REGULIERUNG KONTAKTLOSES
REGULIERUNG KONTAKTLOSES BEZAHLEN HAFTUNG BEI NFC-ZAHLUNGEN Im Kontext der Corona-Pandemie wie des EuGH-Urteils „DenizBank” hat das kontaktlose Zahlen via Near-Field- Communication-(NFC-)Technologie eine erhöhte Aufmerksamkeit erfahren. Eine besondere Relevanz kommt auch bei NFC-Zahlungen der Risikoverteilung im Missbrauchsfall zu. Der nachfolgende Beitrag stellt die wesentlichen Parameter einer typisierenden Fallgruppenbildung in den Mittelpunkt und geht zudem auf die Anwendbarkeit des Anscheinsbeweises ein. 34 06 | 2022
REGULIERUNG I. Einführung in die Thematik Vor allem Jüngere nutzen überproportional stark Zahlungsmethoden, bei welchen das Smartphone am Point of Sale (POS) eingesetzt werden muss. 1 Empirisch fristen Zahlungen mit solchen „virtuellen” Zahlungskarten in Deutschland noch ein Nischendasein: Obwohl 84 % der Deutschen ein Smartphone besitzen, hatten es 2020 nur 13 % zu Zahlungszwecken am POS eingesetzt. 2 Am bekanntesten in Deutschland sind dabei v. a. die Banking-Apps der Sparkassen und VR-Banken, dicht gefolgt von Apple Pay und Google Pay. 3 Durch die Corona-Pandemie erhielten kontaktlose Zahlungsprodukte jedoch generell – mit oder ohne Smartphone – einen zusätzlichen Schwung. Empirisch kommt dabei im Euroraum nahezu immer die NFC-Technologie zum Einsatz, nur selten hingegen Verfahren auf Basis von QR-Codes (z. B. Alipay, Wechat Pay). Ungeachtet der zunehmenden Praxisbedeutung ist die rechtliche Erfassung von NFC- Zahlungen noch vergleichsweise wenig beleuchtet. Der rechtswissenschaftliche Diskurs nahm v. a. im Kontext einer jüngeren EuGH- Entscheidung 4 an Fahrt auf. Nachfolgend sollen vor diesem Hintergrund nach einer kurzen Einführung in die technische Funktionsweise (Abschn. II.) zentrale Parameter der Haftung bei missbräuchlichen NFC-Zahlungsvorgängen mittels einer Fallgruppenmethodik herausgearbeitet werden (Abschn. III.). Hierzu zählt auch die Anwendbarkeit des Anscheinsbeweises (Abschn. IV.). Abschließend wird ein knapper Ausblick auf die Dritte Zahlungsdiensterichtlinie gewagt (Abschn. V.). II. Technische Grundlagen und empirische Erscheinungsformen Bei NFC handelt es sich um einen Funkstandard, der kleine Datenmengen über kurze Distanzen – z. B. zwischen Zahlungskarte und POS-Terminal des Händlers – austauschen kann. 5 Ein physischer Kontakt zwischen NFC- Chip und Lesegerät ist nicht erforderlich. 6 Der NFC-Chip kann in eine Zahlungskarte oder ein mobiles Endgerät (Smartphone, Smartwatch) integriert werden oder durch einen NFC-Sticker auf einen beliebigen Gegenstand aufgebracht werden. 7 1. Abgrenzungen Die NFC-Technologie ermöglicht unterschiedliche Zahlungsformen. Im Ausgangspunkt abzugrenzen ist dabei zwischen sog. Proximity Payments mittels NFC-Technologie, die im Präsenzhandel am POS getätigt werden, und sog. Remote Payments, bei denen typischerweise für den Fernabsatz und den Onlinehandel eine Zahlung per Smartphone und zugehöriger App erfolgt; im letzteren Fall kommt keine NFC-Funktion zum Einsatz. Beide Begriffe sind zahlungsdiensterechtlich nicht kodifiziert und dienen daher nur einer groben Orientierung. 8 Innerhalb der Gruppe der Proximity Payments via NFC bedarf es sodann der Abgrenzung, ob eine physische oder in einem mobilen Endgerät virtualisierte Zahlungskarte verwendet wird. Bei einer NFC-Zahlung mit der physischen Zahlungskarte bedarf es keiner Internetverbindung des Karteninhabers. Demgegenüber muss sich das mobile Endgerät, auf dem sich eine virtuelle Zahlungskarte befindet (z. B. bei Apple Pay, Google Pay, Samsung Pay), grundsätzlich im Onlinemodus befinden. 2. Erscheinungsformen und Funktionsweisen virtueller Zahlungskarten Bei Google Pay kommt das sog. Host-Card- Emulation-(HEC)-Verfahren zum Einsatz. Dabei werden die Kartendaten in Form von Token als virtuelle Zahlungskarten im Betriebssystem hinterlegt. 9 Die Verifikation einzelner Transaktionen erfolgt durch Einmalpasswörter (keys). Diese werden zusammen mit dem Token an den Händler übermittelt, damit dieser die Transaktion im Kartennetzwerk validieren kann. Neue Einmalpasswörter werden automatisch bei bestehender Internetverbindung durch das verwendete Endgerät bezogen. Demgegenüber greifen Apple Pay und Samsung Pay auf ein sog. Secure Element zurück, das fest im Smartphone verbaut ist. 10 Eine Weitergabe der hinterlegten Kartendaten erfolgt hingegen nicht. An das POS-Terminal des Händlers werden nur die Gerätenummer, ein Sicherheitscode und die weiteren Zahlungsdaten als Key übermittelt. Der Zahlungsdienstleister des Händlers überprüft sodann das Secure Element. 3. Angriffsszenarien Generell können Angreifer an der kontaktlosen Form der Datenübermittlung ansetzen und versuchen, die übertragenen Daten abzufangen (eavesdropping). 11 Potentiell soll es technisch möglich sein, im schlichten Vorbeigehen die NFC-Signale aufzunehmen. 12 Einem erhöhten Risiko unterliegen naturgemäß solche Zahlungsverfahren, die ohne personalisierte Sicherheitsmerkmale oder den Abgleich biometrischer Daten ablaufen. Verringert wird das Missbrauchsrisiko, sofern bei einer Zahlung via Smartphone und virtueller Zahlungskarte eine Freigabe per Gesichtserkennung (z. B. FaceID) benötigt wird. Im Einzelnen können typisiert folgende Angriffsmuster unterschieden werden. Ein Angreifer kann sich in die Datenübertragung in der Weise einschalten und das NFC-Lesegerät manipulieren, so dass die zwischengeschaltete Person sich als Lesegerät ausgibt und somit die Daten empfängt (man-in-the-middle-attack). 13 Bei einer sog. Replay Attack werden die übermittelten Daten kopiert und unverändert weitergegeben, so dass ein echtes Gerät imitiert werden kann. 14 Verwandt damit ist die sog. Relay Attack, bei welcher hingegen das Empfangsgerät getäuscht wird, indem die 06 | 2022 35
