In diesem Newsletter informieren wir über aktuelle Themen im Zahlungsverkehrsrecht. So veröffentlichte die Europäische Kommission Vorschläge über eine Novelle der PSD III-Richtlinie (Zahlungsdiensterichtlinie, Payment Service Directive III) und einer Verordnung für Zahlungsdienste (PSR, Payment Service Regulation). Zudem berichten wir über eine spannende Entscheidung aus dem Zahlungsverkehrsrecht.
1. Seminar- und Vortragsankündigung
1.1. Seminar „Zahlungsverkehr, Zahlungsdienste, Zahlungskonto“
Am 30.11.2023 findet wieder das Fachseminar „Zahlungsverkehr, Zahlungsdienste, Zahlungskonto! Aktuelle Regulatorik und Zivilrecht! – Aktuelle Judikatur des EuGH und des OGH“ statt.
Frau Mag. Unger trägt zu den zivilrechtlichen Aspekten des unbaren Zahlungsverkehrs, insbesondere zur aktuellen Judikatur zum ZaDiG 2018 sowie zu Banken-AGB vor und verschafft einen praxisbezogenen Überblick für die Gestaltung der Verträge und AGB für Zahlungsdienstleister.
Weitere Details finden Sie hier: Link zur Seminarinformation
1.2. Austrian Payment Academy - APAc
Die APAc (Austrian Payment Academy) ist ein neues Ausbildungsangebot für alle, die im Zahlungsverkehr tätig sind, Verantwortung tragen oder durch ihr Berufsbild einen umfassenden Einblick in die technologiegetriebene dynamische Payment Branche erhalten möchten.
Durch 2x jährlich stattfindende Grundkurse werden in bis zu 8 Modulen (Angebot | APAC (paymentacademy.at)) die wesentlichen Fachthemen im Zahlungsverkehr vermittelt.
Frau Mag. Unger trägt im November 2023 erstmals das Modul IV „Legal, Compliance“ vor und erläutert die rechtlichen Rahmenbedingungen des Zahlungsverkehrs.
2. Handbuch „Zahlungsverkehr 4.0“/Linde Verlag
Am 20.11.2023 erscheint das Handbuch „Zahlungsverkehr 4.0 – FinTechs – Krypto Assets – Sandbox & Co“ im Linde Verlag. In diesem umfangreichen Werk werden praktische und rechtliche Themen, die gegenwärtig und zukünftig für den Zahlungsverkehr von Bedeutung sind, behandelt. Weitere Details finden Sie hier: Link zu Handbuch
Frau Mag Unger verfasste gemeinsam mit Frau Dr Valeska Grond-Szucsich das Kapitel 12 „Verbraucherbestimmungen im ZaDiG 2018“. Darin setzt sie sich umfangreich mit dem Verbraucherbegriff, Entgelten, Vertragsänderungen und Zustimmungsfiktion sowie Vertragsbeendigung von Rahmenverträgen im Rahmen des ZaDiG 2018 auseinander. Literatur und Judikatur sind umfassend dargestellt.
3. Digital Operational Resilience Act (DORA)
3.1. Zeitrahmen
DORA ist eine EU-Verordnung, trat am 16.1.2023 in Kraft und ist ab dem 17.1.2025 verpflichtend anzuwenden.
Die ESA (= European Supervisory Authorities) sind beauftragt, insgesamt 13 delegierte Rechtsakte (RTS = technischer Regulierungsstandards; ITS = technischer Durchführungsstandards, GL = Leitlinien) zu entwickeln:
- Vorlage bei EU-Kommission bis 17.01.2024 (Entwürfe bereits veröffentlicht: https://www.esma.europa.eu/press-news/esma-news/esas-consult-first-batch-dora-policy-products):
- RTS zum IKT-Risikomanagementrahmen (Art 15 DORA)
- RTS zum vereinfachten IKT-Risikomanagementrahmen (Art 16 Abs 3 DORA)
- RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art 18 Abs 3 DORA)
- RTS zur Festlegung der Leitlinien für IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden (Art 28 Abs 10 DORA)
- ITS zur Festlegung der Standardvorlagen für das Informationsregister (Art 28 Abs 9 DORA)
- Vorlage bei EU-Kommission bis 17.07.2024
- RTS zu Threat Led Penetration Test (TLPT) (Art 26 Abs 11 DORA)
- RTS zu Kriterien für die Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (Art 30 Abs 5 DORA)
- RTS zur Spezifikation der Berichte zu schwerwiegenden IKT-bezogenen Vorfällen (Art 20 lit a DORA)
- ITS zur Festlegung von Standardformularen, Vorlagen und Verfahren zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyperbedrohung (Art 20 lit b DORA)
- Leitlinien für die Schätzung der aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden (Art 11 Abs 11 DORA)
- Leitlinien für die Zusammenarbeit zwischen den ESA und den zuständigen Behörden (Art 32 Abs 7 DORA)
- RTS zur Festlegung der Informationen, die der Aufsicht zur Verfügung zu stellen sind (Art 41 Abs 2 DORA)
- ESRB (= European Systemic Risk Board) Empfehlungen
Hinzu kommen noch 2 Delegierte Verordnungen der EU-Kommission, die ebenfalls bis zum 17.07.2024 vorliegen sollten:
- Delegierte Verordnung zur Präzisierung der Kriterien gemäß Art 31 Abs 2 DORA für die Einstufung von kritischen IKT-Dienstleistern (Art 31 Abs 6 DORA)
- Delegierte Verordnung zur Höhe der Überwachungsgebühren (Art 43 Abs 2 DORA)
Die ESA veröffentlichten am 29.09.2023 die Joint ESAs Technical Advice on two EC delegated acts under the Digital Operational Resilience Act (DORA) specifying further criteria for critical ICT third-party service providers (abrufbar unter: https://www.esma.europa.eu/press-news/esma-news/esas-specify-criticality-criteria-and-oversight-fees-critical-ict-third-party).
3.2. Zweck und betroffene Unternehmen
DORA gilt für Finanzunternehmen, wie Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, IKT-Drittdienstleister ua.
Ausnahmen und Vereinfachungen gibt es für Kleinstunternehmen (< als 10 Mitarbeiter, < als EUR 2 Mio Jahresumsatz/Jahresbilanz).
DORA zielt darauf ab, die digitale operationelle Widerstandsfähigkeit von Unternehmen im gesamten EU-Finanzsektor zu verbessern und die wichtigsten Anforderungen an die digitale operationelle Widerstandsfähigkeit für alle EU-Finanzunternehmen weiter zu harmonisieren. Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, festgelegt (Art 1 Abs 1 DORA).
Finanzunternehmen sollten bei der Bewältigung von IKT-Risiken denselben Ansatz und dieselben grundsatzbasierten Regeln befolgen, wobei ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist (Grundsatz der Verhältnismäßigkeit, Art 4 DORA).
3.3. Schwerpunkt der DORA
3.4. Anforderungen an IKT-Dienstleistungsverträge
Ein wesentliche Aspekt von DORA ist das Management des IKT-Drittparteienrisikos.
In Hinblick darauf sieht Art 28 DORA allgemeine Prinzipien vor:
- Verantwortlichkeit: Finanzunternehmen bleiben für die Einhaltung und Erfüllung aller Verpflichtungen verantwortlich.
- Verhältnismäßigkeit: Finanzunternehmen berücksichtigen die Art, das Ausmaß, die Komplexität und die Relevanz IKT-bezogener Abhängigkeiten.
- Strategie: für das IKT-Drittparteienrisiko und Überarbeitung sowie Leitlinien für die Nutzung von IKT-Dienstleistungen
- Informationsregister: Auflistung aller vertraglichen Vereinbarungen über die Nutzung von IKT-Drittdienstleistungen
- Maßnahmen vor dem Vertragsabschluss (IKT-Drittdienstleister-Due Diligence)
- Kündigungsmöglichkeit bei Vorliegen bestimmter Umstände
- Ausstiegsstrategien (unterbrechungslose Geschäftstätigkeit, Dokumentation, Testung und regelmäßige Überprüfung von Ausstiegsplänen, Übergangspläne und Notfallmaßnahmen)
Art 29 DORA definiert die inhaltlichen Anforderungen an die Vertragsbestimmungen eines IKT-Dienstleistungsvertrages:
- allgemeine Anforderungen:
- Dienstleistungen:
- Beschreibung der Funktionen und IKT-Dienstleistungen
- Zulässigkeit und Bedingungen von Subaufträgen
- Bereitstellungsstandorte der Dienstleistungen
- Beschreibung der Dienstleistungsgüte
- Zusammenarbeit:
- kostenfreie Unterstützung bei einem IKT-Vorfall
- Verpflichtung des IKT-Dienstleisters zur Zusammenarbeit mit den zuständigen Behörden
- Teilnahme an Programmen zur Sensibilisierung und Schulungen
- Daten:
- Verarbeitungs- und Speicherort von Daten
- Datenschutz
- Datenzugang im Falle einer Insolvenz, Abwicklung oder Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters
- Dienstleistungen:
- besondere Anforderungen bei kritischen und wichtigen Funktionen:
- vollständige Beschreibung der Leistungsqualitäten (Service Levels)
- Berichtspflichten, insbesondere Meldung von wesentlichen Entwicklungen
- Implementierung von Notfallplänen und Maßnahmen zur IKT-Sicherheit
- Beteiligung und Mitwirkung an den TLPT (Threat Led Penetration Testing, Art 26 und Art 27 DORA) des Finanzunternehmens
- Überwachung der Leistungen durch uneingeschränkte Zugangs-, Kontroll- und Auditrechte
- Pflicht zur Zusammenarbeit bei Vor-Ort-Inspektionen und Audits samt Berichtspflicht bei solchen Maßnahmen
- Ausstiegsstrategien mit einem Übergangszeitraumes, in dem der IKT-Drittdienstleister Leistungen auch nach Vertragsende erbringt
Hinweis: Diese Anforderungen ergänzen bereits geltende Regelungen, wie etwa zu Auslagerungen (zB § 25 BWG, § 21 ZaDiG 2018, EBA-Leitlinien zu Auslagerungen). Es empfiehlt sich daher eine Gap-Analyse vorzunehmen.
4. Vorschläge zur Novelle der EU-Zahlungsdiensterichtlinie (PSD III) und über eine EU-Verordnung über Zahlungsdienste
4.1. Hintergrund
Die Europäische Kommission veröffentlichte mit dem Financial Data Access and Payment Package ein Maßnahmenpaket, ua bestehend aus einem Vorschlag über
- eine Novelle der EU-Richtline für Zahlungsdienste und E-Geld Dienste (PSD III, Payment Service Directive III), und
- eine Verordnung für Zahlungsdienste (PSR, Payment Service Regulation).
Ziel ist, die bisherige EU-Richtlinie über Zahlungsdienste (PSD II) zu aktualisieren sowie die Schaffung einer neuen unmittelbar geltenden EU-Verordnung für Zahlungsdienste (PSR), um Uneinheitlichkeit zwischen den Rechtsordnungen der EU-Mitgliedstaaten zu bereinigen.
Mit dem Maßnahmenpaket sollen im Wesentlichen folgende 4 Aspekte am EU-Zahlungsmarkt verbessert werden:
- Verbraucher sind einem vermehrten Betrugsrisiko ausgesetzt.
- Open-Banking Dienste funktionieren nicht optimal.
- Behörden der Mitgliedstaaten haben uneinheitliche Befugnisse.
- Es bestehen ungleiche Wettbewerbsbedingungen zwischen Banken und Nichtbanken als Zahlungsdienstleister.
Daraus ergeben sich insbesondere 4 Hauptziele:
- Stärkung des Verbraucherschutzes durch Nachschärfung der starken Kundenauthentifizierung und der Betrugsbekämpfung
- Verbesserung der Regelungen zu Open-Banking Diensten
- Harmonisierung der Regelungen über die Aufsicht über den Zahlungsverkehr
- Erleichterung des Zugangs zu Zahlungssystemen und Bankkonten für Zahlungsdienstleister
4.2. Inhalt des Maßnahmenpakets
4.2.1. PSD III (Payment Service Directive III)
Die PSD III soll die seit 16.10.2015 geltende PSD II ersetzen. In ihr sollen die Voraussetzungen für die Zulassung sowie die Aufsicht von Zahlungsinstituten (weiterhin) geregelt werden. Weiters soll die bisher eigenständige E-Geld-Richtlinie (RL 2009/110/EG) in die PSD III - und damit auch die E-Geld-Institute - integriert und die E-Geld-Richtlinie aufgehoben werden. Definitionen werden weiter ausformuliert und die Regelungen zu den Zahlungsdienstleistern, zu Bargeldbehebungsdiensten und unabhängigen Geldausgabeautomatenbetreibern angepasst werden. So sollen sich ua Geldausgabeautomatenbetreiber, die keine Zahlungskonten führen, registrieren müssen.
4.2.2. PSR (Payment Service Regulation)
Durch die geplante unmittelbar anwendbare PSR sollen ein Großteil der Regelungen der PSD II in die PSR transferiert werden, va die Vorschriften über/zur
- die Zahlungen/ Transaktionen
- die Verträge über Zahlungsdienste
- die Rechte und Pflichten der Zahlungsdienstnutzer und der Zahlungsdienstleister, insbesondere auch über die Informationspflichten der Zahlungsdienstleister und über die Haftung
- Betrugsbekämpfung, Autorisierungsverfahren und starken Kundenauthentifizierung (SCA)
Diese Regelungen sollen detaillierter gefasst und weiters Details zu den Open-Banking Diensten und -Schnittstellen (API) getroffen werden, so insbesondere Folgendes:
- IBAN-Überprüfungen bei Überweisungen: Der Zahlungsdienstleister soll den IBAN mit den Namen des Empfängers der Transaktion abgleichen und den Kunden informieren, wenn es Differenzen gibt.
- Betrugsbekämpfung: Geplant ist, eine bessere Betrugsbekämpfung durch zusätzliches Monitoring von Transaktionen, Schulungen und Austausch von Betrugsinformationen mit anderen Zahlungsdienstleistern zu ermöglichen.
- Informationspflichten: Den Zahlungsdienstleister treffen weitere Informationspflichten an seinen Kunden (iZm mit Betrug, Drittstaaten-Zahlungen, Geldausgabeautomatengebühren oder auf Kontoauszügen).
- Haftung bei Identitätsbetrug: Der Zahlungsdienstleister soll zukünftig bei einer Manipulation durch einen Dritten, der sich als Mitarbeiter des Zahlungsdienstleisters ausgibt, dem Zahlungsdienstnutzer als Verbraucher haften, wenn diese Manipulation anschließend autorisierte betrügerische Zahlungsvorgänge zur Folge hat. Der Zahlungsdienstleister hat dem Verbraucher den Betrag des autorisierten betrügerischen Zahlungsvorgangs voll zu erstatten, wenn der Verbraucher den Betrug unverzüglich bei der Polizei und seinem Zahlungsdienstleister anzeigt.
- Starke Kundenauthentifizierung (SCA): Für verschiedene Zahlungsarten werden weitere Details zur SCA festgelegt. Zudem sollen zukünftig für die SCA 2 der 3 Elemente (Besitz, Wissen, Inhärenz) nicht mehr zwingend aus den verschiedenen Kategorien sein, wenn sie unabhängig voneinander sind.
- Open-Banking: Open-Banking meint den Austausch von Daten zwischen Banken und Fintechs, ua Zahlungsauslösedienstleister und Kontoinformationsdienstleister. Banken müssen zukünftig Schnittstellen für den Zugang zu Open-Banking-Daten (API) sowie ein Dashboard für ihre ein Bankkonto innehabenden Kunden bereitstellen.
- Die Europäische Bankenaufsicht (EBA) soll wieder technische Regulierungsstandards für die technischen Details entwickeln.
4.3. Stand im EU-Gesetzgebungsverfahren
Bis das neue Maßnahmenpaket in Kraft tritt, wird noch einige Zeit verstreichen, denn die Vorschläge der EU-Kommission müssen noch das EU-Gesetzgebungsverfahren durchlaufen. Aktuell gab es Erörterungen im Rat der Europäischen Kommission bzw in seinen Arbeitsgruppen.
Die PSR soll am 20. Tag nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft treten und ab 18 Monaten nach dem Datum ihres Inkrafttretens gelten.
Die PSD III soll ebenfalls am 20. Tag nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft treten und muss als EU-Richtlinie in jedem Mitgliedstaat bis 18 Monate nach deren Inkrafttreten in nationales Recht umgesetzt werden. Die Mitgliedstaaten haben die Bestimmungen ab 18 Monaten nach dem Datum des Inkrafttretens anzuwenden.
Mit den endgültigen Fassungen wird wohl nicht vor 2025 zu rechnen sein.
5. Entscheidung des Landgerichts Heilbronn vom 16.05.2023 zum pushTAN-Verfahren (Bm 6 O 10/23)
5.1. Einleitung
Art 4 Z 30 PSD II definiert die starke Kundenauthentifizierung, Art 97 PSD II regelt die Fälle, bei denen eine starke Kundenauthentifizierung verpflichtend vorzusehen ist.
Der österreichische Gesetzgeber setzte die Verpflichtung des Zahlungsdienstleisters zur sog. starken Kundenauthentifizierung in § 87 ZaDiG 2018 um. § 4 Z 28 ZaDiG 2018 definiert die starke Kundenauthentifizierung als eine Authentifizierung unter Heranziehung von mindestens 2 Elementen der Kategorie Wissen (etwas, das nur der Nutzer weiß, wie zB ein Passwort), Besitz (etwas, das nur der Nutzer besitzt, wie zB eine Zahlungskarte) oder Inhärenz (etwas das nur der Nutzer ist, wie zB ein Fingerabdruck). Dieser Gesetzesbegriff ist allgemein auch als „Zwei-Faktor-Authentifizierung“ bekannt.
Im deutschen Recht finden sich die entsprechenden Regelungen in § 1 Abs 24 und § 55 ZAG (Zahlungsdiensteaufsichtsgesetz).
Damit befasste sich das Landesgericht Heilbronn in seiner Entscheidung vom 16.05.2023 (Link: Entscheidung LG Heilbronn).
Hintergrund waren missbräuchliche Transaktionen über eine Push-TAN-App aufgrund betrügerischer Telefonanrufe. Der Kunde einer Bank, ein Nutzer des Online-Bankings dieser Bank, forderte missbräuchlich getätigte Überweisungen von seiner Bank zurück.
5.2. Ausführungen des LG Heilbronn
Bei den gegenständlichen Transaktionen wurde das Push-Tan Verfahren verwendet. Die TAN wurde auf dem Mobiltelefon in einer App angezeigt. Auf demselben Mobiltelefon war auch die Bank-App, die den Zugang zum Online-Banking gewährte, installiert.
Diese Konstellation, wonach auf einem Mobiltelefon beide Apps (eine für die TAN und eine für das Online-Banking) installiert sind, weise laut Ansicht des LG Heilbronn ein erhöhtes Gefährdungspotential auf; denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages über das Internet am Computer und Mitteilung der TAN per SMS an Mobiltelefon) sei im konkreten Fall nicht mehr gegeben.
Dabei zitiert das LG Heilbronn (deutsche) Literatur, die die Ansicht vertritt, dass bei Verwendung nur noch zweier Apps auf einem Gerät keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen iSd § 1 Abs 24 ZAG vorliege. Im Ergebnis wies das LG Heilbronn die Klage ab, weil die Bank eine andere Forderung erfolgreich aufrechnungsweise geltend machte.
5.3. Fazit
Nunmehr liegt eine gerichtliche Entscheidung vor, die das Vorliegen einer starken Kundenauthentifizierung iZm einem PushTAN-Verfahren verneint, wenn die App für den Empfang der TAN und die Bank-App auf einem Mobiltelefon installiert sind.
Freilich ist dies Rechtsansicht für österreichische Gerichte nicht verbindlich. Diese Entscheidung aus Deutschland sollte aber dennoch im Auge behalten werden; dies insbesondere vor dem Hintergrund der drohenden rechtlichen Konsequenzen für Banken. Denn nach § 68 Abs 5 ZaDiG 2018 ist der Zahler seinem Zahlungsdienstleister bei einem Schadenfall nicht zum Schadenersatz verpflichtet, wenn der Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt. In diesem Fall haftet der Zahlungsdienstleister für den Schaden allein. Dies gilt nur nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Davon ist bei betrügerischen Anrufen von Dritten idR nicht auszugehen.
Anmerkung: Die Entscheidung des LG Heilbrunn steht im Gegensatz zur Meinung der EBA. Diese vertritt in ihrem Single Rulebook Q&A (Question ID 2019_4637: Link) die Ansicht, dass ein Einmalpasswort zum Nachweis des Besitzes, das zusammen mit einem Wissenselement auf demselben Mehrzweckgerät (zB einem Smartphone) verwendet wird, eine gültige starke Kundenauthentifizierung darstellen und somit den Anforderungen zur starken Kundenauthentifizierung entsprechen kann, sofern der Zahlungsdienstleister Maßnahmen ergriffen hat, um sicherzustellen, dass die Verletzung eines der Elemente die Zuverlässigkeit des anderen Elements nicht beeinträchtigt.