Kontaktloses Bezahlen: EuGH vern­eint Haf­tung­s­er­leich­te­rung für Bank

Beim Verlust einer Bankkarte mit kontaktloser Bezahlfunktion hat der Europäische Gerichtshof (EuGH) die Rechte der Verbraucher in der EU gestärkt. Nach einem Urteil vom Mittwoch trägt der Kunde nicht das Risiko für Zahlungen, die vorgenommen werden, nachdem er das Abhandenkommen einer solchen Karte bei der Bank gemeldet hat. Diese könne nicht einfach behaupten, dass es technisch unmöglich sei, die sogenannte Nahfeldkommunikationsfunktion (aus dem Englischen: Near Field Communication, NFC) für das kontaktlose Zahlen zu sperren, urteilten die Luxemburger Richter (Urt. v. 11.11.2020, Rs. C 287/19). Banken verlangen in der Regel beim kontaktlosen Bezahlen mit NFC-Karten oder einem Smartphone bei Beträgen bis zu 25 Euro keine Eingabe eines PIN-Codes.

Hintergrund ist eine Unterlassungsklage des österreichischen Vereins für Konsumenteninformation (VKI) auf Unterlassung der Verwendung der Allgemeinen Geschäftsbedingungen (AGB) für NFC-Karten der DenizBank. Darin schließt die Bank unter anderem ihre Haftung für nicht autorisierte Zahlungen aus. Zudem weist sie darauf hin, dass der Kontoinhaber beim Verlust der Karte das Risiko eines NFC-Missbrauchs trägt sowie die Sperrung dieser Funktion beim Verlust der Karte nicht möglich sei. Im Prozess vor dem Obersten Gerichtshof Österreichs bestritt die DenizBank "das Vorbringen des VKI, dass eine solche Sperrung technisch möglich sei", hingegen nicht. Der Oberste Gerichtshof hat dem EuGH sodann im Rahmen eines Vorabentscheidungsersuchen um die Auslegung der Zahlungsdienst-Richtlinie 2015/2366 gebeten.

Die Luxemburger Richter stellten nun klar, dass es sich beim kontaktlosen Zahlen zwar um ein anonymisiertes Zahlungsinstrument im Sinne des Art. 4 Nr. 14 der Zahlungsdienst-Richtlinie 2015/2366 handele und dies der Bank grundsätzlich Haftungserleichterungen ermögliche. Doch die Bank könne sich nicht einfach durch die nachweislich falsche Behauptung, das Sperren der Karte sei technisch unmöglich, auf diese Haftungserleichterung (Art. 63 Abs. 1 lit. a) berufen. Der Kunde müsse den Verlust oder die missbräuchliche Verwendung der Karte unverzüglich und kostenlos melden können. Nach dieser Meldung dürften keine finanziellen Folgen für den Kunden entstehen - es sei denn, er hat in betrügerischer Absicht gehandelt.

Unbefugte Vorgänge "unwahrscheinlich"

Die Übertragung von Bezahldaten NFC gilt generell als sicher und ausgereift. Da der Abstand der Bankkarte oder eines Smartphones zum Bezahlterminal nur wenige Zentimeter betragen darf, kann der übertragene Datensatz ("Token") nicht aus der Ferne abgefangen werden. Das unterscheidet NFC von der Funktechnik Bluetooth. Außerdem ist der verschlüsselt übertragene Token nur für diesen einen Bezahlvorgang gültig und kann nicht mehrfach verwendet werden.

Da die Banken für kleinere Summen bis 25 Euro keine Eingabe einer PIN am Kassenterminal verlangen, ist es zumindest theoretisch möglich, dass Angreifer selbst eine nicht autorisierte Zahlung auslösen. Dazu müssten sie sich der NFC-Karte des Opfers mit einem kleinen Mobilterminal unbemerkt bis auf wenige Zentimeter nähern, etwa imGedränge einer U-Bahn. Diese Angriffsmethode kann allerdings wirksam ausgehebelt werden, in dem man eine NFC-fähige Kredit- oder Girokarte zusammen mit anderen im Portemonnaie aufbewahrt, da sich mehrere NFC-fähige Karten gegenseitig blockieren. Das funktioniert auch mit dem neuen Personalausweis mit NFC-Funktion.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält es deshalb für "unwahrscheinlich", dass Karten "im Vorbeigehen" abgegriffen werden. Wer einen unbefugten Zahlungsvorgang durch NFC befürchtet, kann seine Kredit- oder Girokarte auch in eine Abschirmhülle stecken, die Kommunikation durch NFC unterbindet. Zum Bezahlen via NFC müsste die Karte dann stets aus der Hülle entnommen werden.

dpa/pdi/LTO-Redaktion