Autor:Dr. Anna-Maria Beesch, RA'in und FA'in für Bank -und Kapitalmarktrecht
Erscheinungsdatum:19.11.2019
Quelle:juris Logo
Normen:§ 676c BGB, § 45 ZAG, § 52 ZAG, § 675j BGB, § 675c BGB, § 670 BGB, § 1 ZAG, § 55 ZAG, § 48 ZAG, § 675f BGB, § 10 ZAG, § 12 ZAG, § 49 ZAG, § 16 ZAG, § 675u BGB, § 675y BGB, § 676a BGB, § 312a BGB, § 675g BGB, § 675l BGB, § 675m BGB, § 675 BGB, § 675v BGB, § 676 BGB, § 675o BGB, § 675p BGB, § 675s BGB, § 675i BGB, § 675w BGB, EURL 2015/2366, EUV 2018/389
Fundstelle:jurisPR-BKR 11/2019 Anm. 1
Herausgeber:Prof. Dr. Stephan Meder, Universität Hannover
Dr. Anna-Maria Beesch, RA'in und FA'in für Bank- und Kapitalmarktrecht
Zitiervorschlag:Beesch, jurisPR-BKR 11/2019 Anm. 1 Zitiervorschlag

„Jetzt mal konkret“ - Die aktuellen Rechtsentwicklungen im Zuge der PSD2

A. Einleitung

Aktuelle Umfragen unter Verbrauchern ergaben, dass Unkenntnis und Unsicherheit rund um „PSD2“1 groß sind, insbesondere bezüglich der seit 13.09.2019 zu fordernden „Starken Kundenauthentifizierung“ (= „Zwei-Faktor-Authentifizierung“). Es erstaunt ja auch schon, wie es unserer heutigen Gesellschaft gelungen ist, einen doch sehr einfachen Vorgang (wie die Übertragung eines Geldbetrages von A zu B), derart zu verkomplizieren und zu überregulieren, dass er den Menschen eher wie eine Blackbox mit unsicherem Datenausgang erscheint.

Während in großen Teilen des allgemeinen Publikums – trotz erheblicher Aufklärungsleistung der Kreditwirtschaft und im Zuge der PSD2 aufwändig geänderter AGB – nicht einmal der Begriff „PSD2“ bekannt ist, ist er dem Fachpublikum natürlich geläufig: Er steht für die neue europäische Richtlinie PSD2, die PSD1 ersetzt hat, auf der seit 2009 das neue deutsche Zahlungsdiensterecht beruht; und PSD2 ist die europäische Richtlinie, die 2018 und nun 2019 das deutsche Zahlungsdiensterecht nochmals erheblich verändert hat2. Wie schon die PSD1 wurde in Deutschland auch die PDS2 „gespalten“ sowohl zivilrechtlich (im BGB) als auch aufsichtsrechtlich (im Zahlungsdiensteaufsichtsgesetz - ZAG) umgesetzt. Nahezu jeder der §§ 675c bis 676c BGB wurde geändert und/oder ergänzt3; das ZAG wurde neu geschrieben4. Zivilrecht und Aufsichtsrecht wurden stärker miteinander verknüpft, so dass die Bedeutung des Aufsichts- für das Zivilrecht zugenommen hat5. Der Verweis in § 675c Abs. 3 BGB inkorporiert Teile des Aufsichtsrechts. Insbesondere enthalten die §§ 45 ff. ZAG n.F. und die RTS (Regulatory Technical Standards; „Delegierte Verordnung“) überwiegend auch zivilrechtlich (haftungs)relevante Regelungen, die am 14.09.2019 in Kraft getreten sind6.

Insgesamt ist die PDS2 ein sehr weites Feld. Viele Beiträge wurden hierzu bereits veröffentlicht7. Vorliegend soll, „Jetzt mal konkret“, der Fokus auf einige der markantesten Rechtsänderungen und Rechtsentwicklungen im Zuge der PSD2 gerichtet werden.

Dies sind zum Ersten die sich insbesondere auf Bezahlen im Internet und Online-Banking auswirkende Pflicht zur „Starken Kundenauthentifizierung“ (SKA), ihr Impact auf die Haftungsverteilung (neuer § 675v Abs.4 BGB), und markante Ausnahmetabestände (vgl. B.I.). Zum Zweiten sind es die neu zugelassenen Zahlungsauslösedienste, die damit verknüpften Auswirkungen auf das Haftungssystem (neuer § 675u Abs. 5 BGB), die Haftung des erstbeauftragten Instituts und der mögliche Regress (vgl. B.II.). Zum Dritten wird ein Blick auf die „Kleinbetragszahlungen“ geworfen (vgl. B.III.). Zum Vierten geht es um die Frage möglicher Auswirkungen der PSD2 auf das (Dauer-)Thema „Anscheinsbeweis“, insbesondere um die Auslegung des neuen § 675w Satz 4 BGB (vgl. B.IV.). Ein Fazit wird am Ende unter C. gezogen.

Hinweis: Dieser Aufsatz ist eine unwesentlich erweiterte und mit Nachweisen versehene Fassung des am 26.09.2019 auf der „15. Konferenz kartensicherheit.de“ gehaltenen Vortrags.

B. Markante Rechtsänderungen und Rechtsentwicklungen im Zuge der PSD2

I. „Starke Kundenauthentifizierung“ (SKA); ihr Impact auf die Haftungsverteilung (neuer § 675v Abs. 4 BGB); Ausnahmetatbestände; Exkurs: sonstige Änderungen im Haftungsregime

1. Starke Kundenauthentifizierung und Haftungsausschluss

Während der Großteil der Bestimmungen der PSD2 bereits zum 13.01.2018 in nationales Recht umzusetzen war, wurden einige der sehr markanten Rechtsänderungen im Zuge der PSD2, insbesondere die neuen Regeln zur Starken Kundenauthentifizierung, erst ab dem 14.09.2019 verbindlich. Inzwischen ist dieses magische Datum verstrichen, aber faktisch wurden noch längst nicht von allen an den betreffenden Zahlungsvorgängen beteiligten Zahlungsdienstleistern die Voraussetzungen dafür geschaffen, dass eine Starke Kundenauthentifizierung durchgeführt werden kann. Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) wie auch die EBA (Europäische Bankenaufsichtsbehörde) haben den Instituten weitere Galgenfristen zur tatsächlichen Umsetzung eingeräumt8.

Doch bleiben wir bei den – konkreten – in Kraft befindlichen Rechtsnormen: Was sind die markanten Rechtsänderungen durch PSD2 in Bezug auf die Starke Kundenauthentifizierung? Wo ist sie im Zahlungsdiensterecht verortet? Und was hat sie für einen Impact auf die Haftungsverteilung im Falle von Missbrauchsumsätzen oder sonst fehlgegangenen Zahlungsvorgängen?

Bewegt man sich im typischen rechtlichen (Grund-)Dreieck der Rechtsbeziehungen des bargeldlosen Zahlungsverkehrs, ist die Starke Kundenauthentifizierung im sog. Deckungsverhältnis verortet, d.h. im zahlungsdienstevertraglichen Rechtsverhältnis zwischen Zahler und seinem Institut, konkret bei § 675j Abs. 1 BGB, bei dem Auftrag, bei der Weisung, bei der Anweisung, die der Zahler seinem Institut zur Ausführung eines bestimmten Zahlungsauftrags erteilt. Auf dieses Rechtsverhältnis wirkt nun neuerdings das Aufsichtsrecht ein, denn dort wird bestimmt, wann bei diesem Vorgang die Starke Kundenauthentifizierung vorgeschrieben ist und in welcher Form sie zu erfolgen hat. Starke Kundenauthentifizierung (= Zwei-Faktor-Authentifizierung) heißt, dass sich der Zahler beim Bezahlen im Netz aus Sicherheitsgründen jetzt „zusätzlich zu identifizieren hat“, damit sein Auftrag, seine Autorisierung, ihm eindeutig zugewiesen (nachgewiesen) werden kann und Betrug möglichst ausgeschlossen wird. Von Zwei-Faktor-Authentifizierung spricht man deswegen, weil sie auf mindestens zwei Elementen der Kategorien Wissen (z.B. Passwort), Besitz (z.B. Mobiltelefon) und Inhärenz (z.B. Fingerabdruck) basiert9.

Nach Auffassung des BGH ist die Autorisierung der „Dreh- und Angelpunkt“ des neuen Zahlungsdiensterechts10. Liegt Autorisierung vor, hat das Institut einen Aufwendungsersatzanspruch gegen seinen Kunden (§§ 675c Abs.1, 670 BGB). Liegt sie nicht vor, muss das Institut jedweden Betrag an seinen Kunden erstatten (§ 675u BGB). Dann wird entscheidend, ob das Institut seinem Kunden einen Gegenanspruch entgegenhalten kann, der z.B. aus dem Haftungsregime der §§ 675v ff. BGB hergeleitet werden kann (etwa volle Haftung des Kunden wegen grob fahrlässigen Verhaltens im Umgang mit seinen Zahlungsmedien, § 675v Abs. 3 BGB n.F.).

In dieses Haftungsregime ist infolge der PSD2 nun in Fällen, in denen neuerdings eine Starke Kundenauthentifizierung vorgeschrieben ist, eine radikale Änderung (zulasten der Institute und zum Vorteil der Zahlungsdienstnutzer) implementiert worden, und zwar durch Einfügung des neuen § 675v Abs. 4 BGB. Dieser bestimmt, dass der Zahler seinem Institut bei missbräuchlicher Nutzung eines Zahlungsinstruments (z.B. Kartennutzung über einen Fernzugang, Online-Banking) nicht zum Schadenersatz (und zwar weder nach § 675v Abs. 1 noch nach § 675v Abs.3 BGB) verpflichtet ist, wenn

1. der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder

2. der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.

Damit ist die Haftung des Zahlers (Inhabers eines Zahlungsinstruments) bei fehlender Möglichkeit einer Starken Kundenauthentifizierung ausgeschlossen (§ 675v Abs. 4 BGB). In diesen Fällen haftet der Zahler selbst bei Vorsatz nicht. Nur bei Handeln in betrügerischer Absicht hat der Zahler für den Missbrauch einzustehen (§ 675v Abs. 4 Satz 2 BGB).

Das ist harter Tobak für die Institute. Aber: durch diesen sie treffenden zivilrechtlichen Haftungsausschluss will der EU-Gesetzgeber und infolge der nationale Gesetzgeber die Institute in die Anwendung des sichereren und aufsichtsrechtlich vorgeschriebenen Weges bei Autorisierung und Authentifizierung zwingen.

2. Erforderlichkeit der Starken Kundenauthentifizierung

In welchen Fällen nun ist eine Starke Kundenauthentifizierung verpflichtend? Hierfür gilt jetzt (seit 14.09.2019) § 55 ZAG (ergänzt durch die RTS). Danach ist eine Starke Kundenauthentifizierung zu verlangen, wenn der Zahler

1. online auf sein Zahlungskonto zugreift,

2. einen elektronischen Zahlungsvorgang auslöst, oder

3. über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.

Zu diesen Vorgängen gehören z.B. die vielfältigen Formen des Online-Banking und electronic cash-Verfahren. Auch wenn unter Einsatz einer Kreditkarte ein elektronischer Zahlungsvorgang ausgelöst oder über einen Fernzugang eine betrugsrisikobehaftete Handlung vorgenommen wird, sind die neuen Regeln über die Starke Kundenauthentifizierung anzuwenden.

3. Ausnahmen von der Starken Kundenauthentifizierung

Wichtig zu erwähnen bleiben allerdings – die recht vielen – Ausnahmen von der Starken Kundenauthentifizierung, die insbesondere in Art. 10 bis 21 RTS (Delegierte Verordnung) geregelt sind.

So erlaubt etwa Art. 10 RTS unter bestimmten Voraussetzungen den Abruf von Zahlungskontoinformationen (Kontostand, Zahlungsvorgänge) ohne Starke Kundenauthentifizierung.
Art. 11 RTS enthält eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung bei kontaktlosen POS-Zahlungen, sofern die Einzelzahlung 50 Euro nicht übersteigt, und die Summe der kontaktlosen Zahlungen seit dem letzten Einsatz der Starken Kundenauthentifizierung 150 Euro nicht überschreitet, oder die Zahl der aufeinanderfolgenden kontaktlosen Zahlungen seit letztem SKA-Einsatz maximal fünf beträgt. Bereits bei Überschreiten eines Kriteriums ist eine neue Starke Kundenauthentifizierung erforderlich.
Art. 12 RTS bringt eine Ausnahme für unbeaufsichtigte Terminals für Nutzungsentgelte und Parkgebühren.
Gemäß Art. 13 RTS ist ein Verzicht auf die Starke Kundenauthentifizierung zulässig bei vom Zahler als vertrauenswürdig eingestuften Empfängern. Hierzu muss der Zahlungsdienstnutzer der kontoführenden Stelle eine Liste seiner vertrauenswürdigen Empfänger (sog. White List) zur Verfügung stellen; beim Erstellen dieser Liste oder deren Änderungen ist allerdings die Starke Kundenauthentifizierung erforderlich.
Gemäß Art. 14 RTS ist auch ein Verzicht auf die Starke Kundenauthentifizierung bei wiederkehrenden Zahlungsvorgängen zulässig.
Art. 15 RTS erlaubt den Verzicht auf eine Starke Kundenauthentifizierung bei Überweisungen zwischen Konten derselben Person bei demselben Institut.
Ein Verzicht ist gemäß Art. 16 RTS ferner zulässig bei Kleinbetragszahlungen, wenn folgende Bedingungen erfüllt sind: Der Betrag des elektronischen Fernzahlungsvorgangs geht nicht über 30 Euro hinaus, und die früheren Zahlungen seit dem letzten Einsatz der Starken Kundenauthentifizierung gehen zusammen nicht über 100 Euro hinaus, oder seit der letzten Durchführung einer Starken Kundenauthentifizierung hat der Zahler nicht mehr als fünf Zahlungen ausgelöst.
Ferner besteht gemäß Art. 17 RTS eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung bei Zahlungsprozessen mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind.
Schließlich erwähnt sei die Ausnahme qua sog. Transaktionsanalyse gemäß Art. 18 RTS, wobei jede Zahlung automatisch daraufhin untersucht wird, ob das Betrugsrisiko gering ist; ist das für die konkrete Zahlung zu bejahen, kann auf eine Starke Kundenauthentifizierung verzichtet werden.

4. Ergebnis

Künftig wird also bei unautorisierten bzw. missbräuchlichen Zahlungsvorgängen zu prüfen sein, ob

eine Starke Kundenauthentifizierung erforderlich war, und
wenn ja, ob sie vorliegt.

Liegt die Starke Kundenauthentifizierung nicht vor, obwohl sie erforderlich war, dann gilt die neue Haftungsverschärfung des § 675v Abs. 4 BGB – und der Zahler ist seinem Zahlungsdienstleister nicht zum Schadenersatz verpflichtet, es sei denn, er hat in betrügerischer Absicht gehandelt.

5. Exkurs: Sonstige Änderungen im Haftungsregime im Zuge der PSD2

An dieser Stelle sei der Fokus noch auf zwei weitere markante Rechtsänderungen im Haftungsregime der §§ 675v ff. BGB im Zuge der PDS2 gelenkt.

Zum einen gibt es jetzt nur noch eine – verschuldensunabhängige – Basishaftung in Höhe von 50 Euro (§ 675v Abs. 1 BGB). Insofern wurde der – vergleichbare, nach PSD1 normierte – Haftungsbetrag von bisher 150 Euro (entsprechend § 675v Abs. 1 Satz 2 BGB a.F.) zugunsten der Zahler weiter abgesenkt. Eine entsprechende Absenkung hatten allerdings nach PSD1 ohnehin viele Institute vertraglich konzediert, so dass die Praxisauswirkung insoweit gering ist.

Zum anderen wurde, und davon können erhebliche Praxisauswirkungen ausgehen, im Zuge der PSD2 ein neuer § 675v Abs. 2 BGB eingefügt, durch den die Basishaftung des § 675v Abs. 1 BGB in Höhe von 50 Euro durch Schaffung eines neuen Ausnahmetatbestands nochmals abgesenkt werden sollte. Danach entfällt nun die 50-Euro-Haftung des § 675v Abs. 1 BGB ganz, wenn „es dem Karteninhaber nicht möglich war, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung der Karte zu bemerken“.

Jedoch sind sich die bisherigen Literaturstimmen darin einig, und dem ist vollumfänglich zuzustimmen, dass (trotz der verschuldensabhängigen Ausgestaltung des „Bemerkens“ in § 675v Abs. 2 BGB) ein „objektiv-abstrakter Maßstab“ gilt. D.h. es kommt darauf an, was ein gewissenhafter Zahler unter den gegebenen Umständen bemerkt hätte. Die Anforderungen an die Bemerkbarkeit liegen deutlich unterhalb der positiven Kenntnis (die z.B. eine Sperranzeigen-Pflicht auslöst). Bemerkbar ist ein Missbrauch jedenfalls dann, wenn konkrete Verdachtsmomente vorliegen. Bemerkbarkeit kann sich auch daraus ergeben, dass der Zahler nicht seiner (vertraglichen und/oder gesetzlichen) Pflicht nachgekommen ist, das Vorhandensein seines Zahlungsinstruments regelmäßig zu kontrollieren oder regelmäßig seine Kontoauszüge zu prüfen11. Gleiches gilt, wenn etwa ein Karteninhaber sich nicht jederzeit im Klaren ist, wo sich seine Karte gerade befindet, oder wenn er das Vorhandensein der Karte nicht von Zeit zu Zeit und bei konkreten Anlässen überprüft12.

II. Zahlungsauslösedienste; mit ihnen verknüpfte Auswirkungen auf das Haftungssystem (neuer § 675u Abs. 5 BGB); (Gesamt-)Haftung des erstbeauftragten Instituts – mit Regressmöglichkeit

„Jetzt mal konkret“, was hat es mit den neuen Zahlungsauslösediensten auf sich, und was hat deren Einschaltung für Auswirkungen auf Haftung und Haftungsverteilung? Eingestreut sei der Untertitel von „Psychologie für Hacker“13. Frage: „Wie gelangen Cyberkriminelle an Passwörter?“ Antwort: „Sie fragen einfach danach!“ (Stichwort: „Sicherheitsrisiko Mensch“). Jetzt im Zuge der PSD2 dürfen auch Zahlungsauslösedienste nach Passwörtern fragen, wenn sie für den Zahlungsdienstnutzer eine Zahlung auslösen sollen. Diese Dienste wurden im Zuge der PSD2 in den Kreis der Zahlungsdienste aufgenommen, und das Haftungsregime wurde diesbezüglich markant verändert.

So gilt der – soeben dargestellte – Haftungsausschluss des neuen § 675v Abs. 4 BGB (bei fehlender „Starker Kundenauthentifizierung“) selbst dann, wenn der Zahler einen „Zahlungsauslösedienst“ einschaltet14.

Rechtlich ist der Zahlungsauslösedienst dem Deckungsverhältnis zwischen Zahler und seinem Institut (Zahlungsdienstevertrag, § 675f BGB) zugeordnet. Der Zahlungsauslösedienst schiebt sich sozusagen in das Deckungsverhältnis, in dem die Autorisierung und Authentifizierung (sowie auch die Starke Kundenauthentifizierung) stattfindet.

Im Zuge der PDS2 darf nun – bei online zugänglichen Konten – der Zahlungsauslösedienst für den Zahler die Zahlung auslösen, vorausgesetzt der Zahler erlaubt ihm dies zuvor15. Beispielsweise ist auch bei Kartenzahlungen die Zahlungsauslösung über einen Zahlungsauslösedienst möglich, was insbesondere von Relevanz bei Einsatz für Fernzahlungen ist (§ 1 Abs. 7 und Abs. 33 ZAG).

In Abkehr vom alten Grundsatz, dass „die PIN streng geheim“ zu halten ist, etc., gilt neuerdings im Zuge der PSD2, dass der Zahler einem Zahlungsauslösedienst (einem „eigentlich Dritten“) Zugriff auf sein Zahlungsinstrument, sensible Zahlungsdaten, Sicherheits- und Authentifizierungsmerkmale (PIN und TAN), auch auf Alles, was zur Starken Kundenauthentifizierung benötigt wird, einräumen darf. Damit löst der Zahlungsauslösedienst dann die Zahlung aus. Elementar ist weiter, dass auch für über einen Zahlungsauslösedienst initiierte Zahlungen die Starke Kundenauthentifizierung zwingend ist (§ 55 Abs. 3 ZAG).

Dadurch wird im Zuge der PSD2 das Prinzip des „Open Access“ eingeführt, d.h. dem Zahlungsauslösedienst muss Zugriff auf die Bank-Kunden-Schnittstelle eingeräumt werden; die kontoführende Stelle (= erstbeauftragtes Institut des Zahlers) ist zur Zusammenarbeit mit dem Zahlungsauslösedienst verpflichtet (§ 48 Abs. 1 ZAG), auch ohne vertragliche Beziehung zwischen der kontoführenden Stelle und dem Zahlungsauslösedienst (§ 48 Abs. 2 ZAG, § 675f Abs. 2 Satz 2 BGB). Damit wird (eigentlichen) „Dritten“, den Zahlungsauslösediensten, der Zugang zu höchstpersönlichen Schlüsseln von Zahlungsdienstnutzern eingeräumt, was bisher strikt untersagt war. Die neue Rechtsordnung behilft sich damit, Zahlungsauslösedienste „nicht als Dritte zu behandeln“ – was sie jedoch faktisch sind.

Zum Ausgleich für diese den Zahlungsauslösediensten im Zuge der PSD2 eingeräumten neuen Rechte wurde ihnen eine Reihe von Regulierungen und Pflichten auferlegt. Dazu zählen das Erfordernis der BaFin-Erlaubnis (§§ 10, 12 ZAG), die Unterwerfung unter die Aufsicht der BaFin, und die Erfüllung einiger Pflichten (wie z.B. der Pflicht zur Identifizierung gemäß § 49 Abs. 2 Satz 1 ZAG gegenüber der kontoführenden Stelle, der Pflicht zur Nutzung sicherer Informationskanäle gemäß § 49 Abs. 3 Satz 2 ZAG, etc.). Ob dies ausreicht, um das Sicherheitsniveau zu befördern und Schadensvermeidungs-Strategien im Markt zu aktivieren, darf bezweifelt werden. Kritisch zu sehen ist jedenfalls, dass diese Dritt-Dienste ihr Geschäft bereits mit einem Kapital von nur 50.000 Euro betreiben dürfen und lediglich eine Berufshaftpflichtversicherung (§ 16 ZAG) abschließen müssen.

Die markanteste – wenig sachgerechte und rechtlich bedenkliche – Rechtsänderung im Zusammenhang mit den Zahlungsauslösediensten besteht jedenfalls darin, dass im Haftungsregime nach PSD2 gemäß den neuen §§ 675u Abs. 5, 675y Abs. 1 Satz 3 BGB immer das „erstbeauftragte Institut“ (= kontoführende Stelle) im Verhältnis zum Zahler haftet, wenn es zu nicht autorisierten Zahlungsvorgängen kommt – und zwar obwohl der Zahlungsauslösedienst vom Zahler eingeschaltet wird, und unabhängig davon, ob und inwieweit der Zahlungsauslösedienst (mit)verantwortlich ist für die mangelnde oder fehlerhafte Autorisierung, oder für die fehlende Starke Kundenauthentifizierung (Gesamthaftung des erstbeauftragten Instituts). Im Gegenzug zu dieser Haftungsauferlegung wurden dem erstbeauftragten Institut lediglich Regressansprüche gegen den Zahlungsauslösedienst (§ 676a Abs. 1 BGB) und einige Beweiserleichterungen (§ 676a Abs. 2 und Abs. 3 BGB) eingeräumt.

Zivilrechtliche Bedenken bei Einschaltung von Zahlungsauslösediensten werden derzeit immer stärker von Literatur und Rechtsprechung aufgegriffen. So urteilte z.B. der BGH am 18.07.2017 (KZR 39/16), dass Angebote von Zahlungen ausschließlich unter Einschaltung von Zahlungsauslösediensten als einziger Zahlungsmöglichkeit im Online-Shop gemäß § 312a Abs. 4 BGB unzulässig sind („Sofortüberweisung“).

III. Kleinbetragszahlungen

Sedes materiae der Kleinbetragszahlungen ist § 675i BGB; insoweit hat PSD2 nur zu redaktionellen Änderungen geführt. Kleinbetragsinstrumente sind solche, die innerhalb der für sie definierten Grenzen bleiben. Die Funktion dieser Instrumente besteht darin, Bargeld zu ersetzen (Bargeldersatzfunktion). Dies erklärt auch, warum der Nutzer von Kleinbetragsinstrumenten (in Ausnahme zum ansonsten geltenden Zahlungsdiensterecht) das Verlust- und Missbrauchsrisiko jedenfalls selbst und in voller Höhe trägt – so wie er es auch tragen würde, wenn er Bargeld einsetzt.

Bei Kleinbetragsinstrumenten ist das Risiko des Zahlers/Nutzers beschränkt durch die Limits, die gesetzlich (und/oder durch vertragliche Vereinbarung) definiert sind, und die die Nutzung des Instruments beschränken.

Gemäß § 675i BGB ist ein Kleinbetragsinstrument ein Mittel,

1. mit dem Zahlungen bis 30 Euro ausgelöst werden können,

2. das eine Ausgabenobergrenze von 150 Euro hat oder

3. das Geldbeträge speichert, die zu keiner Zeit 150 Euro übersteigen.

In den Fällen der Nummern 2 und 3 erhöht sich die Betragsgrenze auf 200 Euro, wenn das Kleinbetragsinstrument nur für inländische Zahlungsvorgänge genutzt werden kann.

Innerhalb dieser Grenzen sind damit sog. Prepaid- oder Postpaidprodukte sowie an ein Zahlungskonto gebundene als auch kontoungebundene Produkte erfasst. Klassisches Instrument für Kleinbetragszahlungen ist die GeldKarte. Auch E-Geld stellt (in den o.g. Grenzen) ein Kleinbetragsinstrument i.S.d. § 675i BGB dar.

„Jetzt mal konkret“, bei diesen Kleinbetragsinstrumenten ist – durch Vereinbarung – eine Reihe von möglichen Abweichungen (von ansonsten zwingend geltenden gesetzlichen Zahler-Schutz-Vorschriften) erlaubt, um eine unkomplizierte Nutzung als Bargeldersatz zu ermöglichen, während aber gleichzeitig für den Nutzer eine Begrenzung bei Verlust und Missbrauch gesichert ist. Als Grundsatz gilt: je stärker ein Kleinbetragsinstrument einer Bargeldersatzfunktion mit anonymer Zahlungsmöglichkeit angenähert ist, desto eher ist von den vertraglichen Abweichungsmöglichkeiten Gebrauch zu machen. Dementsprechend wurden auch die AGB der Institute im Zuge der PSD2 (und auch schon der PSD1) bezüglich der einzelnen Instrumente angepasst.

Bei den möglichen Abweichungen geht es im Einzelnen

um Abweichungen bei Änderungen der Vertragsbedingungen (§ 675g Abs. 1 BGB),
um Abweichungen bei Sperren (§§ 675l, 675m, 675v BGB),
um Zuordnungs- und Autorisierungsprobleme (§§ 675u, 675v, 675w, 676 BGB),
um die Unterrichtung bei Ablehnung von Zahlungsaufträgen (§ 675o BGB),
um die Einschränkung des Widerrufsrechts (§ 675p BGB) und
um andere Ausführungsfristen (§ 675s BGB).

Beispielsweise kann eine GeldKarte nicht gesperrt oder eine weitere Nutzung nicht verhindert werden (§ 675i Abs. 2 Nr. 2 BGB). Ebenso ist es unmöglich, dieses Instrument oder dessen Nutzung eindeutig einem bestimmten Nutzer zuzuordnen (§ 675i Abs. 2 Nr. 3 BGB).

Markant im Zuge der PSD2 ist, dass für Kleinbetragszahlungen keine Starke Kundenauthentifizierung erforderlich ist; hier gelten die Ausnahmevorschriften des Art. 11 RTF (vgl. o.).

IV. Mögliche Auswirkungen der PSD2 auf das (Dauer-)Thema „Anscheinsbeweis“; Auslegung des neuen § 675w Satz 4 BGB

1. Aktueller Stand

Aktueller Stand ist zunächst, dass die schon nach PSD1 diskutierte Frage, ob der Anscheinsbeweis16 fortgelten könne, nach herrschender Meinung in Literatur und Rechtsprechung mit einem „Ja“ beantwortet ist. Ein Ausschluss des Anscheinsbeweises ließ sich aus der PSD1 nicht ableiten. Dementsprechend blieb der Anscheinsbeweis etabliert – insbesondere im Zahlungskartenrecht (sowohl für die Debitkarte wie auch für die Kreditkarte, bestätigt im zum Online-Banking ergangenen Grundsatzurteil des BGH vom 26.01.2016 - XI ZR 91/14 - BGHZ 208, 331)17. Auch für das Online-Banking hat der BGH in der angeführten Entscheidung die grundsätzliche Zulässigkeit des Anscheinsbeweises bejaht. Dort wurde lediglich die zentrale Voraussetzung des Einsatzes eines „allgemein praktisch nicht zu überwindenden Sicherheitssystems“ für die Variante des smsTAN-Verfahrens verneint. Bei Verwendung des ChipTAN-Verfahrens lässt sich hingegen derzeit ein Anscheinsbeweis grundsätzlich annehmen18.

An dieser bisherigen Rechtslage haben die PSD2 und deren Umsetzung in deutsches Recht nichts geändert19. Maßgeblich – bei streitigen Autorisierungen – bleiben die Beweisvermutungs- und Anscheinsbeweisregeln des § 675w Satz 1 bis Satz 3 BGB. Danach hat das Institut nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (§ 675w Satz 1 BGB). Eine Authentifizierung „ist erfolgt“, wenn das Institut die Nutzung eines bestimmten Zahlungsinstruments (einschließlich personalisierter Sicherheitsmerkmale) mit Hilfe eines Verfahrens überprüft hat (§ 675w Satz 2 BGB). Diese Nachweise können durch Vorlage von Transaktionsprotokollen oder Geldautomatenprotokollen erbracht werden. Ergänzend gilt die Generalklausel des § 675w Satz 3 BGB, wonach bei Zahlungsvorgängen, die durch ein Zahlungsinstrument ausgelöst wurden, allein der Nachweis von technisch ordnungsgemäßer Verwendung des Zahlungsinstruments nicht in jedem Fall ausreicht, um entweder die Autorisierung des Zahlungsvorgangs, eine Sorgfaltspflichtverletzung oder ein betrügerisches Handeln des Zahlungsdienstnutzers anzunehmen. Nach herrschender Meinung greifen bei streitigen Autorisierungen die gesetzlichen Beweisvermutungen des § 675w BGB (für das Vorliegen einer Autorisierung, § 675w Satz 2 und Satz 3 Nr. 1 BGB; für grob fahrlässige Pflichtverletzungen des Zahlers, § 675w Satz 2 und Satz 3 Nr. 3 BGB) und ergänzend die von der nationalen Rechtsprechung für die Beweislastverteilung entwickelten Anscheinsbeweis-Grundsätze und sonstigen Beweisregeln ein20.

2. Auslegung des neuen § 675w Satz 4 BGB; Anscheinsbeweis bleibt zulässig

Neu im Zuge der PSD2 ist, dass nun in § 675w BGB ein neuer Satz 4 eingefügt wurde, der da lautet: „Der Zahlungsdienstleister muss unterstützende Beweismittel vorlegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen.“

Rechtsprechung hierzu gibt es noch nicht. In der Literatur wurde bereits die Frage gestellt, ob § 675w Satz 4 BGB lediglich deklaratorisch wiedergibt, was auch bisher schon galt, oder ob dadurch möglicherweise der Anscheinsbeweis ernsthaft in Frage gestellt wird.

Die besseren Gründe sprechen für die Auslegung im Sinne einer „deklaratorischen Wiedergabe“, und gegen eine Infragestellung des Anscheinsbeweises. Denn auch aus der PSD2 lässt sich kein Ausschluss des Anscheinsbeweises ableiten. Letztlich legen § 675w Satz 1 bis Satz 3 BGB die Voraussetzungen fest, unter denen der Anscheinsbeweis in Frage kommen kann; die Berücksichtigung der Umstände des Einzelfalls bleibt erhalten. Und hätte der Anscheinsbeweis nach PSD2 keine Anwendung mehr finden sollen, hätte der EU-Gesetzgeber dies ausdrücklich bestimmt21.

Der neue § 675w Satz 4 BGB ist daher dahingehend auszulegen, dass – in Fällen von Betrug, Vorsatz oder grober Fahrlässigkeit – nun auch gesetzlich gefordert werden kann, was auch bisher schon galt und der Praxis in Gerichtsverfahren entsprach, nämlich dass der Zahlungsdienstleister unterstützende Beweismittel vorlegt. Dies kann sich naturgemäß nur auf dem Zahlungsdienstleister erreichbare Dokumente bzw. Beweismittel beziehen (wie z.B. Erklärungen des Zahlungsdienstnutzers in der Korrespondenz – die oftmals widersprüchlich sind; detailliertere – über die reine Zahlungsvorgangsdokumentation hinausgehende – Auswertungen von Transaktionsdokumentationen; Inhalte von Strafanzeigen oder Strafakten; etwaige Beweismittel zur kriminellen Vergangenheit des Zahlers). Hier bleibt es notwendig, zwischen den Verantwortungsbereichen des Zahlungsdienstleisters und des Zahlungsdienstnutzers zu unterscheiden und die in § 675w Satz 4 BGB gemeinten „unterstützenden Beweismittel“ auf diejenigen zu beschränken, die der Zahlungsdienstleister aus seinem Verantwortungsbereich heraus zu erlangen in der Lage ist22.

Quintessenz ist, dass – wie dies von der herrschenden Meinung in der neuen Literatur zutreffend vertreten wird – der Anscheinsbeweis auch nach PSD2 weiter zulässig bleibt; der neue § 675w Satz 4 BGB ändert an der bisherigen Beweislastverteilung, an den bisherigen Beweisvermutungs- und Anscheinsbeweisregeln nichts23.

C. Fazit

Zusammenfassend kann festgehalten werden:

Die PSD2 hat den Rechtsrahmen der Zahlungsdienste verändert, punktuell sehr stark verändert. Die Haftung der Zahlungsdienstnutzer wurde reduziert, die der Zahlungsdienstleister (insbesondere der „erstbeauftragten Institute“) signifikant verschärft.
Die Bedeutung des Aufsichtsrechts für das Zivilrecht hat erheblich zugenommen.
Die Starke Kundenauthentifizierung nimmt künftig eine haftungsrechtliche Schlüsselrolle ein.
Der Anscheinsbeweis ist auch nach PSD2 weiter zulässig, bleibt jedoch durch zu erstreitende aktuelle Gerichtsentscheidungen zu verteidigen.

D. Literaturhinweise

Omlor, Online-Banking unter Geltung der Zweiten Zahlungsdiensterichtlinie (PSD II), BKR 2019, 105.

Schnauder/Beesch, Zur Verteilung des Haftungsrisikos im Online-Banking, jurisPR-BKR 4/2019 Anm. 4.

Omlor, Zahlungsdiensteaufsichtsgesetz im zivilrechtlichen Pflichtengefüge, WM 2018, 57.

Werner, Wesentliche Änderungen des Rechts der Zahlungsdienste durch Umsetzung der Zweiten EU-Zahlungsdiensterichtlinie in deutsches Recht.

Zahrte, Neuerungen im Zahlungsdiensterecht, NJW 2018, 337.

Hofmann, Das neue Haftungsrecht im Zahlungsverkehr, BKR 2018, 62.

Linardatos, Von Anscheinsbeweisen im Zahlungsdiensterecht und fehlgeleiteten Gesetzgebern, NJW 2017, 2145, 2150.


Fußnoten


1)

Payment Services Directive 2 (Zahlungsdienste-Richtlinie 2), Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt vom 25.11.2015.

2)

Gesetz zur Umsetzung der PSD2 vom 17.07.2017 (BGBl I 2017, 2446); Gesetzesmaterialien: BT-Drs. 18/11495.

3)

Inkrafttreten der reformierten §§ 675c-676c BGB (im Wesentlichen) zum 13.01.2018.

4)

Inkrafttreten des neu gefassten ZAG (im Wesentlichen) zum 13.01.2018.

5)

Hierzu und zum generellen „Paradigmenwechsel im Bank- und Kapitalmarktrecht?“ bezüglich der „Wechselwirkung von Zivil- und Aufsichtsrecht“ vgl. Buck-Heeb in: Bankrechtstag 2019, Ziff. 2.4. – erscheint demnächst.

6)

Inkrafttreten der §§ 45 bis 52, 55 ZAG n.F. und der – die PSD2 ergänzenden – RTS (Regulatory Technical Standards, Delegierte Verordnung (EU) 2018/389 vom 27.11.2017) am 14.09.2019.

7)

Literaturstellen (ohne Anspruch auf Vollständigkeit): Sprau in: Palandt, BGB, 78. Aufl. 2019, insbes. zu §§ 676v und 676w BGB; Omlor, BKR 2019, 105; Omlor, WM 2018, 57; Schnauder/Beesch, jurisPR-BKR 4/2019 Anm.4; Möslein/Omlor, FinTech-Handbuch, Digitalisierung, Recht, Finanzen, 2019; Werner in: Kümpel/Mülbert/Früh/Seyfried, Bank- und Kapitalmarktrecht (zu: Bargeldloser Zahlungsverkehr), 5. Aufl. 2019; Krepold/Fischbeck/Kropf/Werner, Bankrecht, 2. Aufl. 2018; Beesch in: Schulze/Grzowitz/Lauda, Gesetzesformulare BGB, 4. Aufl. 2020 (zu: §§ 675c-676c BGB); Beesch in: Dannemann/Schulze, German Civil Code (zu §§ 675c-676c BGB) – im Erscheinen.

8)

Gemäß einer Stellungnahme der EBA (European Banking Authority) vom 16.10.2019 erlaubt diese den nationalen Aufsichtsbehörden bis 31.12.2020 zu tolerieren, wenn die Starke Kundenauthentifizierung nicht durchgeführt wird (https://eba.europa.eu/eba-publishes-opinion-on-the-deadline-and-process-for-completing-the-migration-to-strong-customer-authentication-sca-for-e-commerce-card-based-payment, zuletzt abgerufen am 04.11.2019).

9)

Art. 4 Abs.1 RTS; instruktiv: Pressemitteilung der BaFin vom 15.06.2018 „Starke Kundenauthentifizierung: Neue Pflicht wirkt sich auf Online-Banking und Bezahlen im Internet aus, abrufbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1806_Starke_ Kundenauthentifizierung.html, zuletzt abgerufen am 04.11.2019.

10)

BGH, Urt. v. 16.06.2015 - XI ZR 243/13 Rn. 23 - BGHZ 205, 377.

11)

Zutreffend Omlor, BKR 2019, 105; Hofmann, BKR 2018, 62, 64.

12)

Beesch in: Schulze/Grziwotz/Lauda, Gesetzesformulare BGB, 4. Aufl. 2020, § 675f Rn. 23 m.w.N.

13)

Piotr Heller, Frankfurter Allgemeine Zeitung v. 11.08.2019, S. 53.

14)

Zahlungsauslösedienste sind (wie auch Kontoinformationsdienste) im Zuge der PSD2 neu zugelassene Zahlungsdienstleister.

15)

Die Rechtevergabe ist Gegenstand des Zahlungsdienstevertrages, den der Zahler mit dem Zahlungsauslösedienst schließt. Theoretisch definiert der Zahler dabei im Detail, auf welche Daten ein Unternehmen zugreifen kann; der Nutzer behält die Datenhoheit. Zur Realität in der Praxis fehlen aktuell Erkenntnisse.

16)

Anscheinsbeweis ist eine Beweisregel, nach der (im vorliegenden Kontext) unter bestimmten Voraussetzungen bei Vorliegen bestimmter typischer Umstände auf das Vorliegen einer Autorisierung oder einer haftungsbegründenden Pflichtverletzung des Zahlungsdienstnutzers geschlossen werden kann.

17)

Vgl. die höchstrichterliche Rechtsprechung zur Kreditkarte, insbes. BGH, Urt. v. 29.11.2011 - XI ZR 370/10; sowie zur Debitkarte, insbes. BGH, Urt. v. 05.10.2004 - XI ZR 210/03; vgl. weiterführend Beesch/Willershausen, jurisPR-BKR 9/2012 Anm. 1 m.w.N.

18)

Hoffmann/Haupert/Freiling, ZHR 181, 780 (2017); Omlor, BKR 2019, 105, 109.

19)

So richtig Omlor, BKR 2019, 105, 110.

20)

Vgl. weiterführend Beesch in: Schulze/Grzowitz/Lauda, Gesetzesformulare BGB, § 675w Rn. 16 ff., Rn. 19 ff. jeweils m.w.N.

21)

So auch Omlor, BKR 2019, 105, 110 m.w.N.

22)

Vgl. bereits Beesch in: Schulze/Grzowitz/Lauda, Gesetzesformulare BGB, 4. Aufl. 2020, § 675w Rn. 16.

23)

H.M., vgl. Sprau in: Palandt, BGB, 78. Aufl. 2019, § 675w Rn. 4; Werner in: Kümpel/Mülbert/Früh/Seyfried, Bank- und Kapitalmarktrecht, 5. Aufl. 2019, S. 536 unter Rn. 4.157, 41.58; Böger in: Baas/Buck-Heeb/Werner, Anleger-Schutzgesetze, 2019, § 675w Rn. 15, Rn. 28-30; Omlor, BKR 2019, 105, 110; Omlor, ZIP 2016, 558; Linardatos, NJW 2017, 2145, 2150; Zahrte, NJW 2018, 337, 340; Hofmann, BKR 2018, 62, 67 ff.; Krepold u.a., Bankrecht, 2. Aufl. 2018, S. 96; Beesch in: Schulze/Grzowitz/Lauda, Gesetzesformulare BGB, 4. Aufl. 2020, § 675w Rn. 16 ff., Rn. 22; Beesch in: Dannemann/Schulze, German Civil Code, § 675w Rn. 16 m.w.N. – im Erscheinen.


juris PartnerModule
Auf einen Klick.

Alle juris PartnerModule auf einen Klick!

Alle juris PartnerModule jetzt gratis testen!

Hier gehts zur Übersicht!

Cookies erleichtern uns die Bereitstellung und Verbesserung unserer Dienste. Mit der Nutzung unserer Webseiten erklären Sie sich einverstanden, dass wir Cookies verwenden. Der Nutzung können Sie in unserer Datenschutzrichtlinie widersprechen.

Einverstanden
X