Aufrufe
vor 1 Jahr

die bank 06 // 2022

  • Text
  • Wwwbankverlagde
  • Risiken
  • Digitalisierung
  • Omlor
  • Baas
  • Deutschen
  • Markt
  • Fintechs
  • Deutsche
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG füge vor.

REGULIERUNG füge vor. Prepaid-Produkte sind zudem nicht notwendigerweise kontoungebunden, 39 so dass nicht per se eine fehlende Zuordnung i. S. d. § 675i Abs. 2 Nr. 3 BGB oder eine fehlende Sperrmöglichkeit i. S. d. § 675i Abs. 2 Nr. 2 BGB unterstellt werden können. Auch Postpaid-Produkte können dem Ausnahmetatbestand des § 675i Abs. 2 Nr. 3 BGB unterfallen, sofern sie bspw. durch Art. 11 RTS privilegiert werden, wie es bei einer NFC- Kartenzahlung ohne Persönliche Identifikationsnummer (PIN) oder Biometrie der Fall ist. 40 d) Physische oder virtuelle Zahlungskarte Das technologieneutrale 41 Zahlungsdiensterecht unterscheidet weiterhin nicht zwischen physischen und virtuellen Zahlungskarten, wie sie namentlich bei Apple Pay oder Google Pay zum Einsatz kommen. Mittelbar könnte diese Abgrenzung jedoch von Relevanz sein, sofern sich eine (einfache oder starke) Kundenauthentifizierung nicht bei Verwendung einer virtuellen Zahlungskarte durchführen ließe. Teilweise wird die Möglichkeit jeglicher Kundenauthentifizierung bei smartphonebasierten Zahlungen generell abgelehnt und v. a. auf den Umstand verwiesen, dass sich das Gerät im Besitz des Zahlungsdienstnutzers befinde, so dass die Authentifizierung nicht durch den Zahlungsdienstleister oder einen von ihm verpflichteten technischen Dienstleister erfolge. 42 Diese Ansicht vermag nicht zu überzeugen. 43 Das Zahlungsdiensterecht differenziert nicht danach, wem zivilrechtlich Eigentum und Besitz an den Geräten zustehen, die für die Kundenauthentifizierung verwendet werden. Ansonsten müssten auch marktübliche TAN-Verfahren, die über eine App auf das Smartphone des Zahlungsdienstnutzers zurückgreifen (z. B. QR-TAN, PushTAN), als ungeeignet ausscheiden. Innovativen Formen des digitalen Zahlungsverkehrs stünden einer unüberwindbaren Haftungshürde gegenüber. Selbst bei Verwendung eines vom Zahlungsdienstleister zur Verfügung gestellten TAN-Generators ließe sich darauf verweisen, dass sich dieses Gerät nunmehr im exklusiven Einflussbereich des Zahlungsdienstnutzers befinde. Richtigerweise ist es ausreichend, wenn der Zahlungsdienstleister oder ein von ihm beauftragter Dritter die Authentifizierung mittels eigener Systeme – sei es Soft- und/oder Hardware – durchführt. Bei einer virtuellen Zahlungskarte in einem Smartphone vollzieht sich dieser Prozess auf der Grundlage von Soft- und ggf. Hardware, die ein Dritter entwickelt hat und dessen sich der Zahlungsdienstleister bedient. Ob im Einzelfall tatsächlich am Endgerät des Nutzers eine starke Kundenauthentifizierung durchgeführt wurde, hat der Zahlungsdienstleister darzulegen und zu beweisen (§ 675w S. 1 BGB). Der Zahlungsdienstnutzer wird daher durch die Einschaltung des über einen Dritten bereitgestellten Authentifizierungssystems nicht benachteiligt. Die Anforderungen an eine starke Kundenauthentifizierung lassen sich bei Verwendung einer virtuellen Zahlungskarte (z. B. Apple Pay, Google Pay) sowohl bei Kombination mit dem Fingerabdruck als auch der Geometrie des Gesichts erfüllen. In beiden Fällen kommen ein Besitzelement (Smartphone, Smartwatch) 44 und ein Inhärenzelement (biometrisches Merkmal) 45 zum Einsatz. Dass es zu Fälschungen kommen kann und die Überprüfung der biometrischen Merkmale keine absolute Sicherheit gewährt, steht dem Vorliegen einer (starken) Kundenauthentifizierung nicht entgegen. Auch Besitzgegenstände können entwendet und durch Unberechtigte verwendet werden. Bei der Authentifizierung handelt es sich lediglich um ein technisches Überprüfungsverfahren, um automatisiert das Vorliegen einer Autorisierung abklären zu können; angestellt wird eine vereinfachte Wahrscheinlichkeitsprognose. 46 Daher kann eine ordnungsgemäße Authentifizierung vorliegen, es aber dennoch an einer Autorisierung fehlen. 47 Insofern lässt sich eine Parallele zu einer analogen Präsenzsituation ziehen: Weist sich der Kunde durch seinen 38 06 | 2022

REGULIERUNG Personalausweis am Bankschalter aus und führt daraufhin der Bankmitarbeiter einen Abgleich mit dem darauf enthaltenen Lichtbild durch, der fälschlicherweise zu einer Identifizierung des Ausgewiesenen führt, kann dennoch der Authentifizierungsprozess fehlerfrei durchgeführt worden sein; das objektiv unzutreffende Ergebnis begründet nicht automatisch auch einen vorgelagerten Verfahrensfehler. Lediglich beim Anscheinsbeweis in Missbrauchsfällen bedarf es bei einer Zahlung mit virtueller Zahlungskarte einer eingehenderen Prüfung der Beweisgrundlage (s. dazu Abschn. IV. 2.). von Kleinbetragsinstrumenten soll durch die Zahlungsdiensterichtlinie nicht eingeschränkt, sondern vielmehr gefördert werden. 52 Der Wortlaut von § 675i Abs. 2 Nr. 3 BGB weicht von der Vorgabe aus Art. 63 Abs. 1 Buchst. b PSD II leicht ab. Der deutsche Umsetzungsgesetzgeber interpretierte die „anonyme” Nutzung aus der Richtlinie als „keinem Zahlungsdienstnutzer zugeordnet werden kann”. Im Lichte der EuGH-Judikatur 53 bedarf es insofern einer richtlinienkonformen Interpretation. Eine formale Identifizierung des Kontoinhabers ist auch bei anonymen Zahlungen möglich. Ausgeschlossen ist vielmehr eine materiell-geschäftsbesorgungsrechtliche Zuordnung, d. h. eine Autorisierung. 54 Einen Anwendungsfall bildet insofern die NFC-Zahlung ohne starke Kundenauthentifizierung, die dem Tatbestand von Art. 11 RTS unterfällt. 3. Taugliche Unterscheidungskriterien a) Nutzung eines Kleinbetragsinstruments (§ 675i Abs. 1 und 2 BGB) Bei bestimmten Kleinbetragsinstrumenten (§ 675i Abs. 1 BGB) 48 kann das Missbrauchsrisiko entgegen §§ 675u, 675v BGB auf den Zahlungsdienstnutzer verlagert werden. Zum einen kann bei fehlender Sperrmöglichkeit die Haftungsfreistellung ab Anzeige nach § 675l Abs. 1 S. 2 BGB abbedungen werden, so dass über die allgemeinen Grenzen aus § 675e BGB hinaus eine Dispositivität von § 675v Abs. 5 BGB angeordnet wird (§ 675i Abs. 2 Nr. 2 BGB). Zum anderen wird eine Umgestaltung der Risikotragung bei unautorisierten Zahlungsvorgängen zugelassen, sofern es die Ausgestaltung des Kleinbetragsinstruments objektiv bedingt, dass dem Zahlungsdienstleister ein Autorisierungsnachweis unmöglich wird (§ 675i Abs. 2 Nr. 3 BGB). Beide Ausnahmeregelungen spiegeln die ausgeprägte Bargeldersatzfunktion von Kleinbetragsinstrumenten wider. 49 Sowohl für die fehlende Sperrmöglichkeit (Nr. 2) als auch die Anonymität der Zahlung (Nr. 3) greift im Ausgangspunkt eine objektive Betrachtung ein. 50 Damit kommt es darauf an, ob auch technisch eine Unmöglichkeit tatsächlich vorliegt; eine dahingehende Vereinbarung der Parteien genügt allein hingegen nicht. Damit ist allerdings nicht ausgeschlossen, dass der Zahlungsdienstleister zielgerichtet ein Produkt konstruiert, bei welchem ein solcher Ausschluss auch technisch vorliegt. 51 Ansonsten würde § 675i Abs. 2 Nr. 2 und 3 BGB faktisch leerlaufen, da nur Kleinbetragsinstrumente, bei denen „zufällig” eine solche technische Eigenschaft vorliegt, erfasst würden. Potenziell besteht immer die Alternative, auf ein nicht von § 675i Abs. 1 BGB erfasstes Zahlungsinstrument auszuweichen und damit die Tatbestandsvoraussetzungen nicht eingreifen zu lassen. Die Innovationskraft der Zahlungsdienstleister im Bereich b) Nutzung von elektronischem Kleingeld (§ 675i Abs. 3 BGB) Für E-Geld stellt § 675i Abs. 3 BGB einen eigenständigen Sondertatbestand auf, der jedoch einen Rückgriff auf den allgemeinen § 675i Abs. 1 und 2 BGB nicht ausschließt. 55 Nicht jegliche Formen von E-Geld sind erfasst. Vielmehr gilt die betragliche Grenze von 200 Euro aus § 675i Abs. 3 S. 2 BGB. In der Folge lässt sich der sachliche Anwendungsbereich auf elektronisches Kleingeld beschränken. Dabei muss aber strikt vom Kleinbetragsinstrument nach § 675i Abs. 1 BGB abgegrenzt werden, welches eigenständige und engere Voraussetzungen – namentlich in § 675i Abs. 1 S. 2 BGB – kennt. Mit dem Auslaufen der Geldkarte verliert der Tatbestand auch seinen praktischen Hauptanwendungsfall. Moderne E-Geld-Konten verfügen zumeist nicht über die notwendige Beschränkung auf 200 Euro. c) Privilegierung nach Art. 11 RTS aa) Teleologie Im Hinblick auf die strikten Anforderungen an Kleinbetragsinstrumente kommt dem Ausnahmetatbestand aus Art. 11 RTS eine herausgehobene Bedeutung für kontaktlose NFC-Zahlungen im Präsenzhandel zu. Die Zweite Zahlungsdiensterichtlinie hat es sich zum Ziel gesetzt, die Nutzung effizienter und moderner Methoden der bargeldlosen Zahlung zu erhöhen. 56 Gefördert werden soll die „Entwicklung benutzerfreundlicher Zahlungsdienste mit niedrigem Risiko”. 57 Vor diesem Hintergrund ordnet Art. 11 RTS für „kontaktlose Zahlungen an der Verkaufsstelle” eine Ausnahme von der Pflicht zur Nutzung einer starken Kundenauthentifizierung an. Die systematische Gegenüberstellung zu den Kleinbetragszahlungen nach Art. 16 RTS zeigt, dass der Gesetzgeber bei kontaktlosen Zahlungen am POS typisiert von einem geringeren Risiko als bei elektronischen Fernzahlungsvorgängen ausgegangen ist; entsprechend niedriger sind bei Art. 16 RTS die Betragsobergrenzen. 58 Letztlich ist auch das normative Gewicht der Ausnahme bei Art. 11 RTS geringer, da dort lediglich von der einfach-starken Kundenauthentifizierung nach § 55 Abs. 1 S. 1 ZAG befreit wird; demgegenüber bezieht sich Art. 16 RTS auf die qualifiziertstarke Kundenauthentifizierung nach § 55 Abs. 2 ZAG. 06 | 2022 39

die bank