Missbrauchsrisiko bei kontaktlosem Zahlen ohne PIN-Code

Der Sachverhalt:
Der österreichische Oberste Gerichtshof hat einen Rechtsstreit zu entscheiden zwischen der in Österreich tätigen DenizBank und dem österreichischen Verein für Konsumenteninformation (VKI) über die Gültigkeit von Vertragsklauseln, die die Nutzung personalisierter multifunktionaler Bankkarten betreffen, die insbesondere mit der Nahfeldkommunikationsfunktion (NFC-Funktion) - auch als "kontaktlose Zahlungsfunktion" bezeichnet - ausgestattet sind. Mit der NFC-Funktion, die bei der ersten Benutzung der Karte durch den Kunden automatisch aktiviert wird, können an dafür ausgerüsteten Kassen Kleinbeträge bis zu 25 € pro Zahlungsvorgang bezahlt werden, ohne die Karte in ein Zahlungsterminal einführen und einen PIN-Code eingeben zu müssen. Die Zahlung höherer Beträge erfordert dagegen eine Authentifizierung durch PIN-Code.

Der VKI verlangt im Wege einer Unterlassungsklage, der DenizBank zu untersagen, in ihren AGB die nachfolgenden sechs Klauseln zu verwenden, da diese unwirksam seien:

• Klausel 14 sieht insbesondere vor, dass Änderungen der AGB für Zahlungskarten dem Kunden spätestens zwei Monate vor dem geplanten Zeitpunkt ihres Inkrafttretens vorgeschlagen werden und die Zustimmung des Kunden zu diesen Änderungen als erteilt gilt, sofern der Kunde die Änderungen nicht vor diesem Zeitpunkt ausdrücklich ablehnt, wobei der Kunde, der Verbraucher ist, das Recht zur kostenlosen Kündigung hat; hierauf ist in dem Änderungsvorschlag, den die DenizBank ihm übermittelt, hinzuweisen;
• Klausel 15 bestimmt, dass die DenizBank nicht nachweisen muss, dass Kleinbetragszahlungen, die ohne Eingabe des persönlichen Codes, d.h. mittels der NFC-Funktion, vorgenommen wurden, autorisiert waren und diese Zahlungsvorgänge nicht durch ein technisches Versagen oder eine andere Störung beeinträchtigt wurden;
• Klausel 16 befreit die DenizBank von jeglicher Haftung und Erstattungspflicht in Fällen, in denen derartige Zahlungsvorgänge vom Karteninhaber nicht autorisiert wurden;
• Klausel 17 sieht vor, dass der Kontoinhaber das Risiko des Missbrauchs seiner Karte für Zahlungen dieser Art trägt;
• Klausel 18 weist darauf hin, dass es bei Abhandenkommen der Bezugskarte z.B. durch Verlust oder Diebstahl technisch nicht möglich ist, die Karte für Kleinbetragszahlungen zu sperren, und dass solche Zahlungen auch nach einer Sperrung noch bis zu einem Betrag von 75 € vorgenommen werden können und von der DenizBank nicht erstattet werden;
• Klausel 19 sieht vor, dass die Regelungen für den Karten-Service grundsätzlich auch für Kleinbetragszahlungen gelten.

Der Oberste Gerichtshof ersucht den EuGH in diesem Zusammenhang um Auslegung der Zahlungsdienste-Richtlinie 2015/2366.

Die Gründe:
Art. 52 Nr. 6 Buchst. a i.V.m. Art. 54 Abs. 1 der Richtlinie ist dahin auszulegen, dass er die Informationen und Vertragsbedingungen bestimmt, die von einem Zahlungsdienstleister mitzuteilen sind, der mit dem Nutzer seiner Dienste gemäß den in diesen Bestimmungen vorgesehenen Modalitäten eine Vermutung der Zustimmung zur Änderung des zwischen ihnen geschlossenen Rahmenvertrags vereinbaren möchte, dass er aber keine Beschränkungen hinsichtlich der Eigenschaft des Nutzers oder der Art der Vertragsbedingungen, die Gegenstand einer solchen Vereinbarung sein können, festlegt. hiervon unberührt bleibt jedoch, wenn es sich bei dem Nutzer um einen Verbraucher handelt, die Möglichkeit der Prüfung, ob diese Klauseln im Licht der Bestimmungen der Richtlinie 93/13/EWG über missbräuchliche Klauseln in Verbraucherverträgen missbräuchlich sind. Art. 4 Nr. 14 der Zahlungsdienste-Richtlinie ist dahin auszulegen, dass es sich bei der NFC-Funktion einer personalisierten multifunktionalen Bankkarte, mit der Kleinbetragszahlungen zulasten des verknüpften Kundenkontos getätigt werden können, um ein Zahlungsinstrument im Sinne dieser Bestimmung handelt.

Art. 63 Abs. 1 Buchst. b ist dahin auszulegen, dass eine kontaktlose Kleinbetragszahlung unter Verwendung der NFC-Funktion einer personalisierten multifunktionalen Bankkarte als anonyme Nutzung des fraglichen Zahlungsinstruments im Sinne dieser Ausnahmeregelung anzusehen ist. Gem. Art. 63 Abs. 1 Buchst. b kann ein Zahlungsdienstleister für Kleinbetragszahlungsinstrumente, wie sie im Eingangssatz von Art. 63 Abs. 1 definiert sind, mit dem Zahlungsdienstnutzer vereinbaren, dass von den in Buchst. b aufgeführten Bestimmungen abgewichen wird, wenn das Zahlungsinstrument anonym genutzt wird oder der Zahlungsdienstleister aus anderen Gründen, die dem Zahlungsinstrument immanent sind, nicht nachweisen kann, dass ein Zahlungsvorgang autorisiert war.

Im Einzelnen erlaubt Art. 63 Abs. 1 Buchst. b dem Zahlungsdienstleister und dem Zahlungsdienstnutzer, durch Vereinbarung abzuweichen von erstens Art. 72, der den Zahlungsdienstleister verpflichtet, die Authentifizierung und Ausführung von Zahlungsvorgängen nachzuweisen, zweitens Art. 73, der den Grundsatz der Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge aufstellt, und drittens Art. 74 Abs. 1 und 3, der von diesem Grundsatz teilweise abweicht, indem er vorsieht, inwieweit der Zahler dazu verpflichtet werden kann, Schäden, die infolge solcher Zahlungsvorgänge entstehen, bis höchstens 50 € zu tragen, es sei denn, diese Zahlungsvorgänge erfolgen, nachdem der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstruments dem Zahlungsdienstleister angezeigt wurden.

Art. 63 Abs. 1 Buchst. a ist dahin auszulegen, dass sich ein Zahlungsdienstleister, der sich auf die in dieser Bestimmung enthaltene Ausnahmeregelung berufen möchte, nicht darauf beschränken kann, zu behaupten, das betreffende Zahlungsinstrument könne nicht gesperrt oder seine weitere Nutzung nicht verhindert werden, obwohl dies nach dem objektiven Stand der Technik nicht nachweislich unmöglich ist. Gem. Art. 63 Abs. 1 Buchst. a kann ein Zahlungsdienstleister für Kleinbetragszahlungsinstrumente i.S.d. Eingangssatzes von Art. 63 Abs. 1 mit dem Zahlungsdienstnutzer vereinbaren, dass sie von einigen ihrer gegenseitigen Verpflichtungen, nämlich den sich aus den in Buchst. a aufgeführten Bestimmungen ergebenden, befreit sind, wenn das Zahlungsinstrument, das Gegenstand des zwischen ihnen geschlossenen Rahmenvertrags ist, nicht gesperrt werden oder eine weitere Nutzung nicht verhindert werden kann.

So erlaubt es Art. 63 Abs. 1 Buchst. a dem Zahlungsdienstleister und dem Zahlungsdienstnutzer, durch Vereinbarung von den Verpflichtungen abzuweichen, die sich aus folgenden Bestimmungen ergeben: erstens aus Art. 69 Abs. 1 Buchst. b, wonach der Zahlungsdienstnutzer verpflichtet ist, dem Zahlungsdienstleister den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die nicht autorisierte Nutzung des betreffenden Zahlungsinstruments unverzüglich anzuzeigen, zweitens aus Art. 70 Abs. 1 Buchst. c und d, wonach der Zahlungsdienstleister dem Nutzer Mittel zur Verfügung stellen muss, um diese Anzeige kostenlos vorzunehmen oder die Aufhebung der Sperrung dieses Instruments zu verlangen, und drittens aus Art. 74 Abs. 3, wonach der Zahler nach der so vorgesehenen Anzeige keine finanziellen Folgen der Nutzung des verlorenen, gestohlenen oder missbräuchlich verwendeten Zahlungsinstruments trägt, es sei denn, er hat in betrügerischer Absicht gehandelt.