Zum Inhalt

Neuerungen im Zahlungsverkehr

Geld & Versicherungen

Es herrscht derzeit viel Verwirrung und Unklarheit, welche Regelungen nun etwa beim Onlinebanking gelten, was Kunden bei Zahlungen, wie etwa Überweisungen, zu beachten haben und welche Umstellungen Banken derzeit vornehmen. Hier die wichtigsten rechtlichen Fakten dazu.

Starke Kundenauthentifizierung:
Bereits seit 01.06.2018 gilt das neue Zahlungsdienstegesetz 2018 (ZaDiG 2018).

Dieses Gesetz verpflichtet Banken zu einer starken Kundenauthentifizierung ("2-Faktor-Authentifizierung"), um die Sicherheit bei Bezahlvorgängen im Internet und im Onlinebanking zu verbessern und Missbrauchsfälle im Zahlungsverkehr weitgehend zu verhindern. Ziel und Zweck dieser gesetzlichen Vorgaben ist es Zahlungen, sicherer zu machen.

Bereits seit 1.6.2018 bestand für die Banken die Obliegenheit, eine starke Kundenauthentifizierung zu verlangen. Taten sie dies nicht, trugen sie das Haftungsrisiko bei Missbrauchsfällen. Ab 14.9.2019 ist das Verlangen auf eine starke Kundenauthentifizierung nun als ausdrückliche Pflicht im Gesetz verankert; bei Verstößen droht nicht nur - wie bereits davor - die Haftung bei Missbrauchsfällen, sondern zusätzlich bei Nichteinhaltung eine Verwaltungsstrafe.

Das SMS-TAN-Verfahren wurde immer wieder als missbrauchsanfällig kritisiert. Daher begannen viele Banken bereits in den letzten Monaten mit Umstellungen beim Onlinebanking und nutzen das in den Medien so präsente Datum des 14.9.2019 als Gelegenheit, grundlegenden "Systemanpassungen" durchzuführen.

Aktuell gibt es laut Medienberichten unterschiedliche Vorgangsweisen der Banken beim Onlinebanking.

Die starke Kundenauthentifizierung erfordert eine Zwei-Faktor-Authentifizierung, das bedeutet mindestens zwei Elemente der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz/biometrische Daten (etwas, das nur der Nutzer ist). Die verwendeten Elemente müssen voneinander unabhängig sein und so konzipiert sein, dass ihre Vertraulichkeit geschützt ist.

Wissen: Codes, Passwörter, wie zB PIN oder Secure-Codes für Zahlungskarten oder Kreditkarten, Zugangscodes für das Onlinebanking.

Besitz: Mobiltelefon, auf das der TAN mitgeteilt wird, Zahlungskarten, TAN-Generatoren.

Inhärenz/Biometrie: Fingerabdruck, Gesichtsscan.
Die Banken stellen ihre Onlinesysteme um und verwenden - je nach Bank unterschiedlich - entweder zusätzliche Apps oder Software, über die man zusätzliche Passwörter eingeben muss oder die Transaktion dort freigeben muss bzw einen sog Card-Tan-Generator, der nach dem Einstecken der Karte einen zusätzlichen Transaktionswert bzw Passwort generiert.

Bei der starken Kundenauthentifizierung muss zumindest ein Element aus den Kategorien Wissen bzw Inhärenz/Biometrie vorliegen. Die jeweiligen Elemente müssen aus unterschiedlichen Kategorien stammen, damit die Unabhängigkeit gewährleistet wird. Auch die Vertraulichkeit muss gesichert sein und die personalisierten Sicherheitsmerkmale müssen sicher erstellt und bereitgestellt werden.

Beim Einloggen ins Konto wird nun zusätzlich zur bisherigen Eingabe von PIN auch noch ein zweiter Faktor gefordert, zB ein TAN. Davon darf der Zahlungsdienstleister absehen, wenn innerhalb der vergangenen 90 Tage online eine starke Kundenauthentifizierung verlangt und eingegeben wurde. Zahlungsdienstleiser können aber auch eine kürzere Frist als die 90 Tage festlegen.

Bei manchen Zahlungsvorgängen ändert sich inhaltlich mit 14.9.2019 tatsächlich etwas: So muss nun bei Fernzahlungsvorgängen, Kartenzahlungen am Bankomat oder der POS-Kasse bei der starken Kundenauthentifizierung zusätzlich noch ein einmalig verwendbarer Authentifizierungscode generiert werden. Das kann allerdings auch über die Zahlungskarte und den PIN erfolgen. Dh das sind Vorgänge, die Hintergrund ablaufen; aus Sicht des Kunden bleibt der Vorgang an sich gleich.

Bei elektronischen Fernzahlungsvorgängen müssen der Zahlungsbetrag und der Zahlungsempfänger dynamisch verknüpft werden. Betrag und Empfänger müssen daher vor der Freigabe durch den Zahler angezeigt werden und der Code darf auch nur für die freigegebenen Daten gültig sein. Das ist der rechtliche Grund, warum iTANs (also TANs auf dem Papier) nicht mehr erlaubt sind.

Rechtliche Auswirkungen:
Wenn der Zahlungsdienstleister keine starke Kundenauthentifizierung im Sinne des Gesetzes verlangt, oder der Zahlungsempfänger bzw dessen Zahlungsdienstleister eine erforderliche Mitwirkung unterlässt, dann haftet der Zahler seit dem 01.06.2018 bereits für nicht autorisierte Zahlungsvorgänge nur dann, wenn er in betrügerischer Absicht gehandelt hat. Das bedeutet eine Haftungsbefreiung des Verbrauchers.

Diese starke Kundenauthentifizierung gilt gesetzlich bereits seit 01.06.2018 als sog haftungsrechtliche Obliegenheit des Zahlungsdienstleisters. Ihre Verletzung führt daher iaR zum Verlust der Schadenersatzansprüche. Dies stützt sich auf § 68 Abs 5 ZaDiG 2018, der daher für alle nicht autorisierten Zahlungsvorgänge maßgeblich ist, die mit einem Zahlungsinstrument ausgelöst werden. Es gilt dafür auch keine Beschränkung auf elektronische Zahlungsvorgänge.

Praktische Relevanz hat dies bei Kreditkartenzahlungen, die nach wie vor mit Unterschrift autorisiert werden. In diesen Fällen haftet der Verbraucher nicht für solche Missbräuche im Offline-Zahlungsverfahren, sofern er selbst nicht betrügerisch gehandelt hat. Das Missbrauchsrisiko liegt in diesen Fällen beim Zahlungsdienstleister des Zahlers.

Ab 14.09.2019 gilt die starke Kundenauthentifizierung gem § 87 ZaDiG 2018 sogar als gesetzliche Sorgfaltspflicht und zwar wenn Verbraucher einen elektronischen Zahlungsvorgang auslösen, sie online auf ihr Zahlungskonto zugreifen oder über einen Fernzugang Handlungen vornehmen, mit denen ein Betrugs- oder Missbrauchsrisiko verbunden ist. Bei elektronischen Fernzahlungsvorgängen muss darüber hinaus auch noch ein dynamischer Authentifizierungscode generiert werden.

Diese Verpflichtung ist seit 14.09.2019 nicht nur als Schutz- und Sorgfaltspflicht des Zahlungsdienstleisters zu sehen, sondern auch als aufsichts- und verwaltungsstrafrechtliche Vorgabe.

Achtung vor Phishing-Versuchen:
Aktuell wird befürchtet, dass es anlässlich der Umstellung zu vermehrten Phishing-Versuchen kommen könnte.

Der VKI empfiehlt Verbrauchern daher während dieser Umstellungsphase besonders vorsichtig zu agieren. Dh kümmern Sie sich bitte zwar einerseits darum, wenn die Bank Sie über Neuerungen und allfällige Umstellungen informiert, achten Sie aber andererseits besonders vorsichtig darauf, ob diese Informationen wirklich von Ihrer Bank kommen.

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

This could also be of interest:

Unzulässige Klauseln in den Geschäftsbedingungen der Erste Bank

Der VKI hatte im Auftrag des Sozialministeriums die Erste Bank der österreichischen Sparkassen AG geklagt. Gegenstand des Verfahrens waren Klauseln aus den Allgemeinen Geschäftsbedingungen zum Online-Banking „George“ sowie zu Sparbüchern. Dabei wurden vor allem Vertragsbestimmungen zur Haftung der Kundinnen und Kunden in Missbrauchsfällen, unzulässige Anzeigepflichten sowie Klauseln zur Verzinsung von Sparbüchern beanstandet. Bereits das Oberlandesgericht (OLG) Wien hatte 14 Klauseln für unzulässig erklärt. Der Oberste Gerichtshof (OGH) gab der dagegen eingebrachten Revision der Erste Bank in keinem einzigen Punkt Recht, sondern bestätigte die Gesetzwidrigkeit der 14 Klauseln. 

OLG Wien bestätigt Gesetzwidrigkeit der Ausnahmesituationsklausel in der Rechtsschutzversicherung

Bereits Ende letzten Jahres erklärte das Handelsgericht (HG) Wien die Klausel in einem vom Verein für Konsumenteninformation (VKI) im Auftrag des Sozialministeriums geführten Verfahren für gesetzwidrig. Das Oberlandesgericht (OLG) Wien bestätigte das Urteil nun. Rechtsschutzversicherer dürfen die Klausel daher nicht als Grund für Deckungsablehnungen heranziehen. Das bedeutet, dass Versicherer coronabedingte Rechtsstreitigkeiten in vielen Fällen zu Unrecht ablehn(t)en. Das Urteil ist rechtskräftig.

Klauseln des Internetbanking-Schutzpakets der Unicredit unzulässig

Der Verein für Konsumenteninformation (VKI) klagte im Auftrag des Sozialministeriums die Unicredit Bank Austria AG wegen Klauseln in den Allgemeinen Geschäftsbedingungen für das Internetbanking Schutzpaket „JUST-IN-CASE“. Dieses Produkt soll Verbraucher im Internetbanking gegen finanzielle Schäden durch Internetkriminalität absichern. Dabei klärte die Bank aber nicht ausreichend darüber auf, wann die Kunden nach dem Gesetz ohnehin keine Haftung trifft. Das Handelsgericht Wien (HG) hat nun alle eingeklagten Klauseln als unzulässig beurteilt. Das Urteil ist nur teilweise rechtskräftig, da die Beklagte zu einer Klausel Berufung erhoben hat

Urteil zur vorzeitigen Kreditrückzahlung

Der VKI führt im Auftrag des Sozialministeriums ein Verfahren gegen die Unicredit Bank Austria AG. Es geht in dem Verfahren um die Frage, ob bei vorzeitiger Kreditrückzahlung auch die laufzeitunabhängigen Kosten anteilig zurückerstattet werden müssen und ob dies auch für die Rechtslage vor dem 1.1.2021 gilt. Das Oberlandesgericht (OLG) Wien gab dem VKI Recht und bestätigte, dass auch nach der alten Rechtslage bei vorzeitiger Kreditrückzahlung nicht nur die laufzeitabhängigen Kosten, sondern auch die laufzeitunabhängigen Kosten anteilig von der Bank zurückzuerstatten sind. Das Urteil ist nicht rechtskräftig.

VKI-Erfolg gegen Online-Broker DEGIRO

DEGIRO B.V. ist ein international tätiger Web-Trader mit Sitz in den Niederlanden, der auf „degiro.at“ eine Online-Trading-Plattform anbietet, über die Kundinnen und Kunden Wertpapiere erwerben können. Der Verein für Konsumenteninformation (VKI) hatte im Auftrag des Sozialministeriums DEGIRO wegen diverser Klauseln in den Geschäftsbedingungen geklagt. Nachdem bereits das Handelsgericht Wien und das Oberlandesgericht Wien dutzende Klauseln als unzulässig beurteilt haben, liegt nun die Entscheidung des Obersten Gerichtshofs (OGH) vor: Das Höchstgericht erachtet 48 Klauseln als gesetzwidrig.