Durchbruchartige Stellungnahme des Generalanwalts des EuGH zur Rückerstattung von Geld nach Bankbetrug

Der Generalanwalt des Gerichtshofs der Europäischen Union hat eine durchbruchartige Stellungnahme zur Verantwortung der Banken für die Rückerstattung von Mitteln abgegeben, die Kunden durch Betrug verloren haben. Seiner Auffassung nach ist das Finanzinstitut verpflichtet, das Geld zurückzuerstatten, selbst wenn die nicht autorisierte Zahlungstransaktion aufgrund eines Verschuldens des Kunden selbst ausgeführt wurde. Die Stellungnahme betrifft einen konkreten Fall aus Österreich, aber ihre Konsequenzen werden die gesamte Europäische Union, einschließlich Polen, betreffen. Die Stellungnahme des Generalanwalts ist zwar kein bindendes Urteil, hat aber entscheidende Bedeutung für die Rechtsprechungspraxis des EuGH. Das Gericht in Luxemburg folgt in der überwiegenden Mehrheit der Fälle der Auffassung des Generalanwalts bei der Abgabe endgültiger Urteile. Das bedeutet, dass die in der Stellungnahme dargelegte Auslegung mit hoher Wahrscheinlichkeit zu EU-Recht wird. Der Fall, um den es geht, begann mit einem Betrug „via BLIK”. Ein Kunde einer österreichischen Bank wurde Opfer von Phishing – Betrüger gaben sich als Bank aus und erlangten von ihm die für die Autorisierung einer Überweisung benötigten Codes. In der Folge verschwand ein erheblicher Geldbetrag von seinem Konto. Die Bank weigerte sich, die Mittel zurückzuerstatten, mit der Begründung, der Kunde habe selbst die Authentifizierungsdaten preisgegeben, die Transaktion sei somit ordnungsgemäß autorisiert worden. Das nationale Gericht in Österreich, das über die Beschwerde des Kunden verhandelte, wandte sich mit einer Vorabentscheidungsfrage zur Auslegung der EU-Zahlungsdiensterichtlinie (PSD2) an den EuGH. Die seit 2018 geltende Richtlinie PSD2 zielte darauf ab, die Sicherheit von Zahlungstransaktionen in der EU zu erhöhen und Verbraucher zu schützen. Sie führte unter anderem die Pflicht zur starken Kundenauthentifizierung (SCA) ein. Bei Betrugsfällen, in denen ein Kunde arglistig zur Preisgabe von Daten gezwungen wird, blieb die Verantwortung jedoch oft unklar, und Banken verweigerten häufig die Rückerstattung unter Berufung auf Fahrlässigkeit oder Verschulden des Kunden. Der Generalanwalt hat sich in seiner Stellungnahme eindeutig auf die Seite des Verbrauchers gestellt. Seiner Ansicht nach kann eine Transaktion, die infolge des Erlangens von Authentifizierungsdaten durch Betrug ausgeführt wurde, nicht als vom Kunden im Sinne der Richtlinie autorisiert angesehen werden. Selbst wenn der Kunde getäuscht wurde und selbst die Codes angab, macht das Handeln der Betrüger die Transaktion zu einer nicht autorisierten. In einer solchen Situation obliegt der Bank die Pflicht zur Rückerstattung. Die Stellungnahme des Generalanwalts betont auch, dass die EU-Vorschriften Verbraucher schützen sollen, die die schwächere Seite im Verhältnis zu Finanzinstituten sind. Die Verlagerung des Betrugsrisikos auf die Kunden könnte das Vertrauen in das gesamte elektronische Zahlungssystem untergraben. „A transaction executed as a result of fraudulently obtaining the customer’s authentication credentials cannot be considered to have been authorised by the customer.” (Eine Transaktion, die infolge des betrügerischen Erlangens der Authentifizierungsdaten des Kunden ausgeführt wurde, kann nicht als vom Kunden autorisiert angesehen werden.) — Generalanwalt des EuGH Das endgültige Urteil in dieser Sache wird in den kommenden Monaten ergehen. Wenn der Gerichtshof der EU die Auffassung des Generalanwalts teilt, wird dies weitreichende Konsequenzen für Banken in der gesamten Union haben. Sie müssten ihre Praxis ändern und häufiger Betrugsopfern Mittel zurückerstatten, was sich in höheren Kosten für Versicherungen und Sicherheitsverfahren niederschlagen könnte. Für Verbraucher bedeutet dies eine Stärkung des rechtlichen Schutzes und größere Chancen, verlorenes Geld im Falle von Cyberkriminalität zurückzuerhalten.