Sicherheit und Haftung bei elektronischen Zahlungen

Die Digitalisierung hat den Zahlungsverkehr in den letzten Jahren grundlegend verändert. Es sind neue elektronische Zahlungsdienstleistungen entstanden und die Zahl elektronischer und mobiler Zahlungen hat sich stark erhöht. Diese Entwicklung bringt für Sie große Vorteile. Sie können Ihre Zahlungen rascher, bequemer und kostengünstiger abwickeln. Gleichzeitig gewährleisten strenge Sorgfalts- und Haftpflichten der Banken, dass bei elektronische Zahlungen Betrugsrisiken für Sie als Kund:in soweit als möglich begrenzt werden und in den seltenen Fällen, in denen es zu Missbräuchen kommt, der Schaden nicht von Ihnen zu tragen ist. Eine Ausnahme besteht nur dann, wenn Sie selbst den zum Schutz vor Missbräuchen bestehenden Sicherheitsmechanismus durch ein  grobes Verschulden außer Kraft gesetzt haben.

Starke Kundenauthentifizierung

Die Sicherheit bei elektronischen Zahlungen hängt vor allem davon ab, wie zuverlässig das von Ihrer Bank verwendete Authentifizierungsverfahren ist. Bei diesem Verfahren wird mit Hilfe von Sicherheitsmerkmalen, die Sie bei der Freigabe (= Autorisierung) der Zahlung verwenden müssen, überprüft, ob der Zahlungsauftrag tatsächlich von Ihnen als berechtigte Kundin/berechtigter Kunde erteilt wurde. 

Für elektronische Zahlungen schreibt das Gesetz eine so genannte starke Kundenauthentifizierung vor. Bei ihr muss die Berechtigung der Zahlerin/des Zahlers anhand von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der:die berechtigte Kund:in weiß), Besitz (etwas, das nur der:die  Kund:in besitzt) oder Inhärenz (etwas, das nur der:die Kund:in ist) überprüft werden. 

Zur Kategorie Wissen gehören geheime Codes und Passwörter wie z.B. die PIN bei Debit- oder Kreditkarten, der Secure Code für Online-Kartenzahlungen oder der Zugangscode für das Online-Banking. Zur Kategorie Besitz zählen physische Debit- oder Kreditkarten oder Ihr Mobiltelefon, auf das Ihnen der für die Freigabe einer Internetzahlung notwendige TAN mitgeteilt wird oder auf dem Ihre physische Debit- oder Kreditkarte digitalisiert ist. Mit Inhärenz sind biometrische Merkmale wie der Fingerabdruck, die Stimmerkennung, eine Gesichtserkennung oder ein Augenscan gemeint. Praktisch bedeutsam sind derzeit vor allem der Fingerabdruck und die Gesichtserkennung, die (als Alternative zur PIN) beim Mobilbanking per App für die Identifikation des Kunden beim Zugang, aber auch für die Freigabe digitalisierter Kartenzahlungen verwendet wird.

Für eine starke Kundenauthentifizierung dürfen nur Elemente verwendet werden, bei denen Sie als Kund:in die Möglichkeit haben,  das Element vor einem unbefugten Zugriff Dritter zu schützen. Auf einer Zahlungskarte aufgedruckte Daten wie die Kartenummer, das Ablaufdatum oder die Prüfnummer kommen daher nicht als Elemente einer starken Kundenauthentifizierung in Frage; ebenso nicht die eigenhändige Unterschrift oder amtliche Ausweisdokumente, da ihre Weitergabe an Dritte nicht verboten werden kann.

Die verwendeten Elemente müssen außerdem voreinander unabhängig sein. Das ist dann der Fall, wenn die Überwindung des einen Elements nicht zugleich auch zur Überwindung des anderen Elements beiträgt. Es muss sich daher um zwei getrennte Schutzmechanismen handeln, deren Umgehung zwei voneinander vollständig getrennte Anstrengungen erfordert. Die Unabhängigkeit fehlt z.B. dann , wenn ein Mobiltelefon zugleich als Zugangsgerät, über das man sich in das Online Banking einloggt, und als Empfangsgerät für die TAN verwendet wird.  Aus diesem Grund müssen, wenn für das Online Banking nicht der Computer sondern das Mobiltelefon verwendet wird, für die Freigabe der Zahlungsaufträge statt der TAN ein geheimer Code oder ein biometrisches Merkmale (vor allem der Fingerabdruck) verwendet werden.

Eine starke Kundenauthentifizierung ist grundsätzlich für alle elektronischen Zahlungen vorgeschrieben. Dazu gehören

- Zahlungen im Online Banking,

- Online Kartenzahlungen,

- Kartenzahlungen an einer POS-Kasse und

- Bargeldabhebungen mit einer Zahlungskarte an Geldausgabeautomaten.

Außerdem muss Ihre Bank grundsätzlich auch dann eine starke Kundenauthentifizierung verlangen, wenn Sie sich in das Online Banking einloggen oder den Kontostand abfragen.

Dynamischer Authentifizierungscode

Da bei Zahlungen im Online Banking und online Kartenzahlungen ein höheres Missbrauchsrisiko als bei anderen elektronischen Zahlungen besteht, ist für solche Zahlungen eine zusätzliche Sicherheitsvorkehrung vorgeschrieben. Während des Zahlungsvorgangs muss aus dem von Ihnen angebenen Zahlungsbetrag und Empfänger mit Hilfe eines Alogorithmus ein Authentifizierungscode berechnet und an Sie übermittelt werden. Mit diesem Code müssen Sie in der Folge die Zahlung freigeben. Vor der Freigabe der Zahlung wird Ihnen der Zahlungsbetrag und der Empfänger nochmals angezeigt. Sie dürfen die Zahlung nur freigeben, wenn der Betrag und der Empfänger mit Ihren Angaben bei der Auslösung des Zahlungsvorgangs übereinstimmen. 

Durch diesen Schutzmechanismus werden verschiedene betrügerische Angriffe im Online Banking abgewehrt, bei denen sich der Täter in die Kommunikation zwischen Bank und Kund:in einschaltet und die Zahlungsdaten abfängt und in Echtzeit manipuliert (sog Man-in-the-Middle-Attacke). Da Sie vor der Freigabe der Zahlung den Betrag und den Empfänger im Display des Empfangsgeräts sehen, können Sie eine Verfälschung Ihrer zuvor eingegebenen Auftragsdaten sofort erkennen, vorausgesetzt Sie kontrollieren die Transaktionendaten vor der Freigabe auch tatsächlich. 

Ausnahmen von der starken Kundenauthentifizierung

Bei verschiedenen elektronischen Zahlungen mit einem typischerweise geringeren Betrugsrisiko ist es der Bank rechtlich erlaubt, von einer starken Kundenauthentifizierung abzusehen, um kostengünstige und benutzerfreundliche Zahlungsmöglichkeiten anbieten zu können. Da die Entscheidung, ob eine mögliche Ausnahme genutzt wird, trifft ausschließlich Ihre Bank, ohne dass Sie dabei ein Mitspracherecht haben. Aus diesem Grund hat auch Ihre Bank das mit einem Verzicht auf eine starkte Kundenauthentifizierung verbundene Risiko zu tragen. Kommt es zu Missbräuchen, haftet Ihnen Ihre Bank selbst dann für den gesamten Schaden, wenn Sie selbst Ihre Sorgfaltspflichten grob fahrlässig oder vorsätzlich verletzt und Sie dadurch den Missbrauch auch ermöglicht haben.

Im Einzelnen kann Ihre Bank in folgenden Fällen von einer starken  Kundenauthentifizierung absehen:

a) Kontaktlose Kleinbetragszahlungen bis 50,- Euro an POS-Kassen, höchstens jedoch 150,- Euro hintereinander.

b) Kleinbetragszahlungen im Internet bis 30,- Euro, höchstens jedoch 100,- Euro hintereinander.

c) Zahlungen von Verkehrsnutzungsentgelten und Parkgebühren an unbeaufsichtigten Terminals.

d) Zahlungen an vertrauenswürdige Empfänger, die in eine von Ihnen Ihrer Bank übermittelte Liste eingetragen sind; für die Freigabe der Liste durch Sie ist aber eine starke Kundenauthentifizierung notwendig.

e) Zahlungen im Online Banking oder Kartenzahlungen im Internet, für die Ihre Bank mit Hilfe einer Transaktionsrisikoanalyse ein bestimmtes vorgegebenes niedriges Missbrauchsrisiko ermittelt hat und die 500,- Euro nicht übersteigen.

Sorgfaltspflichten

Im Zusammenhang mit elektronischen Zahlungen sind Sie verpflichtet,

  • unverzüglich eine Sperrmeldung vorzunehmen, sobald Sie eine missbräuchliche Nutzung Ihrer Zahlungskarte oder Ihres Online Banking-Zugangs oder den Verlust oder Diebstahl Ihrer Zahlungskarte feststellen;
  • alle zumutbaren Vorkehrungen zu treffen, um die Authentifizierungsmerkmale, die für die vorgeschriebene starke Kundenauthentifizierung jeweils verwendet werden, vor einem unbefugten Zugriff zu schützen.

Rechtlich sind Sie nur und erst dann verpflichtet, eine Sperrmeldung vorzunehmen, sobald Sie einen Missbrauch oder den Verlust Ihrer Zahlungskarte tatsächlich bemerkt haben, ohne dass es darauf ankäme, ob Sie den Verlust oder den Missbrauch nicht unter Umständen bereits früher bemerken hätten können. Sie sind daher insbesondere nicht verpflichtet, Ihre Kontoauszüge regelmäßig auf mögliche Missbräuche zu überprüfen oder sich ohne Grund in regelmäßigen Abständen zu vergewissern, ob sich Ihre Zahlungskarten noch in Ihrem Besitz befindet. Auch wenn Sie rechtlich dazu nicht verpflichtet sind, ist es aber zur Vermeidung praktischer Schwierigkeiten trotzdem sinnvoll, wenn Sie Ihre Kontoauszüge in regelmäßigen Abständen kontrollieren.

Merkmale aus der Kategorie "Besitz" (z. B. Kredit- oder Debitkarte; Mobiltelefon) müssen Sie sorgfältig verwahren, Merkmale der Kategorie "Wissen" (z.B. PIN, Secure Code)  geheimhalten. Im Zusammenhang mit biometrischen Merkmalen sind Sie zwar verpflichtet, zumutbare Vorkehrungen zu treffen, um die Zugangsgeräte und Zugangssoftware, mit denen die biometrischen Merkmale bei der Authentifizierung des Kunden/der Kundin ausgelesen werden, vor einem unbefugten Zugriff zu schützen. Da aber Ihre Bank verpflichtend sicherstellen muss, dass die Zugangsgeräte und Zugangssoftware eine unbefugte Verwendung der biometrischen Merkmale nicht zulassen, wenn ein Dritter auf sie zugreift, sollte eine Verletzung Ihrer Sorgfaltspflicht keinen Schaden verusachen können. 

Haftung für Missbräuche

Berichtigungsanspruch

Für Zahlungen, die nicht von Ihnen selbst, sondern von einem unberechtigten Dritten durch eine missbräuchliche Nutzung Ihrer Zahlungskarte oder Ihres Online Banking-Zugangs in Auftrag gegeben werden, haften grundsätzlich nicht Sie sondern Ihre Bank. Wird Ihrem Konto der Betrag einer von Ihnen nicht autorisierten Zahlung angelastet, muss Ihnen daher Ihre Bank den Zahlungsbetrag unverzüglich und rückwirkend wieder gutschreiben. Ob Ihre Bank ein Verschulden am Missbrauch trifft, spielt dabei keine Rolle.

Den Berichtigungsanspruch können Sie zumindest 13 Monate lang ab der Belastung Ihres Kontos geltend machen, in den meisten Fällen aber auch noch danach. Ihre Bank muss Ihr Konto grundsätzlich bis zum Ende des Geschäftstags berichtigen, der auf den Tag folgt, an dem Ihre Bank von Ihnen oder auf einem anderem Weg vom Missbrauch erfahren hat.

Ihre Bank kann eine Berichtigung Ihres Kontos jedoch dann ablehnen, wenn 

  • bei dem von Ihnen nicht autorisierten Zahlungsvorgang eine starke Kundenauthentifizierung ordnungsgemäß durchgeführt wurde und
  • trotzdem ein Missbrauch möglich war, weil Sie Ihre Sorgfaltspflichten grob schuldhaft verletzt haben. 

Es wurde keine starke Kundenauthentifizierung durchgeführt

Wenn keine oder keine den gesetzlichen Vorgaben entsprechende starke Kundenauthentifizierung durchgeführt wurde, haften Sie daher, sofern Sie sich nicht betrügerisch verhalten haben, für einen Missbrauch auch dann nicht, wenn Sie den Missbrauch selbst  durch ein grobes Verschulden ermöglicht haben. Ob Ihre Bank eine rechtlich erlaubte  Ausnahme in Anspruch nimmt oder sie die starke Kundenauthentifizierung trotz einer zwingenden Verpflichtung nicht durchführt, spielt hier keine Rolle. Sie können sich daher darauf verlassen, bei nicht ausreichend gesicherten Zahlungen in jedem Fall nicht für allfällige Schäden verantwortlich gemacht werden zu können. Dadurch soll das Vertrauen in die neuen Technologien und ihre Nutzung gefördert werden.

Sie sind aber nicht nur dann von einer Haftung befreit, wenn Ihre Bank keine starke Kundenauthentifizierung verlangt hat, sondern auch dann, wenn der Zahlungsempfänger (Händler) oder seine Bank die für eine starke Kundenauthentifizierung erforderliche Mitwirkung unterlassen hat. Solche Fälle kommen in der Praxis häufig vor, weil  Händler:innen oft bewusst auf wirksame Sicherheitsvorkehrungen verzichten, um die Zahlung für ihre Kund:innen so bequem wie möglich zu gestalten. Beispiele dafür sind Zahlungen mit der Kredit- oder Debitkarte im Internet, bei denen der Händler für die Autorisierung der Zahlung nur die auf der Karte aufgedruckten Daten verlangt. Da Ihre Bank in der Regel keinen Einfluss darauf hat, welches Authentifizierungsverfahren der:die Händler:in verwendet, räumt das Gesetz Ihrer Bank in solchen Fällen aber einen Regressanspruch ein. Der Schaden bleibt daher letztendlich beim Händler:in hängen.

Grob schuldhafte Sorgfaltspflichtverletzung

Wurde eine starke Kundenauthentifizierung ordnungsgemäß durchgeführt, haften Sie für Missbräuche, wenn Sie Ihre Sorgfaltspflichten grob fahrlässig, vorsätzlich oder in betrügerischer Absicht verletzt und dadurch einer/einem unberechtigten Dritten eine missbräuchliche Nutzung Ihrer Debit- oder Kreditkarte oder Ihres Online Banking-Zugangs ermöglicht haben. In solchen Fällen ist Ihre Bank daher berechtigt, Ihr Konto endgültig mit dem gesamten Betrag der nicht autorisierten Zahlung oder Bargeldbehebung zu belasten. 

Grobe Fahrlässigkeit liegt in der Regel beispielsweise dann vor, wenn man die Debitkarte und eine Aufzeichnung der PIN gemeinsam in der Geldbörse/Handtasche/Jackentasche aufbewahrt, die PIN einer anderen Person mitteilt oder wenn man die für das MIC-Verfahren registrierte Antwort auf die Sicherheitsfrage leicht auffindbar auf dem Mobiltelefon abspeichert, auf das auch der für die Freigabe der Zahlungen notwendige Sicherheitscode übermittelt wird.  Grob fahrlässig handelt man auch dann, wenn man, obwohl die Bank vor solchen Angriffen gewarnt hatte, einem Betrüger, der sich als Bankmitarbeiter ausgibt und der sich durch einen Angriff auf das IT-System des Zahlungsdienstnutzers Zugriff auf die Zugangsdaten des Nutzers zum Online Banking verschafft hatte, eine TAN telefonisch bekannt gibt, die dem Nutzer während des Anrufs auf sein Mobiltelefon übermittelt wird. Gibt man personalisierte Sicherheitsmerkmale im Zuge eines Phishing-Angriffs außerhalb des Online Banking-Verfahrens über E-Mail weiter, hängt es von den Umständen des Einzelfalls ab, ob man grob oder nur leicht fahrlässig handelt.

Leichte Fahrlässigkeit

Eine bloß leicht fahrlässige Verletzung Ihrer Sorgfaltspflichten berechtigt Ihre Bank hingegen nicht, eine Berichtigung Ihres Kontos zu verweigern. Das Gesetz ermöglicht es Ihrer Bank nur, Ihnen wegen der Pflichtverletzung unter bestimmten sehr engen Voraussetzungen allenfalls einen Selbstbehalt von 50,- Euro in Rechnung zu stellen. Fälle, in denen die Voraussetzungen für die Verrechnung eines Selbstbehalts erfüllt sind, kommen daher praktisch nicht vor. Das liegt auch daran, dass der Sicherheitsmechanismus der starken Kundenauthentifizierung gerade den Zweck hat, zu verhindern, dass bereits geringfügige Sorgfaltspflichtverletzungen einen Missbrauch ermöglichen. Zahlungskarten und Ihr Mobiltelefon führen Sie im Alltag ständig mit sich und benützten Sie im Fall des Mobiltelefons auch für andere Zwecke. Dass Ihnen dabei gelegentlich geringfügige Unaufmerksamkeiten unterlaufen können, ist unvermeidbar und muss daher von Ihrer Bank bei der Ausgestaltung des Sicherheitsmechanismus mitberücksichtig werden.

Keine Sorgfaltswidrigkeit

Überhaupt keine Sorgfaltswidrigkeit liegt nach der Rechtsprechung der Gerichte vor, wenn man

  • bei der Eingabe der PIN das Tastenfeld nicht mit der zweiten Hand oder durch eine besondere Körperverrenkung abdeckt;
  • die Debitkarte im verschlossenen Hauptfach eines am Rücken in der U-Bahn getragenen Rucksacks aufbewahrt; 
  • die PIN der Debitkarte notiert oder abspeichert, sofern man die Notiz getrennt von der Karte verwahrt;
  • für sein Smartphone keine Antiviren-App nutzt;
  • beim Online Banking nicht überprüft, ob eine sichere Verbindung besteht, die in der Statuszeile und an der Protokollbezeichnung in der Adresszeile erkennbar ist; 
  • nicht eine auf dem aktuellsten Stand befindliche Firewall und ein entsprechendes Virenschutzprogramm installiert oder für eine sicherheitsoptimale Konfiguration des Browsers oder des E-Mail-Clients sorgt;
  • bei der Nutzung des Online Bankings kein Endgerät verwendet, auf dem die jeweils neuesten am Markt angebotenen Betriebssystem- und Softwareversionen installiert werden können;
  • Zahlungsanweisungen nicht in jedem Fall in verschlüsselten System durchführt, in denen Daten ausschließlich mit dem Verbindungsprotokoll https übertragen werden.   

Konsumentenfragen Newsletter

Aktuelle Neuigkeiten aus allen Bereichen der Konsumentenfragen