DIGITALISIERUNG ten
DIGITALISIERUNG ten E-Geldkontos des Nutzers eingesetzt und nicht für den eigentlichen Bezahlvorgang. Es handelt sich um den Transfer von E-Geld nach § 1 Abs. 2 S. 3 ZAG. 23 IV. Vertragliche Infrastruktur für das kartenbasierte Mobile POS Payment Die Abwicklung einer mobil angestoßenen Zahlung am POS über Banking-Apps oder Wallets erfolgt über die jeweils eingebundene digitale Karte der Kartenausgeber und beruht – unabhängig davon, ob die Wallets von Zahlungsdienstleistern oder Technologiekonzernen wie Apple oder Google angeboten werden – auf den etablierten Zahlungsverkehrsinfrastrukturen für Debit-und Kreditkartenzahlungen. Die Wallets bilden sozusagen das digitale Frontend, während die Zahlungsdienstleister und Kartenschemes im Hintergrund weiterhin für die Infrastruktur und Abwicklung der Kartenzahlungen sorgen. Für eine Mobile-Payment-Transaktion am POS gilt deshalb der Rechtsrahmen für die jeweils in der Wallet hinterlegten digitalen Karte. Auch wenn zur Umstellung auf die mobilen Bezahlverfahren vorwiegend technische Prozessabläufe angepasst werden mussten, haben sich durch die Umsetzung der PSD II zum 14.9.2019 mit der gesetzlichen SKA-Pflicht nach § 55 ZAG i.V. m. § 1 Nr. 24 ZAG und den technischen Regulierungsstandards in den RTS-SKA vielfältige neue Rechtsfragen für das digitale Bezahlen ergeben. Aufsichtsrechtlich galt es, die Vorgaben aus den Art. 2–29 RTS-SKA zu erfüllen – auch vor dem Hintergrund, dass die SKA zur Authentifizierung über eine Bezahlplattform auf dem mobilen Endgerät erfolgt. Zivilrechtlich sind die Vertragsbeziehungen für das kartenbasierte Mobile POS Payment im Vergleich zu einer Zahlung mit der physischen Karte auch dadurch komplexer geworden, dass neben Kunde und Händler und ihren jeweiligen Zahlungsdienstleistern noch die Anbieter der Bezahlplattform als weitere Akteure hinzukommen. Damit alle Beteiligten untereinander rechtlich verbunden sind, müssen mindestens fünf verschiedene Vertragsverhältnisse begründet werden. Die zusätzlich im Hintergrund notwendigen Rechtsbeziehungen wie das Netzwerk der vielfältigen Vereinbarungen für die Zusammenarbeit im Interbankenverhältnis, Verträge mit Dienstleistern wie Betreiber digitaler Karten, 24 Token Service Provider (TSP), 25 Acquiring- und Netzbetreiberverträge sollen dabei außerhalb der Betrachtung bleiben. 1. Vertragsverhältnis Zahlungsdienstleister und Karteninhaber Das Rechtsverhältnis zwischen kontoführendem Zahlungsdienstleister und Karteninhaber zur Nutzung von digitalen Karten beruht genauso wie bei der physischen Karte auf einem Zahlungskontovertrag und dem ergänzenden Emissionsvertrag für die Debit- oder Kreditkarte als Zahlungsdiensterahmenverträge nach § 675f Abs. 2 BGB. Die nicht verkörperte digitale Karte ist ebenso wie die physische Karte ein Zahlungsinstrument nach § 1 Nr. 20 ZAG. 26 Die technische Möglichkeit, digitale Karten auf mobilen Endgeräten mit CDCVM zu nutzen, wird vertraglich im Kundenverhältnis durch neue Bedingungen zum Kartenvertrag umgesetzt. Die “Bedingungen für die digitale girocard (Debitkarte) mit individualisierten Authentifizierungsverfahren”, die in der rechtswissenschaftlichen Kommentierung bisher noch keine Erwähnung gefunden haben. Die “Bedingungen für die digitale girocard (Debitkarte) 27 mit individualisierten Authentifizierungsverfahren” , die in der rechtswissenschaftlichen Kommentierung bisher noch keine Erwähnung gefunden haben, wurden von den Spitzenverbänden der Deutschen Kreditwirtschaft (DK) als Träger des Deutschen girocard-Systems den teilnehmenden Zahlungsdienstleistern – wie in Ziff. 6 der “Vereinbarung über ein institutsübergreifendes System zur bargeldlosen Zahlung an automatisierten Kassen (girocard-System) vorgesehen – als Muster zur Verfügung gestellt und können ergänzend zu den Kundenbedingungen für die girocard mit PIN zum Einsatz kommen. a) Neue Kundenbedingungen Hauptzweck der neuen Bedingungen ist die Vereinbarung der vom mobilen Endgerät unterstützten Authentifizierungselemente wie Biometrie oder Entsperrcode als neue Authentifizierungsverfahren nach § 675j Abs. 1 S. 3 u. 4 BGB. Zusätzlich sollen damit die auf- 50 03 | 2022
DIGITALISIERUNG sichtsrechtliche Pflicht aus § 55 ZAG zum Einsatz der SKA und die vorvertraglichen Informationspflichten nach Art. 248 § 4 EGBGB erfüllt werden. Die Rahmenbedingungen für die in § 1 Abs. 24 ZAG legal definierte SKA und die relevanten Ausnahmevorschriften in den Art. 10–19 RTS-SKA wurden in den letzten Jahren rechtswissenschaftlich ausführlich aufgearbeitet. 28 Daher soll der Fokus auf der vertraglichen Umsetzung in den neuen Bedingungen liegen. Nach Nr. 2 der Bedingungen können als mögliche Authentifizierungselemente das mobile Endgerät als Besitzelement, biometrische Merkmale des Karteninhabers als Seinselemente und der Entsperrcode des mobilen Endgeräts als Wissenselement vereinbart werden. Bei der Formulierung wurden bewusst nicht die gesetzlich definierten, aber schwer verständlichen und in der Bedeutung umstrittenen Begriffe wie “personalisiertes Sicherheitsmerkmal” (§ 1 Nr. 25 ZAG) 29 verwendet. Die sichere Zuordnung der auf dem mobilen Endgerät verwendeten Authentifikationselemente zum Inhaber der digitalen Karte gemäß den aufsichtsrechtlichen Anforderungen aus Art. 24 RTS-SKA wird im Rahmen des tatsächlichen Registrierungsprozesses bei Abruf der digitalen Karte sichergestellt. Dabei bestimmt der Karteninhaber, welche Authentifizierungselemente er als zweiten Faktor für die digitale Kartenzahlung freischalten lassen möchte und bestätigt dies durch seine für die Teilnahme am Online-Banking vereinbarte SKA. Auf diese Weise werden die Payment- App und die vom Karteninhaber auf dem Endgerät verwendeten Authentifikationselemente per SKA an das mobile Endgerät gebunden und eindeutig dem Karteninhaber zugeordnet. Für die Autorisierung der digitalen Karte nach § 675j Abs.1 S. 3 BGB ist immer die Eingabe der vereinbarten Authentifikationselemente erforderlich (Nr. 4 S. 2 der Bedingungen). Die Option, bei kontaktlosen Kleinbetragszahlungen bis 50 Euro nach Art. 11 RTS-SKA auf die SKA zu verzichten, wurde nicht umgesetzt. Denn diese Ausnahmeregelung für Low Value Payments ist für die Systembetreiber (Android, iOS) und über alle gängigen mobilen Zahlverfahren technisch nicht darstellbar. Hinzu kommt, dass für Karteninhaber diese sehr komplexe Regelung in ihrer Detailtiefe – bis fünf Transaktionen über maximal je 50 Euro, gesamte Transaktionshöhe nicht mehr als 150 Euro – kaum nachvollziehbar ist, 30 was die Erfahrungen beim kontaktlosen Bezahlen mit der physischen Karte belegen. 31 Ohnehin wird von vielen Kunden der Schwellenwert von 50 Euro in der Praxis z. B. beim Tanken als zu niedrig empfunden. Hier hat die EBA ihre grundsätzlich positive Intention, die Entwicklung benutzerfreundlicher Bezahllösungen zu fördern, durch eine praxisferne “Überregulierung” verfehlt. Der Trend zu mobilen Zahlverfahren sollte vielmehr durch eine Lockerung des engen Regulierungskorsetts der RTS-SKA weiter vorangetrieben werden. Statt kleinteiliger Vorgaben, die in der Praxis nicht oder nur mit einem unverhältnismäßigen Aufwand umsetzbar sind, sollte wieder stärker auf das Risikomanagement der Kartenausgeber als Kernkompetenz ihres Bankgeschäfts gesetzt werden. Gelegenheit dazu bietet die anstehende Überprüfung der PSD II durch die EU- Kommission im Rahmen ihrer am 24.9.2020 veröffentlichten “Retail Payments Strategy”. 32 b) Haftungsfragen In den Kundenbedingungen wurde unter Nr. 7.1 eine allgemeine Sorgfaltspflicht zum Schutz der Authentifizierungselemente vor unbefugtem Zugriff aufgenommen, wie sie seit fast 30 Jahren für den Umgang mit PIN und physischer Karte in der Praxis üblich und den Kunden bekannt ist. Übertragen auf das mobile Endgerät mit digitaler Karte bedeutet Schutz vor unberechtigtem Zugriff auch, dass die Sicherheitsfunktionen des Endgeräts wie Einrichtung und Sicherung der automatischen Display-Sperre über Entsperrcode oder biometrische Merkmale genutzt werden müssen. Dies stellt keinen zu weitgehenden Eingriff in die Nutzungsmöglichkeiten des Geräts dar. 33 Mit den Formulierungen “zumutbare Vorkehrungen” angelehnt an § 675l Abs. 1 BGB und “Schutz vor unbefugten Zugriff ” wird betont, dass Sicherheitserfordernisse im Vordergrund stehen. Deshalb können eine sozialadäquate Nutzung des Smartphone, etwa durch kurze Überlassung an Familienangehörige, oder die “Offenlegung” der biometrischen Merkmale des Karteninhabers wie der Fingerabdruck nicht per se als Sorgfaltspflichtverstoß gelten, solange sich durch weitere Umstände das Missbrauchsrisiko nicht erhöht. Über diese in den Bedingungen zum Ausdruck kommende Wertung führt auch die Miterfassung biometrischer Merkmale in die allgemeine Schutzpflicht nicht zur Unwirksamkeit gegenüber Verbrauchern nach § 675e Abs. 1 BGB. 34 Die abstrakte Schutzpflicht des Karteninhabers wird in Nr. 7.1, S. 3 der Bedingungen für die Kategorien Wissen, Besitz und Sein näher konkretisiert: So wird der Entsperrcode als Authentifizierungselement unter Geheimhaltungspflicht gestellt, weil das mobile Endgerät typischerweise auch von mehreren Personen benutzt werden kann (shared device). Die Vereinbarung dieser vertraglichen Geheimhaltungspflicht gilt zugleich auch als risikomindernde Maßnahme des Zahlungs- 03 | 2022 51
