Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner
Die Art und Weise, mittels der Güter des täglichen und nicht alltäglichen Bedarfs bezahlt werden, bildet in den letzten Jahren zunehmend auch den technischen Fortschritt ab, welcher immer innovativere Bezahlsysteme mit sich bringt. Diese sollen – so die Idee der hinter den Bezahlsystemen stehenden Dienstleister – den Bezahlvorgang vereinfachen.
Der moderne „Zahler“ (so die Terminologie des Gesetzes) begleicht beispielsweise die Handwerkerrechnung keineswegs mehr bar oder erteilt den Überweisungsauftrag am Schalter der lokalen Bankfiliale. Die Rechnung wird heute mit dem Smartphone abfotografiert und über die App der Hausbank an dieselbe übermittelt, welche die ihr übermittelte Rechnung im Auftrag des Kunden begleicht.
SEMINARTIPP
Praxisprobleme in Kontoführung & Zahlungsverkehr, 29.10.2019, Würzburg.
Auch im Supermarkt wird der Einkauf nicht mehr durch Bargeld beglichen. Der digital affine Kunde von heute zieht im Vorbeigehen an der Kasse sein Smartphone oder die Smartwatch über ein Zahl-Terminal und hakt so nicht nur die digitale Einkaufsliste, welche er in einer App auf dem ständigen Begleiter gespeichert hat, ab, er löst durch die scheinbar beiläufige Geste auch noch den Bezahlvorgang aus.
Nachdem weder die Rechnung des Handwerkers noch der Einkauf somit viel Zeit in Anspruch genommen haben, wird noch schnell über die ebenfalls auf dem Smartphone gespeicherte App des Nahverkehrsverbundes ein Ticket für die nächste Fahrt gebucht und mittels der hinterlegten Kreditkarte bezahlt. Einzig die auf der Kreditkarte aufgedruckte Sicherheitszahl muss abschließend noch eingegeben werden.
Während der gerade gebuchten Fahrt wird noch schnell ein dringend benötigter Haushaltsgegenstand gekauft. Selbstverständlich alles online und unter Verwendung einer App. Die Zahlung erfolgt wahlweise über die hinterlegte Kreditkarte, Lastschrift oder einen zwischengeschalteten Zahlungsauslösedienst.
Nachdem nach der Fahrt mit dem öffentlichen Nahverkehr tatsächlich noch Bargeld benötigt wird, wird dies am nächsten Geldautomaten abgehoben. Die PIN hat unser digital affiner Kunde in einer eigens hierfür gespeicherten App hinterlegt, in der er auch sämtliche weiteren Passwörter und PIN-Codes verwaltet.
Auf der Hand liegt, dass solche Bezahlsysteme ein hohes Missbrauchsrisiko in sich tragen, zumal (bislang) die meisten der geschilderten Bezahlvorgänge in der Regel nicht einmal durch die nur dem Zahler und Kunden bekannte PIN autorisiert werden mussten.
Im Bestreben um einen möglichst hohen Schutz des Zahlers vor einer missbräuchlichen Verwendung der modernen Bezahlsysteme und -Möglichkeiten hat der europäische Gesetzgeber daher in der Richtlinie (EU) 2015/2366 („PSD II“) vorgesehen, dass die Mitgliedstaaten in ihrem nationalen Recht eine sogenannte „starke Kundenauthentifizierung“ vorsehen. Der nationale Gesetzgeber ist dem in §§ 1 Abs. 24, 55 ZAG (neu) nachgekommen. Hiernach müssen fortan Zahlungsdienstleister grundsätzlich eine starke Kundenauthentifizierung verlangen, wenn der Zahler
- Online auf sein Zahlungskonto zugreift
- Einen elektronischen Zahlungsvorgang auslöst
- Über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betruges im Zahlungsverkehr oder anderen Missbrauch beinhaltet.
§ 55 Abs. 2 ZAG (neu) führt ergänzend aus:
„Handelt es sich bei dem elektronischen Zahlungsvorgang nach Absatz 1 Satz 1 Nummer 2 um einen elektronischen Fernzahlungsvorgang, hat der Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.“
Unter einer starken Kundenauthentifizierung ist eine Authentifizierung zu verstehen, „die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die[se] unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt:
1. Kategorie Wissen, also etwas, das nur der Nutzer weiß,
2. Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder
3. Kategorie Inhärenz, also etwas, das der Nutzer ist.“ (§ 1 Abs. 24 ZAG (neu).
Die Einzelheiten zu den Erfordernissen und Verfahren sowie die Ausnahmen zu der fortan (grundsätzlich) durchzuführenden starken Kundenauthentifizierung hat der europäische Gesetzgeber dabei keineswegs in der PSD II verortet. Diese finden sich in einem sogenannten delegierten Rechtsakt. Bei diesem delegierten Rechtsakt handelt es sich um die delegierte Verordnung (EU) 2018/389 der Kommission vom 27.11.2017 zur Ergänzung der PSD II. Als europäische Rechtsverordnung ist diese in jedem Mitgliedstaat der Europäischen Union unmittelbar anwendbar. Dieses Regelungsgefüge aus einer in nationales Recht umzusetzenden europäischen Richtlinie, nationalem Rechtsakt und einer unmittelbar anzuwendenden delegierten Verordnung, welche von der Europäischen Kommission als Organ der Exekutive erlassen wurde, wird ergänzt durch die Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC der EBA. Es bleibt der Bank als Normadressat nur zu raten, bei der Umsetzung und dem Monitoring des „neuen“ Zahlungsverkehrsrecht nicht nur die Vorschriften des ZAG, sondern insbesondere auch der die PSD II flankierenden und vorstehend genannten Rechtsakte und Verwaltungsvorschriften mit einzubeziehen.
Für die Bankbranche relevant ist die starke Kundenauthentifizierung insbesondere in Fällen der missbräuchlichen Verwendung eines Zahlungsinstruments. Zwar kann eine Bank im Falle eines nicht autorisierten Zahlungsvorgangs nach § 675v Abs. 1 BGB den Ersatz des ihr entstandenen Schadens bis zu einem Betrag von € 50,00 verlangen. Hat der Kunde den der Bank entstandenen Schaden vorsätzlich oder jedenfalls grob fahrlässig herbeigeführt, kann die Bank sogar den vollständigen Schadensaugleich verlangen (§ 675v Abs. 3 Nr. 2 BGB). Dies gilt hingegen nicht, wenn die Bank des Zahlers eine starke Kundenauthentifizierung nicht verlangt hat. Eine weitere Ausnahme ist für den Fall vorgesehen, dass der Zahlungsempfänger bzw. dessen Zahlungsdienstleister eine starke Kundenauthentifizierung nicht akzeptiert (§ 675v Abs. 4 Nr. 2 BGB).
Ob die fortan grundsätzlich durchzuführende starke Kundenauthentifizierung tatsächlich geeignet ist, die Zahl der (erfolgreichen) Phishing-Angriffe sowie weitere Betrugsmodelle und anderweitige missbräuchliche Verwendung von Bezahlmodellen und -Systemen zurückzudrängen, wird sich zeigen.
Beitragsnummer: 3213