvertreter über einen echten Spielraum für die Aushandlung oder den Abschluss eines Verkaufs bzw. Kaufs von Waren oder Dienstleistungen“ verfügen muss.⁹²⁹ Die bloße wie von Apple praktizierte Festlegung der Vertretung in den AGB entspricht diesen Anforderungen nicht.⁹³⁰ Es bedarf eines bestimmten Maßes an Entscheidungs- oder Handlungsmacht des Vertreters.⁹³¹ Im Hinblick auf den Abschluss eines Vertrags muss der Handelsvertreter folglich selbst entscheiden können, mit wem und zu welchen Bedingungen er für den Prinzipal kontrahiert. Da das System der Online-Marktplätze nicht auf ein Aushandeln von Vertragskondiktionen ausgelegt ist, sondern automatisierte Erwerbsprozesse im E- oder M-Commerce ermöglicht, sind im Massengeschäft derartige Einzelfallprüfungen nicht denkbar. Zwar werden Online-Angebote von Waren oder Dienstleistungen nur als invitatio ad offerendum ausgelegt,⁹³² sodass dem Online-Händler durchaus noch die Option verbleibt, einen Vertragsschluss durch ein Ablehnen des Angebots des Kunden zu verhindern. Dies dient im Rahmen der automatisierten Prozesse jedoch nur dazu, die Verfügbarkeit des Vertragsgegenstands vor Vertragsschluss noch einmal zu überprüfen, um sich so vor etwaigen Schadenser-
Vgl. Casper/Terlau-Casper, § 1 Rn. 82. BaFin: Merkblatt: „Bezahlverfahren im Internet“, 01.01. 2014, abrufbar unter: https://www. bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2014/fa_bj_1404_bezahlverfahren_ im_internet.html, zuletzt abgerufen am 10.04. 2019. Erwägungsgrund 11 PSD II. Erwägungsgrund 11 PSD II; siehe auch: Baumann, GWR 2017, 275 (276); Djazayeri, jurisPRBKR 9/2013 Anm. 1. BT-Drs. 18/11495, S. 114. Nr. G 1. Abs. Apple App-Store AGB, abrufbar unter: https://www.apple.com/legal/internetservices/itunes/de/terms.html (Stand: 13.09. 2016), zuletzt abgerufen am 10.04. 2019. Vgl. ebenfalls BT-Drs. 18/11495, S. 114 f. Hoeren/Sieber/Holznagel-Föhlisch, Teil 13.4 Rn. 69c; Meier/Baudach, VuR 2012, 294 (295) mwN.
272
Teil 6: Remote Payments im E-Commerce
satzansprüchen wegen Nichtleistung zu schützen. Eine individuelle Vertragsgestaltung soll hierdurch nicht ermöglicht werden und wird auch nicht praktiziert. Das Handelsvertreterprivileg ist demnach nicht auf Massengeschäfte, also auch nicht bei Zahlungen im App-Store, anzuwenden.⁹³³
2. Anwendbarkeit der Bereichsausnahme des begrenzten Netzes gem. § 2 Abs. 1 Nr. 10 lit. a Var. 1 ZAG n. F. auf virtuelle Geschäftsräume? Dienste, die auf Zahlungsinstrumenten beruhen, die lediglich für den Erwerb von Waren oder Dienstleistungen in den Geschäftsräumen des Ausstellers verwendet werden können, sind gem. § 2 Abs. 1 Nr. 10 lit. a Var. 1 ZAG n. F. als erlaubnisfreie Dienste privilegiert. Das mit dem App-Store-Betreiber vereinbarte Verfahren zur Durchführung eines Finanztransfers ist in Anbetracht der weiten Auslegung als Zahlungsinstrument einzuordnen,⁹³⁴ sodass im Hinblick auf diesen Zahlungsdienst die Privilegierung eingreifen könnte. Dies gilt natürlich nicht für Zahlungen, bei denen der App-Store-Betreiber gleichzeitig auch Zahlungsempfänger ist. Diesen Fällen mangelt es am erforderlichen Drei-Personen-Verhältnis. Dem Wortlaut nach beschränkt sich die Norm auf die Geschäftsräume des Emittenten. Typisches Anwendungsbeispiel sind insbesondere sogenannte „Shop-in-Shop“ Lösungen, bei denen der Betreiber eines Kaufhauses selbständigen Unternehmern die Nutzung seiner Verkaufsfläche gestattet.⁹³⁵ Geschenkoder Guthabenkarten des Kaufhausbetreibers, die auch bei dem Shop-in-ShopBetreiber einlösbar sind, unterliegen dann der Privilegierung.⁹³⁶ Nach Auffassung der BaFin soll die Vorschrift ihrem Wortlaut nach nur auf Zahlungsinstrumente anzuwenden sein, die im Präsenzgeschäft und nicht in Webshops eingesetzt werden können.⁹³⁷ Die britische Finanzaufsichtsbehörde FCA („Financial Conduct Authority“), die naturgemäß weniger restriktiv agiert als die BaFin, sieht dies anders und zählt auch virtuelle Geschäftsräume unter die Fassung der alten, aber
So auch Conreder/Schild, BB 2016, 1162 (1163); Terlau, ZBB 2014, 291 (297); Kunz, CB 2016, 457. Zur Auslegung der Begrifflichkeit siehe das Printemps-Urteil des Conseil d’Etat (oberstes französisches Verwaltungsgericht), welches ausführlich von Terlau in: BB 2013, 1996 – 2001 besprochen wird. Siehe: ders. in: ZBB 2014, 291 (298 f). Siehe überdies zur Qualifikation als Zahlungsinstrument unten: Teil 6, 2. Abschnitt, C., III., 2. BT-Drs. 18/11495, S. 115. Lösing, ZIP 2011, 1944 (1946); Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 29. BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, geändert am 29.11. 2017, Nr. 3 lit. j, (1), abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffent lichungen/DE/Merkblatt/mb_111222_zag.html (Stand: November 2017), zuletzt abgerufen am 10.04. 2019.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
273
sprachlich kaum angepassten Privilegierung.⁹³⁸ Gegen eine derartige Erweiterung des Anwendungsbereichs spricht jedoch zunächst der eindeutige Wortlaut sowohl der deutschen als auch der englischen Fassung der Richtlinie. Hier ist von „Geschäftsräumen“ und „premises“ die Rede, welche sich sprachlich nur auf tatsächliche Räumlichkeiten beziehen. Auch die Systematik der Privilegierung streitet für eine derartige Eingrenzung, indem die zweite Anwendungsalternative bewusst auf die Beschränkung des geografischen Standorts verzichtet. Darüber hinaus kann in Anbetracht der gebotenen restriktiven Auslegung der Ausnahmevorschriften eine Erweiterung des Anwendungsbereichs nicht dem Willen des Richtliniengebers entsprechen.⁹³⁹ Auf die Ausnahme des § 2 Abs. 1 Nr. 10 lit. a Var. 1 ZAG n. F. können sich App-Store-Betreiber daher nicht berufen.
3. Qualifizierung des App-Store-Sortiments als limitierte Produktpalette i. S. d. § 2 Abs. 1 Nr. 10 lit. b ZAG n. F.? Schlussendlich kann daher für eine Privilegierung nur noch die Bereichsausnahme des § 2 Abs. 1 Nr. 10 lit. b ZAG n. F. herangezogen werden, die aufgrund ihrer nicht klar definierten Grenzen für reichlich Rechtsunsicherheit in den Mitgliedsstaaten gesorgt hat.⁹⁴⁰ Aus diesem Grund hat der Richtliniengeber die Vorschrift durch den Zusatz „sehr“ im Hinblick auf die limitierte Produktpalette eingeschränkt und konkretisiert. Aus den Erwägungsgründen geht überdies hervor, dass eine Limitierung nur anzunehmen ist, soweit das Angebotsspektrum fest auf eine bestimmte Anzahl funktional miteinander verbundener Waren oder Dienstleistungen begrenzt ist.⁹⁴¹ Die Bezahlung für hunderte oder sogar tausende typenverschiedene Produkte oder Dienstleistungen kann daher den Tatbestand der Ausnahme nicht erfüllen. Der Produktkatalog von App-Stores begrenzt sich auf Musik, Filme, Apps und eBooks, mithin ausschließlich digitale Waren. Diese lassen sich nur über den Account des Nutzers auf elektronischen Wiedergabegeräten wie Smartphone, Laptop oder Touchpad abrufen. Die ausschließliche digitale Verfügbarkeit verbindet demnach die verschiedenen Produkte im Sinne des Richtliniengebers funktional miteinander. Auch die Zahl der angebotenen Produkte lässt sich für jeden App-Store beziffern, sodass auch eine feste Begrenzung im Moment der
FCA, FCA Handbook PERG 15.5 Q40, abrufbar unter: https://www.handbook.fca.org.uk/ handbook/PERG/15/5.html, zuletzt abgerufen am 10.04. 2019. Zur noch restriktiveren Handhabe unter der PSD II siehe: Kunz, CB 2016, 457 (459). Vgl. Erwägungsgrund 13 PSD II; zur Auslegung nicht fest definierter Begriffe siehe: Larenz, Methodenlehre der Rechtswissenschaft, S. 303. Erwägungsgrund 13 PSD II.
274
Teil 6: Remote Payments im E-Commerce
Nutzung besteht. Falls, wie im Fall von Apple, der App-Store-Account auch für den Erwerb von Apple-Produkten wie Smartphones oder Laptops genutzt werden kann, hat dies keine Erweiterung der Produktpalette zur Folge. Derartige Zahlungen erfolgen direkt an den Emittenten, sodass diesbezüglich keine Finanztransferdienstleistungen vorliegen. Eine Vorausbezahlung von Guthaben findet überdies nicht statt, was aber auch nicht Teil des Tatbestandsmerkmals ist.⁹⁴² Die Finanztransferdienstleistungen der App-Store-Betreiber sind daher privilegierte Zahlungstätigkeiten und stellen keine Zahlungsdienste dar. Sie können deshalb auch nicht Gegenstand eines Zahlungsdienstevertrags i. S.d. § 675c Abs. 1 BGB n. F. sein. Google sieht nichtsdestotrotz mit dem Nutzer einen Vertrag vor, der inhaltlich einem gewöhnlichen Vertrag über die Ausgabe und Nutzung von E-Geld entspricht. Diese individualvertragliche Regelung hat lediglich eine indirekte Geltung der Vorgaben des Zahlungsdiensterechts zur Folge, jedoch nicht dessen zivilrechtliche Anwendbarkeit.
B. Zahlungen im Direct Carrier Billing-Verfahren Im Rahmen des Direct Carrier Billing wird der Mobilfunkanbieter zur Inkassostelle, indem er die Forderungen des Drittdienstanbieters über die Handyrechnung, auch als „Offline-Billing“ bezeichnet, oder das Prepaid-Guthaben im Wege des „Online-Billing“ einzieht und an den Drittdienstanbieter weiterleitet. Aufgrund fehlender AGB – entsprechende Klauseln wurden wohl aufgrund ihrer Rechtswidrigkeit gestrichen⁹⁴³ –, nach denen auf die Rechtsnatur der Inkassotätigkeit geschlossen werden könnte, kann es sich im Hinblick auf die Einziehung von Forderungen Dritter entweder um eine Abtretung oder eine Geschäftsbesorgung handeln.⁹⁴⁴ Aus juristischer Sicht handelt es sich zwar um mehrere ZweiPersonen-Verhältnisse, wirtschaftlich betrachtet – und diese Sichtweise ist maßgeblich – liegt ein Drei-Personen-Verhältnis vor.⁹⁴⁵ Während die PSD I mit dem vom deutschen Gesetzgeber bezeichneten digitalisierten Zahlungsgeschäft i. S. d. § 1 Abs. 2 Nr. 5 ZAG a. F. einen eigenen Tatbestand für Zahlungen über Mobilte-
Die Bereichsausnahme findet überdies gem. § 1 Abs. 2 S. 4 Nr. 1 ZAG n. F. auch bei PrepaidZahlungsinstrumenten Anwendung. Es handelt sich um überraschende Klauseln i. S.d. § 305c BGB, siehe: Gaßner/Strömer, NJW 2016, 2529 (2533 f). Gaßner/Strömer, NJW 2016, 2529. Vgl. BaFin Journal 2014, S. 9 f; VG Frankfurt a. M., Beschluss v. 05.10. 2012 – 9 L 2833/12.F, BeckRS2012, 58784; siehe auch: BankR Hdb-Walther, § 42 Rn. 619.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
275
lefone vorsah,⁹⁴⁶ enthält die PSD II keinen regelungsgleichen Tatbestand mehr. Das digitalisierte Zahlungsgeschäft wurde ersatzlos gestrichen. Dieser Umstand wirft die Frage, ob und inwieweit Direct Carrier Billing-Verfahren Zahlungsdienste darstellen.
I. Der Wegfall des digitalisierten Zahlungsgeschäfts in der PSD II Das digitalisierte Zahlungsgeschäft wird in der zweiten Zahlungsdiensterichtlinie nicht mehr explizit als Zahlungsdienst definiert.⁹⁴⁷ Der Wegfall hat jedoch, wie die neu gefassten Ausnahmetatbestände für digitalisierte Zahlungsgeschäfte in Art. 3 lit. a, b PSD II zeigen, nicht zur Folge, dass entsprechende Dienste keine Zahlungsdienste mehr darstellen. Das Gegenteil ist der Fall. Der Gesetzgeber geht zutreffend davon aus, dass eine explizite Nennung aufgrund der vorhandenen Tatbestände nicht erforderlich war.⁹⁴⁸ Überdies wurden die bisherigen Ausnahmevorschriften, die zum Teil in den Mitgliedsstaaten unterschiedlich angewendet wurden und damit einige Rechtsunsicherheiten zur Folge hatten, deutlich verschärft.⁹⁴⁹ Eine tatbestandliche Erfassung telefongebundener Zahlungsdienstleistungen kommt über das in der PSD II verschlankte Akquisitionsgeschäft i. S. d. § 1 Abs. 1 S. 2 Nr. 5 ZAG n. F. in Betracht. Aufgrund der neutralen Annahme und Abrechnung von jeglichen und nicht mehr wie zuvor nur kartenbasierten Zahlungsvorgängen sind rein begrifflich auch die Tätigkeiten von Mobilfunkanbietern beim Direct Carrier Billing erfasst. Die Erfüllung des Tatbestands hängt im Wesentlichen von der Vergleichbarkeit der jeweiligen Tätigkeit mit der Tätigkeit eines Acquirers ab. Der Mobilfunkanbieter akquiriert Akzeptanzstellen für die Zahlung über das Mobiltelefon und übernimmt die Zahlungsabwicklung. Im Gegensatz zum AppStore-Betreiber wird keine zentrale Online-Plattform mit besonderer Zahlungsabwicklung betrieben, sondern ein Zahlungsmittel, das insbesondere für Kleinbetragszahlungen in Konkurrenz zu den bekannten E-Commerce-Bezahlverfahren treten soll. Ob ein weiterer Acquirer in der Form des Payment Providers zwischen den Mobilfunkanbieter und den Zahlungsempfänger tritt, ist dabei ohne Be-
Siehe: Erwägungsgrund 6 PSD I sowie die Ausnahmeregelungen in Art. 3 lit. l PSD I; siehe auch BankR Hdb-Walther, § 42 Rn. 612. Der Tatbestand des digitalisierten Zahlungsgeschäfts erfasste gem. § 1 Abs. 2 Nr. 5 ZAG a. F. unter anderem Zahlungen, bei denen die Autorisierung über ein Mobiltelefon und die Zahlung an den Mobilfunkbetreiber, der ausschließlich als zwischengeschaltete Stelle agierte, erfolgte. BT-Drs. 18/11495, S. 79, 104. Spindler/Zahrte, BKR 2014, 265 (267); siehe auch: Erwägungsgrund 15 PSD II.
276
Teil 6: Remote Payments im E-Commerce
lang.⁹⁵⁰ Ähnliche Konstellationen gibt es auch im Kreditkartengeschäft.⁹⁵¹ Demnach liegt eine ausreichende Vergleichbarkeit mit der Tätigkeit der Kreditkartenacquirer vor, sodass der Mobilfunkanbieter Zahlungsdienste i. S. d. § 1 Abs. 1 S. 2 Nr. 5 ZAG n. F. erbringt.⁹⁵²
II. Privilegierung von Mobilfunkanbietern gem. § 2 Abs. 1 Nr. 11 ZAG n. F. Die alte Rechtslage sah aufgrund der Bereichsausnahme des § 1 Abs. 10 Nr. 11 ZAG a. F. vor, dass digitalisierte Zahlungsgeschäfte nur dann Zahlungsdienste darstellten, wenn der Mobilfunkanbieter ausschließlich als zwischengeschaltete Stelle zwischen Zahlungsdienstnutzer und dem Lieferanten der Leistung tätig wurde. Die Hürden hierfür waren denkbar hoch. Eine Zwischenschaltung lag schon dann nicht mehr vor, wenn der Mobilfunkanbieter die Übertragung des Vertragsgegenstandes durch seine Kommunikationsdienstleistungen ermöglichte. Aus diesem Grund waren Direct Carrier Billing-Verfahren keine Zahlungsdienste i. S. d. PSD I. Die neugefasste Bereichsausnahme, die sich nunmehr in § 2 Abs. 1 Nr. 11 ZAG n. F. wiederfindet,⁹⁵³ orientiert sich nicht mehr an den Ausführungsmodalitäten, sondern legt Betragsgrenzen fest, innerhalb derer die Zahlungstätigkeiten keine Zahlungsdienste darstellen. Erst wenn eine Einzelzahlung 50 Euro oder der Wert aller monatlichen Zahlungen 300 Euro überschreitet, handelt es sich um einen Zahlungsdienst.⁹⁵⁴ Sachlich erfasst der Ausnahmetatbestand Zahlungen für digitale Inhalte, Sprachdienste, gemeinnützige Tätigkeiten
Erwägungsgrund 10 PSD II. Vgl. BT-Drs. 18/11495, S. 113; Casper/Terlau-Casper, § 1 Rn. 54. Die nachfolgend erläuterte Bereichsausnahme nach § 1 Abs. 10 Nr. 11 ZAG a. F. fand sich fast wortlautgetreu im Tatbestand des digitalisierten Zahlungsgeschäfts wieder. Dieser Umstand hatte zur Folge, dass Mobilfunkanbieter schon meist keine Zahlungsdienste erbrachten. Falls ihre Tätigkeiten jedoch einen anderen Zahlungsdiensttatbestand erfüllten, griff die Bereichsausnahme ein. Die BaFin hat jedoch 2010 mehreren Anbietern Negativbescheide erteilt, wonach die Inkasso-Tätigkeiten, die nach der gängigen Praxis oftmals als echtes Factoring ausgestaltet sind (vgl. hierzu: Teil 6, 1. Abschnitt, A., II., 3.), auch keine Finanztransfergeschäfte darstellten, siehe.: Bitkom Stellungnahme zum Entwurf eines Gesetzes zur Umsetzung der zweiten Zahlungsdiensterichtlinie, v. 21.04. 2017, S. 8, abrufbar unter: https://www.bundestag.de/blob/503840/ 33450c4569afaf5c6f8a99be09588c57/01-data.pdf, zuletzt abgerufen am 10.04. 2019. Weitere Bereichsausnahmen kommen nicht in Betracht. So agiert der Mobilfunkbetreiber weder als Handelsvertreter i. S.d. § 2 Abs. 1 Nr. 2 ZAG n. F. noch lässt sich mit Zahlungen über das Mobiltelefon nur ein sehr begrenztes Waren- oder Dienstleistungsspektrum i. S.d. § 2 Abs. 1 Nr. 10 lit. b ZAG n. F. erwerben. Neben digitalen Inhalten kommen schließlich auch Tickets, Sprachdienste und sogar körperliche Waren als Kaufgegenstand in Betracht. Vgl. Erwägungsgrund 16 PSD II.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
277
oder Tickets. ⁹⁵⁵ Aus diesem Grund sind alle mittels Direct Carrier Billing erbrachten Zahlungen als Zahlungsdienst zu behandeln, wenn sich der Vertragsgegenstand des zugrundeliegenden Valutaverhältnisses nicht in der Bereitstellung digitaler Inhalte erschöpft.⁹⁵⁶ Angesichts der mit einer Erbringung von Zahlungsdiensten einhergehenden Regulierung sowie den daraus entstehenden Pflichten, haben Mobilfunkanbieter angekündigt, technische Systeme einzusetzen, die sowohl im Offline- als auch im Online-Billing die Einhaltung der Grenzen sicherstellen sollen.⁹⁵⁷ Es ist daher weiterhin nicht davon auszugehen, dass Inkassotätigkeiten von Mobilfunkanbietern dem Zahlungsdiensterecht unterfallen.
III. Direct Carrier Billing als E-Geld-Geschäft gem. § 1 Abs. 2 S. 3 ZAG n. F.? Neben der Erbringung des Akquisitionsgeschäfts könnten die Tätigkeiten auch den Tatbestand des E-Geld-Geschäfts erfüllen. Die Abbuchung, Umwandlung und Auszahlung des Prepaid-Guthabens könnte den Transfer von E-Geld darstellen, was zur Folge hätte, dass ein Smartphone ähnlich einer Geldkarte zum Zahlungsinstrument wird.⁹⁵⁸ Hierfür müsste das Prepaid-Guthaben als E-Geld i. S. d. § 1 Abs. 2 S. 3 ZAG n. F. zu qualifizieren sein. Prepaid-Guthaben sind weder Bargeld noch Giralgeld, sondern sonstige monetäre Werte, die auf einem Guthabenkonto des Mobilfunkanbieters verbucht werden und somit einen elektronisch gespeicherten monetären Wert i. S. d. § 1 Abs. 2 S. 3 ZAG n. F. darstellen.⁹⁵⁹ Kern-
Äußerst kritisch äußert sich hierzu der Verband der Anbieter von Telekommunikationsund Mehrwertdiensten e. v., „Neue Zahlungsdiensterichtlinie der EU bedroht Existenz von Unternehmen“, 06.05. 2015, abrufbar unter: http://www.vatm.de/724.0.html?&tx_ttnews[tt_news] =1912&cHash=d703ad3878e7bd99e7d3dfedb7915733, zuletzt abgerufen am 10.04. 2019. Zum einen können die Telekommunikationsanbieter bei der Vielzahl von Mehrwertdienstanbietern nicht überblicken, wann die Schwellenwerte erreicht sind, und zum anderen würde der Telekommunikationsdienstanbieter wohl kaum eine mit hohen Schwellen verknüpfte BaFin-Lizenz hierfür beantragen. Das Offline-Billing, z. B. Pay by Call, wäre damit am Ende; siehe zur Gesetzesbegründung: BT-Drs. 18/11495, S. 116 f. Vgl. zur alten aber ähnlichen Rechtslage: Busch, GewArch 2014, 148 (150); Casper/TerlauCasper, § 1 Rn. 63; Rammos, CR 2014, 67 (69); Söbbing, BKR 2016, 360 (362). Siehe: Bitkom Stellungnahme zum Entwurf eines Gesetzes zur Umsetzung der zweiten Zahlungsdiensterichtlinie, v. 21.04. 2017, S. 7 und 8, abrufbar unter: https://www.bundestag.de/ blob/503840/33450c4569afaf5c6f8a99be09588c57/01-data.pdf, zuletzt abgerufen am 10.04. 2019. Vgl. BeckOK BGB-Schmalenbach, § 675j Rn. 6; bei enger Auslegung des Begriffs des Zahlungsauthentifizierungsinstruments handelt es sich bei der Geldkarte nicht um ein Zahlungsinstrument, siehe: Casper/Pfeifle, WM 2009, 2343 (2344). Schwenicke/Auerbauch-Schwennicke, § 1a ZAG Rn. 17; Casper/Terlau-Terlau, § 1a Rn. 44; Hingst/Lösing, § 7 Rn. 6.
278
Teil 6: Remote Payments im E-Commerce
merkmal des E-Geld-Tatbestands ist das Begründen einer Forderung gegen den Emittenten, da hierdurch E-Geld wie auch Buch- und Bargeld zum Zahlungs- und Tauschmittel wird. Die Leistungen von Drittanbietern, die über das Prepaid-Guthaben verrechnet werden, erhalten aufgrund vertraglicher Vereinbarung mit dem Mobilfunkanbieter einen Anspruch auf Auszahlung des Zahlungsbetrags abzüglich etwaiger Gebühren. Im Gegensatz zum Play-Store-Bezahlverfahren von Google können beim Direct Carrier Billing aus einem elektronisch gespeicherten im Voraus bezahlten Guthaben Zahlungen getätigt werden. Prepaid-Guthaben sind daher Zahlungsmittel und erfüllen den E-Geld-Tatbestand gem. § 1 Abs. 2 S. 3 ZAG n. F.⁹⁶⁰ Der Richtliniengeber beabsichtigt für alle Zahlungen, die durch den Mobilfunkanbieter abgewickelt werden, jedoch eine einheitliche rechtliche Bewertung. Aus diesem Grund sieht § 1 Abs. 2 S. 4 Nr. 2 ZAG n. F. einen Verweis auf § 2 Abs. 1 Nr. 11 ZAG n. F. vor, sodass auch Prepaid-Zahlungen für den Erwerb digitaler Inhalte im Rahmen der Beitragsgrenzen keine E-Geld-Zahlungen darstellen.⁹⁶¹ Eine Erfassung des Mobilfunkanbieters als E-Geld-Institut wird daher ebenso wenig in Betracht kommen wie eine Regulierung als Zahlungsinstitut.
IV. Die Zahlungstätigkeiten von Payment Providern Im Bereich des Direct Carrier Billing agieren nicht nur Mobilfunkanbieter als Inkassostelle. Zwischen Mobilfunkanbieter und Zahlungsempfänger treten oft Payment Provider. Deren Leistungsportfolio erfasst nicht nur die Einziehung und Verbuchung von Forderungen, sondern auch das Bereitstellen des Zahlungssystems, das Implementieren in die technische Umgebung des Drittanbieters und die Interaktion mit dem Mobilfunkbetreiber. Hauptzweck der Mandatierung des Payment Providers ist daher nicht die Zahlungsabwicklung, sondern das gesamte Zahlungssystem. Ungeachtet dessen bedingt das Grundgeschäft – die Mandatierung – die Zahlungsabwicklung. Ohne die ausdrückliche Beauftragung seitens des Zahlungsempfängers würde der Payment Provider nicht für ihn tätig werden. Die Verpflichtung aus dem Grundgeschäft ist ein Indiz dafür, dass Geldbeträge
So auch Hingst/Lösing, § 6 Rn. 80; Knops/Wahlers, BKR 2013, 240 (243); aA Schwennicke/ Auerbach-Schwennicke, § 1a ZAG Rn. 24, der jedoch in § 1a ZAG Rn. 34 widersprüchlich darauf hinweist, dass typischer Anwendungsfall für die Ausnahme nach § 1a Abs. 5 Nr. 2 i.V. m. § 1 Abs. 10 Nr. 11 ZAG a. F. Prepaid-Guthaben auf Mobiltelefonen sind; ebenfalls ablehnend Casper/TerlauTerlau, § 1a Rn. 88. Vgl. Erwägungsgrund 6 PSD II.
1. Abschnitt: Anwendbarkeit des Zahlungsdiensterechts
279
nicht nur zur Übermittlung entgegengenommen werden.⁹⁶² Aus diesem Grund entspricht das Geschäftsmodell von Payment Providern gerade nicht den klassischen Finanztransferdiensten von Anbietern wie Western Union oder MoneyGramm i. S. d. § 1 Abs. 1 S. 2 Nr. 6 ZAG n. F., sondern viel mehr der Tätigkeit von Kreditkartenacquirern. Nach der alten Rechtslage sprach daher einiges dafür, dass Payment Provider keine Zahlungsdienste erbrachten. Aufgrund der Erweiterung des Tatbestands des Akquisitionsgeschäftes ist dies nicht mehr der Fall. Payment Provider stellen im Vergleich zu App-StoreBetreibern mit den Direct Carrier Billing-Zahlungsverfahren ein eigenständiges, insbesondere in Konkurrenz zu anderen Online-Verfahren stehendes Zahlungssystem zur Verfügung. Eine Anwendung des § 1 Abs. 1 S. 2 Nr. 5 ZAG n. F. ist zur Sicherstellung eines einheitlichen Schutzniveaus für Händler angezeigt und erforderlich. Im Gegensatz zu Mobilfunkanbietern werden derartige Tätigkeiten nicht nach § 2 Abs. 1 Nr. 11 ZAG n. F. privilegiert, da sich der persönliche Anwendungsbereich der Vorschrift auf Mobilfunkanbieter beschränkt. Sonstige Bereichsausnahmen sind nicht ersichtlich, sodass die von Payment Providern durchgeführte Zahlungsabwicklung nach der PSD II als Zahlungsdienst i. S. d. § 1 Abs. 1 S. 2 Nr. 5 ZAG n. F. zu qualifizieren ist.⁹⁶³
C. Zwischenergebnis Der Großteil der mobilen Zahlungen stellt auch nach der neuen Rechtslage keine Zahlungsdienste dar und unterfällt nicht dem Zahlungsdiensterecht. Die als Nebendienstleistung erbrachten Zahlungstätigkeiten von App-Store-Betreibern unterfallen letztlich der Bereichsausnahme des § 2 Abs. 1 Nr. 10 lit. b ZAG n. F. Würde die Bereichsausnahme hingegen nicht eingreifen, ermöglicht das Vertragswerk von Google Payments einen Blick auf die dann entstehende zahlungsdienstrechtliche Relevanz. Unautorisierte Zahlungen im App-Store hätten dann zunächst einmal eine Verdopplung der Pflichten des Zahlungsdienstnutzers zur Folge. Schließlich müsste dieser die unautorisierte Zahlung sowohl gegenüber dem Zahlungsdienstleister des hinterlegten Zahlungsmittels als auch dem Finanztransferdienstleister anzeigen. Um derartige Komplikationen zu vermeiden, genügt laut dem Vertragswerk von Google die Anzeige an das Unternehmen, das
Siehe zu den Tatbestandsvoraussetzungen des Finanztransfergeschäfts: Teil 6, 1. Abschnitt, A., II., 3. Einschlägige Bereichsausnahmen sind nicht ersichtlich.
280
Teil 6: Remote Payments im E-Commerce
den gegenständlichen Geldbetrag dem hinterlegten Zahlungsmittel wieder gutschreibt.⁹⁶⁴ Die zahlungsdienstrechtlichen Rechte und Pflichten würden somit auf den vorangeschalteten Zahlungsdienstleister, also den App-Store-Betreiber, übergehen. Da dies jedoch (noch) nicht der Fall ist, erübrigt sich eine hypothetische Betrachtung. Die zivilrechtliche Behandlung des Verhältnisses des Nutzers zum Betreiber in dessen Funktion als Finanztransferdienstleister wird sich demnach nach dem allgemeinen Recht oder den Parteivereinbarungen bestimmen. Mobilfunkanbieter erbringen ebenfalls keine Zahlungsdienste. Zur Vermeidung einer Regulierung werden Mobilfunkanbieter ihre Tätigkeiten auf geringwertige und damit risikoarme Zahlungen beschränken, die nach § 2 Abs. 1 Nr. 11 ZAG n. F. privilegiert werden. Lediglich die am Direct Carrier Billing-Verfahren beteiligten Payment Provider erbringen nach der PSD II Zahlungsdienste. Inwiefern sich die damit einhergehenden Aufsichtspflichten auf die Profitabilität des Geschäftsmodells auswirken, bleibt abzuwarten.
2. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing Zivilrechtlich haben die soeben festgestellten Ergebnisse zur Folge, dass sich die Zahlungstätigkeiten von App-Store-Betreibern und Mobilfunkanbietern nicht nach den §§ 675c ff BGB n. F., sondern nach dem allgemeinen Recht und den konkreten Verträgen bestimmen. Von zahlungsdienstrechtlichem Interesse sind daher die Fälle, in denen Payment Provider die Zahlungsabwicklung vornehmen. Dies hat jedoch nicht automatisch zur Folge, dass im Verhältnis zum Zahlungsdienstnutzer auch ein Zahlungsdienstevertrag i. S. d. § 675c Abs. 1 BGB n. F. begründet wird. Schließlich reguliert das ZAG auch Zahlungsdienstleister, die lediglich als zwischengeschaltete Stelle zwischen anderen Zahlungsdienstleistern oder nur aufseiten einer Partei tätig werden.
A. Die Vertragsparteien und der Payment Provider als Vertragspartner Die Einbeziehung von Payment Providern in den Zahlungsprozess führt zu einem komplexen Vertragsgeflecht. Für den Zahler wird neben dem Mobilfunkanbie-
Vgl. etwa Nr. 17 Nutzungsbedingungen Google Payment Ltd., abrufbar unter: https://pay ments.google.com/payments/apis-secure/get_legal_document?ldo=0&ldt=buyertos&ldr=DE (Stand: 28.03. 2018), zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing
281
ter als einziehende oder verrechnende Partei auch der Payment Provider als die den Zahlungsauftrag ausführende Partei tätig. Zusätzlich führen die kontoführenden Kreditinstitute der jeweiligen Parteien den Giralgeldtransfer vom Mobilfunkkunden zum Mobilfunkanbieter aus. Der Payment Provider wird jedenfalls nur Vertragspartner eines Zahlungsdienstevertrags, soweit er aus der Sicht eines objektiven Erklärungsempfängers den Transfer des Geldbetrags an den Zahlungsempfänger zusagt. Der Kaufprozess spielt sich in der Regel wie folgt ab. Der Kunde wählt über sein Smartphone oder Handy einen zahlungspflichtigen Dienst aus. Dabei kann es sich um den Erwerb von Klingeltönen, Apps oder Online-Artikeln handeln. Anschließend werden dem Mobilfunknutzer verschiedene Bezahlmöglichkeiten angeboten. Dazu zählt auch das Angebot, direkt über den Mobilfunkanbieter mittels Premium-SMS oder kostenpflichtiger Rufnummer einen Zahlungsvorgang zu tätigen. Payment Provider entsprechender Zahlungssysteme treten in der Regel nur dadurch in Erscheinung, darauf hinzuweisen, dass sie Vertragspartner „dieser Leistung“ seien.⁹⁶⁵ Die zivilrechtliche Rechtsprechung ist für die ähnlich gelagerten Fälle der Pay by Call-Verfahren – Abrechnung kostenpflichtiger Rufnummern von Drittbetreibern über die Festnetztelefonrechnung –, daher uneinig, einen Vertragsschluss mit dem Payment Provider anzunehmen.⁹⁶⁶ Die Literatur tendiert dazu, den Payment Provider als bloßen Erfüllungsgehilfen des Drittanbieters zu behandeln.⁹⁶⁷ Tritt der Payment Provider bei der Kaufabwicklung jedenfalls überhaupt nicht in Erscheinung, kann auch nicht von einem zumindest konkludent abgeschlossenen Zahlungsdienstevertrag ausgegangen werden. Der Payment Provider agiert dann als bloßer Erfüllungsgehilfe des Zahlungsempfängers, der selber in seiner Eigenschaft als Zahlungsempfänger nicht Zahlungsdienstleister sein kann. Umgekehrt wird der Mobilfunkanbieter zum Erfüllungsgehilfen, soweit der Payment Provider ein konkret erkennbares Angebot auf Abschluss eines Zahlungsdienstevertrags abgibt.⁹⁶⁸ Da dies selten der Fall ist,
Vgl. Malcher/Paterna, MMR 2013, 275 (276); siehe auch die den in Fn. 955 aufgeführten Urteilen zugrundeliegenden Sachverhalte. Ablehnend: AG Aachen, Urt. v. 07.05. 2004– 81 C 629/03, NJW-RR 2004, 1569; AG Wolfsburg, Urt. V. 24.06. 2009 – 22 C 85/09, juris; aufgehoben durch LG Braunschweig, Urt. v. 26.02. 2010 – 8 S 289/09, juris; ebenfalls dafür streitend: LG Saarbrücken, Urt. v. 22.06. 2011 – 10 S 60/10, MMR 2011, 800 (801); offen gelassen vom BGH: Urt. v. 06.04. 2017 – III ZR 368/16, WM 2017, 901 (904). Zimmermann, MMR 2011, 516 (517); Malcher/Paterna, MMR 2013, 275 (276); hinsichtlich des Abschlusses eines Zahlungsdienstevertrags wohl auch Buchwitz, VuR 2010, 378 (379). Kommt ein solcher Vertrag zustande, ist dieser entgegen der Auffassung des LG Saarbrückens und Nolte, ZVI 2012, 324 (329) nicht sittenwidrig, siehe: Malcher/Paterna, MMR 2013, 275 (276); siehe auch: BGH, Urt. v. 06.04. 2017 – III ZR 368/16, WM 2017, 901 (902).
282
Teil 6: Remote Payments im E-Commerce
liegt im Regelfall kein Zahlungsdienstevertrag mit dem Payment Provider oder mit dem Mobilfunkanbieter vor, sodass die Zahlungsabwicklung aus vertraglicher Sicht ausschließlich im Verhältnis zum Drittanbieter und nicht über eine zwischengeschaltete Stelle erfolgt.⁹⁶⁹
B. Organisationsrahmen und Zahlungsinstrumente des Direct Carrier Billing Ist ausnahmsweise trotz dessen ein Zahlungsdienstevertrag mit einem Payment Provider zustande gekommen, finden die zahlungsdienstrechtlichen Vorschriften über den Vertragsinhalt Anwendung, sodass sich aufgrund fehlender Vorgaben in den AGB der Payment Provider der Vertragsinhalt am Gesetzestext orientiert.⁹⁷⁰ Je nachdem wie das Vertragsangebot ausgestaltet ist, kann es sich bei konkret erkennbaren Angeboten um Willenserklärungen handeln, die auf den Abschluss eines Einzelzahlungsvertrags oder eines Zahlungsdiensterahmenvertrags gerichtet sind. Der Payment Provider muss die jeweils daraus entstehenden unterschiedlichen Rechtsfolgen berücksichtigen und insbesondere den Informations-, Hinweis- und Warnpflichten nachkommen. Beim Direct Carrier Billing kommt zur Zahlungsauslösung entweder ein Mobiltelefon oder ein Smartphone zum Einsatz. Die verwendeten Geräte sind allerdings bloße Träger- und Zugangsmedien zum eigentlichen Zahlungsinstrument, der SIM-Karte. Diese ist gem. § 1 Abs. 20 ZAG n. F. personalisiert und daher als Zahlungsinstrument zu qualifizieren. Die PIN, mit der die SIM-Karte gesperrt wird, stellt allerdings kein personalisiertes Sicherheitsmerkmal dar, da sie nicht der Authentifizierung dient. Sie soll zwar vor dem Zugriff Dritter auf die Funktionen der SIM-Karte schützen, nimmt jedoch keine konkrete Funktion im Zahlungsprozess wahr. Sonstige personalisierte Sicherheitsmerkmale sind nicht ersichtlich, sodass der Pflichtenkatalog überschaubar ist. Dies hängt insbesondere damit zusammen, dass Nutzern nicht untersagt werden kann, dass Smartphone an Dritte weiterzugeben, da die Zahlungsfunktion hinter zahlreichen anderen Funktionen zurücktritt, auf die auch befugte Dritte Zugriff haben sollen.
Siehe ausführlich zur Behandlung einer missbräuchlichen Einziehung über die Handyrechnung: Gaßner/Strömer, NJW 2016, 2529. Siehe oben: Teil 2, 2. Abschnitt, C.
2. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing
283
C. Autorisierung und starke Kundenauthentifizierung Das Direct Carrier Billing-Verfahren weist eine weitere entscheidende Besonderheit gegenüber den bisher betrachteten Bezahlverfahren auf. Da der Mobilfunkanbieter keine Zahlungsdienste erbringt, ist Gegenstand der Betrachtung weniger die Abrechnungsmodalität mittels Online- oder Offline-Billing, sondern tatsächlich nur der mit den eingezogenen Beträgen durchgeführte Finanztransfer. Die Einziehung vollzieht sich schließlich im zahlungsdienstrechtlich uninteressanten Zwei-Personen-Verhältnis zwischen Mobilfunknutzer und Mobilfunkanbieter.⁹⁷¹ Der Payment Provider ist im Hinblick auf den Einziehungsvorgang demnach nur Zahlungsempfänger und nicht Zahlungsdienstleister.
I. Autorisierung des Direct Carrier Billing Zahlungsvorgangs Die Erteilung eines Zahlungsauftrags ist in anderen Worten die gegenüber dem Zahlungsdienstleister mittels personalisierten Verfahrens oder Instruments erteilte Zustimmung, den Transfer eines Geldbetrags durchzuführen. Über das Smartphone lässt sich auf die personalisierte SIM-Karte zugreifen, mittels derer Zahlungsaufträge erteilt werden können. Die Autorisierung erfolgt durch das Bestätigen eines Zahlungsbuttons.
II. Zusätzliche Autorisierung im Hinblick auf das hinterlegte Zahlungsmittel Mit der Erteilung des Zahlungsauftrags zur Ausführung eines Finanztransfers könnte man annehmen, dass der Mobilfunknutzer den Zahlungsdienstleister des jeweiligen hinterlegten Zahlungsmittels gleichzeitig beauftragt, den ausstehenden Betrag an den Mobilfunkanbieter zu leisten. Die Mobilfunkrechnung wird in der Regel per Lastschrift eingezogen oder mittels Kreditkarte oder Überweisung beglichen. Die Kreditkartenzahlung und die Überweisung werden erst nach dem Zusenden der Rechnung gesondert autorisiert, sodass keine Vorabautorisierung erfolgt. Das Lastschriftmandat wird zwar vorab erteilt, jedoch beinhaltet die Inanspruchnahme zusätzlicher Leistungen des Mobilfunkanbieters keine zusätzliche Autorisierung. Diese ist im ursprünglichen Lastschriftmandat zu sehen, die die Vorabautorisierung im Hinblick auf in der Höhe unbestimmte Forderungen
Dies lässt sich etwa mit dem PayPal-Zahlungssystem vergleichen, soweit eine Einziehung von Geldern zur Ausführung eines Zahlungsvorgangs erforderlich wird. Die Einziehung über PayPal hat keinerlei Auswirkungen auf die rechtliche Behandlung des Zahlungsvorgangs des hinterlegten Zahlungsmittels. In diesem Verhältnis ist PayPal Zahlungsempfänger.
284
Teil 6: Remote Payments im E-Commerce
des Lastschrifteinreichers beinhaltet.⁹⁷² Ein entsprechender Schutz des Nutzers wird durch § 675x Abs. 1 BGB n. F. und insbesondere durch das bedingungslose Erstattungsrecht bei Lastschriften nach § 675x Abs. 2 BGB n. F. erreicht. Eine zusätzliche Autorisierung wird daher beim Direct Carrier Billing für das hinterlegte Zahlungsmittel nicht erforderlich.
III. Erfordernis der starken Kundenauthentifizierung für den Finanztransfer Für das Direct Carrier Billing ist nach den MaSI keine starke Kundenauthentifizierung erforderlich, da mobile Zahlungen gem. Titel I Nr. 11 MaSI explizit privilegiert werden. Payment Provider sind nach der PSD I keine Zahlungsdienstleister, sodass sie gem. Titel I Nr. 2 MaSI nicht Adressat der MaSI sind. § 55 ZAG n. F. wird zudem für Mobilfunkanbieter keine Geltung entfalten, da Mobilfunkanbieter weiterhin nicht unter das Zahlungsdiensterecht fallen. Einziger tauglicher Adressat kann daher der Payment Provider sein, sobald er unter das Zahlungsdiensterecht fällt. Dafür spricht zunächst einmal, dass der Finanztransfer an den Zahlungsempfänger durch elektronische Übermittlung der den Geldbetrag enthaltenden Datensätze erfolgt und somit einen elektronischen Zahlungsvorgang darstellt. Dies ist jedoch bei allen bargeldlosen Übermittlungen von Geldbeträgen der Fall, weshalb im Hinblick auf den Anwendungsbereich des § 55 ZAG n. F. das Tatbestandsmerkmal des elektronischen Zahlungsvorgangs in einem untrennbaren Zusammenhang mit dem Merkmal der Auslösung durch den Zahler steht. Die mit der starken Kundenauthentifizierung bezweckte Betrugsprävention soll dort eingreifen, wo der Zahler aktiv und daher risikoerhöhend Zahlungsvorgänge auslöst.⁹⁷³ Das Auslösen darf nicht nur kausal verstanden werden. Der Zahlungsvorgang muss unmittelbare Folge der Autorisierung sein, was anzunehmen ist, soweit der Zahler alles Erforderliche getan hat, um die Ausführung des Zahlungsvorgangs zu veranlassen.⁹⁷⁴ Die Anwendung der starken Kundenauthentifizierung ist danach ausgeschlossen, soweit das aktive Tätigwerden eines Dritten zur Durchführung des Zahlungsvorgangs erforderlich wird. Aus diesem Grund unterfallen Lastschriftmandate, die die bloße Ermächtigung zum Einzug bein-
BeckOK BGB-Schmalenbach, § 675j Rn. 5 f; MünchKommBGB-Jungmann, § 675j Rn. 50. Siehe oben: Teil 3, 2. Abschnitt, E. Terlau, jurisPR-BKR 2/2016, Anm. 1 S. 4.
2. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing
285
halten und für sich genommen noch nicht die Ausführung eines Zahlungsvorgangs bewirken, nicht dem Regime der starken Kundenauthentifizierung.⁹⁷⁵ Zahlungen, die mit der Mobilfunkrechnung eingezogen und dann weitergeleitet werden, sind mit dem Lastschriftverfahren vergleichbar. Der Zahlungsvorgang setzt das aktive Tätigwerden des Payment Providers voraus. Dieser nimmt das Inkasso vor und leitet anschließend den eingezogenen Zahlungsbetrag weiter. Dabei kann nicht mehr von einem Auslösen des Zahlungsvorgangs gesprochen werden, sondern nur von dem Erteilen einer Ermächtigung zur Einziehung und Weiterleitung eines Geldbetrags. Finanztransfers befinden sich damit strukturell im Bereich der passiven Zahlungserteilung, in dem eine starke Kundenauthentifizierung nicht vorzusehen ist.
D. Risikoverteilung und Haftung I. Haftung für unautorisiertes Direct Carrier Billing Der Missbrauch des Direct Carrier Billing erfolgt meist durch die beliebte Variante der „WAP-Billing-Falle“, bei der der Mobilfunkkunde auf eine manipulierte Schaltfläche klickt und der Betrüger dem Mobilfunkanbieter anschließend vortäuscht, Leistungen eines Drittanbieters seien wirksam in Anspruch genommen worden.⁹⁷⁶ Die entsprechenden Beträge werden über das Prepaid-Guthaben unmittelbar verrechnet oder über die Mobilfunkrechnung eingezogen. Ein solcher Zahlungsvorgang begründet keinen Aufwendungsersatzanspruch des unlauter agierenden Payment Providers gegen den Mobilfunkkunden.⁹⁷⁷ Dieser handelt schließlich ohne jeglichen Geschäfts- und Rechtsbindungswillen, wenn er beispielsweise eine manipulierte Schaltfläche wegklickt.⁹⁷⁸ Eine wirksame Autorisierung im Deckungsverhältnis liegt genauso wenig vor wie eine wirksame Willenserklärung auf Abschluss eines Vertrags mit dem Drittanbieter, sodass der Geldbetrag vom Mobilfunkanbieter unverzüglich zu erstatten ist.
Siehe zum E-Mandat, das in Deutschland nicht praktiziert wird, jedoch eine starke Kundenauthentifizierung erfordern würde: Nr. 272 General Responses, EBA-Analysis Nr. 8, S. 144 RTS‐E. Gaßner/Strömer, NJW 2016, 2529. Der Mobilfunkanbieter, der nicht dem Zahlungsdiensterecht unterliegt, kann Abweichendes mit dem Nutzer vereinbaren. So ist es beispielsweise zulässig, dass die unbefugte Nutzung durch Dritte dem Mobilfunkkunden bei einem zurechenbaren Verschulden zugerechnet wird, siehe: Nr. 3.2 Vodafone-AGB. So auch Gaßner/Strömer, NJW 2016, 2529 (2531).
286
Teil 6: Remote Payments im E-Commerce
II. Haftung des Zahlungsdienstnutzers Der Zahlungsdienstnutzer haftet beim Direct Carrier Billing nur nach den zahlungsdienstrechtlichen Vorgaben, soweit das Zahlungsdiensterecht überhaupt Anwendung findet. Der haftungsrelevante Zahlungsdienstleister kann daher nur der Payment Provider sein. Die geläufigste Haftungskonstellation entsteht bei der Nutzung von Premiumdiensten durch minderjährige Angehörige des Mobilfunkkunden.
1. Aufwendungsersatzanspruch des Zahlungsdienstleisters Zunächst werfen derartige Konstellationen die Frage auf, ob der Zahlungsdienstleister einen Aufwendungsersatzanspruch gegen den Nutzer geltend machen kann. Dies ist der Fall, soweit sich der Anschlussinhaber das unautorisierte Verhalten des Kindes zurechnen lassen muss. Das Direct Carrier Billing lässt sich diesbezüglich mit dem „Pay by Call-Verfahren“ vergleichen, bei dem eine Authentifizierung ebenfalls nur über die Nutzung eines Anschlusses erfolgt. Der BGH hat zur Anwahl von kostenpflichtigen 0900-Rufnummern durch minderjährige Familienangehörige einige grundlegende Fragen beantwortet.⁹⁷⁹ Der interessanteste Aspekt des Urteils befasst sich mit der Zulässigkeit der hier entscheidungsrelevanten Anwendbarkeit einer Anscheinsvollmacht.
a) Anwendung des § 45i Abs. 4 S. 1 TKG im Zahlungsdiensterecht Der BGH prüfte zunächst die Anwendbarkeit der Vorschrift des § 45i Abs. 4 S. 1 TKG. Die Norm entstammt dem Recht der Telekommunikationsmedien und befasst sich mit dem aus dem Online-Banking bekannten Dilemma der Anonymität des jeweiligen Nutzers. Telekommunikationsdienstleister können wie auch eine Online-Bank nicht erkennen, ob der jeweilige Nutzer berechtigt ist, den Anschluss zu nutzen. Für telekommunikative Dienstleistungen wurde daher in § 45i Abs. 4 S. 1 TKG festgelegt, dass Nutzer die Beweislast für das Nichtbestehen einer berechtigten Drittnutzung zu tragen haben. Die Verantwortlichkeit für die Nutzung liegt demnach im Gefahren- und Risikobereich des Anschlussinhabers.⁹⁸⁰ In der Vergangenheit haben zahlreiche Unter- und Obergerichte die Vorschrift auch auf Premium-Dienste, also zu Telekommunikationsdienstleistungen parallel erbrachte Zahlungsdienstleistungen, angewandt und somit im Bereich des
BGH WM 2017, 901 (904 ff). Kiparski, in: Gersdorf/Paal (Hg.), Beck’scher Online-Kommentar zum Informations- und Medienrecht, 20. Edition, Stand: 01.05. 2018, § 45i TKG Rn. 21.
2. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing
287
Direct Carrier Billing den pauschalen Haftungsgrundsatz „Eltern haften für ihre Kinder“ etabliert. ⁹⁸¹ Der BGH ist mit seiner Entscheidung vom 06.04. 2017 der bisherigen Rechtsprechung entgegen getreten und hat eine Anwendung des § 45i Abs. 4 S. 1 TKG im Bereich des Zahlungsdiensterechts untersagt.⁹⁸² Dieser Entscheidung ist inhaltlich und sachlich zuzustimmen, da die Vorschrift persönlich nur Anbieter von Telekommunikationsdienstleistungen erfasst, nicht jedoch Payment Provider. Selbst wenn der Payment Provider ein Mobilfunkanbieter wäre, wäre die Norm aus sachlichen Gründen nicht anzuwenden. Tatbestandlich erfasst ist nur die Inanspruchnahme von Telekommunikationsdienstleistungen, zu denen nach einhelliger Auffassung die Beauftragung zur Ausführung von Zahlungsdiensten nicht gehört.⁹⁸³ Diese seien noch nicht einmal als telekommunikationsgestützter Dienst i. S. d. § 3 Nr. 25 TKG zu werten. Eine Zurechnung über die spezielle Norm des § 45i Abs. 4 S. 1 TKG kann daher nicht erfolgen.
b) Anwendbarkeit der Anscheinsvollmacht beim Direct Carrier Billing? In dem Urteil prüft der entscheidende Senat überdies ausführlich das Vorliegen der Tatbestandsvoraussetzungen einer gewöhnlichen Anscheinsvollmacht und lehnt diese lediglich aufgrund des fehlenden Vertrauenstatbestands ab. Bei der über die Anscheinsvollmacht zuzurechnenden Willenserklärung handelt es sich jedoch nicht etwa um die Autorisierung, sondern um die Annahme des Vertragsangebots eines Payment Providers. Da sich das Zustandekommen eines Zahlungsdienstevertrags nach den jeweiligen nationalen Regeln bestimmt und das Zahlungsdiensterecht keine speziellen Vorschriften enthält, liegt hierin kein Verstoß gegen europäisches Recht. Dies gilt jedoch nur, soweit sich der Vertragsschluss nicht automatisch mit der Erteilung des Zahlungsauftrags sowie der Autorisierung deckt. In solchen Fällen würde die Anscheinsvollmacht konsequenterweise Anwendung im Kernbereich des Zahlungsdiensterechts finden. Eine derartige Konstellation liegt gerade den Angeboten von Payment Providern zu Grunde. Der Vertragsschluss beinhaltet sowohl den Zahlungsauftrag als auch die Autorisierung, da eine zusätzliche Zustimmung nicht erforderlich wird.⁹⁸⁴ Diese Konstellation führt zurück zur ursprünglichen Fragestellung, ob eine Anwendung
Mit ausführlichen Nachweisen zur Rspr.: Zimmermann, MMR 2017, 470 (472). BGH WM 2017, 901 (905 f). BGH WM 2017, 901 (905) mwN; Zimmermann, MMR 2011, 516 (519). So wohl auch der BGH, der für das Bestehen des Aufwendungsersatzanspruchs logischerweise zunächst den Vertragsschluss prüft, jedoch gerade im Bereich der Ablehnung der Anwendung des § 45i Abs. 4 S. 1 TKG keine Unterscheidung zwischen Vertragsschluss und Autorisierung vornimmt, siehe: BGH WM 2017, 901 (905).
288
Teil 6: Remote Payments im E-Commerce
der Anscheinsvollmacht im Bereich des Direct Carrier Billing europarechtlich zulässig ist. Während die gewöhnliche Anscheinsvollmacht wegen des fehlenden Vertrauenstatbestands abgelehnt wird, greift der BGH zur Unanwendbarkeit des § 45i Abs. 4 S. 1 TKG auf dieselbe Argumentation zur Ablehnung der Anscheinsvollmacht im Online-Banking zurück. Das Haftungsregime der PSD II würde unterlaufen, da Pflichtverletzungen nicht über den Aufwendungsersatzanspruch, sondern über den Schadensersatzanspruch sanktioniert würden. Erst grob fahrlässig herbeigeführte Pflichtverletzungen können eine betragsmäßig unbegrenzte Haftung entstehen lassen. Die Anscheinsvollmacht greift hingegen schon bei leicht fahrlässigen Verstößen ein, sodass der BGH ihre Anwendung folgerichtig ablehnen müsste.
c) Ausnahmsweise Zulässigkeit der Anwendung der Anscheinsvollmacht? Die Anwendung der Anscheinsvollmacht ist im Zahlungswesen jedoch nicht schlechthin ausgeschlossen. So gibt es durchaus Konstellationen, die zwar nicht dem digitalisierten Zahlungswesen zuzurechnen sind, aber eine Anscheinsvollmacht rechtfertigen.⁹⁸⁵ Diesen Verfahren ist gemein, dass bei ihnen nicht im Vorhinein Vertretungskonstellationen ausgeschlossen werden. Es besteht demnach aufseiten des Erklärungsempfängers Raum für die Bildung eines Vertrauenstatbestands. Das Direct Carrier Billing birgt gegenüber den Online-Bezahlverfahren wie auch Zahlungskarten die Besonderheit, dass das Zahlungsinstrument, das Smartphone beziehungsweise die SIM-Karte, über eine Vielzahl von Funktionen verfügt. Die Zahlungsfunktion nimmt dabei eine untergeordnete Rolle wahr. Die Hauptfunktion der Telekommunikation steht nicht nur dem Vertragspartner, sondern auch von ihm ermächtigten Dritten zur Verfügung. Aus der Sicht des Direct Carrier Billing-Anbieters ist es daher nicht ausgeschlossen, dass ein berechtigter Dritter agiert. Überdies erfolgen Zahlungen mittels Direct Carrier Billing ohne zusätzliche Authentifizierung. Der Besitz der SIM-Karte genügt und ihre Weitergabe beziehungsweise ihre Nutzung widerspricht auch nicht den AGB der Mobilfunkanbieter. Selbst die PIN darf Dritten offenbart werden.⁹⁸⁶ Hieraus folgt, dass in rechtstatsächlicher
So etwa im beleggebundenen Verfahren oder per Telefon erteilten Aufträgen: BeckOK BGBSchmalenbach, § 675j Rn. 2 ff. Vodafone z. B. sieht in seinen AGB nur vor, dass der Nutzer die PIN nicht unbefugten Dritten offenbaren darf. Im Umkehrschluss ist demnach die Mitteilung an befugte Dritte zulässig. Siehe: Nr. 6.3 Vodafone-AGB, abrufbar unter: https://www.vodafone.de/infofaxe/203.pdf, zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Zivilrechtliche Behandlung des Direct Carrier Billing
289
Hinsicht keine Einwendungen gegen eine Anwendung der Anscheinsvollmacht im Bereich des Direct Carrier Billing bestehen.⁹⁸⁷ Die rechtlichen Bedenken hinsichtlich der europarechtlichen Zulässigkeit der Anscheinsvollmacht bleiben zwar vor dem Hintergrund des Haftungsregimes bestehen. Ihnen kann jedoch durch eine richtlinienkonforme Anwendung der Anscheinsvollmacht ausreichend begegnet werden. Hiernach bedarf es eines grob fahrlässigen Herbeiführens oder Nichterkennens des Rechtsscheintatbestands, um den Haftungsmaßstab des § 675v Abs. 3 BGB n. F. entsprechend Geltung verschaffen.⁹⁸⁸ Leicht fahrlässig herbeigeführte Rechtsscheintatbestände können daher nicht zu einer wirksamen Autorisierung führen. Eine grob fahrlässig herbeigeführte Anscheinsvollmacht ist im Bereich der unbefugten Nutzung des Direct Carrier Billing etwa dann der Fall, soweit das Handeln des Kindes für den berechtigten Nutzer eindeutig erkennbar war oder dieser die unbefugte Nutzung hätte erkennen müssen.⁹⁸⁹ Dafür genügt es jedoch nicht, dass ein höherer Rechnungsbetrag ohne konkreten Hinweis auf dessen Entstehungsgründe auf der Telefonrechnung ausgewiesen worden ist.⁹⁹⁰ Mehrwertdienste müssen konkret benannt werden, damit sie auch als solche identifiziert werden können. Die Anwendung der Anscheinsvollmacht birgt demnach für den Nutzer ein zusätzliches Haftungsrisiko. Im Hinblick darauf, dass sich der Aufbewahrung von Zahlungskarten entsprechende Sorgfaltspflichten aufgrund der Multifunktionalität von Smartphones nicht vereinbaren lassen, begründet dieser Umstand jedoch keine Haftungsverschärfung. Bei der Überwachung der Smartphone-Aktivitäten und der Rechnungsposten handelt es sich um Obliegenheiten, denen der Nutzer zum Schutz vor einer verpflichtenden Vertragsbegründung im eigenen Interesse nachkommen sollte.
2. Schadensersatzansprüche des Zahlungsdienstleisters Kommt ein Haftungsausgleich über § 675u BGB n. F. nicht in Betracht, ist die Vorschrift des § 675v BGB n. F. heranzuziehen. Zahlungsdienstnutzer haften gem. § 675v Abs. 1 und 2 BGB n. F. bis zu einem Betrag von 50 Euro, soweit ihnen eine missbräuchliche Verwendung oder das Abhandenkommen der SIM-Karte beziehungsweise des Smartphones bemerkbar war. Das neu eingeführte zentrale
Hierfür spricht auch die vom BGH vorgenommene, umfangreiche Prüfung in: WM 2017, 901 (904 f). Vgl. Langenbucher, in: FS Köndgen, 2016, S. 389; wohl auch BeckOK BGB-Schmalenbach, § 675j Rn. 2 ff. BGH WM 2017, 901 (905). BGH WM 2017, 901 (905).
290
Teil 6: Remote Payments im E-Commerce
Element der Bemerkbarkeit hat im Hinblick auf die Anscheinsvollmacht zur Folge, dass leicht fahrlässige übersehene Rechnungsposten eine begrenzte Haftung begründen können. Kann der Zahlungsdienstleister die grob fahrlässige Verletzung von Sorgfaltspflichten, etwa das Liegenlassen eines Smartphones in öffentlichen Räumen, nachweisen, kommt eine unbeschränkte Haftung nach § 675v Abs. 3 BGB n. F. in Betracht. Aufgrund der Verwahrung der SIM-Karte im Smartphone und der gemeinsamen Verkörperung ist de facto auch das Smartphone Schutzobjekt der Aufbewahrungspflichten. Eltern sind daher dazu angehalten, ihr Smartphone als Zugangsmedium zu den Funktionen der SIM-Karte durch PIN, Fingerabdruck oder Muster vor dem Zugriff ihrer Kinder und Dritter zu sichern. Da die Bildschirmsperre das einzige wirkliche Hindernis für unbefugte Drittnutzer darstellt, wird das Verzichten auf eine entsprechende Sperre ebenfalls eine grob fahrlässige Pflichtverletzung seitens des Mobilfunkkunden begründen können.
III. Flankierender zahlungsdienstrechtlicher Schutz des Mobilfunkkunden Mobilfunkanbieter halten sich oftmals bei der Eintreibung zu Unrecht abgebuchter Gelder zurück und verweisen den Kunden an den Drittdienstanbieter oder den Payment Provider.⁹⁹¹ Für diese Fälle enthält das Zahlungsdiensterecht einen indirekten flankierenden Schutz des Mobilfunkkunden, soweit der Rechnungsbetrag per Lastschrift eingezogen worden ist, was bei Mobilfunkverträgen der Regelfall ist.⁹⁹² Der Kunde hat nach § 675p Abs. 2 S. 2 BGB n. F. die Möglichkeit, das Lastschriftmandat, also die Autorisierung, vor dem Fälligkeitstag zu widerrufen. Der Zahlungsdienstleister des Zahlungsempfängers ist nach den Rulebooks des EPC verpflichtet sicherzustellen,⁹⁹³ dass der Zahlungsempfänger den Zahler 14 Kalendertage vor dem Fälligkeitsdatum über alle relevanten Details des Lastschrifteinzugs informiert. Vertraglich können auch kürzere Fristen für die Vor-
Stiftung Warentest, „Kostenfalle Handy: So gehen Sie gegen unplausible Forderungen vor“, 16.05. 2017, abrufbar unter: https://www.test.de/Kostenfalle-Handy-So-gehen-Sie-gegen-unplausi ble-Forderungen-vor-5178522-0/, zuletzt abgerufen am 10.04. 2019. Teilweise ist das Lastschriftverfahren das einzige von den Mobilfunkanbietern angenommene Bezahlverfahren, vgl. Nr. 6.2 AGB der 1&1 Telecom GmbH, abrufbar unter: http://var.uicdn. net/pdfs/1und1-Allgemeine-Geschaeftsbedingungen.pdf (Stand: 06/2017), zuletzt abgerufen am 10.04. 2019. Nr. 4.3.4 SEPA Core Direct Debit Scheme Rulebook, abrufbar unter: https://www.european paymentscouncil.eu/sites/default/files/kb/file/2017-10/EPC016-06%20SDD%20Core%20Rule book%202017%20version%201.1.pdf (Version 1.1 v. 18.10. 2017), zuletzt abgerufen am 10.04. 2019.
3. Abschnitt: Ergebnis
291
abinformation vereinbart werden. Der Zahler ist dadurch nicht nur in der Lage, eine ausreichende Liquidität sicherzustellen, sondern auch in der Höhe unberechtigte Belastungen seines Kontos zurückzuweisen. Versäumt er dies, besteht immer noch die Möglichkeit, dass er und sein Zahlungsdienstleister mit Zustimmung des Zahlungsempfängers gem. § 675p Abs. 4 S. 1 BGB n. F. eine nachträgliche Widerrufsmöglichkeit vereinbart haben. Mobilfunkanbieter sahen bis zuletzt eine entsprechende Zustimmung in der Regel jedoch nicht vor.⁹⁹⁴ Seit dem 13.01. 2018 ist der Zahler durch das unbedingte Erstattungsrecht für SEPA-Lastschriften nach § 675x Abs. 2 BGB n. F. auch in solchen Fällen geschützt. Besteht Streit über die Höhe der Rechnung, muss der Mobilfunkkunde nicht in „Vorleistung“ treten, sondern kann den streitigen Zahlungsbetrag zunächst zurückverlangen und einbehalten. Löst er hingegen selber die Zahlung aus, lässt sich die Autorisierung nicht mehr rückwirkend beseitigen, da Motivirrtümer hinsichtlich der Höhe oder des Empfängers im Risikobereich des Zahlers liegen. Der Zahlungsdienstnutzer muss sodann etwaige bereicherungsrechtliche Rückabwicklungsansprüche gegen den Mobilfunkanbieter selbstständig geltend machen.
3. Abschnitt: Ergebnis Remote Payments im E-Commerce haben selten eine zahlungsdienstrechtliche Relevanz. Zahlungen an App-Store-Betreiber sowie Zahlungen mittels Smartphone oder Mobiltelefon an den Mobilfunkbetreiber fallen in der Regel nicht in den Anwendungsbereich der PDS II. Entweder sie erfüllen keinen Zahlungsdiensttatbestand oder werden durch die Bereichsausnahmen des Zahlungsdiensterechts von einer Regulierung ausgeschlossen. In Anbetracht des begrenzten Waren- und Dienstleistungsspektrums sowie der regelmäßig geringen Zahlungsbeträge handelt es sich um eine interessengerechte Lösung. Die jeweiligen Anbieter sehen vertraglich vereinbarte Erstattungsverfahren für unautorisierte Zahlungen vor, sodass Nutzer in der Regel vertraglich vor unautorisierten Zahlungen geschützt sind. Das Zahlungsdiensterecht kommt in einer Sonderkonstellation zur Anwendung. Dabei handelt es sich um Payment Provider, die zwischen Anbietern digitaler Dienste und den Mobilfunkunternehmen stehen und einerseits als Vermittler für kommerzielle Angebote und andererseits als Inkassostelle tätig werden. Eine Vgl. beispielsweise o2-AGB, abrufbar unter: https://static2.o9.de/blob/12368308/v=4/Binary/ agb-postpaid-2015-02-pdf.pdf (Stand: Oktober 2017), zuletzt abgerufen am 10.04. 2019; VodafoneAGB, abrufbar unter: https://www.vodafone.de/infofaxe/203.pdf (Stand: Oktober 2017), zuletzt abgerufen am 10.04. 2019.
292
Teil 6: Remote Payments im E-Commerce
vertragliche Beziehung kommt nur bei tatsächlich erkennbaren Angeboten von Payment Providern zustande. Meist ist dies nicht der Fall, sodass ohne Grundlage einer vertraglichen Basis agiert wird. Das übrige Zahlungsdiensterecht findet freilich uneingeschränkt Anwendung. Der wohl wichtigste Unterschied zu anderen Bezahlverfahren liegt in der nicht vorzunehmenden starken Kundenauthentifizierung. Der Auffangtatbestand des Finanztransfers steht funktional der Lastschrift näher, da die Zahlungsauslösung nicht durch den Zahler, sondern durch den Payment Provider erfolgt. Der Zahler erteilt lediglich die Zustimmung gegenüber dem Payment Provider, der anschließend den Zahlungsbetrag über die Mobilfunkrechnung oder das Prepaid-Guthaben einzieht. Aufgrund dieser Besonderheit bedarf es zur Durchführung des Verfahrens auch nicht der Ausgabe personalisierter Sicherheitsmerkmale, sodass der Katalog der Sorgfaltspflichten des Nutzers begrenzt ist. Es sind dadurch jedoch Haftungskonstellationen denkbar, die auf einer Anscheinsvollmacht beruhen, da ohne Authentifizierung sowie der Multifunktionalität von Smartphones und Handys Stellvertreterkonstellationen ausnahmsweise zulässig sind. Aus diesem Grund wird die Haftung in Missbrauchsfällen in stärkerem Ausmaß als bei anderen Verfahren eine Frage der Beweisbarkeit sein. Während bei Online-Bezahlverfahren die Anonymität der Nutzer Beweisschwierigkeiten zur Folge hat, ermöglicht die Anwendung der Anscheinsvollmacht im Bereich der Remote Payments eine leichtere Beweisführung für den Zahlungsdienstleister.
Teil 7: M-Payments im Präsenzverfahren Im Gegensatz zu den Remote Payments erfolgen die „wirklichen“ Mobile Payments im Präsenzverfahren durch Interaktion mit einem Kartenlesegerät. Hinsichtlich der am Prozess beteiligten Parteien besteht überdies eine weitaus größere Transparenz. Die bisher bestehenden M-Payment-Verfahren beruhen in der Regel darauf, dass ein Datenträger, sei es ein NFC-Sticker, ein NFC- oder BLEfähiges Smartphone oder eine NFC-Kreditkarte, kontaktlos Zahlungsdaten einer Kreditkarte an ein Empfängermodul – in der Regel das Kartenlesegerät – übermittelt.⁹⁹⁵ Eine Ausnahme hiervon bilden die anwendungsbasierten Zahlungslösungen, die etwa über das QR-Code-Verfahren Zahlungsdaten online übermitteln.
1. Abschnitt: Kartengestützte M-Payments NFC-Kartenzahlungen weisen im Vergleich zur „klassischen“ Kartenzahlung vor allem im technischen Bereich einige Unterscheide auf. So werden die Daten nicht mehr vom Chip oder Magnetstreifen ausgelesen, sondern über die NFC-Technologie kontaktlos übertragen.⁹⁹⁶ Die Eingabe der PIN erfolgt weiterhin am Kartenlesegerät. Der anschließende Back-End-Prozess weist ebenfalls keine Besonderheiten auf. Es divergiert also ausschließlich das Front-End, die Zahlungsinitiierung. Dies hat vor allem Auswirkungen auf die Autorisierung und die Haftung. Der Organisationsrahmen und der Zahlungsvorgang bleiben weitgehend unverändert.⁹⁹⁷ Es erfolgen allenfalls Anpassungen der vertraglichen Sorgfaltspflichten des Nutzers im Hinblick auf die zusätzlichen Risiken, die durch den Einsatz der NFC-Technologie entstehen.
Kontaktlose Zahlungen sind mittlerweile auch unter Verwendung von Debitkarten möglich. NFC-Kreditkartenzahlungen sind jedoch verbreiteter, weshalb hier der Fokus auf Kreditkartenzahlungen gelegt wird. Die Pflichten, Risiken und Haftungsfolgen divergieren jedoch kaum, da kontaktlose Debitkartenzahlungen auf dem üblichen PIN-Verfahren basieren, welches NFC-Kreditkartenzahlungen nahezu gleichgestellt ist. Eine ausführliche technische Beschreibung der Datenübertragung ist bei Schütte, DuD 2014, 20 (20 f) zu finden. Für den Organisationsrahmen von Kreditkartenverträgen siehe: Teil 3, 3. Abschnitt, B., I. Prepaid-Kreditkartenverträge weichen hiervon nur unwesentlich ab, siehe: Teil 5, 2. Abschnitt, B., III. https://doi.org/10.1515/9783110671629-010
294
Teil 7: M-Payments im Präsenzverfahren
A. Anwendbarkeit des Zahlungsdiensterechts Der Kreditkartenemittent könnte je nach Ausgestaltung des jeweiligen Vertragsverhältnisses entweder das Zahlungskartengeschäft ohne Kreditgewährung gem. § 1 Abs. 1 S. 2 Nr. 3 lit. b ZAG n. F. oder das Zahlungskartengeschäft mit Kreditgewährung gem. § 1 Abs. 1 S. 2 Nr. 4 ZAG n. F. betreiben. Dafür müsste die NFCKreditkarte oder der NFC-Sticker als Zahlungskarte i. S.d. ZAG zu qualifizieren sein. Die verkörperte Zahlungskarte bedarf als Unterfall des Zahlungsinstruments i. S. d. § 1 Abs. 20 ZAG n. F. einer Personalisierung und muss dadurch eine Identifikation des berechtigten Inhabers ermöglichen.⁹⁹⁸ Damit sind keineswegs die Anforderungen der Authentifizierung i. S. d. § 1 Abs. 23 ZAG n. F. gemeint, sondern lediglich die Möglichkeit, dass der Zahlungsvorgang mit einer bestimmten Person in Verbindung gebracht werden kann. Durch die Übermittlung der für jeden Nutzer individuellen Kreditkartendaten, egal ob auf dem NFC-Chip der Kreditkarte selbst oder auf einem NFC-Sticker gespeichert, sind auch im NFC-Verfahren eingesetzte Kreditkarten Zahlungskarten i. S. d. ZAG.⁹⁹⁹ Neben dem Zahlungskartengeschäft erfüllt der Kreditkartenemittent durch das Ausgeben von Kreditkarten auch den subsidiären Tatbestand des Akquisitionsgeschäfts gem. § 1 Abs. 1 S. 2 Nr. 5 1. Var. ZAG n. F. Operieren die Kreditkarten auf Prepaid-Basis, was sich zwar begrifflich und funktional eigentlich ausschließt,¹⁰⁰⁰ ist der auf dem Prepaid-Konto verbuchte und für Zahlungsvorgänge verwendbare monetäre Wert als E-Geld i. S. d. § 1 Abs. 2 S. 3 ZAG n. F. zu qualifizieren.¹⁰⁰¹ Die emittierende Stelle betreibt das gegenüber den Zahlungsdiensten speziellere E-Geld-Geschäft i. S. d. § 1 Abs. 2 S. 2 ZAG n. F., sodass auf derartige Verträge ebenfalls die Vorschriften des Zahlungsdiensterechts gem. § 675c Abs. 2 BGB n. F. anzuwenden sind. Dies ergibt sich rein tatbestandlich auch aus § 675c Abs. 1 BGB n. F. Die Übertragung der E-Geld-Beträge entspricht im Hinblick auf die Back-End-Prozesse einer Debitkartenzahlung, sodass der Kartenemittent aus zivilrechtlicher Sicht den Zahlungsdienst des Zahlungskartengeschäfts i. S. d. § 1 Abs. 1 S. 2 Nr. 3 lit. b ZAG n. F. betreibt.¹⁰⁰² Aufgrund des fehlenden Überziehungsrahmens i. S.d. § 3 Abs. 4 ZAG n. F. kommt das
Siehe oben: Teil 3, 3. Abschnitt, A. So auch Danwerth, ZBB 2015, 119 (123). Danwerth, ZBB 2015, 119 (125); siehe auch: Fandrich, in: Graf von Westphalen/Thüsing, Vertragsrecht und AGB-Klauselwerke, Kreditkartenvertrag, Rn. 12, der Prepaid-(Kredit‐)Karten ausdrücklich vom Begriff der Kreditkarte abgrenzt. Siehe hierzu ausführlich bereits oben: Teil 5, 1. Abschnitt, B. Vgl. zur ähnlichen rechtlichen Behandlung der Geldkarte: Casper/Terlau-Casper, § 1 Rn. 51 f.
1. Abschnitt: Kartengestützte M-Payments
295
kreditgewährende Zahlungskartengeschäft i. S. d. § 1 Abs. 1 S. 2 Nr. 4 ZAG n. F. als weiterer Tatbestand nicht in Betracht.
B. Autorisierung und das Erfordernis der starken Kundenauthentifizierung Die MaSI gelten nur für Internetzahlungen und sind daher nicht auf stationäre Kreditkartenzahlungen anzuwenden.¹⁰⁰³ Eine starke Kundenauthentifizierung wird dadurch erst mit Inkrafttreten des Art. 97 PSD II erforderlich, da Zahlungen per Kreditkarte durch elektronische Übermittlung der die Zahlungsinformationen enthaltenden Datensätze erfolgen und als elektronische Zahlungsvorgänge i. S. d. § 55 Abs. 1 S. 1 Nr. 2 ZAG n. F. zu qualifizieren sind.¹⁰⁰⁴ Stationäre Kreditkartenzahlungen können logischerweise nur unter Verwendung eines Kartenlesegeräts ausgelöst werden, sodass die für die Annahme eines elektronischen Fernzahlungsvorgangs i. S.d. § 55 Abs. 2 ZAG n. F. erforderliche standortunabhängige Initiierungsmöglichkeit nicht besteht. Ein dynamisches Verknüpfen der Elemente mit dem Zahlungsvorgang wird daher nicht erforderlich und wäre überdies auch vollkommen unpraktikabel, da eine individuelle TAN-Generierung am POS die Kartenzahlung erheblich verlangsamen würde. Die Authentifizierung des kontaktlosen Bezahlvorgangs erfolgt momentan entweder durch Eingabe der PIN oder bei Beträgen unter einem vereinbarten Betrag – meist 25 oder 50 Euro – durch das bloße Heranhalten der Kreditkarte oder des NFC-Stickers an das Kartenlesegerät. Wird die Eingabe der PIN erforderlich, divergiert der kontaktlose Bezahlvorgang nicht vom sonstigen Kreditkarteneinsatz. Die Kombination des Besitzes an dem auf der Kreditkarte verkörperten NFC-Chip mit dem Wissen über die PIN, die ein personalisiertes Sicherheitsmerkmal ist, entspricht den Anforderungen der starken Kundenauthentifizierung i. S.d. § 1 Abs. 24 ZAG n. F. Erfolgt die Authentifizierung hingegen ausschließlich über den Besitz der Karte, kommen weder personalisierte Sicherheitsmerkmale noch zwei verschiede Authentifizierungselemente zum Einsatz. Um das nutzerfreundliche und effiziente kontaktlose Bezahlen auch unter den Vorgaben der starken Kundenauthentifizierung gewährleisten zu können, ist in Art. 11 RTS eine entsprechende Privilegierung vorgesehen. Eine starke Kundenauthentifizierung ist bei Einzelzahlungsbeträgen erst bei einem Überschreiten von 50 Euro und bei mehreren aufeinanderfolgenden Zahlungen erst bei einem kumulierten Betrag von mehr als
Vgl. Titel I Nr. 11 MaSI. BT-Drs. 18/11495, S. 140.
296
Teil 7: M-Payments im Präsenzverfahren
150 Euro vorzusehen. Überdies wird betragsunabhängig nach jeder fünften kontaktlosen Zahlung eine starke Kundenauthentifizierung mittels PIN erforderlich. Außerdem gibt es Ausnahmen für den Erwerb von Park- oder Verkehrsmitteltickets. Die Ausnahme für Kleinbetragszahlungen gilt nur für elektronische Fernzahlungen und ist daher nicht anwendbar. Auch die Ausnahme für vertrauenswürdige Zahlungsempfänger kommt im Präsenzverfahren nur selten in Betracht, da sich die Ausnahme darauf stützt, dass an bestimmte Zahlungsempfänger, wie beispielsweise Spendenorganisationen oder Kirchen, keine missbräuchlichen Verfügungen getätigt werden. In der Regel liegen solchen Transaktionen einseitig begünstigende Rechtsgeschäfte in der Form einer Schenkung zugrunde. Interessen betrügerisch agierender Dritter können dadurch kaum befriedigt werden. Im Einzelhandel hingegen steht die Bezahlung für den Erwerb von Waren und Dienstleistungen im Vordergrund, sodass nicht ausgeschlossen ist, dass sich ein Dritter auf Kosten des berechtigten Karteninhabers bereichern möchte.
C. Risikoverteilung und Haftung Im Hinblick auf die Haftung sowohl des Zahlungsdienstleisters als auch des Nutzers ist danach zu differenzieren, ob die Kartenzahlung kontaktlos, also ohne wirkliche Authentifizierung, oder unter Eingabe der PIN, also unter Anwendung der starken Kundenauthentifizierung, erfolgt. Beiden Verfahren ist gemein, dass die Zahlungskarte ein Zahlungsinstrument i. S. d. § 1 Abs. 20 ZAG n. F. darstellt.¹⁰⁰⁵ Denn unabhängig davon, ob eine Authentifizierung mittels personalisiertem Sicherheitsmerkmal erfolgt oder nicht, dient die Karte zur Erteilung eines Zahlungsauftrags und ermöglicht aufgrund des auf der Karte aufgedruckten Namens eine hinreichende Identifikation des Nutzers. Dies gilt natürlich auch für PrepaidKreditkarten.
I. Missbrauchsszenarien Die spezifischen Gefahren, die mit der Ausgabe von Zahlungskarten einhergehen, gliedern sich in zwei Fallgruppen. Dem „klassischen“ Missbrauch geht der Diebstahl der Originalkarte voraus, die sodann zu missbräuchlichen Verfügungen eingesetzt wird. Der zweiten Fallgruppe ist das Ausspähen der Kreditkartendaten aA Danwerth, ZBB 2015, 119 (124), der weiterhin die Meinung vertritt, dass ein Zahlungsinstrument nur vorliegt, wenn beim konkreten Zahlungsvorgang eine Authentifizierung vorgenommen wird. Zum konkreten Streitgegenstand und einer ausführlichen Darstellung siehe oben: Teil 2, 2. Abschnitt, B., I.
1. Abschnitt: Kartengestützte M-Payments
297
vorgelagert. Mit diesen Daten können entweder Transaktionen ohne Authentifizierung, wie etwa im Mail-Order-Verfahren, durchgeführt oder Kartendubletten erstellt werden. Kontaktlose Kartenzahlungen bergen insbesondere für das zweite Angriffsszenario große Angriffsflächen. Dies liegt insbesondere an dem ungeschützten Datentransfer von der Karte zum Kartenlesegerät. Die kurze Funkdistanz soll zwar Angriffe erschweren, bietet jedoch keinen kompletten Schutz vor Spähangriffen. Schließlich lässt sich die Reichweite der Signale durch einfache technische Vorrichtungen auf mehrere Meter erweitern.¹⁰⁰⁶
II. Haftung des Zahlungsdienstleisters 1. Anwendbarkeit der §§ 675u, 675v BGB n. F. auf E-Geld-Kreditkarten Kontaktlose Zahlungskarten, die auf E-Geld-Basis operieren, könnten in den Anwendungsbereich der Vorschrift des § 675i Abs. 3 S. 1 BGB n. F. fallen, wonach die Haftungsnormen §§ 675u, 675v BGB n. F. nicht anzuwenden wären. Tatbestandsvoraussetzung ist die fehlende Möglichkeit, das E-Geld-Zahlungskonto zu sperren. Dies ist etwa bei der Geldkarte, deren Zahlungen offline erfolgen, der Fall. Eine Sperrung des Börsenverrechnungskontos ist nicht möglich, sodass bei Verlust der Karte eine Haftung des Zahlungsdienstleisters nicht sachgerecht ist, da er keinen Einfluss auf die Verwendung der Karte nehmen kann. Zahlungsvorgänge, die mittels Prepaid-Kreditkarten ausgelöst werden, laufen hingegen online ab. Der Emittent stellt auf diese Weise sicher, dass nur Zahlungen autorisiert werden können, die das vorhandene Guthaben nicht überschreiten. Demnach ist auch eine Sperrung des E-Geld-Kontos möglich, sodass § 675i Abs. 3 S. 1 BGB n. F. tatbestandlich nicht einschlägig ist. Prepaid-Kreditkarten und Universalkreditkarten erfahren demnach auch im Übrigen eine kongruente zivilrechtliche Behandlung.
2. Abdingbarkeit der §§ 675u, 675v BGB n. F. Kontaktlose Zahlungen, mit denen ohne Eingabe einer PIN nur Beträge bis maximal 30 Euro ausgelöst werden können, könnten Kleinbetragsinstrumente i. S. d. § 675i Abs. 1 S. 2 Nr. 1 BGB n. F. darstellen. Dies hätte zur Folge, dass die Parteien gem. § 675i Abs. 2 Nr. 3 BGB n. F. berechtigt wären, die Anwendung der Haftungsvorschriften vertraglich abzubedingen, da sich der Nachweis einer wirksamen Autorisierung ohne Eingabe der PIN nicht erbringen lässt. Bei einem
Schütte, DuD 2014, 20 (21).
298
Teil 7: M-Payments im Präsenzverfahren
Kleinbetragsinstrument handelt es sich um ein „Mittel, mit dem nur einzelne Zahlungsvorgänge bis höchstens 30 Euro ausgelöst werden können“. Das im Sinne einer Ausschließlichkeit zu verstehende „nur“ bezieht sich auf das „Mittel“, also das Kleinbetragsinstrument. Dabei handelt es sich gem. Art. 42 Abs. 1 PSD II wiederum um ein Zahlungsinstrument i. S. d. Art. 4 Nr. 14 PSD II.¹⁰⁰⁷ Mit anderen Worten, das gegenständliche Zahlungsinstrument kann ausschließlich zur Auslösung von Zahlungsvorgängen bis höchstens 30 Euro genutzt werden. Auch wenn die meisten Kleinbetragszahlungsinstrumente Prepaid-Produkte sind, erfasst die Vorschrift auch Postpaid-Instrumente.¹⁰⁰⁸ NFC-Zahlungen ohne PINAbfrage erfüllen demnach den Tatbestand des Kleinbetragsinstruments. Nun könnte man argumentieren, dass die Kreditkarte unter Verwendung der PIN auch für deutlich höhere Beträge genutzt werden kann und daher gerade nicht ausschließlich für Kleinbetragszahlungen vorgesehen ist. Andererseits umfasst der Begriff des Zahlungsinstruments nicht nur jedes (körperliche) Instrument, dass zur Zahlungserteilung genutzt werden kann, sondern auch jedes zwischen dem Zahler und Zahlungsdienstleister zur Zahlungsauftragserteilung vereinbarte Verfahren. Aus dem Co-Badging ist bekannt, dass sich mehrere Zahlungsinstrumente auf einer einzigen Karte befinden können. Dies hat eine differenzierte Betrachtung des jeweiligen Zahlungsverfahrens zur Folge¹⁰⁰⁹ und würde bei NFC-Zahlungen bedeuten, dass die rechtliche Behandlung je nach Einsatzbereich divergieren kann. Dieser Umstand wirft die Frage, ob ein derartiges Verständnis dem Sinn und Zweck der Privilegierung von Kleinbetragsinstrumenten entspricht. Die Risikoverlagerung auf den Nutzer begründet sich vor allem durch das betragsmäßig geringe Missbrauchsrisiko und die risikospezifische Vergleichbarkeit mit Bargeld. In der Regel reicht die Verfügungsgewalt, um Zahlungen auszuführen. Die uneingeschränkte Anwendung des Zahlungsdiensterechts hätte dabei oftmals sachfremde Ergebnisse zur Folge, die wiederum Emittenten abschrecken würden, entsprechende Zahlungsinstrumente auszugeben.¹⁰¹⁰ Kleinbetragsinstrumente stehen in direkter Konkurrenz zu Bargeldzahlungen, indem zügige Authentifizierungsvorgänge alltägliche Zahlungsvorgänge beschleunigen. Aus haftungsrechtlicher Perspektive liegt daher eine größere Ähnlichkeit zum Bargeld als zu Zahlungskarten vor. Sachgerechte Konsequenz ist daher die Möglichkeit,
So auch die bisherige Rechtslage, vgl. Art. 53 Abs. 1 PSD I; MünchKommBGB-Casper, § 675i Rn. 4. BT-Drs. 16/11643, S. 105. Vgl. BeckOK BGB-Schmalenbach, § 675 f Rn. 95. Vgl. BeckOK BGB-Schmalenbach, § 675i Rn. 1 f.
1. Abschnitt: Kartengestützte M-Payments
299
das Verlust- und Missbrauchsrisiko zumindest teilweise dem Zahlungsdienstnutzer aufzuerlegen. Dem Telos der Norm ist nicht zu entnehmen, dass Zahlungsinstrumente, die verschiedene Zahlungsverfahren gemeinsam verkörpern, aus dem Anwendungsbereich herauszunehmen sind. Im Gegenteil, die Auslegung der Vorschrift spricht dafür, die jeweiligen Zahlungsverfahren rechtlich zu trennen, soweit eine tatsächliche Trennung möglich ist, was bei NFC-Kreditkartenzahlung durch die jeweilige Betragsgrenze gewährleistet wird. Dieses Ergebnis widerspricht auch nicht der Intention des Richtliniengebers, das Schutzniveau im Rahmen der PSD II für Zahlungsdienstnutzer weiter anzuheben. § 675i Abs. 2 Nr. 3 BGB n. F. ermöglicht lediglich das Abbedingen der ersten drei Absätze von § 675v BGB n. F. Der vierte Absatz, der bei einem unberechtigten Verzicht auf die starke Kundenauthentifizierung ein Aufleben der Haftung des Zahlungsdienstleisters vorsieht, ist weiterhin anwendbar. Hieraus folgt, dass nach Art. 11 lit. b RTS der Haftungshöchstbetrag bei kontaktlosen Zahlungen 150 Euro beträgt, was insbesondere unter Berücksichtigung der in §§ 675i Abs. 1 S. 2 Nr. 2 und 3 BGB n. F. definierten Betragsgrenzen als akzeptabel zu betrachten ist. Überdies ist auch § 675v Abs. 5 BGB n. F. weiterhin anwendbar, sodass der Zahlungsdienstnutzer für Schäden, die nach der Sperranzeige erfolgt sind, nicht haftet. NFC-Zahlungen ohne Eingabe der PIN sind demnach als Kleinbetragsinstrumente i. S. d. § 675i Abs. 1 S. 2 Nr. 1 BGB n. F. zu qualifizieren.¹⁰¹¹ Von den sich daraus ergebenden Vertragsgestaltungsmöglichkeiten haben die Kartenemittenten interessanterweise noch keinen Gebrauch gemacht.¹⁰¹² Möglicherweise sollen sich die Kunden zunächst mit Einsatz der NFC-Karte vertraut machen, bevor sie durch ein strenges Haftungsregime abgeschreckt werden. Teilweise sind aber auch NFC-Zahlungen bis zu dem von den RTS vorgegebenem Maximalbetrag von 50 Euro zulässig, sodass das Recht der Kleinbetragszahlungen ohnehin unanwendbar ist.¹⁰¹³
3. Anscheinsbeweis und Haftung für unautorisierte Zahlungsvorgänge Der Zahlungsdienstleister haftet gem. § 675u S. 1 BGB n. F. für unautorisierte Zahlungsvorgänge. Wie die bisherige Untersuchung gezeigt hat, genügt oftmals
So auch Danwerth, ZBB 2015, 119 (131). Entsprechende AGB waren bis zum Ende der Bearbeitung in den Sonderbedingungen der Banken nicht zu finden; so auch Danwerth, ZBB 2015, 119 (132). So etwa unter Nr. 3 VISA-Kreditkartenbedingungen der DKB, abrufbar unter https://www. dkb.de/kundenservice/preise_bedingungen/, (Stand: 25.05. 2018), zuletzt abgerufen am 10.04. 2019.
300
Teil 7: M-Payments im Präsenzverfahren
das durch den Nutzer vorgebrachte Behaupten eines Drittmissbrauchs aus, um eine Inanspruchnahme aus dem Aufwendungsersatzanspruch zu verhindern. Der BGH hat schließlich die Anwendung des Anscheinsbeweises für Online-Zahlungen weitgehend ausgeschlossen.¹⁰¹⁴ Die vielfältigen Missbrauchsszenarien können meist keinen Erfahrungssatz stützen, wonach die Verwendung der korrekten PIN und TAN für ein Handeln des berechtigten Nutzers oder für ein objektives Fehlverhalten spricht. Beim stationären Einsatz der Originalkarte gibt es hingegen weniger denkbare Geschehensabläufe, sodass nach höchstrichterlicher Rechtsprechung bei der Nutzung von Zahlungskarten an Bankautomaten die Grundsätze des Anscheinsbeweises zumindest dann anzuwenden sind, soweit die Originalkarte unter Verwendung der korrekten PIN zeitnah nach dem Abhandenkommen zum Einsatz gekommen ist.¹⁰¹⁵ Dieser Lebenssachverhalt spricht dem ersten Anschein nach dafür, dass der Nutzer entweder selber verfügt oder die PIN sorgfaltswidrig auf der Karte notiert hat. Es stellt sich demnach die Frage, ob sich diese Rechtsprechung auch auf den Einsatz von NFC-Zahlungskarten unter Eingabe einer PIN am Kassenterminal übertragen lässt. Hierfür müsste zunächst ein vergleichbarer Lebenssachverhalt vorliegen, der insbesondere nicht den Schluss auf alternative Ursachen oder Abläufe zulässt. Aus diesem Grund fehlt bei Kartendubletten die entsprechende Typizität, da das Ausspähen und Kopieren unter Zuhilfenahme technische Gerätschafen erfolgt, die für den Nutzer meist nicht erkennbar sind.¹⁰¹⁶ Hieraus kann nicht automatisch darauf geschlossen werden, dass die Ursache des Kartenmissbrauchs auf einem Pflichtverstoß des Nutzers beruht. Bei NFC-Zahlungen birgt der unsichere Übertragungsweg ein zusätzliches Risiko neben den bereits bestehenden Risiken.¹⁰¹⁷ So könnten manipulierte POS-Zahlungsgeräte Zahlungsdaten abfangen, welche dann für einen zeitlich nachgelagerten Missbrauch verwendet werden könnten.¹⁰¹⁸ Die NFC-Funktechnologie ist weitgehend unverschlüsselt und der einzige Schutz ist die kurze Funkdistanz, die aber ohne Weiteres durch Dritte auf mehrere
BGH NJW 2016, 2024 (2028 f) = WM 2016, 691 (695 f). BGH, Urt. v. 29.11. 2011 – XI ZR 370/10, NJW 2012, 1277; NJW 2004, 3623; siehe auch das aktuelle Urteil des BGH zum Anscheinsbeweis im Online-Banking, in dem explizit darauf hingewiesen wird, dass die Rechtsprechung zum Anscheinsbeweis bei Kartenverfügung bestehen bleibt: BGH NJW 2016, 2024 (2030). BGH NJW 2012, 1277. Danwerth, ZBB 2015, 119 (129); Steinacker/Krauß in: Bräutigam/Rücker, E-Commerce, 13. Teil, E. Rn. 13. Schütte, DuD 2014, 20 (21).
1. Abschnitt: Kartengestützte M-Payments
301
Meter erweitert werden kann.¹⁰¹⁹ Dem wirken die Kreditkartenanbieter vermehrt entgegen, indem die sensiblen Zahlungsdaten verschlüsselt übermittelt werden und auf diese Weise vor Phishing-Angriffen geschützt sind. Auch ein Ausspähen des Kassenterminals ist hierdurch zwecklos. Folglich birgt die Funkübertragung nur ein geringes Risiko der Offenbarung von Zahlungsdaten. Zahlungsinformationen können auch nicht während Übertragung über das Kartenlesegerät verfälscht werden, sodass bei einem Einsatz der Originalkarte mit korrekter PIN der erste Anschein dafürspricht, dass entweder der berechtigte Karteninhaber verfügt hat oder ein Drittmissbrauch durch unsorgfältige Verwahrung der PIN ermöglicht worden ist. Der Anscheinsbeweis kann jedoch durch plausibles Darlegen eines alternativen Geschehensablaufs erschüttert werden. Es bedarf dazu nicht etwa des schwer zu erbringenden Nachweises, dass ein Kassenterminal manipuliert war. Es genügt bereits die Darlegung entsprechender Umstände, die gegen eine wirksame Autorisierung und für eine missbräuchliche Verwendung durch einen Dritten ohne eigenen Pflichtverstoß sprechen. Der Zahlungsdienstleister kann im Gegensatz zu Online-Zahlungen neben technischen Aufzeichnungen auch auf zusätzliche Beweismittel zurückgreifen, beispielsweise Kameraaufzeichnungen oder das Supermarktpersonal als Zeugen. Dies eröffnet im Gegensatz zu Online-Zahlungen die tatsächliche Möglichkeit, den Nachweis einer wirksamen Autorisierung zu erbringen. Dem Zahlungsdienstleister wird jedoch meist in strittigen Fällen nur der Rückgriff auf den Anspruch des § 675v BGB n. F. gegen den Zahlungsdienstnutzer bleiben. Bei einer bereits erfolgten Belastungsbuchung hat daher eine unverzügliche Erstattung seitens des Zahlungsdienstleisters nach Maßgabe der § 675u S. 2 – 4 BGB n. F. zu erfolgen. NFC-Zahlungen ohne Eingabe einer PIN lassen eine Identifizierung des Zahlers nur anhand der Kreditkartendaten zu. Die besonders geheim zu haltende und der Authentifizierung dienende PIN und nicht der Besitz der Karte ist jedoch Grundlage der Anwendung des Anscheinsbeweises. Wirklichen Schutz vor einem Wechsel der tatsächlichen Sachherrschaft gibt es schließlich nicht, weshalb sich der Beweis des ersten Anscheins auch nicht auf ein solch unsicheres Element stützen kann. Es gibt eine Vielzahl denkbarer Alternativen, wie sich ein Besitzwechsel vollzogen hat. Streitige Verfügungen ohne Eingabe der PIN gehen daher stets zulasten des Zahlungsdienstleisters, soweit dieser nicht im Rahmen von § 675i BGB n. F. die Haftungsvorgaben teilweise abbedingt. Die Schadensbeträge werden sich jedoch bei pflichtgemäßem Verhalten des Zahlungsdienstleisters i. S. d. Art. 11 RTS maximal auf 150 Euro belaufen. Das Risiko missbräuchlicher
Schütte, DuD 2014, 20 (21).
302
Teil 7: M-Payments im Präsenzverfahren
NFC-Zahlungen ohne Eingabe einer PIN hält sich demnach für die beteiligten Parteien in Grenzen.
III. Haftung des Zahlungsdienstnutzers 1. Beschränke Haftung nach § 675v Abs. 1 und 2 BGB n. F. Die beschränkte Haftung des Zahlungsdienstnutzers ist nach Auffassung der Vertreter einer engen Auslegung des Begriffs des Zahlungsauthentifizierungsinstruments auf kontaktlose Zahlungen ohne Eingabe der PIN nicht anwendbar.¹⁰²⁰ Schließlich kommt kein personalisiertes Sicherheitsmerkmal zum Einsatz. Die Widersprüchlichkeit dieser Auffassung macht sich insbesondere bei der Betrachtung von NFC-Zahlungen bemerkbar. Der mit der beschränkten Haftung verfolgte Anreiz, sorgfältig auf das eigene Zahlungsinstrument aufzupassen und bei einem Verlust Anzeige zu erstatten, liefe faktisch ins Leere. Eine gesetzliche Anzeigepflicht würde bei entsprechender Auslegung sogar gar nicht erst entstehen und müsste vertraglich vereinbart werden. Hierdurch zeigt sich erneut, dass der Begriff des Zahlungsinstruments in richtlinienkonformer Anwendung weit auszulegen ist. Die beschränkte Haftung war und ist daher auf die Verwendung der Kreditkarte ohne Einsatz eines personalisierten Sicherheitsmerkmals anwendbar. Nach der alten Rechtslage führte jeder Verlust der Karte verschuldensunabhängig zu einer Haftung bis zu einem Betrag von 150 Euro. Dies galt nach allgemeiner Auffassung sogar für die Fälle, in denen die abhandengekommene Karte im Mail-Order-Verfahren, also ohne Einsatz eines personalisierten Sicherheitsmerkmals, verwendet wurde.¹⁰²¹ Auch das Erstellen und Verwenden von Kartendubletten konnte haftungsbegründend wirken, soweit der Nutzer die PIN unsorgfältig verwahrt hatte. Auch wenn sich die Haftungsnorm rein begrifflich auf das konkrete Zahlungsinstrument und somit nur auf die Originalkarte und nicht auf Kopien beziehen mochte, stand die Missbrauchsprävention als Zweck der Norm im Vordergrund. Der Anreizhaftung wäre daher nicht durch eine ausbleibende Sanktionierung leicht fahrlässiger Sorgfaltsverstöße im Umgang mit personalisierten Sicherheitsmerkmalen gedient, sodass § 675v Abs. 1 S. 2 a. F. auch auf missbräuchliche Verfügungen unter Verwendung von Kartendubletten Anwendung fand.¹⁰²² Konkret im Hinblick auf NFC-Zahlungen: Danwerth, ZBB 2015, 119 (131). Siehe hierzu ausführlich Teil 3, 3. Abschnitt, D., II., 2. So auch BT-Drs. 16/11643, S. 114; BankR Hdb-Maihold, § 54 Rn. 65; EFN-Nobbe, § 675v Rn. 36; MünchKommBGB-Zetzsche, § 675v Rn. 25; Scheibengruber, BKR 2010, 15 (16); aA BeckOGK BGBHofmann, § 675v Rn. 34 f; ders., BKR 2014, 105 (110).
1. Abschnitt: Kartengestützte M-Payments
303
Eine Ausnahme galt jedoch für die Fälle des reinen Drittmissbrauchs. Wurden lediglich die Kartendaten gestohlen und ohne personalisierte Sicherheitsmerkmale eingesetzt, entstand keine Haftung des Zahlungsdienstnutzers, soweit ihm keine grob fahrlässige oder vorsätzliche Pflichtverletzung nachgewiesen werden konnte. Diesbezüglich ist das neue einheitliche Haftungsregime strenger. Denn hiernach haftet der Nutzer für jeden bemerkbaren Verlust oder Missbrauch der NFC-Zahlungskarte mit einem Betrag von bis zu 50 Euro. Dies gilt auch für die Fälle des reinen Drittmissbrauchs, wobei eine Bemerkbarkeit erst nach einem erstmaligen Missbrauch möglich ist. Bei dem Verlust der Originalkarte ist aus objektiver Sicht eine Bemerkbarkeit zeitnah anzunehmen. Wird die NFC-Zahlung mittels PIN autorisiert, ergeben sich, abgesehen davon, dass auch die Vertreter einer engen Auslegung wegen des Einsatzes eines personalisierten Sicherheitsmerkmals zu dem Ergebnis gelangen, dass die beschränkte Haftung anwendbar ist, keine Besonderheiten.
2. Unbeschränkte Haftung nach § 675v Abs. 3 BGB n. F. Im Bereich der unbeschränkten Haftung gilt dies nicht. Die PIN ist als personalisiertes Sicherheitsmerkmal besonders zu schützen. Im Gegensatz zu PIN-losen NFC-Zahlungen beschränkt sich demnach der Pflichtenkatalog nicht nur auf die sorgfältige Aufbewahrung der auf der Kreditkarte verkörperten Zahlungsinstrumente, sondern erstreckt sich auch auf das Geheimhalten der PIN. Überdies ist die Haftungssumme bei PIN-losen Zahlungen indirekt beschränkt. Aufsichtsrechtlich sind aufeinanderfolgende kontaktlose Zahlungen ohne Abfrage der PIN nur bis zu dem Erreichen eines Gesamtzahlungsbetrags von 150 Euro zulässig. Verlangt der Zahlungsdienstleister bei höheren Zahlungsbeträgen keine PIN, also keine starke Kundenauthentifizierung, wird der Kunde gem. § 675v Abs. 4 S. 1 BGB n. F. von einer etwaigen Haftung befreit. Die Beschränkung ist jedoch nicht grenzenlos. Hat der Nutzer seine Kreditkarte grob fahrlässig verloren und erlangt der unberechtigt besitzende Dritte nach einer PIN-freien Verfügung Kenntnis über die PIN, kann sich hieraus eine zusätzliche Haftung nach § 675v Abs. 3 BGB n. F. begründen. Die gemeinsame Verkörperung der unterschiedlichen Zahlungsverfahren auf der Kreditkarte bedingt eine Übereinstimmung der jeweiligen Aufbewahrungspflichten, deren Verletzung demnach auch für andere auf der Kreditkarte verkörperte Zahlungsinstrumente eine haftungsrechtliche Wirkung entfalten kann. Weist der Zahlungsdienstleister nach, dass die missbräuchliche Verfügung durch Verwendung der Originalkreditkarte mit korrekter PIN und zeitnah nach dem Abhandenkommen der Karte erfolgt ist, kann er sich durch die Anwendung der Grundsätze des Anscheinsbeweises auf eine Beweislastumkehr im Hinblick
304
Teil 7: M-Payments im Präsenzverfahren
auf die grob fahrlässige Pflichtverletzung berufen.¹⁰²³ Im Gegensatz zum OnlineBanking weisen die Erfahrungssätze auf ein typisches Fehlverhalten des Zahlungsdienstnutzers hin. Die korrekte Verfügung mittels Originalkarte und PIN kann technisch nicht manipuliert werden, sodass ein Anscheinsbeweis auf alternativer Grundlage anwendbar ist. Da der Anscheinsbeweis nur eine Beweiserleichterung und keine zwingende Beweisführung darstellt, genügt bereits das plausible Darlegen eines alternativen Geschehensablaufs zur Erschütterung der Beweiskraft. Der Nutzer kann beispielsweise vorbringen, dass ihm die Karte kurz nach einer Verfügung an einem Kartenlesegerät oder Bankautomaten entwendet wurde, was dafür streitet, dass die PIN möglicherweise ausgelesen wurde und dem Zahlungsdienstnutzer somit kein Sorgfaltsverstoß trifft. Überdies gilt die Beweiskraft des Anscheinsbeweises nicht für die subjektive Vorwerfbarkeit der Pflichtverletzung, da der Tatbestand des § 675v Abs. 3 BGB n. F. ein individuelles Verschulden verlangt.¹⁰²⁴ Hierfür ist stets eine richterliche Einzelfallbetrachtung unter Berücksichtigung der individuellen Fähigkeiten und Kenntnisse des Nutzers erforderlich.
3. Haftungsausschluss bei fehlender starker Kundenauthentifizierung Der Einsatz der Kreditkarte ohne Eingabe einer PIN hat grundsätzlich einen Haftungsausschluss des Zahlungsdienstnutzers nach § 675v Abs. 4 S. 1 BGB n. F. zur Folge, da der Zahlungsauftrag ohne starke Kundenauthentifizierung ausgelöst wurde. Dies gilt nach der Norm sogar dann, wenn der Nutzer grob fahrlässig oder vorsätzlich Vertragspflichten verletzt hat. Einzig das Handeln in betrügerischer Absicht rechtfertigt eine Inanspruchnahme des Nutzers. Die Anwendung des § 675v Abs. 4 S. 1 BGB n. F. setzt jedoch unter Rückgriff auf § 55 ZAG n. F. voraus, dass der Zahlungsdienstleister die aufsichtsrechtlich konkretisierte Pflicht zur Anwendung der starken Kundenauthentifizierung verletzt hat. Handelt er aus aufsichtsrechtlicher Sicht in zulässiger Weise, etwa durch die Inanspruchnahme einer Ausnahmevorschrift nach den RTS, kommt der Haftungsausschluss des § 675v Abs. 4 S. 1 BGB n. F. nicht zur Anwendung. Der Kartenemittent wird dadurch angehalten, entsprechende Mechanismen zu integrieren, die die Betrags- und Einsatzgrenzen der zulässigen Ausnahmen wirkungsvoll gewährleisten. Werden beispielsweise missbräuchliche Einzelzahlungen, die den Betrag von 50 Euro überschreiten, ohne Abfrage der PIN ausgeführt,
Zur Anwendbarkeit siehe ausführlich: Teil 7, 1. Abschnitt, C., II., 3. BGH NJW 2016, 2024 (2031).
2. Abschnitt: Smartphone-gestützte M-Payments
305
haftet der Zahlungsdienstleister nach § 675v Abs. 4 S. 1 BGB n. F. ohne Beteiligung des Zahlungsdienstnutzers für die volle Schadenssumme.
2. Abschnitt: Smartphone-gestützte M-Payments Die vielen verschiedenen Bezahlverfahren mittels Smartphone begründen sich aus einem großen Pool potentieller Anbieter. So gibt es neben den Herstellern von Mobilfunkgeräten, Mobilfunkanbieter, Kreditkartenunternehmen sowie unabhängige Drittanbieter. Teilweise gewähren Mobilfunkanbieter Dritten nicht den Zugriff auf das auf der SIM-Karte hinterlegte Secure Element, was wiederum zur Folge hat, dass diese vom Gerät weitgehend unabhängige Zahlungsverfahren entwickelt haben. Schlussendlich lassen sich zwei Gruppen von Zahlungssystemen erkennen. Zum einen gibt es Zahlungssysteme, die es ermöglichen, eine Kreditkarte auf das Smartphone zu projizieren. Dabei handelt es sich um die Produkte Apple Pay, Samsung Pay und Google Pay, die mit den großen Kreditkartenunternehmen kooperieren. Zum anderen gibt es Anbieter, die technische Systeme zur Auslösung von Zahlungssystemen erschaffen haben und sich zur Zahlungsabwicklung einer dritten Partei bedienen, welche die Gelder auf konventionellem Weg einzieht. Dazu zählen neben den anwendungsbasierten Zahlungslösungen auch Wallet-Apps von Mobilfunkanbietern. Während sich die erste Variante dadurch auszeichnet, dass eine digitalisierte Kreditkarte zum Einsatz kommt, ist Charakteristikum der zweiten Variante eine besondere Zahlungskette. Die Tendenz geht mittlerweile stark in die Richtung der ersten Variante. Abgesehen von einem unabhängigen Drittanbieter haben sich bereits alle Anbieter von Zahlungsverfahren der zweiten Variante aus dem Geschäft zurückgezogen.
A. Anwendbarkeit des Zahlungsdiensterechts I. Digitalisiertes Kreditkartengeschäft Das digitalisierte Kreditkartengeschäft könnte unter den Tatbestand des Zahlungskartengeschäfts i. S. d. § 1 Abs. 1 S. 2 Nr. 3 lit. b und Nr. 4 ZAG n. F. fallen.¹⁰²⁵
Hinsichtlich der alten Fassung des ZAG ordnen einige Autoren Mobile Payment Transaktion als digitalisiertes Zahlungsgeschäft ein, siehe: Baumann, GWR 2014, 493 (494); Brandenburg/ Leuthner, ZD 2015, 111 (113). Dabei verkennen sie jedoch, dass bei mobilen Zahlungen am POS die Zahlung nicht an den Mobilfunkanbieter erfolgt. Schließlich handelt es sich um gewöhnliche Kreditkartentransaktionen. Eine Zwischenschaltung des Mobilfunkanbieters erfolgt nicht. Es ist
306
Teil 7: M-Payments im Präsenzverfahren
Diesbezüglich stellt sich zunächst die Frage, ob die Zahlungskarte einer Verkörperung bedarf oder auch die virtuelle, auf das Smartphone projizierte Kreditkarte der Definition unterfällt. Der Begriff der Zahlungskarte spricht für eine Verkörperung, da Zahlungskarten im gewöhnlichen Sprachgebrauch gerade keinen Datensatz auf einem Gerät beschreiben.¹⁰²⁶ Ob es aufgrund der Digitalisierung der Kreditkarten einer sprachlichen Anpassung oder Korrektur bedarf, kann dahinstehen.¹⁰²⁷ Der Richtliniengeber hat den Tatbestand des Zahlungskartengeschäfts auch auf jedes „ähnliche Instrument“ erstreckt, das wie eine Zahlungskarte zum Einsatz kommt. Der Regulierungszweck besteht insbesondere in der Beaufsichtigung der Back-End-Prozesse. Wie eine Zahlung ausgelöst wird, ist für das Erbringen von Zahlungsdiensten mit Ausnahme der Zahlungsauslösedienste tatbestandlich irrelevant. Aus diesem Grund unterfallen auch virtuelle Kreditkarten, bei denen sich die gleichen Back-End-Prozesse wie bei jeder anderen Kreditkartenzahlung abspielen, dem Zahlungskartengeschäft i. S. d. § 1 Abs. 1 S. 2 Nr. 3 lit. b und Nr. 4 ZAG n. F. Ob es sich bei der virtuellen Kreditkarte um eine Prepaid- oder Universalkreditkarte handelt, spielt ebenfalls keine Rolle, da auch das softwarebasierte Prepaid-System von Boon als Vertrag über die Ausgabe und Nutzung von E-Geld dem Zahlungsdiensterecht unterfällt.¹⁰²⁸ Des Weiteren ist an die Ausgabe von Zahlungsinstrumenten gem. § 1 Abs. 1 S. 2 Nr. 5 1. Var. ZAG n. F. zu denken. Dabei stellt sich erneut die Frage, ob Tatbestandsvoraussetzung die Verkörperung des Zahlungsinstruments ist. Der Begriff der Ausgabe lässt ebenfalls auf einen physischen Vorgang schließen. Im Bankwesen wird das Ausgeben, als etwas in Umlauf bringen, verstanden und bezieht sich damit auf verkörperte Gegenstände, wie etwa Geldmittel. Der Wortlautauslegung darf jedoch im Zeitalter der Digitalisierung kein zu hohes Gewicht beigemessen werden. Schließlich werden bestimmte Begrifflichkeiten aufgrund ihrer historischen Verwendung oftmals noch nicht für digitale Vorgänge verwendet, auch wenn diese denklogisch davon erfasst sind. Überdies sind die Zahlungsdiensttatbestände weit gefasst und auch weit auszulegen. Der Richtliniengeber verfolgt schließlich die Intention, möglichst viele Zahlungsdienste zu erfassen und zu regulieren. Aus diesem Grund ist die Ausgabe technisch neutral auszu-
auch nicht bekannt, dass Mobilfunkanbieter eigene Zahlungssysteme für den stationären Handel anbieten wollen. So auch Casper/Terlau-Casper, § 1 Rn. 42; Schwennicke/Auerbach-Schwennicke, § 1a ZAG Rn. 34; wohl auch BaFin, Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG), 22.12. 2011, Nr. 2 lit. b, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Merk blatt/mb_111222_zag.html (Stand: Dezember 2011), zuletzt abgerufen am 10.04. 2019. Dafür plädierend: Danwerth, ZBB 2015, 119 (123). Vgl. hierzu die Ausführungen zu verkörperten Prepaid-Kreditkarten: Teil 7, 1. Abschnitt, A.
2. Abschnitt: Smartphone-gestützte M-Payments
307
legen und erfasst auch das Emittieren von virtuellen Kreditkarten, sodass das digitalisierte Zahlungskartengeschäft auch den Tatbestand des § 1 Abs. 1 S. 2 Nr. 5 1. Var. ZAG n. F. erfüllt.
II. Zahlungskettensystem bei Verwendung des Vodafone-Wallet Sind mehrere Zahlungsdienstleister am Zahlungsvorgang beteiligt, eröffnet dies wie bei den vergleichbaren Konstellationen des Direct Carrier Billings die Frage, welche Partei gegenüber wem Zahlungsdienste erbringt. Erfreulicherweise bestand bei Zahlungskettensystemen hinsichtlich der Vertragsparteien und der Rechtsnatur der jeweiligen vertraglichen Bindung eine größere Transparenz.
1. Der Mobilfunkanbieter als technischer Dienstleister Der Mobilfunkanbieter übernahm zuvorderst technische Aufgaben. Zum einen stellte er dem Mobilfunkkunden die Wallet als App zur Verfügung und zum anderen gestattete er dem Payment Provider die Ablage sensibler Zahlungsdaten auf dem Secure Element der SIM-Karte.¹⁰²⁹ Er war jedoch zu keiner Zeit in dem Besitz der Gelder, löste oder führte Zahlungsaufträge aus und beschränkte sich somit auf technische Dienstleistungen. Eine Zahlung über die Mobilfunkrechnung war beispielsweise nicht möglich, sodass der Mobilfunkanbieter demnach keine Zahlungsdienste wahrnahm.
2. Die Rolle des Payment Providers Vodafone griff zur Zahlungsabwicklung auf die Raphaels & Sons Plc. Bank zurück, eine in Großbritannien ansässige und dort regulierte Bank. Der Nutzer musste hierfür einen gesonderten Vertrag mit der Raphaels Bank über die Ausgabe von virtuellen Zahlungskarten abschließen.¹⁰³⁰ Eine virtuelle Karte wurde für jede Finanzierungsquelle erstellt und diente dazu, die Zahlungen am HändlerTerminal zu ermöglichen und an den Händler durchzuführen. Durch den Rückgriff auf die bestehende Infrastruktur konnte es sich bei der virtuellen Karte nur
Nr. 2 und 3 Nutzungsbedingungen „Vodafone Wallet“, abrufbar unter: https://www.voda fone.de/downloadarea/vodafone-wallet-nutzungsbedingungen.pdf (Stand: 17.08. 2016), zuletzt abgerufen am 10.04. 2019. S. 1 Raphaels Bank-Bedingungen für virtuelle Karten, abrufbar unter: http://vodafone.carta solutions.com/addacard/de/new_fullterms.pdf (Stand: 26.06. 2017), zuletzt abgerufen am 08.01. 2018.
308
Teil 7: M-Payments im Präsenzverfahren
um eine Debit- oder Kreditkarte handeln, für die bei der Registrierung zu Authentifizierungszwecken eine zusätzliche PIN eingerichtet wurde.¹⁰³¹ Händler erlangten hierdurch dieselbe Zahlungssicherheit wie bei jeder sonstigen Debit- oder Kreditkartenzahlung. Durch die Kartennutzung verpflichtete sich der Acquirer i. S. e. selbständigen Garantieversprechen gem. § 780 BGB zur Zahlung des gegenständlichen Geldbetrags. Die Raphaels Bank als Issuer war wiederum dem jeweiligen Acquirer zur Zahlung verpflichtet und belastete hierfür unmittelbar die jeweilige Zahlungsquelle.¹⁰³² Die weiteren Leistungen der Raphaels Bank beinhalteten die Einziehung der Beträge über die Finanzierungsquelle und die Übermittlung des Geldbetrags an den Händler beziehungsweise den Acqurier.¹⁰³³ Demnach erhielt der Händler eine Zahlung der Raphaels Bank und keine E-Geld-Zahlung von PayPal oder eine Kreditkartenzahlung von VISA beziehungsweise des jeweiligen Emittenten. Hierdurch betrieb die Raphaels Bank das Zahlungskartengeschäft i. S. d. § 1 Abs. 1 S. 2 Nr. 3 lit. b und Nr. 4 ZAG n. F. sowie das Akquisitionsgeschäft i. S. d. § 1 Abs. 1 S. 2 Nr. 5 1. Var. ZAG n. F.
3. Der Zahlungsdienstleister der hinterlegten Zahlungsquelle Der Zahlungsdienstleister der Zahlungsquelle wurde bei smartphonegestützten Zahlungen nicht über seine vertraglich geschuldeten Tätigkeiten hinaus relevant. Dies galt sowohl für die Fälle, in denen ein Prepaid-Produkt aufgeladen wurde, als auch für die Zahlungskettenfälle, bei denen eine Einziehung durch den Payment Provider erfolgte. In beiden Fällen war der Payment Provider nur Zahlungsempfänger, sodass der Anbieter des hinterlegten Zahlungsmittels, sei es PayPal oder ein Kreditkartenemittent, nur die dem Zahlungsmittel spezifischen und bereits erläuterten Zahlungsdienste i. S. d. Zahlungsdiensterechts ausführte.
B. Organisationsrahmen und Vertragsbeziehungen I. Digitalisiertes Kreditkartengeschäft Das digitalisierte Kreditkartengeschäft erfordert eine zusätzliche vertragliche Abrede über die Autorisierung von Zahlungsaufträgen über das Mobiltelefon sowie der Festlegung zusätzlicher personalisierter Sicherheitsmerkmale. Auch der vertragliche Pflichtenkatalog umfasst weitere Verwahrungs- und Sorgfaltspflich Die Nutzungsbedingungen der Raphaels Bank sahen keine Betragsgrenze für PIN-freie Zahlungen vor. Nr. 2 lit. b Raphaels Bank-Bedingungen für virtuelle Karten. Nr. 2 lit. b Raphaels Bank-Bedingungen für virtuelle Karten.
2. Abschnitt: Smartphone-gestützte M-Payments
309
ten, da die Kreditkarte auf dem Smartphone verkörpert ist. Die Nutzung des Smartphones muss darüber hinaus durch Antivirenprogramme geschützt werden und personalisierte Sicherheitsmerkmale dürfen keineswegs auf dem Smartphone gespeichert werden. Auch das Notieren der PIN auf dem Smartphone oder dessen Hülle stellt einen Verstoß gegen die zahlungsdienstrechtlichen Sorgfaltspflichten dar.
II. Zahlungskettensysteme Der bestehende Zahlungsdiensterahmenvertrag mit dem Zahlungsdienstleister des hinterlegten Zahlungsmittels bedurfte keiner Anpassung. Das jeweilige Zahlungsmittel wurde im Rahmen der vertraglichen Vereinbarungen eingesetzt. Hinsichtlich der Ausgabe und Nutzung der virtuellen Karte musste hingegen ein zweiter Zahlungsdiensterahmenvertrag mit dem Emittenten abgeschlossen werden. Dieser Vertrag enthielt wie auch die Verträge über die Nutzung von Kreditkarten im digitalisierten Kreditkartengeschäft vor allem besondere Sorgfalts- und Aufbewahrungspflichten. Die Vertragsbeziehungen, denen unter anderem zwei zahlungsdienstrechtliche Drei-Personen-Verhältnisse zugrunde lagen, gestalteten sich wie folgt:
Abbildung : Zahlungskettensysteme¹⁰³⁴
Die notwendigen kontoführenden Zahlungsdienstleister wurden zu Gunsten der Übersichtlichkeit außen vor gelassen.
310
Teil 7: M-Payments im Präsenzverfahren
C. Autorisierung smartphonegestützter Zahlungen I. Das Smartphone als Zahlungszugangsmedium oder Zahlungsinstrument? Der vorangestellte Abschnitt sowie die Untersuchung des PayPal-Zahlungssystems hat gezeigt, dass das Smartphone oftmals nicht zum Zahlungsinstrument wird, sondern allenfalls eine Träger- oder Zugangsfunktion für andere Zahlungsmittel besitzt. Lediglich die SIM-Karte übt im Falle des Direct Carrier Billing die Funktion eines Zahlungsinstruments aus. Bei mobilen Zahlungen spielt das Secure Element eine wesentliche Rolle. Auf den Tatbestand des Zahlungsinstruments kann es jedoch keinen Einfluss haben. Schließlich dient der Ort der Speicherung nicht der Erteilung von Zahlungsaufträgen. Dies zeigt sich auch in den unterschiedlichen technischen Ausgestaltungen der jeweiligen Verfahren. Bei Zahlungen über die Vodafone Wallet enthielt die SIM-Karte das Secure Element. Die Smartphones, die mit der gängigsten Smartphone-Betriebssoftware Android ausgestattet sind, verfügen mittlerweile über ein eigenes, im Smartphone verbautes Secure Element.¹⁰³⁵ Auch die Geräte des Herstellers Apple sind seit der sechsten Generation serienmäßig mit einem Secure Element ausgestattet.¹⁰³⁶ Anwendungsbasierte Zahlungsverfahren greifen überhaupt nicht auf das Secure Element zurück, sondern erschaffen mittels HCE ein virtuelles Secure Element. Im Gegensatz zum Secure Element ist die virtuelle Zahlungskarte auf dem Smartphone ein Zahlungsinstrument. Dies führt zu der Frage, ob die Verkörperung der virtuellen Karte das Smartphone zum Zahlungsinstrument erstarken lässt. Ausschlaggebend hierfür ist die konstitutive Funktion des Smartphones im Prozess der Zahlungsauslösung. Es darf nicht bloßes Trägermedium oder Zugangsgerät sein, sondern muss eine Personalisierung in der Gestalt erfahren, dass nur unter Verwendung des konkreten Smartphones Zahlungen im Namen des Nutzers ausgelöst werden können. Bei stationären mobilen Zahlungen werden die sensiblen Zahlungsdaten auf dem jeweiligen Secure Element, egal ob echt oder im HCE-Verfahren emuliert, gespeichert. Das genutzte Smartphone erfährt damit im Vergleich zu anderen Smartphones eine gewisse Personalisierung. Die bloße Speicherung sensibler Daten führt jedoch noch nicht zu einer Qualifikation des Speichermediums als
Maik Klotz, „iPhone 6: Knackt Apple heute die Mobile-Payment-Nuss?“, 09.09. 2014, abrufbar unter: http://t3n.de/news/apple-mobile-payment-iphone-6-566042/, zuletzt abgerufen am 10.04. 2019. IPHONEFAQ, abrufbar unter: http://www.iphonefaq.org/archives/974225, zuletzt abgerufen am 10.04. 2019.
2. Abschnitt: Smartphone-gestützte M-Payments
311
Zahlungsinstrument.¹⁰³⁷ Der entscheidende Faktor liegt im Registrierungsprozess.¹⁰³⁸ Der Datenaustausch erfolgt nicht nur einseitig durch die Ablage der sensiblen Zahlungsdaten. Das Smartphone übermittelt individuelle Daten an den Zahlungsdienstleister, der dem konkreten Smartphone anschließend eine gerätespezifische Nummer zuteilt. Mit dieser Nummer wird bei jedem Zahlungsprozess überprüft, dass das registrierte Gerät und nicht ein Drittgerät zum Einsatz kommt. Folglich wird bei jedem Zahlungsvorgang nicht nur der berechtigte Nutzer des Smartphones, sondern auch der berechtigte Inhaber der registrierten Zahlungskarten anhand der auf dem Secure Element niedergelegten Informationen identifiziert. Die Nutzung des jeweiligen Bezahlverfahrens auf einem anderen Smartphone erfordert nicht nur die Eingabe von Identifizierungsdaten, sondern auch eine erneute Registrierung des Smartphones. Das Smartphone ist demnach bei der Verwendung im Präsenzverfahren als Zahlungsinstrument zu qualifizieren.¹⁰³⁹
II. Doppelter Autorisierungsgehalt bei Zahlungskettensystemen? Zahlungskettensysteme wiesen eine gewisse Ähnlichkeit zu Zahlungen im AppStore auf. Die Erklärung, etwas zahlungspflichtig kaufen zu wollen, beinhaltete nicht nur die Annahmeerklärung im Hinblick auf das Valutaverhältnis, sondern enthielt auch die Ermächtigung für den Payment Provider, per Kreditkarte oder PayPal den gegenständlichen Betrag einzuziehen und über die virtuelle Zahlungskarte an den Zahlungsempfänger weiterzuleiten. Aus diesem Grund erteilte der Zahlungsdienstnutzer am POS zwar nur einen Zahlungsauftrag, der jedoch zusätzlich mit einem Kreditkarten- oder PayPal-Mandat versehen war. Es erfolgte demnach tatsächlich durch eine Erklärung eine doppelte Autorisierung.
III. Erforderlichkeit und Ausnahmen der starken Kundenauthentifizierung Nach der aktuellen Rechtslage unterfallen smartphonegestützte Zahlungen gem. Titel I Nr. 11 MaSI nicht den Anforderungen der starken Kundenauthentifizierung.
Siehe zur Qualifikation von Speichermedien als Zahlungsinstrumente oben: Teil 3, 1. Abschnitt, B., IV., 1. „Überblick über Sicherheit und Datenschutz bei Apple Pay“, abrufbar unter: https://sup port.apple.com/de-de/HT203027, zuletzt abgerufen am 10.04. 2019; hier wird ausführlich erklärt, dass eine gerätespezifische Geräteaccountnummer erstellt wird, die bei jeder Transaktion überprüft wird, sodass nur mit dem registrierten Gerät Zahlungen ausgeführt werden können. Baumann, GWR 2014, 493 (496); Busch, GewArch 2014, 148 (151); Söbbing, WM 2016, 1066 (1068).
312
Teil 7: M-Payments im Präsenzverfahren
Dies wird sich nach den im September 2019 in Kraft tretenden Authentifizierungsvorgaben der PSD II ändern, da eine starke Kundenauthentifizierung bei allen elektronischen Zahlungen, wozu natürlich auch smartphonegestützte Kartenzahlungen gehören, vorzunehmen ist. Da die am POS ausgelösten Zahlungsvorgänge keine Fernzahlungen darstellen, ist eine dynamische Verknüpfung eines der Authentifizierungselemente mit der konkreten Transaktion nicht erforderlich. Die Authentifizierung mittels Smartphone als Element des Besitzes sowie PIN oder Touch ID, wobei Letztere zu den inhärenten Authentifizierungselementen zählt, genügt den künftigen Anforderungen der starken Kundenauthentifizierung. Da auch smartphonegestützte NFC-Zahlungen unter den Begriff der kontaktlosen Zahlungen i. S.d. Art. 11 RTS fallen, können jedoch Ausnahmen innerhalb der Betragsgrenzen vorgenommen werden. Die Vodafone-Wallet und Google Pay mach(t)en hiervon bereits Gebrauch. Weitere Ausnahmen können sich für den Kauf von Transport- oder Parktickets ergeben. Die doppelte Autorisierung des Zahlungskettensystems eröffnete jedoch die Frage, ob eine einzige Authentifizierung mittels PIN oder Touch ID für beide Zahlungsvorgänge Geltung entfalten konnte. Dabei war zunächst der Zahlungsvorgang des hinterlegten Zahlungsmittels zu betrachten. Zahlungsaufträge bedürfen nur dann einer starken Kundenauthentifizierung, wenn sie entweder durch den Zahler selbst oder durch den Zahler über den Zahlungsempfänger ausgelöst werden.¹⁰⁴⁰ Letzteres ist etwa bei Kreditkartenzahlungen am POS der Fall. Ausgenommen sind daher Zahlungen, die ausschließlich durch den Zahlungsempfänger ausgelöst werden.¹⁰⁴¹ Darunter fallen insbesondere, jedoch nicht ausschließlich Lastschriften. Auch PayPal-Zahlungen sowie Kreditkartenabbuchungen können ausschließlich durch den Zahlungsempfänger nach Erteilung einer entsprechenden Ermächtigung durch den Zahler ausgelöst werden.¹⁰⁴² Die Zahlungsinitiative ging demnach in beiden Fällen vom Zahlungsempfänger aus, sodass die Autorisierung für den Zahlungsvorgang über das hinterlegte Zahlungsmittel keiner zusätzlichen starken Kundenauthentifizierung bedurfte.
Siehe bereits oben: Teil 3, 2. Abschnitt, E. Siehe bereits oben: Teil 3, 2. Abschnitt, E. Für das PayPal-Verfahren siehe: Nr. 4.8 PayPal-AGB.
2. Abschnitt: Smartphone-gestützte M-Payments
313
D. Risikoverteilung und Haftung I. Anwendbarkeit der §§ 675u, 675v BGB n. F. Smartphonegestützte Zahlungen bedürfen nach den aktuellen Ausgestaltungen der AGB der jeweiligen Anbieter meist der Authentifizierung mittels PIN oder Touch ID. Lediglich bei der Vodafone Wallet war eine derartige Authentifizierung nicht immer erforderlich.¹⁰⁴³ Für dieses Zahlungsverfahren stellte sich die Frage, ob wie bei Kreditkartenzahlungen erneut die Vorschriften für Kleinbetragsinstrumente anwendbar waren. Da aus den jeweiligen AGB noch nicht einmal hervorging, ab welcher Schwelle eine Authentifizierung mittels PIN oder Touch ID erforderlich wurde, ließ sich eine Qualifikation als Kleinbetragsinstrument nicht feststellen. Eine Anwendung des § 675i Abs. 3 S. 1 BGB n. F., der die Nichtanwendbarkeit der §§ 675u, 675v BGB n. F. zur Folge hätte, war und ist für virtuelle Prepaid-Karten jedenfalls nicht in Betracht zu ziehen. Der Zahlungsdienstleister kann die Karte jederzeit sperren, sodass die Haftungsvorschriften uneingeschränkt anzuwenden sind.¹⁰⁴⁴
II. Missbrauchsszenarien Neben den bekannten Gefahren insbesondere durch den Diebstahl des Smartphones stellt das Ausspähen von sensiblen Daten ein besonderes Risiko. Zum einen sind die Betriebssysteme von Smartphones meist nur unzureichend geschützt. Zum anderen können über getarnte Phishing- oder Pharming-Apps Zahlungsdaten abgefangen werden.¹⁰⁴⁵ Überdies birgt auch die NFC-Übertragungstechnik Gefahren. Den Übertragungsrisiken wird allerdings durch die sogenannte „Tokenization“ entgegengewirkt. Das Smartphone beziehungsweise das Kartenlesegerät übermittelt dabei nur einen einmalig gültigen Sicherheitsschlüssel, der nur vom Kreditkartenemittenten entschlüsselt werden kann.¹⁰⁴⁶ Diese Art der
So wohl bei Raphaels & Sons PLC, Nr. 2 lit. c Bedingungen für virtuelle Karten, abrufbar unter: http://vodafone.cartasolutions.com/addacard/de/new_fullterms.pdf (Stand: 26.06. 2017), zuletzt abgerufen am 08.01. 2018. So auch Danwerth, ZBB 2015, 119 (132), der auch auf eine analoge Anwendung des § 675i Abs. 3 S. 1 BGB a. F. eingeht und diese richtigerweise ablehnt. Danwerth, ZBB 2015, 119 (129). So etwa bei Apple Pay, siehe: https://support.apple.com/de-de/HT203027, zuletzt abgerufen am 10.04. 2019.
314
Teil 7: M-Payments im Präsenzverfahren
sicheren Kommunikation haben etwa VISA und Mastercard bereits implementiert.¹⁰⁴⁷
III. Haftung des Zahlungsdienstleisters 1. Richtiger Anspruchsgegner bei Zahlungskettensystemen Die doppelte Autorisierung bei Zahlungskettensystemen führte zu einer interessanten haftungsrechtlichen Konstellation. Im Hintergrund wurde entweder eine PayPal-Lastschrift oder ein Einzug per Kreditkarte durchgeführt.¹⁰⁴⁸ Wurde die Zahlung am POS nicht wirksam autorisiert, weil sie etwa durch einen unberechtigten Dritten durchgeführt wurde, hatte der Zahlungsdienstleister keinen Anspruch auf Ersatz seiner Aufwendungen, die durch Zahlungen an den Payment Provider entstanden sind. Wurde dieser Anspruch bereits erfüllt, war der Zahlungsbetrag gem. § 675u S. 2 BGB n. F. dem Zahlungsdienstnutzer unverzüglich auf das belastete Zahlungskonto zurückzuerstatten. Dabei handelte es sich um das Verrechnungskonto der Kreditkarte oder das PayPal-Konto. Indem zusätzlich auch der Payment Provider Zahlungsdienstleister i. S. d. Zahlungsdiensterechts war, stellte sich für Zahlungsdienstnutzer die Frage, welcher Zahlungsdienstleister in Anspruch genommen werden sollte. Rein rechtlich gab es hierzu keine konkreten Vorgaben. Allenfalls der Rechtsgedanke, den Art. 73 Abs. 2 S. 1 PSD II für die Rückabwicklung von Zahlungsvorgängen bei der Beteiligung von Zahlungsauslösedienstleistern statuiert, konnte zur Auslegung des Willens des Richtliniengebers herangezogen werden. Hiernach kann sich ein Zahlungsdienstnutzer in Missbrauchsfällen logischerweise nur an einen von mehreren beteiligten Zahlungsdienstleistern wenden. Dabei handelt es sich stets um den kontoführenden Zahlungsdienstleister, der die direkte Verfügungsgewalt über das jeweilige Zahlungskonto hat. Haftet im Ergebnis der zweite Zahlungsdienstleister, der aus der Sicht des Kreditkartenemittenten lediglich Zahlungsempfänger des ersten Vertragsverhältnisses ist, muss dieser den kontoführenden Zahlungsdienstleister schadlos halten. Der Regress spielt sich unter den Zahlungsdienstleistern und nicht im Verhältnis zum Zahlungsdienstnutzer ab, weshalb die Berechtigung, Regress zu fordern, nicht Gegenstand dieser Arbeit ist. In
Siehe https://www.visa.de/uber-visa/presse-und-news/visa-europe-fuhrt-token-servicefur-die-naechste-generation-des-sicheren-bezahlens-ein-1121329?returnUrl=/uber-visa/presseund-news/listing?tag=token, zuletzt abgerufen am 10.04. 2019; http://www.mastercard.com/gate way/implementation_guides/Tokenization.html, zuletzt abgerufen am 10.04. 2019. Der tatbestandlich anwendbare Erstattungsanspruch nach § 675x Abs. 1 BGB n. F. wird nur dann in Betracht zu ziehen sein, soweit das mobile Bezahlen auch für Zahlungsvorgänge angewendet werden kann, bei denen der genaue Betrag im Vorhinein unbekannt ist.
2. Abschnitt: Smartphone-gestützte M-Payments
315
der Regel hätte sich der Nutzer bei missbräuchlichen Verfügungen zunächst an den ihm aus seiner Sicht nächsten Vertragspartner, also an den Payment Provider, gewendet. Das dann folgende Abwicklungsverfahren war in den Vodafone WalletAGB der Raphaels Bank niedergelegt.¹⁰⁴⁹ Die oben beschriebene Rückabwicklungskette kam daher im Regelfall wohl nicht zum Einsatz.
2. Anwendung der Grundsätze des Anscheinsbeweises Die Grundsätze der Anwendung des Anscheinsbeweises erfordern zunächst eine Typizität des zugrundeliegenden Sachverhalts, der laut BGH „nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges“ hinweisen muss. Die Authentifizierung unter Verwendung des personalisierten Smartphones sowie der PIN oder sogar der Touch ID muss demnach unter Berücksichtigung aller denkbaren alternativen Geschehensabläufe den einzigen Schluss zulassen, dass entweder der berechtigte Nutzer oder ein Dritter aufgrund unsorgfältiger Verwahrung der personalisierten Sicherheitsmerkmale verfügt hat. Zunächst einmal ermöglicht die gerätespezifische Registrierung der virtuellen Kreditkarte die Feststellung, ob das Originalgerät zum Einsatz gekommen ist. PIN und Touch ID sind überdies schwer oder kaum zu ermitteln. Zwar ist es Hackern bereits gelungen unter Verwendung eines Fingerabdrucks auf einem Wasserglas die Touch ID zu „knacken“.¹⁰⁵⁰ Das Nachbilden eines Fingerabdrucks, dazu auch noch des korrekten Fingers, bedarf jedoch eines erheblichen Zeitaufwands. Da die Grundsätze des Anscheinsbeweises ohnehin nur dann heranzuziehen sind, soweit zwischen dem Abhandenkommen und der missbräuchlichen Verfügung ein enger zeitlicher Zusammenhang besteht, steht die Angreifbarkeit der Touch ID einer Anwendung der Grundsätze des Anscheinsbeweises nicht entgegen. Die sonstigen Missbrauchsszenarien beschränken sich wie bei kontaktlosen Zahlungskarten insbesondere auf den Datendiebstahl. Die ergatterten Daten können zur Erstellung von Kartendubletten genutzt werden, wobei die Registrierung einer bereits registrierten Kreditkarte auf einem anderen Telefon anhand der Geräteüberprüfung scheitern sollte. Die Verwendung des konkreten Smartphones und Eingabe der Touch ID sprechen demnach ausschließlich für eine Authentifizierung durch den Nutzer, soweit nicht eine längere Zeitspanne eine Nachbildung des Fingerabdrucks möglich erscheinen lässt. Die Anwendung der Grundsätze Siehe: Nr. 7 Raphaels Bank-Bedingungen für virtuelle Karten. Klaus Wedekind, „Wie sicher ist Apples Touch ID wirklich?“, 23.09.13, abrufbar unter: http://www.n-tv.de/technik/Hacker-ueberlisten-Fingerabdruck-Scanner-des-iPhone-5S-Wie-si cher-ist-Apples-Touch-ID-article11425776.html, zuletzt abgerufen am 10.04. 2019.
316
Teil 7: M-Payments im Präsenzverfahren
des Anscheinsbeweises kommt daher bei einer mittels Touch ID authentifizierten Zahlung nur hinsichtlich der Autorisierung, nicht jedoch im Hinblick auf eine grob fahrlässige Pflichtverletzung in Betracht. Für eine unter Verwendung des Originalgerätes und der richtigen PIN authentifizierten Zahlung sind hingegen die einzig beiden logischen Ursachen die Verfügung des Nutzers oder eines Dritten, der aufgrund unsorgfältiger Verwahrung Kenntnis über die PIN erlangen konnte. Die Grundsätze über die Anwendung des Anscheinsbeweises auf alternativer Grundlage sind somit anwendbar. Eine Relativierung kann sich aus neuen Missbrauchsstrategien und damit alternativen Geschehensabläufen ergeben. Überdies kann die Beweiskraft wie auch bei kontaktlosen Zahlungen mittels NFC-Kreditkarte durch das plausible Darlegen eines alternativen Geschehensablaufs erschüttert werden. Bei mobilen Zahlungen wird dies jedoch durch die verstärkten Sicherheitsvorkehrungen erschwert. Der ungeschützten Datenkommunikation zwischen Smartphone und Kassenterminal wird durch das das Erstellen von Tokens beziehungsweise dynamischen Sicherheitscodes begegnet, die keine Rückschlüsse auf die sensiblen Zahlungsdaten und insbesondere die PIN zulassen, die im Gegensatz zu kontaktlosen Kartenzahlungen im Smartphone eingegeben wird. Ein Ausspähen der PIN durch die Überwachung der Datenkommunikation mit dem Terminal wird dadurch unmöglich. Es muss daher entweder das Smartphone oder der Nutzer bei der Eingabe ausgespäht werden. Bestehen Anzeichen für ein tatsächliches oder technisches Ausspähen des Smartphones kann das wiederum den Anscheinsbeweis erschüttern. Sicherheitslücken, die eine Neubewertung sowohl hinsichtlich des Anscheinsbeweises als auch im Hinblick auf das Erschüttern desselbigen erfordern, werden wohl erst durch die weitere Verbreitung von mobilen Zahlungen und der damit steigenden Attraktivität für Betrüger aufgedeckt werden.
IV. Haftung des Zahlungsdienstnutzers Gelingt dem Zahlungsdienstleister auch unter Anwendung der Grundsätze des Anscheinsbeweises nicht der Nachweis, dass der Zahlungsdienstnutzer eine Zahlung wirksam autorisiert hat, verbleibt nur der Rückgriff auf die Haftungsvorschrift des § 675v BGB n. F.
1. Beschränkte Haftung nach § 675v Abs. 1 und 2 BGB n. F. Bei dem Verlust des Smartphones haftet der Zahlungsdienstnutzer gem. § 675v Abs. 1 BGB n. F. bis zu einem Betrag von 50 Euro für die durch missbräuchliche Verfügungen entstandenen Schäden, soweit er das Abhandenkommen gem. § 675v Abs. 2 Nr. 1 BGB n. F. hätte bemerken können. Im Gegensatz zu Zah-
2. Abschnitt: Smartphone-gestützte M-Payments
317
lungskarten nimmt das Smartphone nicht nur eine Zahlungsfunktion, sondern auch telekommunikative, navigative und unterhaltende Funktionen wahr. Nach einer Studie des US-Marktforschungsinstituts „dscout“ über das Verhältnis von Nutzern zu ihrem Smartphone berührt der Durchschnittsnutzer den Bildschirm 2617 Mal am Tag.¹⁰⁵¹ Selbst unter Annahme einer großzügigen Schlafdauer von 8 Stunden bedeutet dies immer noch, dass das Smartphone im Schnitt dreimal pro Minute berührt wird. Dies verringert die Dauer der objektiven Bemerkbarkeit nicht nur erheblich, sondern wird auch zur Folge haben, dass die Haftung nach § 675v Abs. 1 BGB n. F. bei dem Verlust des Smartphones schneller zum Tragen kommt als bei dem Verlust einer Zahlungskarte. Werden hingegen die Zahlungsdaten durch ein Ausspähen des Mobiltelefons für missbräuchliche Verfügungen eingesetzt, setzt eine Haftung nach § 675v Abs. 1 BGB n. F. eine erstmalige Verfügung voraus. Nach der alten Rechtslage haftete der Nutzer gem. § 675v Abs. 1 S. 1 BGB a. F. bei einem Verlust des Smartphones ungeachtet der Bemerkbarkeit des Abhandenkommens bis zu einem Betrag von 150 Euro. Wurden Zahlungsdaten ausgespäht und damit Dubletten erzeugt, kam eine Haftung nach Maßgabe des verschuldensabhängigen Schadensersatzanspruchs des § 675v Abs. 1 S. 2 BGB a. F. in Betracht.¹⁰⁵²
2. Unbeschränkte Haftung nach § 675v Abs. 3 BGB n. F. Die unbeschränkte Haftung kommt zum Tragen, soweit dem Nutzer zumindest ein grob fahrlässiges Verhalten im Umgang mit den personalisierten Sicherheitsmerkmalen oder dem Zahlungsinstrument nachgewiesen werden kann. Die Verbindung aus internetfähigem Smartphone und virtueller Kreditkarte hat zur Folge, dass der aus § 675l BGB n. F. folgende Pflichtenkatalog ein Querschnitt der aus dem Online-Banking und der aus dem stationären Kreditkarteneinsatz bekannten Sorgfaltspflichten ist. Auf erster Ebene sind die personalisierten Sicherheitsmerkmale sorgfältig vor dem Zugriff Dritter zu schützen. Der Nutzer sollte seine PIN nicht auf dem Smartphone speichern, das für mobile Zahlungen eingesetzt wird. Es kann dabei dahinstehen, ob der Nutzer den Zugang zum Gerät entsprechend abgesichert hat, da sich auch solche technischen Hürden überwinden lassen.¹⁰⁵³ Auch das Ein-
Dscout, „Putting a Finger on our Phone Obsession“, Abrufbar unter: https://blog.dscout. com/mobile-touches, zuletzt abgerufen am 10.04. 2019. § 675v Abs. 1 S. 2 BGB a. F. ist tatbestandlich auch auf Verfügungen mittels Kartendubletten und demnach auch auf „Smartphonedubletten“ anwendbar; siehe: Fn. 567. Busch, GewArch 2014, 148 (152); Danwerth, ZBB 2015, 119 (133); Söbbing, WM 2016, 1066 (1069).
318
Teil 7: M-Payments im Präsenzverfahren
geben der PIN am POS auf dem Smartphone sollte nach Möglichkeit verdeckt werden, sodass Dritte die PIN-Eingabe nicht einsehen können. Neben dem Schutz der personalisierten Sicherheitsmerkmale hat der Nutzer auch das Smartphone als Zahlungsinstrument sicher aufzubewahren. Das unbeaufsichtigte Liegenlassen an einem öffentlichen Ort begründet bereits eine grob fahrlässige Pflichtverletzung.¹⁰⁵⁴ Zu den öffentlichen Räumen zählen unter anderem auch unverschlossene Büroräume, sodass das Smartphone auch während der Arbeit sicher zu verwahren ist. Auch die Aufbewahrung im verschlossenen Kraftfahrzeug schützt das Smartphone nicht ausreichend vor unbefugtem Fremdzugriff und begründet eine grob fahrlässige Pflichtverletzung. Überdies sollte der Zugriff auf das Smartphone mittels Touch ID, PIN oder Muster abgesichert werden. Neben dem physischen Schutz des Smartphones sind auch technische Vorkehrungen vor Angriffen aus dem Internet, etwa durch das Installieren von Antivirenprogrammen, zu ergreifen. Darüber hinaus sind wie auch beim Online-Banking erkennbar betrügerische Programme, unseriöse E-Mails oder gefälschte Apps und Websites zu meiden. Dies gilt insbesondere bei entsprechenden Sicherheitshinweisen durch den Emittenten. Darüber hinaus können sich weitere spezifische Sorgfaltspflichten aus dem jeweiligen Vertragswerk des Emittenten ergeben. Ist der objektive Pflichtverstoß ausreichend dargelegt, ist für jeden Einzelfall durch das entscheidende Gericht gesondert festzustellen, ob dieser Verstoß dem Nutzer individuell vorzuwerfen ist. Da es sich bei mobilen Zahlungen um relativ neuartige Bezahlverfahren handelt, wird man gewisse Unsicherheiten im Umgang mildernd berücksichtigen müssen. Nichtsdestotrotz sind einige Gefahren des mobilen Bezahlens nahezu deckungsgleich mit den Gefahren des Online-Bankings und von Zahlungskarten, sodass eine gewisse Sensibilisierung bereits erwartet werden darf. Ist schlussendlich der objektive und subjektive Pflichtverstoß nachgewiesen, kommt ein Haftungsausschluss nach § 675v Abs. 4 S. 1 BGB n. F. nur selten in Betracht, da zum einen zulässige Ausnahmen von der Anwendung der starken Kundenauthentifizierung bestehen und zum anderen die meisten Anbieter ohnehin auf abgeschwächte Authentifizierungsverfahren verzichten.
OLG Düsseldorf, Teilurteil v. 26.10. 2007 – I-16 U 160/04, BKR 2008, 41; OLG Köln, Urt. v. 25.10.1995 – 13 U 28/95, NJW-RR 1996, 619 (620).
3. Abschnitt: Ergebnis
319
3. Abschnitt: Ergebnis Mobile Payments im Präsenzverfahren erfolgen durch die funkgestützte, kontaktlose Übermittlung von Zahlungskartendaten. Dies hat zur Folge, dass es ein gewisses Marktvakuum für M-Payments gibt, die auf andere Bezahlverfahren zurückgreifen, wie zum Beispiel SEPA Instant Payments im Präsenzverfahren.¹⁰⁵⁵ Dabei handelt es sich um Überweisungen, die am POS über das Smartphone ausgelöst werden und unverzüglich dem Empfänger gutgeschrieben werden. Derartige Dienste könnten in Zukunft ebenfalls in den Markt dringen und den Zahlungswettbewerb im stationären Handel weiter verschärfen. Die Chancen und Risiken dürften weitgehend kongruent sein. Dies hat vor allem damit zu tun, dass sowohl Kreditkartenzahlungen als auch Überweisungen rechtlich gesehen weitgehend bekannt sind. Im Bereich der M-Payments tritt als wesentlicher und entscheidender Faktor das Smartphone hinzu, welches neue Risiken und damit Haftungsprobleme hervorruft. Die starke Kundenauthentifizierung ist zwar unter Geltung der RTS nicht immer erforderlich, wird dennoch weitgehend praktiziert. Nichtsdestotrotz birgt der Einsatz eines verkörperten Zahlungsinstruments stets Risiken, insbesondere wenn es sich dabei um ein Smartphone handelt, dass zur Datenkommunikation fähig ist und somit von Dritten ausspioniert werden kann. Wie auch bei dem Einsatz herkömmlicher Zahlungskarten kann sich der Zahlungsdienstleister in Missbrauchsfällen hinsichtlich der Autorisierung auf die Anwendung der Grundsätze des Anscheinsbeweises berufen. Die Beweiswirkungen lassen sich jedoch durch Darlegung eines plausiblen Alternativgeschehens erschüttern. Der Haftungsausgleich erfolgt daher meist über § 675v BGB n. F. Auf kontaktlose Kreditkarten ist die bisherige Rechtsprechung zum gewöhnlichen Einsatz von Kreditkarten übertragbar. Im Hinblick auf Zahlungen über das Smartphone kann hingegen das Anwachsen des Pflichtenkatalogs eine verstärkte Haftung des Zahlungsdienstnutzers zur Folge haben, der sich somit auf die zusätzlichen Anforderungen im Umgang mit M-Payments einzustellen hat. Der Gewinn an Effizienz am POS und der dadurch mögliche Verzicht auf Portemonnaie und Zahlungskarten, wird somit durch einen Zusatz an Anforderungen und daraus möglicherweise resultierenden Haftungsfolgen „bezahlt“.
Siehe zu diesem Thema ausführlich: Terlau, jurisPR-BKR 2/2016, Anm. 1; sowie Dieckmann, BKR 2018, 276.
Teil 8: Kryptowährungen im Zahlungsdiensterecht Kryptowährungen erfahren immer noch eine beachtliche Aufmerksamkeit und bieten neben ihrer Funktion als Zahlungsmittel auch eine interessante, aber hochriskante Investitionsmöglichkeit. Die stetig steigende Marktrelevanz rückt die Währungen dabei immer stärker in den Fokus rechtlicher Untersuchungen. Die Funktion als Währung, Anlage und alternatives Zahlungssystem wirft zunächst die Frage auf, ob Krypo-Zahlungsvorgänge dem Zahlungsdiensterecht unterfallen. Einen spezifischen Bit-, Ether- oder Litecoin Tatbestand gibt es jedenfalls nicht. Nichtsdestotrotz könnten Kryptowährungen als Geldbeträge i. S. d. Art. 4 Nr. 25 PSD II einzuordnen sein. Der Tatbestand des Bar- und Giralgeldes kann dabei keine Rolle spielen. Kryptowährungen sind weder verkörpert noch begründet ihr Besitz einen Anspruch auf Barauszahlung gegenüber dem jeweiligen System.¹⁰⁵⁶ Denkbar wäre eine Klassifikation als E-Geld. Kryptowährungen weisen zwar ohne jeden Zweifel die Funktion eines Tauschund Zahlungsmittels auf.¹⁰⁵⁷ Auch die Art der elektronischen Speicherung ist irrelevant, sodass die dezentral im Blockchain-Verfahren gespeicherten Coins elektronisch gespeicherte monetäre Werte darstellen.¹⁰⁵⁸ Problematisch wird es jedoch bei den Tatbestandsmerkmalen „in Form einer Forderung gegenüber dem Emittenten“ sowie „gegen Zahlung eines Geldbetrages“. Zum einen gibt es keinen zentralen Emittenten, gegen den eine Forderung begründet werden könnte.¹⁰⁵⁹ Zum anderen werden Coins nicht durch Zahlung eines Geldbetrags, sondern mittels mining generiert. Der derivative Erwerb von einem Miner ist hierbei nicht ausschlaggebend. Selbst wenn Coins typologisch als E-Gelder einzuordnen wären, scheitert die Anwendung der Zahlungsdiensterichtlinie an der dezentralen Struktur des Netzwerks. Die zwingend erforderliche zwischengeschaltete Stelle¹⁰⁶⁰, die den Zahlungsvorgang ausführt und die daher einer besonderen Regulierung sowohl zivil- als auch aufsichtsrechtlicher Natur bedarf, ist gerade nicht vorhanden. Sinn und Zweck der Kryptowährungen ist schließlich das Ermöglichen anonymer Internetzahlungsvorgänge, die der Bargeldzahlung faktisch
Beck, NJW 2016, 580 (582); Engelhardt/Klein, MMR 2014, 355 (356); Spindler/Bille, WM 2014, 1357 (1360). Casper/Terlau-Terlau, § 1a Rn. 41; Hahn/Häde, S. 19. So auch Hildner, BKR 2016, 485 (489). BeckOK BGB-Schmalenbach, § 675c Rn. 9; Engelhardt/Klein, MMR 2014, 355 (356). Schwennicke/Auerbach-Schwennicke, § 1 ZAG Rn. 18. https://doi.org/10.1515/9783110671629-011
Teil 8: Kryptowährungen im Zahlungsdiensterecht
321
identisch sind.¹⁰⁶¹ Folglich fallen Kryptowährungen nicht unter das Regelungsregime des E-Geldes und sind damit auch nicht von der PSD II erfasst.¹⁰⁶² Zivilrechtlich sind Kryptowährungen als individuelle Werte zu verstehen, die bei Tauschverträgen i. S. d. § 480 BGB als Gegenleistung vereinbart werden können.¹⁰⁶³ Werden Kryptowährungen erworben, handelt es sich um einen Rechtskauf i. S. d. § 453 BGB.¹⁰⁶⁴ Eine ausführlichere Darstellung der aufsichtsrechtlichen Konsequenzen, die sich auf Betreiber von Kryptowährungsbörsen sowie gewerbliche Miner beziehen, würde den Untersuchungsgegenstand dieser Arbeit überschreiten und wird daher nicht vorgenommen. Umfassende Darstellungen zu dieser Thematik finden sich bei Hildner sowie Spindler und Bille. ¹⁰⁶⁵
Satoshi Nakamoto, „Bitcoin: A Peer-to-Peer Electronic Cash System“, S. 1, abrufbar unter: https://bitcoin.org/bitcoin.pdf, zuletzt abgerufen am 10.04. 2019. So auch Beck, NJW 2015, 580 (582); Casper/Terlau-Terlau, § 1a Rn. 50; Engelhardt/Klein, MMR 2014, 355 (356); Hildner, BKR 2016, 485 (489); Spindler/Bille, WM 2014, 1357 (1359 ff). Spindler/Bille, WM 2014, 1357 (1362). Spindler/Bille, WM 2014, 1357 (1362). Siehe hierzu ausführlich: Hildner, BKR 2016, 485 (489 ff); Spindler/Bille, WM 2014, 1357 (1363 ff).
Teil 9: Ergebnis und Fazit 1. Abschnitt: Stärken und Schwächen der einzelnen Zahlungsdienste Innovative Zahlungssysteme variieren nicht nur stark in Ausgestaltung und Funktion, sondern auch in Fragen von Sicherheit und Nutzerfreundlichkeit. Dies ist zum einen den unterschiedlichen Einsatzbereichen und zum anderen der jeweiligen Entstehungsgeschichte geschuldet. Systematisch lassen sich innovative Zahlungsdienste in zwei Gruppen aufteilen: die Gruppe der E-Payments, also der Zahlungen im Internet, und die Gruppe der M-Payments, also der mobilen Zahlungen im Präsenzverfahren.
A. Internet-Zahlungssysteme E-Payments teilen sich auf in Verfahren, die bereits bestehende Zahlungsverfahren wie Überweisung, Lastschrift und Kreditkartenzahlung ins Internet verlagern, und den reinen Online-Bezahlverfahren, wie PayPal und Zahlungsauslösediensten. Das Online-Banking war und ist oftmals Ziel von Cyberattacken, was die Betreiber dazu gezwungen hat, immer stärkere Sicherheitsmechanismen zu implementieren. Selbiges gilt für die Kreditkarte. Waren früher im Mail-Order-Verfahren noch Zahlungen unter bloßer Verwendung der Kreditkartendaten möglich, bedarf es heute zur Authentifizierung des zusätzlichen 3D Secure Verfahrens. Die Verwendung verschiedener Geräte zur Zahlungsauslösung geht zulasten der Nutzerfreundlichkeit. Überdies begründen die zusätzlichen Sicherheitssysteme weitere Sorgfaltspflichten des Nutzers, der somit einem größeren Haftungsrisiko ausgesetzt ist. Darüber hinaus besteht im Online-Banking die Gefahr der Rücküberweisungstrojaner, die ungeachtet eines Sorgfaltspflichtverstoßes des Nutzers eine vollumfängliche Haftung begründen können. Diese Gefahren bestehen für die nutzerfreundliche Online-Lastschrift nicht. Missbräuchlichen oder irrtümlichen Abbuchungen kann mit den europarechtlichen Erstattungsansprüchen wirksam begegnet werden. Nutzen Dritte unberechtigterweise die Kontodaten eines Nutzers zur Bezahlung in einem Online-Shop, entsteht ebenfalls kein Aufwendungsersatzanspruch. Schlussendlich haftet dann der Zahlungsempfänger, welcher demnach weitgehend das Missbrauchsrisiko trägt. Überdies unterliegt eine Gutschrift per Lastschrift dem achtwöchigen bedingungslosen Erstattungsanspruch des Zahlungsdienstnutzers und hat daher nur eine auflösend bedingte Erfüllungswirkung. Für den Nutzer ist somit die Bezahlung mittels Lastschrift ein https://doi.org/10.1515/9783110671629-012
1. Abschnitt: Stärken und Schwächen der einzelnen Zahlungsdienste
323
äußerst bequemer und risikoarmer Zahlungsvorgang. Die aufwendigen Authentifizierungsverfahren der Online-Überweisung und Online-Kreditkartenzahlung, die überdies risikobehafteter sind, sind hingegen deutlich aufwendiger und damit im Umgang unbequemer. Eine für beide Seiten bedienungsfreundlichere und risikoärmere Variante ist das Zahlungssystem PayPal. Der Nutzer muss zur Auslösung des Zahlungsvorgangs lediglich einen Nutzernamen und ein Passwort anlegen. Zusätzliche Authentifizierungsverfahren sind weder aktuell noch mit Inkrafttreten der Vorschrift des Art. 97 PSD II im September 2019 erforderlich. Dem Risiko missbräuchlicher Zahlungen wird nicht durch komplexe Authentifizierungsverfahren, sondern durch eine Transaktionsrisikoanalyse begegnet, die die Betrugsprävention fast einseitig auf den Zahlungsdienstleister verlagert. Umgekehrt ist der Pflichtenkatalog des Zahlungsdienstnutzers geringer und die schnelle Zahlungsauslösung komfortabel. Mit Inkrafttreten der Vorgaben zur starken Kundenauthentifizierung kann sich PayPal nicht ausnahmslos auf die Ausnahmen der RTS stützen. So wird einerseits alle 90 Tage eine starke Kundenauthentifizierung bei der Anmeldung erforderlich und andererseits für die Auslösung von Zahlungsvorgängen, die Beträge von 500 Euro überschreiten. Demnach muss PayPal für derartige Fälle ein System implementieren, dass den gesetzlichen Anforderungen gerecht wird. Wahrscheinlich wird hierfür auf das Smartphone zurückgegriffen werden, sodass Zahlungsdienstnutzer ab 2019 mit dem Entstehen zusätzlicher Sorgfaltspflichten rechnen müssen. Ein weiterer interessanter Aspekt des PayPal-Zahlungssystems sind die Käufer- und Verkäuferschutzverfahren. Diese stellen auf rudimentäre Weise sicher, dass sich Ware und Zahlungsbetrag nicht bei ein und derselben Person befinden. Hierdurch sollen Verkäufer vor Zahlungsausfällen und Käufer vor Schlecht- oder Nichtleistungen geschützt werden. Die Einbeziehung des Valutaverhältnisses in das eigentlich eigenständige zahlungsdienstrechtliche Deckungsverhältnis bietet vielen Nutzern die Möglichkeit, schnell und unkompliziert die Rückabwicklung eines Geschäfts durchzuführen. Dies darf nicht über die möglichen negativen Folgen hinwegtäuschen. Die Rückabwicklung über PayPal kann zu einem Verlust gesetzlicher Gewährleistungsrechte führen. Außerdem lebt die schuldrechtliche Zahlungspflicht wieder auf. Des Weiteren ist die begrenzte Basishaftung des § 675v Abs. 1 BGB n. F. für PayPal-Zahlungsvorgänge abbedungen. PayPal ist im Vergleich zu den anderen Online-Zahlungssystemen nicht nur nutzerfreundlicher, sondern auch aus haftungsrechtlichen Gesichtspunkten attraktiver. Zu berücksichtigen sind jedoch die unklaren Tatbestände, die PayPal zu einer Sperrung sowohl des Kontos als auch des darauf befindlichen Guthabens berechtigen. Überdies ist aus datenschutzrechtlicher Perspektive zu bemängeln, dass der Speicherort der erhobenen Daten nicht genau kommuniziert wird und damit nicht ausreichend sichergestellt
324
Teil 9: Ergebnis und Fazit
ist, ob Dritte aufgrund anderer nationaler Rechtsvorschriften Zugriff erhalten könnten. Transparenter sind die neu in der PSD II erfassten Zahlungsauslösedienste. Die meist als Erfüllungsgehilfe des Zahlungsempfängers und ohne eine vertragliche Beziehung mit dem Nutzer agierenden Dienste ermöglichen eine effizientere Abwicklung der Online-Überweisung. Die Weiterleitung der sensiblen Zahlungsdaten und Bestätigung der Zahlungsauslösung verschaffen dem Zahlungsempfänger Gewissheit über den zukünftigen Eingang des geschuldeten Geldbetrags. Derartige Dienste sind insbesondere für Zahlungsdienstnutzer interessant, die nicht über eine Kreditkarte verfügen, aber dennoch Zahlungen mit sofortiger Zahlungswirkung im E-Commerce tätigen möchten. Nachteil an dem Zahlungsverfahren ist die Offenbarung sensibler Zahlungsdaten gegenüber einem Dritten, sodass das allgemeine Missbrauchsrisiko steigt. Haftungsrechtlich wirkt sich dieser Umstand jedoch nur im Verhältnis der jeweiligen Zahlungsdienstleister aus. Für den Nutzer ändert sich wenig. Sein Ansprechpartner in Haftungsfragen bleibt weiterhin der kontoführende Zahlungsdienstleister. Die mit der PSD II geschaffene Rechtsklarheit hinsichtlich der Zulässigkeit des Zahlungsauslösegeschäfts und die Tatsache, dass Zahlungsauslösedienste demnächst der Finanzaufsicht unterliegen, dürfte ihrer Etablierung durchaus dienlich sein. Gegenüber PayPal hat das Verfahren trotz der vielen Vorteile einen entscheidenden Nachteil. Der direkte Zugriff auf das Zahlungskonto des Nutzers wird sich gerade bei Zahlungen an Zahlungsempfänger, über deren Seriosität sich der Nutzer nicht im Klaren ist, nachteilig auswirken. Der Zahler geht schließlich de facto in Vorleistung. Das PayPal-Konto ist hingegen dem eigenen „richtigen“ Konto vorgelagert. Darüber hinaus ermöglicht das Käuferschutzverfahren, bei dem PayPal Anspruchsgegner ist und der Anspruch nicht von einer erfolgreichen Inanspruchnahme des Zahlungsempfängers abhängt, eine schnelle Rückbuchung der getätigten Zahlung. Zusammenfassend lässt sich daher feststellen, dass unter den Aspekten der Nutzerfreundlichkeit und des Haftungsrisikos PayPal gegenüber allen anderen Online-Zahlungsverfahren Vorteile hat. Lediglich die Online-Lastschrift, die jedoch bei Händlern aufgrund der höheren Missbrauchsrisiken unbeliebter ist, kann in puncto Nutzerfreundlichkeit, Haftung und Sicherheit mit PayPal mithalten. Aus der Sicht eines Zahlungsdienstnutzers sind daher im E-Commerce diese beiden Bezahlverfahren am attraktivsten.
1. Abschnitt: Stärken und Schwächen der einzelnen Zahlungsdienste
325
B. Smartphone-gestützte Zahlungssysteme Auch im Bereich der M-Payments lassen sich funktional zwei verschiedene Gruppen bilden. So gibt es Remote und Proximity Payments. Ersteren unterfallen etwa Zahlungen über das Mobilfunkguthaben oder die Handyrechnung, während der zweiten Gruppe alle per Smartphone oder NFC-Kreditkarte ausgelösten Zahlungen am POS zuzuordnen sind. Zahlungssysteme, die auf das Smartphone zurückgreifen, sind jedoch nicht automatisch M-Payments. So weist etwa die Nutzung der PayPal-App keinen Unterschied zur Nutzung des entsprechenden Online-Portals auf. In derartigen Fällen nimmt das Smartphone eine dem Computer vergleichbare Zahlungszugangsfunktion wahr. Erst die konstitutive Beteiligung am Zahlungsprozess führt zur Qualifikation als eigenständiges mobiles Bezahlverfahren. Im Bereich der Remote Payments sind dies nur die bereits erwähnten Zahlungen über das Mobilfunkguthaben oder die Handyrechnung. Zahlungsdienste erbringen dabei nur zwischengeschaltete Payment Provider. Mobilfunkanbieter erbringen entweder keine Zahlungsdienste oder ihre Zahlungstätigkeiten werden nach § 2 Abs. 1 Nr. 11 ZAG n. F. privilegiert. Die von Payment Providern erbrachten Tätigkeiten sind überdies nur Bestandteil eines Zahlungsdienstevertrags, wenn der Nutzer einen entsprechenden Vertrag mit dem Payment Provider schließt. Meist ergeben sich aus der Angebotsaufmachung jedoch keine hinreichenden Anhaltspunkte dafür, dass aus der Sicht eines objektiven Erklärungsempfängers eine vertragsbegründende Willenserklärung des Payment Providers vorliegt, sodass dieser nur als Erfüllungsgehilfe des Zahlungsempfängers tätig wird. Nichtsdestotrotz findet das Zahlungsdiensterecht Anwendung. Eine starke Kundenauthentifizierung wird auch mit dem Inkrafttreten der PSD II bei derartigen Zahlungen nicht erforderlich. Der Finanztransfer ist kein vom Zahlungsdienstnutzer ausgelöster Zahlungsdienst und daher mit der Lastschrift vergleichbar. Eine weitere Besonderheit ergibt sich im Bereich der Haftung. Unabhängig davon, ob der Payment Provider zahlungsdienstrechtlicher Vertragspartner ist, werden Mobiltelefonnutzer bei der Nutzung von Premiumdiensten durch minderjährige Angehörige weitgehend geschützt. Entweder gelangt der Vertrag mit dem Premiumdienstanbieter schon aufgrund der allgemeinen Vertragsregeln nicht zur Entstehung oder scheitert an dem Vorliegen einer Anscheinsvollmacht. Die Zurechnungsnorm des § 45i Abs. 4 S. 1 TKG findet im Zahlungsdiensterecht keine Anwendung. Da Mobiltelefone Dritten überlassen werden dürfen, kann sich der Payment Provider zwar auf eine Anscheinsvollmacht stützen, welche jedoch aufgrund der dann anwendbaren zahlungsdienstrechtlichen Vorschriften nur im Rahmen der Haftungsmaßstäbe des § 675v Abs. 3 BGB n. F. Geltung entfaltet. Das Missbrauchsrisiko, das die Nutzung von Mobil-
326
Teil 9: Ergebnis und Fazit
funkgeräten beziehungsweise der SIM-Karte als Zahlungsinstrument mit sich bringen kann, wird demnach im Sinne des Richtliniengebers weitgehend auf den Zahlungsdienstleister, ergo den Payment Provider, verlagert. Von weitaus größerer Relevanz für das Zahlungswesen sind mobile Zahlungen im Präsenzverfahren. Dazu zählen zunächst NFC-Kreditkarten, die mittels funkgestützter Datenübertragung arbeiten. Das kontaktlose Bezahlverfahren punktet in erster Linie durch seinen betragsmäßig beschränkten, authentifizierungsfreien und damit schnellen und nutzerfreundlichen Einsatz. Den zusätzlichen Risiken durch die Datenübertragung kann ausreichend durch entsprechende Verschlüsselungsverfahren begegnet werden. Überdies ist der Nutzer in derartigen Fällen vor einer Haftung geschützt, soweit ihm kein grob fahrlässiges Fehlverhalten vorgeworfen werden kann, was regelmäßig nicht der Fall sein wird. Kontaktlose Zahlungen ohne Abfrage eines personalisierten Sicherheitsmerkmals sind jedoch nur in den Grenzen der RTS zulässig, die den Einsatzbereich auf geringwertige Zahlungen bis maximal 50 Euro pro Zahlungsvorgang oder kumulativ 150 Euro beschränken. Nach dem Überschreiten der Betragsgrenzen wird auch bei einer kontaktlosen Zahlung die Eingabe der PIN erforderlich. Zusammenfassend handelt es sich um eine nutzerfreundliche attraktive Weiterentwicklung der Kreditkartenzahlung. Auf ähnliche Art und Weise funktionieren Smartphone gestützte M-Payments, die Kreditkartendaten – und zukünftig möglicherweise auch Daten anderer Zahlungsmittel – in einem speziell geschützten Ort auf dem Smartphone speichern. Diese Daten werden ebenfalls meist über die NFC-Technologie an ein Kartenlesegerät übertragen, sodass innerhalb der Betragsgrenzen keine starke Kundenauthentifizierung erforderlich wird. Die kombinierte Verwendung von Smartphone und Kreditkarte hat das Entstehen zusätzlicher Sicherheits- und Sorgfaltspflichten zur Folge. Der Nutzer muss sich über den Umstand im Klaren sein, dass das für NFC-Zahlungen verwendete Smartphone wie eine Kreditkarte zu schützen ist. Das bedeutet, dass der alltägliche, zuweilen etwas sorglose Umgang haftungsbegründend wirken kann. Die Wesensverwandtschaft zur Zahlungskarte, insbesondere die Verkörperung, begründet überdies Raum für die Anwendung der Grundsätze des Anscheinsbeweises. Hierzu kann die gefestigte Rechtsprechung zum missbräuchlichen Einsatz von verkörperten Zahlungskarten am Bankautomaten entsprechend herangezogen werden, sodass aus haftungsrechtlichen Gesichtspunkten ein Nachteil gegenüber den Online-Bezahlverfahren besteht. Im Ergebnis bietet jedoch dieses Bezahlverfahren zahlreiche Vorteile, etwa durch den möglichen Verzicht auf ein Portemonnaie und eine steigende Flexibilität, die sich insbesondere dadurch auszeichnet, dass das Smartphone auch im ausgeschalteten Zustand – zumindest bei einem fest installierten Secure Element – weiterhin für Zahlungen eingesetzt werden kann.
2. Abschnitt: Handlungsempfehlungen für die Anbieter von Zahlungsverfahren
327
C. Kryptowährungen Kryptowährungen seien als Tauschmittel nur kurz erwähnt, da sie aus rechtlicher Perspektive keine Zahlungsmittel im zahlungsdienstrechtlichen Sinne darstellen. Ihr Vorteil gegenüber herkömmlichen Zahlungssystemen liegt eindeutig in ihrer Sicherheit, Anonymität, Dezentralität und Unabhängigkeit vom Giralgeldsystem. Die fehlende Regulierung und das Nichtvorhandensein eines Einlagensicherungssystems machen Kryptowährungen jedoch mehr zu einem Spielball von Hochrisiko-Investoren als zu einer echten Zahlungsmittelalternative.
2. Abschnitt: Handlungsempfehlungen für die Anbieter von Zahlungsverfahren Der Verlagerung der klassischen Bezahlverfahren in die Online-Welt sieht man bis heute an, dass es sich weniger um innovative Leistungen, sondern um notwendige Schritte der Anbieter handelte, um gegenüber Anbietern wie PayPal nicht ins Hintertreffen zu geraten. So sind bis vor kurzem die missbrauchsanfälligen TAN-Listen noch immer im Gebrauch gewesen und die zahlreichen neuen Authentifizierungsverfahren versprechen meist nur für kurze Dauer Sicherheit vor Angriffen Dritter. Das Unternehmen PayPal, ohnehin Vorreiter im Bereich von EPayments, verfolgt ein ganz anderes Sicherheitskonzept. Dieses bietet zwar keinen besonderen Schutz gegen den Zugriff unbefugter Dritter auf das Zahlungskonto, kann aber einen Großteil der missbräuchlich ausgelösten Zahlungen verhindern. Hierzu wird auf eine Transaktionsrisikoanalyse zurückgegriffen, die unter Verarbeitung zahlreicher Daten, wie etwa dem bisherigen Zahlungsverhalten und der Seriosität des Zahlungsempfängers, die Missbrauchsgefahr für die einzelne Zahlung in Echtzeit ermittelt und die Zahlung erst danach freigibt oder sperrt. Aufgrund der datenschutzrechtlichen Zulässigkeit der Erhebung von Daten zur Missbrauchsprävention könnten auch andere Anbieter verstärkt auf derartige Verfahren zurückgreifen, um einerseits die Sicherheit des eigenen Zahlungssystems zu erhöhen und andererseits dem Nutzer eine angenehmere Handhabe zu ermöglichen. Dabei ist natürlich zu berücksichtigen, dass PayPal den großen Vorteil hat, sowohl auf Zahler- als auch auf Zahlungsempfängerdaten zurückgreifen zu können, da beide schließlich Nutzer des Systems sind. Nichtsdestotrotz lässt sich anhand des bisherigen Zahlungsverhaltens, des Ortes der Auslösung sowie anderer in den RTS niedergelegter Faktoren eine umfassende Transaktionsanalyse durchführen. Anbieter von Online-Verfahren müssen darauf achten, dass die immer strenger werdenden Sicherheitsvorkehrungen sich nicht zu sehr auf die Nutzerfreundlichkeit auswirken. Ansonsten droht die Gefahr, zukünftig zu
328
Teil 9: Ergebnis und Fazit
einem reinen Back-End-Zahlungsverarbeitungsdienstleister zu verkommen. Es ist daher empfehlenswert, weitgehenden Gebrauch der vom Richtliniengeber gewährten Ausnahmeoptionen zu machen. Anbietern von mobilen Zahlungslösungen im Rahmen des Direct Carrier Billing ist überdies zu empfehlen, die Angebotsaufmachung dahingehend anzupassen, dass für einen objektiven Erklärungsempfänger hinreichend deutlich wird, wer Anbieter der Leistung ist. So laufen Payment Provider nicht Gefahr, als bloßer Erfüllungsgehilfe des Zahlungsempfängers keine eigenen Ansprüche geltend machen zu können. Die meisten dieser Dienstleistungen sind darauf ausgelegt, Zahlungen im Bereich des Online- und App-Gaming zu ermöglichen. Adressat sind daher meist Minderjährige, die das Telefon oder Smartphone der Eltern zweckentfremden. Durch die jüngste BGH Rechtsprechung zu Ansprüchen aus Pay-by-Call-Dienstleistungen können sich Payment Provider für die Inanspruchnahme ihrer Dienstleistungen nicht mehr aufgrund der Zurechnungsnorm des § 45i Abs. 4 S. 1 TKG an die Eltern der Minderjährigen wenden. Diese haften nur, soweit ihnen in vorwerfbarer Weise das Verhalten des Kindes zugerechnet werden kann. Aufgrund der Anonymität des Zahlungsverfahrens lassen sich auch keine Instrumente integrieren, um eine ausreichende Altersprüfung des Vertragspartners vorzunehmen, weshalb Payment Provider das Risiko, mit einem Minderjährigen zu kontrahieren, fortan in der Regel selber tragen müssen. Im Bereich der mobilen Zahlungen im Präsenzverfahren wird die Sicherheit der dargebotenen Produkte deren Erfolg und Marktdurchdringung erheblich beeinflussen. Das Smartphone bietet als kommunikationsfähiges Gerät viel Angriffsfläche. Digital gespeicherte Kreditkarten im HCE-Verfahren genießen demnach nicht denselben Schutz wie auf dem physischen Secure Element abgelegte Kreditkarten. Darüber hinaus ist auch die Kommunikation mit dem Kartenlesegerät ausreichend zu sichern. Die Tokenization-Verfahren der Kreditkartenanbieter versprechen diesbezüglich schon ein weit fortgeschrittenes Schutzkonzept, welches sich zwar nicht auf die Sicherheit der unterschiedlichen Verfahren, sondern auf die Sicherheit der verwendeten Kreditkarte auswirkt. Nichtsdestotrotz handelt es sich um Verfahren, deren Vorteil gegenüber einer zusätzlichen verkörperten Zahlungskarte auf der Hand liegt. Die Kombination mit Bonus-, Gutschein- und Kundenkarten wird die Attraktivität des mobilen Bezahlens weiter steigern.
3. Abschnitt: Legislative Versäumnisse und Bewertung des neuen Rechtsrahmens
329
3. Abschnitt: Legislative Versäumnisse und Bewertung des neuen Rechtsrahmens Das Zahlungsdiensterecht hat durch die Überarbeitung der PSD I einiges an Rechtssicherheit gewonnen. Teilweise wurden jedoch Chancen zur Klarstellung und Korrektur versäumt. Zudem wurden auch neue Unsicherheiten geschaffen. Am deutlichsten zeigt sich dies im Streit um die Reichweite der starken Kundenauthentifizierung. Es wird nicht hinreichend deutlich, ob sich die aufsichtsrechtliche Ausgestaltung des Authentifizierungskonzepts auch im Verhältnis zum Nutzer vollumfänglich niederschlägt. Dies gilt insbesondere für die Anwendung der RTS. Die nationale Rechtsprechung wird sich dieser Auslegungsschwierigkeiten annehmen dürfen und hoffentlich für Rechtssicherheit sorgen. In Anbetracht des Vollharmonisierungsansatzes wäre eine Bestätigung durch den EuGH wünschenswert. Bis es zu einer derartigen Entscheidung kommt, dürften noch einige Jahre vergehen. Bis dahin verspricht das hier gefundene Ergebnis, eine kongruente Anwendung im Zivil- und Aufsichtsrecht vorzunehmen, eine sach- und interessengerechte Lösung. Weniger spektakulär, aber gleichwohl mit weitreichenden Konsequenzen verbunden, ist die weiterhin ungeklärte Frage der Reichweite des Finanztransfertatbestands im Bereich des Inkassogeschäfts. Der Richtliniengeber hat die zahlreichen nationalen Auslegungsstreitigkeiten nicht zum Anlass genommen, den schwammigen Tatbestand zu konkretisieren. Für Inkassodienstleister hat dies zur Folge, dass sie sich weiterhin in einem Graubereich des Zahlungsdiensterechts zwischen Regulierung und Erlaubnisfreiheit bewegen und nur durch einen entsprechenden Bescheid der BaFin ohne Sanktionsrisiko ihrem Geschäft nachgehen können. Des Weiteren ist dem Richtliniengeber anzulasten, dass der Tatbestand des Zahlungsauslösedienstes unnötigerweise äußerst weit gefasst wurde. Unter Berücksichtigung der Erwägungsgründe sowie der zahlungsauslösespezifischen Vorschriften lässt sich jedoch ein ausreichend klares Bild des neuen Zahlungsdienstes zeichnen. Überdies ist die Implementierung des Zahlungsauslösedienstes in das Zahlungsdiensterecht gut gelungen, indem insbesondere im Verhältnis zum Zahlungsdienstnutzer keine unnötigen Verkomplizierungen eingeführt wurden. Der Interessenausgleich findet weiterhin im Verhältnis zum kontoführenden Zahlungsdienstleister statt, der anschließend den beteiligten Zahlungsauslösedienstleister in Regress nehmen kann. Erfreulich sind auch die Haftungserleichterungen der PSD II. Nicht nur die Vereinfachung und Quasi-Verschuldensabhängigkeit des Tatbestands der beschränkten Anreizhaftung, sondern auch das Absenken der Höhe der Mitbeteiligungsbeiträge schützen den Zahlungsdienstnutzer noch besser vor den Gefahren
330
Teil 9: Ergebnis und Fazit
des elektronischen Zahlungsverkehrs. Auch das neue Konzept der starken Kundenauthentifizierung ist überzeugend geglückt. Die Abkoppelung vom konkreten Zahlungsinstrument fördert einerseits Innovation und steigert andererseits die Nutzerfreundlichkeit. Die Grenzen der RTS sind überdies nicht zu eng gezogen, sodass sowohl Zahlungsdienstleister und -nutzer von den Ausnahmetatbeständen regelmäßig profitieren werden. Abschließend lässt sich feststellen, dass mit Einführung der PSD II die Harmonisierung des europaweiten Zahlungsverkehrs weiter vorangetrieben wird und der bisherige Rechtsrahmen an Kontur und Schärfe gewonnen hat. Auf nationaler Ebene ist die Umsetzung weitgehend europarechtskonform erfolgt. An drei Stellen sind dem deutschen Gesetzgeber jedoch Fehler beziehungsweise Ungenauigkeiten unterlaufen. So wird in § 675y Abs. 5 S. 5 BGB n. F. eine Entgeltvereinbarung für Tätigkeiten zur Wiederbeschaffung eines Geldbetrags für zulässig erklärt, der aufgrund einer fehlerhaften Kundenkennung transferiert worden ist. Interessanterweise erklärte bereits die Vorgängernorm des § 675y Abs. 3 S. 3 BGB a. F. eine solche Entgeltvereinbarung für zulässig. Aus den jeweiligen Artikeln beider Zahlungsdiensterichtlinien geht jedoch eindeutig hervor, dass eine entsprechende Entgeltklausel erfolgsabhängig ausgestaltet sein muss, woraufhin die juristische Fachliteratur mehrfach in der Vergangenheit hingewiesen hat. Ein Entgelt kann nur für eine erfolgreiche Wiederbeschaffung vereinbart werden. Die Vorschrift ist daher in der europarechtlich gebotenen Weise auszulegen. Bei § 675v Abs. 2 Nr. 2 BGB n. F. ist dem Gesetzgeber nicht nur eine Ungenauigkeit, sondern ein Umsetzungsfehler unterlaufen, der die Unwirksamkeit der Vorschrift zur Folge hat. Die Vorschrift begrenzt in unzulässiger Weise den Haftungsausschluss nur für die Fälle eines physischen Verlusts eines Zahlungsinstruments. Die Richtlinie sieht – zugegebenermaßen begrifflich unglücklich – jedoch vor, dass nicht der körperliche Verlust, sondern jeglicher Schaden, der durch eine missbräuchliche Verwendung des Zahlungsinstruments entsteht, von dem Ausnahmetatbestand erfasst sein soll. Darüber hinaus ist aufgrund eines falschen Verweises in Art. 63 Abs. 1 lit. b PSD II die Umsetzungsvorschrift des § 675i Abs. 2 Nr. 3 BGB n. F. fehlerhaft. Für Zahlungsinstrumente, die gesperrt werden können, jedoch anonym genutzt werden oder aus anderen Gründen keinem Nachweis einer wirksamen Autorisierung unterliegen, kann daher die Vorschrift des § 675v Abs. 5 BGB n. F. nicht abbedingt werden. Dies würde beispielsweise NFC-Kreditkarten betreffen, was zur Folge hätte, dass der Nutzer trotz erfolgter Sperranzeige weitere Schäden für PIN-freie Zahlungen zu tragen hätte. Es ist davon auszugehen, dass der Richtliniengeber die Richtlinie noch entsprechend korrigieren wird.Weitere Umsetzungsfehler sind insbesondere aufgrund der weitgehenden eins-zu-eins-Umsetzung nicht ersicht-
3. Abschnitt: Legislative Versäumnisse und Bewertung des neuen Rechtsrahmens
331
lich. Es wäre jedoch wünschenswert, wenn sich der Richtliniengeber den in Zukunft sicherlich häufiger auftretenden Man-in-the-Middle-Angriffen widmen würde, um klarzustellen, ob dieses Risiko dem Zahlungsdienstnutzer oder Zahlungsdienstleister zuzuordnen ist. Die aktuellen Vorgaben ermöglichen eine sachund interessengerechte Lösung nur über die Anwendung der nationalen Anfechtungsvorschriften. Nichtsdestotrotz treibt die PSD II die Digitalisierung des Zahlungswesens weiter voran. Dem Recht unterfallen alle gängigen digitalen Zahlungsverfahren. Die Flexibilität der Zahlungsdiensttatbestände hat außerdem zur Folge, dass auch neu entstehende Zahlungsverfahren vom Anwendungsbereich des Zahlungsdiensterechts erfasst werden. Die dann anwendbaren Vorschriften finden zudem einen angemessenen Ausgleich zwischen Sicherheit und entsprechenden Freiräumen für weitere Innovationen. Der europäische Zahlungsverkehr ist mit der PSD II den aktuellen Anforderungen eines digitalisierten Zahlungswesens gut gewappnet. Angesichts des stetig wachsenden Fintech-Sektors und einer hohen Innovationsgeschwindigkeit ist jedoch davon auszugehen, dass weitere Anpassungen in naher Zukunft erforderlich werden. Der Richtliniengeber ist daher angehalten, das Zahlungswesen weiter aufmerksam zu betrachten und bei Handlungsbedarf die entsprechenden legislativen Maßnahmen zu ergreifen.
Literaturverzeichnis Abels, Michael / Lieb, Manfred (Hg.)
AGB und Vertragsgestaltung nach der Schuldrechtsreform (Kölner AGB Symposium ), .
Aepfelbach, Rolf / Cimiotti, Gerd
Zur Sicherheit des EC-Kartensystems, WM , S. – .
Armbrüster, Christian
Das Transparenzgebot für Allgemeine Geschäftsbedingungen nach der Schuldrechtsmodernisierung, DNotZ , .
Auer-Reinsdorff, Astrid / Conrad, Isabell Handbuch IT- und Datenschutzrecht, . Auflage, (Hg.) München . (zitiert als: Auer-Reinsdorff/Conrad-Bearbeiter) Bankrecht und Bankpraxis
Kommentar, Loseblattsammlung, Stand: . Lieferung (April ), Köln. (zitiert als: BuB-Bearbeiter)
Bauer, Denise / Glos, Alexander
Die zweite Zahlungsdiensterichtlinie – Regulatorische Antwort auf Innovation im Zahlungsverkehrsmarkt, DB , S. – .
Bauerfeind, Tobias
Ein Resümee zum Finanztransfergeschäft – Das Zahlungsdiensterecht in der Praxis, WM , S. – .
Baumann, Diethelm
Die Umsetzung der Payment Services Directive – Chance oder Risiko für Finanzdienstleister?, GWR , S. – . Mobile Payment – neuer Wein in alten Schläuchen?, GWR , S. – .
Baumbach, Adolf / Hefermehl, Wolfgang / Wechselgesetz, Scheckgesetz, Recht der kartengeCasper, Matthias stützten Zahlungen mit Nebengesetzen und einer Einführung in das Wertpapierrecht, . Auflage, München . (zitiert als: Baumbach/Hefermehl/Casper) Baumgartner, Ulrich / Ewald, Konstantin Apps und Recht, . Auflage, München . Baur, Georg / Boegl, Martin
https://doi.org/10.1515/9783110671629-013
Die neue europäische Finanzmarktaufsicht – Der Grundstein ist gelegt, BKR , S. – .
Literaturverzeichnis
333
Bautsch, Klemens / Zahrte, Kai
Die „SEPA-Migrationsverordnung“ – Revolution des deutschen Massenzahlungsverkehrs in , BKR , S. – .
Bastian, Tobias / Werner, Stefan
Banken zwischen Ertragserwartungen und Regulatorik – Bericht über den Bankrechtstag am . Juni in Frankfurt a. M., WM , S. – .
Beck, Heinz / Samm, Carl-Theodor / Kokemoor, Axel (Hg.)
Kreditwesengesetz mit CRR. Kommentar mit Materialien und ergänzenden Vorschriften, Loseblattwerk, . Aktualisierung, Heidelberg .
Beck-online. Grosskommentar
Großkommentar zum Zivilrecht, im Aufbau, Stand . . . (zitiert als: BeckOGK BGB-Bearbeiter)
Beck’scher Online-Kommentar BGB
Bamberger/Roth (Hg.), Online-Kommentar zum Bürgerlichen Gesetzbuch, . Edition, Stand: . . . (zitiert als: BeckOK BGB-Bearbeiter)
Beck’scher Online-Kommentar Strafrecht von Heintschel-Heinegg (Hg.), Online-Kommentar zum Strafrecht, . Edition, Stand: . . . Beck’scher Online-Kommentar Datenschutzrecht
Gusy/Eichenhofer (Hg.), Online-Kommentar zum Datenschutzrecht, . Edition, Stand: . . .
Beck’scher Online-Kommentar Informa- Gersdorf/Paal (Hg.), Online-Kommentar zum Infortions- und Medienrecht mations- und Medienrecht, . Edition, Stand: . . . Belling, Detlev W. / Belling, Johannes
Zahlungsdiensterecht und Bereicherungsausgleich bei nicht autorisierten Zahlungsvorgängen, JZ , S. – .
Bender, Jens
Aktuelle Entwicklung der Haftung bei Phishing, WM , S. – .
Billing, Tom / Kirsch, Christoph
Hinweispflicht, Internetmandat und SEPA-FirmenLastschrift – Zu drei praxisrelevanten Themen der SEPA-Lastschrift, ZVertriebsR , S. – .
Bisges, Marcel
Schlumpfbeeren für Euro – Rechtliche Aspekte von In-App-Verkäufen an Kinder, NJW , S. – .
334
Literaturverzeichnis
Bitter, Georg
Problemschwerpunkte des neuen Zahlungsdiensterechts – Teil I – WM , S. – . Problemschwerpunkte des neuen Zahlungsdiensterechts – Teil II – WM , S. – .
Borges, Georg
Rechtsfragen des Phishing, NJW , S. – . Zum Anscheinsbeweis im Online-Banking, BKR , S. – . Identitätsmissbrauch im Online-Banking und die neue Zahlungsdiensterichtlinie (PSD II), ZBB , S. – .
Brandenburg, Anne / Leuthner, Christian Local Commerce – Verbindung von eCommerce mit stationärem Handel, ZD , S. – . Local Commerce – Einsatz von Mobile PaymentLösungen, ZD , S. – . Bräutigam, Peter / Rücker, Daniel (Hg.)
E-Commerce, Rechtshandbuch, München .
Brechtel, Micha
Die Leistung an Erfüllungs statt im Kontext der bargeldlosen Zahlung, WM , S. – .
Buchwitz, Wolfram
Onlinespiele, Mehrwertdienste und Minderjährige, VuR , S. – .
Bülow, Peter
Heidelberger Kommentar zum Wechselgesetz, Scheckgesetz und zu den allgemeinen Geschäftsbedingungen, . Auflage, Heidelberg .
Bülow, Peter / Artz, Markus
Zahlungskontengesetz (ZKG) – Kommentar, . Auflage, München .
Bunte, Hermann-Josef
AGB-Banken und Sonderbedingungen mit AGB-Sparkassen und AGB-Postbank, Kommentar, . Auflage .
Busch, Christoph
Mobile Payment – Rechtliche und technische Rahmenbedingungen für Innovationen im Zahlungsverkehr, GewArch Beilage WiVerw Nr. /, S. – .
Callies / Ruffert EUV/AEUV
Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, Kommentar, . Auflage, München . (zitiert: Callies/Ruffert-Bearbeiter)
Literaturverzeichnis
Canaris, Claus-Wilhelm
335
Bankvertragsrecht, . Auflage, Berlin .
Casper, Matthias / Terlau, Matthias (Hg.) Zahlungsdiensteaufsichtsgesetz (ZAG). Das Aufsichtsrecht des Zahlungsverkehrs und des E‐Geldes. Kommentar, München . (zitiert als: Casper/Terlau-Bearbeiter) Casper, Matthias / Pfeifle, Theresa
Missbrauch der Kreditkarte im Präsenz- und MailOrder-Verfahren nach neuem Recht, WM , S. – .
Conreder, Christian
Neue Zahlungsdienste nach dem Entwurf des Zahlungsdienste-aufsichtsgesetzes – Wen geht es an?, BKR , S. – .
Danwerth, Christopher
Mobile Payment – Innovation des Zahlungsverkehrs oder unkalkulierbares Risiko?, ZBB , S. – . Überraschende Änderungen beim Finanztransfergeschäft: Endlich Klarheit?, ZBB , S. – . Das Finanztransfergeschäft als Zahlungsdienst, Diss., Tübingen . (zitiert als: Danwerth, Finanztransfergeschäft)
Dauses, Manfred (Hg.)
Handbuch des EU-Wirtschaftsrechts, . Auflage, München .
Degmair, Stephan
Apps – die schwierige Suche nach dem Vertragspartner, K&R , S. – .
Dieckmann, Andreas
Die Echtzeit-Überweisung – Paradigmenwechsel im Recht des Zahlungsverkehrs, BKR , S. – .
Djazayeri, Alexander
Das neue europäische Zahlungsdiensterecht (ZDR II bzw. PSD II) nebst neuer Regeln für Multilaterale Interbankenentgelte (MIFs), jurisPR-BKR (), Anm. .
Ebenroth, Carsten / Boujong, Karlheinz / Handelsgesetzbuch, . Auflage, Band II, TransportJoost, Detlev / Strohn, Lutz (Hg.) recht, Bank- und Börsenrecht, München . (zitiert als: EBJS-Bearbeiter) Einsele, Dorothee
Der Erstattungsanspruch des Zahlers, WM , S. – .
336
Literaturverzeichnis
Ellenberg, Jürgen / Findeisen, Michael / Kommentar zum Zahlungsverkehrsrecht: PraxiskomNobbe, Gerd (Hg.) mentar zum Zivil- und Aufsichtsrecht des Zahlungsverkehrs, . Auflage, München . (zitiert als: EFN-Bearbeiter) Engelhardt, Christian / Klein, Sascha
Bitcoins – Geschäft mit Geld, das keines ist. Technische Grundlagen und zivilrechtliche Betrachtung, MMR , S. – .
Erman BGB
Kommentar, . Auflage, Köln . (zitiert als: Erman-Bearbeiter)
Fett, Torsten / Bentele, Florian
E-Geld-Aufsicht light? – Das Gesetz zur Umsetzung der Zweiten E-Geld-Richtlinie und seine Auswirkungen auf E‐Geld-Institute, WM , S. – .
Findeisen, Michael
Das Zahlungskontengesetz – Auftrieb für den modernen Zahlungsverkehr und Verbraucherschutz, WM , S. – .
Fornasier, Matteo
Die Inhaltskontrolle von Entgeltklauseln im Lichte des europäischen Zahlungsdiensterechts, WM , S. – .
Franck, Jens-Uwe / Massari, Philipp
Die Zahlungsdiensterichtlinie: Günstigere und schnellere Zahlungen durch besseres Vertragsrecht?, WM , S. – .
Gaßner, Moritz / Strömer, Jens
Mobilfunkanbieter als Geldeintreiber für Cyberkriminelle – AGB-Recht als Retter des Verbrauchers?, NJW , S. – .
Gebauer, Martin / Wiedmann, Thomas (Hg.)
Zivilrecht unter europäischem Einfluss. Die richtlinienkonforme Auslegung des BGB und anderer Gesetze. Kommentierung der wichtigsten EU-Verordnungen, . Auflage, Stuttgart, München u. a. . (zitiert als: Gebauer/Wiedmann-Bearbeiter)
Gerloff, Wilhlem
Die Entstehung des Geldes und die Anfänge des Geldwesens, . Auflage, Frankfurt a. M. .
Gola, Peter
Datenschutz-Grundverordnung, VO (EU) / Kommentar, . Auflage, München .
Gößmann, Wolfgang
Aspekte der ec-Karten-Nutzung, WM , S. – .
Literaturverzeichnis
337
Gondert, Frank / Huneke, Heinrich
Das Basiskonto nach dem ZKG: Subjektives Recht, objektive Aufsicht und rechtliche Durchsetzung, VuR , S. – .
Grabitz, Eberhard / Hilf, Meinhard / Nettesheim, Martin (Hg.)
Das Recht der Europäischen Union, . Ergänzungslieferung – Stand Oktober .
Grundmann, Stefan
Privatrecht und Regulierung, in: Festschrift für ClausWilhelm Canaris, S. – , Berlin . Bankenunion und Privatrecht, Spannungspunkte, Einflusslinien, Beispiele, ZHR , S. – . Das neue Recht des Zahlungsverkehrs, Teil I: Grundsatzüberlegungen und Überweisungsrecht, WM , S. – . Das neue Recht des Zahlungsverkehrs, Teil II: Grundsatzüberlegungen und Überweisungsrecht, WM , S. – . Der Treuhandvertrag, München .
Grundmann, Stefan / Renner, Moritz
Vertrag und Dritter – zwischen Privatrecht und Regulierung, JZ , S. – .
Grundmann, Stefan / Riesenhuber, Karl Die Auslegung des Europäischen Privat- und Schuldvertragsrecht, JuS, S. – . Grundmann, Stephan
Die Auslegung des Gemeinschaftsrechts durch den Europäischen Gerichtshof: zugleich eine rechtsvergleichende Studie zur Auslegung im Völkerrecht und im Gemeinschaftsrecht, Diss., . Auflage, Konstanz . (zitiert als: Grundmann, Auslegung des Gemeinschaftsrechts)
Gunkel, Sophie / Richter, Thomas
Banken im Spannungsfeld regulatorischer Anforderungen und der Weiterentwicklung ihrer Geschäftsmodelle – Bericht über den Bankrechtstag am . Juni in Frankfurt a. M., WM , S. – .
Habel, Oliver
LG Saarbrücken: PayPal-Käuferschutz – Kaufpreisanspruch bleibt bei Rückzahlung, MMR-Aktuell , .
Habersack, Matthias / Mülbert, Peter / Nobbe, Gerd / Wittig, Arne (Hg.)
Finanzmarktkrise und Umsetzung der Verbraucherkreditrichtlinie, Bankrechtstag , Berlin, NY . Anlegerschutz im Wertpapiergeschäft / AGB in der Kreditwirtschaft, Bankrechtstag .
338
Literaturverzeichnis
Hadding, Walther
Zur „Kundenkennung“ im neuen Recht der Zahlungsvorgänge, in: Festschrift für Uwe H. Schneider, S. – , Köln .
Hahn, Hugo / Häde, Ulrich
Währungsrecht, . Auflage, München .
Held, Cornelius
Das neue ZKG: Verfassungswidriger Kontrahierungszwang, BKR , S. – .
Helfferich, Karl
Das Geld, . Auflage, Leipzig .
Hendel, Philipp / Barleon, Christian
Phishing und Pharming: Praxisrelevante Haftungsfragen, BankPraktiker, , S. – .
Herdegen, Peter
Auslegende Erklärungen von Gemeinschaftsorgangen und Mitgliedsstaaten zu EG-Rechtsakten, ZHR Band , S. – .
Hildner, Alicia
Bitcoins auf dem Vormarsch: Schaffung eines regulatorischen Level Playing Fields? BKR , S. – .
Hingst, Kai-Michael / Lösing, Carsten
Zahlungsdiensteaufsichtsrecht, Praxishandbuch für innovative Karten- Internet- und mobile Zahlungsdienste, München . Die geplante Fortentwicklung des europäischen Zahlungsdiensteaufsichtsrechts durch die Zweite Zahlungsdienste-Richtlinie, BKR , S. – . Zur Erlaubnispflichtigkeit von Finanztransfergeschäften nach dem Zahlungsdiensteaufsichtsgesetz: Hohe Anforderungen an die Betreiber von Internetplattformen mit Bezahlsystemen – zugleich Anmerkung zum Urteil des LG Köln vom . . – O /, BKR , S. – .
Hoenicke, Mark / Szodruch, Alexander
Rechtsrahmen innovativer Zahlungssysteme für Multimediadienste, MMR , S. – .
Hoeren, Thomas
SEPA und die Internet-Lastschrift, WM , S. – .
Hoeren, Thomas / Kairies, Maria
Anscheinsbeweis und chipTAN, ZBB , S. – .
Hoeren, Thomas / Sieber, Ulrich / Holznagel, Bernd (Hg.)
Handbuch Multimedia-Recht, Rechtsfragen des elektronischen Geschäftsverkehrs, Stand Juli , . Ergänzungslieferung, München .
Literaturverzeichnis
339
Hoffmann, Jochen
Kundenhaftung unter der Neufassung der Zahlungsdiensterichtlinie, VuR , S. – . Die Überweisung anhand fehlerhafter Kundenkennung unter der Neufassung des Zahlungsdiensterechts, WM , S. – .
Hoffmann, Jochen / Haupert, Vincent / Freiling, Felix
Anscheinsbeweis und Kundenhaftung beim OnlineBanking, ZHR , S. – .
Hofmann, Christian
Das neue Haftungsrecht im Zahlungsverkehr, BKR , S. – . Haftung im Zahlungsverkehr, BKR , S. – .
Huck, Winfried
Extraterritorialität US-amerikanischen Rechts im Spannungsverhältnis zu nationalen, supranationalen und internationalen Rechtsordnungen, NJOZ , S. – .
Indenhuck, Moritz / Stein, Philipp
Datenschutzvorgaben für Kreditinstitute nach PSD II und DSGVO – Zur Reichweite des Einwilligungserfordernisses nach Art. Abs. PSD II bzw. § Abs. ZAG, BKR , S. – .
Jauernig, Othmar (Hg.)
Bürgerliches Gesetzbuch ., neubearbeite Auflage, München .
Jiménez, Maria Nieves Pacheco
Payment services evolution: from the European Directive of to the Digitial Single Market and the European Directive of , EuCML , S. – .
Jonetzki, Antonius
Rechtsrahmen innovativer Zahlungssysteme für das Internet: am Beispiel von PayPal, Diss., Frankfurt, Berlin, Bern u. a., . (zitiert als: Jonetzki, Innovative Zahlungssysteme)
Kaulla, Rudolf
Rechtsstaat und Währung, Stuttgart u. a., .
Kilian, Wolfgang / Heussen, Benno (Hg.) Computerrecht, . Ergänzungslieferung, München . Kind, Michael / Werner, Dennis
Rechte und Pflichten im Umgang mit PIN und TAN, CR , S. – .
Klein, Ernst
Deutsche Bankengeschichte, Band , Frankfurt .
340
Literaturverzeichnis
Knops, Kai-Oliver / Wahler, Kristin
Evolution des Zahlungsverkehrs durch Mobilepayment – am Beispiel von M-Pesa, BKR , S. – .
Kokert, Josef / Held, Markus
Zahlungsdiensterichtlinie II. Risiken und schwerwiegende Folgen für Nutzer und Kreditinstitute, BaFin Journal /, S. – .
Kokemoor, Axel
Aufsichtsrechtliche Rahmenbedingungen für die Vertragsgestaltung bei der Ausgabe und Verwaltung von elektronischem Geld, BKR , S. – .
Köndgen, Johannes
Das neue Recht des Zahlungsverkehrs, JuS , S. – .
Koziol, Tina
Der Überweisungsvertrag, Diss., Münster .
Kümpel, Siegfried / Wittig, Arne
Bank- und Kapitalmarktrecht, . Auflage, Köln . (zitiert als: Kümpel/Wittig-Bearbeiter)
Kunz, Jens
Rechtliche Rahmenbedingungen für Mobile Payment – Ein Blick auf die Anforderungen zur starken Kundenauthentifizierung, CB , S. – . Die neue Zahlungsdiensterichtlinie (PSD II) – Regulatorische Erfassung „Dritter Zahlungsdienstleister“ und anderer Leistungsanbieter – Teil , CB , S. – und Teil , CB , S. – .
Langenbucher, Katja / Bliesener Dirk / Spindler, Gerald (Hg.)
Bankrechts-Kommentar, . Auflage, München . (zitiert: Langenbucher/Bliesener/Spindler-Bearbeiter)
Larenz, Karl
Methodenlehre der Rechtswissenschaft . Auflage, Berlin u. a., .
Lenz, Carl Otto / Borchardt, Claus-Dieter EU Verträge Kommentar: EUV – AEUV – GrCH, . Auflage, Köln . Linardatos, Dimitrios
Der Kommissionsvorschlag für eine Zahlungsdiensterichtlinie II – Ein Überblick zu den haftungsrechtlichen Reformvorhaben, WM , S. – .
Lösing, Carsten
Das neue Gesetz zur Umsetzung der Zweiten E-GeldRichtlinie, ZIP , S. – .
Literaturverzeichnis
Malcher, Arno / Paterna, Kai
341
Bezahlung durch Mehrwertdienste-Rufnummer in Online-Games – Payment Verträge unter dem Verdacht der Sittenwidrigkeit, MMR , S. – .
Maunz, Theodor / Dürig, Günther (Begr.) Grundgesetz-Kommentar, . Ergänzungslieferung, München . Meder, Stephan / Grabe, Olaf
PayPal – Die „Internet-Währung“ der Zukunft?, BKR , S. – .
Meier, Patrick / Baudach, Niklas
Vorbestellung und Preisgarantie im Online-Handel, VuR , S. – .
Müller-ter Jung, Marco / Kremer, Sasha
Die Visualisierung von Kundeninformationen im M‐Payment – der Rahmenvertrag als Ausweg, BB , S. – .
Münch, Christof
Das Giralgeld in der Rechtsordnung der Bundesrepublik Deutschland, . Auflage, Diss., Baden-Baden . (zitiert als: Münch, Giralgeld)
Münchener Kommentar zum Bürgerlichen Gesetzbuch
Kommentar zum BGB, . Auflage, München . (zitiert als: MünchKommBGB-Bearbeiter)
Münchener Kommentar zum Handelsgesetzbuch
Kommentar zum HGB, Band , . Auflage, München . (zitiert als: MünchKommHGB-Bearbeiter)
Münchener Kommentar zum Strafgesetzbuch
Kommentar zum StGB, Band , . Auflage, München . (zitiert als: MünchKommStGB-Bearbeiter)
Musielak / Voit ZPO
Zivilprozessordnung mit Gerichtsverfassungsgesetz, Kommentar, . Auflage, München .
Nobbe, Gerd
Neuregelungen im Zahlungsverkehrsrecht – Ein kritischer Überblick–, WM , S. – .
Nolte, Frank
Download, Handy & Kids, ZVI , S. – .
Obermüller, Manfred / Kuder, Karen
SEPA-Lastschriften in der Insolvenz nach dem neuen Recht der Zahlungsdienste, ZIP , S. – .
342
Literaturverzeichnis
Ohrtmann, Jan-Peter / Schwiering, Sebastian
Big Data und Datenschutz – Rechtliche Herausforderungen und Lösungsansätze, NJW , S. – .
Omlor, Sebastian
Entgelte im Zahlungsverkehr nach Umsetzung der Zweiten Zahlungsdiensterichtlinie (PSD II), WM , S. – . Zahlungsdiensteaufsichtsrecht im zivilrechtlichen Pflichtengefüge, WM , S. – . Aktuelles Gesetzgebungsvorhaben: Umsetzung der zweiten Zahlungsdiensterichtlinie, JuS , S. – . Die zweite Zahlungsdiensterichtlinie: Revolution oder Evolution im Bankvertragsrecht?, ZIP , S. – . BGH: Anscheinsbeweis und Drittmissbrauch im Online-Banking, LMK , .
Palandt Bürgerliches Gesetzbuch
Kommentar zum BGB, ., neubearbeitete Auflage, München . (zitiert: Palandt-Bearbeiter)
Piekenbrock, Andreas
Das Recht der Zahlungsdienste zwischen Unions- und nationalem Recht, WM , S. – .
Piekenbrock, Andreas / Rodi, Daniel / Aßfalg, Eric
Der „SEPA-Lastschriftwiderspruch“ in der Insolvenz des Zahlungsempfängers – terra incognita, WM , S. – .
Podszun, Rupprecht
PayPal kann sich für Kontosperrung nicht auf KubaEmbargo stützen, GWR , S. .
Rammos, Thannos
Kontaktlose Zahlungen mittels mobiler Endgeräte, ZD , S. – .
Rauhut, Tilman
Fehlüberweisung wegen falscher Kontodaten, ZBB , S. – .
Reimer, Franz
Juristische Methodenlehre, . Auflage, Baden-Baden .
Roßnagel, Alexander
Das neue Recht elektronischer Signaturen – Neufassung des Signaturgesetzes und Änderungen des BGB und der ZPO, NJW , S. – .
Literaturverzeichnis
343
Saenger ZPO
Zivilprozessordnung, Handkommentar, . Auflage, Baden-Baden .
Schäfer, Frank / Lang, Volker
Die aufsichtsrechtliche Umsetzung der Zahlungsdiensterichtlinie und die Einführung des Zahlungsinstituts, BKR , S. – .
Scheibengruber, Christian
Unzulässige AGB-Klauseln in den neuen Bedingungen für Zahlungskarten und Onlinebanking, NJOZ , S. – . Zur Zulässigkeit und Sinnhaftigkeit der Verlagerung des Missbrauchsrisikos bei Zahlungsdiensten auf die Nutzer, BKR , S. – .
Scheibengruber, Christian / Breidenstein, Matthias
SEPA – Eine Zumutung für Verbraucher?, WM , S. – .
Schneider, Uwe
Erster Entwurf für den Vorschlag einer Richtlinie des Rates zur „Transparenz der Konditionen und zur Leistungsfähigkeit der Systeme für grenzüberschreitende Fernzahlungen“, WM , S. – .
Schimansky, Herbert / Bunte, Hermann- Bankrechts-Handbuch, . Auflage, München . Josef / Lwowski, Hans-Jürgen (Hg.) (zitiert als: BankR Hdb-Bearbeiter) Schulte am Hülse, Ulrich / Klabunde, Sebastian
Abgreifen von Bankzugangsdaten im Online-BankingVorgehensweise der Täter und neue zivilrechtliche Haftungsfragen des BGB, MMR , S. – .
Schulte am Hülse, Ulrich / Kraus, Michael
Das Abgreifen von Zugangsdaten zum Online-Banking – Ausgeklügelte technische Angriffsformen und zivilrechtliche Haftungsfragen, MMR , S. – .
Schulte am Hülse, Ulrich / Welchering, Peter
Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, NJW , S. – .
Schütte, Julian
NFC? Aber sicher. Wie sicher ist das kontaktlose Bezahlen?, DuD , S. – .
Schwennicke, Andreas / Auerbach, Dirk Kreditwesengesetz mit Zahlungsdiensteaufsichtsgesetz (ZAG) Finanzkonglomerate-Aufsichtsgesetz (FKAG), . Auflage, München . (zitiert als: Schwennicke/Auerbach-Bearbeiter)
344
Literaturverzeichnis
Söbbing, Thomas
Mobile Zahlungssysteme, WM , S. – . FinTechs: Rechtliche Herausforderungen bei den Finanztechnologien der Zukunft, BKR , S. – .
Spindler, Gerald
Internet-Banking und Haftungsverteilung zwischen Bank und Kunden, in: Festschrift für Gerd Nobbe, S. – , Köln .
Spindler, Gerald / Bille, Martin
Rechtsprobleme von Bitcoins als virtuelle Währung, WM , S. – .
Spindler, Gerald / Zahrte, Kai
Zum Entwurf für eine Überarbeitung der Zahlungsdiensterichtlinie (PSD II), BKR , S. – .
STAUB Handelsgesetzbuch Großkommentar
Großkommentar zum HGB, begründet von Hermann Staub, Zehnter Band, Bankvertragsrecht, . Auflage Berlin, München, Boston . (zitiert als: Staub-Bearbeiter)
Staudinger Kommentar zum Bürgerlichen Gesetzbuch
Kommentar zum BGB mit Einführungsgesetz und Nebengesetzen. Recht der Schuldverhältnisse §§ – (Leistungsstörungsrecht ), Berlin, . Recht der Schuldverhältnisse §§ , a, , a – i (Vertragsschluss), Berlin, . Recht der Schuldverhältnisse §§ – (Dienstvertragsrecht ), Berlin . Recht der Schuldverhältnisse §§ c – c (Zahlungsdiensterecht), Berlin . (zitiert als: Staudinger-Bearbeiter)
Streinz, Rudolf (Hg.)
EUV/AEUV, Kommentar, . Auflage, München .
Strube, Hartmut
Haftungsrisiken der ec-Karte, WM , S. – .
Terlau, Matthias
SEPA Instant Payment – POS- und eCommerce-Abwicklung über Zahlungsauslösedienste und technische Dienstleister nach der Zweiten Zahlungsdiensterichtlinie, jurisPR-BKR /, Anm. . Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehnung des Aufsichtsrechts, ZBB , S. – . Jahre Zahlungsdiensteaufsichtsgesetz – Reform der Zahlungsdiensterichtlinie, ZBB , S. – .
Online-Vermittler für Dienstleistungen Dritter benötigt BaFin-Erlaubnis für Zahlungsdienste, K&R , S. – . Walter, Daniel
Neuregelungen zu SEPA-Lastschrift und SEPA-Überweisung, DB , S. – .
Werner, Stefan
Wesentliche Änderungen des Rechts der Zahlungsdienste durch Umsetzung der Zweiten EU-Zahlungsdiensterichtlinie in deutsches Recht, WM , S. – . Neue Möglichkeiten für Zahlungsdienstnutzer im Recht der Zahlungsdienste nach Umsetzung der PSD II, ZBB , S. – .
Westphalen, Friedrich Graf v. / Thüsing, Gregor
Vertragsrecht und AGB-Klauselwerke, . EL,
Wiesgickl, Margareta
Rechtliche Aspekte des Online-Banking, WM , S. – .
Zahrte, Kai
Neuerungen im Zahlungsdiensterecht, NJW , . Angriffe auf das Online-Banking im Jahr – Zugleich eine Besprechung von LG Köln (Az. O / ) und OLG Köln (Az. U /) in diesem Heft, BKR , S. – . Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) – Rechtsfolgen für die Praxis, ZBB , S. – . Wirksamkeit sog. Internetmandate im SEPA-Basislastschriftverfahren Vereinbarung zwischen Inkassobank und Lastschrifteinreicher, MMR , S. – .
Zimmermann, Johannes
Bei Anruf Zahlung? Das Pay by Call-Verfahren zwischen Rechtsscheinhaftung und Minderjährigenschutz, MMR , S. – . Haftung des Telefonanschlussinhabers bei Pay by CallVerfahren, MMR , S. – .
Zimmermann, Walter
Die Vorsorgevollmacht im Bankgeschäft, BKR , S. – .
Zwade, Christian / Mühl, Thomas
Der Aufwendungs- und Schadensersatzanspruch im Kreditkartengeschäft, WM , S. – .