Der Generalanwalt des Gerichtshofs der Europäischen Union hat sich für eine unbedingte Verpflichtung der Banken ausgesprochen, Mittel aus nicht autorisierten Zahlungstransaktionen zurückzuerstatten, selbst wenn der Kunde zum Betrug beigetragen hat, indem er Betrügern Zugangsdaten zur Verfügung gestellt hat. Die Stellungnahme betrifft einen konkreten Fall einer Verbraucherin aus Österreich, die Opfer von Phishing wurde, hat jedoch bahnbrechende Bedeutung für die Auslegung der EU-Zahlungsdiensterichtlinie PSD2 in der gesamten Gemeinschaft. Die Position des Generalanwalts ist nicht bindend, aber der Gerichtshof folgt in der Regel seinen Hinweisen bei der Erlassung endgültiger Urteile. Die Entscheidung würde den Verbraucherschutz im Zeitalter zunehmender Finanzcyberkriminalität stärken.

Unbedingte Rückerstattungspflicht

Der Generalanwalt des Gerichtshofs der Europäischen Union erklärte, dass die Bank verpflichtet sei, dem Kunden den vollen Betrag einer nicht autorisierten Transaktion zurückzuerstatten, sofern der Kunde sie unverzüglich meldet. Dieser Grundsatz solle selbst dann gelten, wenn der Kunde selbst – wenn auch unabsichtlich – Betrügern die für die Durchführung der Überweisung erforderlichen vertraulichen Daten preisgegeben hat.

Schlüsselinterpretation der PSD2

Die Stellungnahme des Generalanwalts betrifft die Auslegung von Art. 74 der PSD2-Richtlinie, der die Haftung für nicht autorisierte Zahlungstransaktionen regelt. Der Generalanwalt lehnte eine restriktive Auslegung ab, wonach grobe Fahrlässigkeit des Kunden die Bank von der Rückerstattungspflicht befreien könnte. Er betonte, dass die Richtlinie darauf abziele, ein hohes Schutzniveau für Verbraucher zu gewährleisten.

Fall einer österreichischen Verbraucherin

Der Fall, der beim EuGH anhängig ist, betrifft eine Österreicherin, die infolge eines Phishing-Angriffs Betrügern ihre Zugangsdaten zum Online-Banking übermittelte, was ihnen eine nicht autorisierte Überweisung ermöglichte. Ihre Bank verweigerte die Rückerstattung des Geldes mit der Begründung, die Kundin habe durch ihr Handeln die Transaktion ermöglicht. Das nationale Gericht legte dem Gerichtshof eine Vorlagefrage vor.

Bevorstehendes Urteil des Gerichtshofs

Die Position des Generalanwalts ist kein bindendes Urteil, sondern eine fachliche Stellungnahme für den entscheidenden Spruchkörper des Gerichtshofs. In der überwiegenden Mehrheit der Fälle folgen die Richter des EuGH jedoch der Argumentationslinie des Generalanwalts. Die endgültige Entscheidung in dieser Sache wird in den kommenden Monaten fallen und für alle Mitgliedstaaten der EU verbindlich sein.

Der Generalanwalt des Gerichtshofs der Europäischen Union hat in einem vielbeachteten Fall zur Haftung von Banken für die Rückerstattung von Mitteln aus nicht autorisierten Zahlungstransaktionen eine eindeutige Position bezogen. In seiner veröffentlichten Stellungnahme erklärte er, dass das Finanzinstitut die unbedingte Pflicht habe, dem Kunden Geld zurückzuerstatten, selbst wenn dieser – als Opfer eines Betrugs – den Tätern selbst vertrauliche Daten wie Zugangscodes zum Online-Banking überlassen habe. Diese Stellungnahme ist eine Antwort auf eine Vorlagefrage eines österreichischen Gerichts, das den Fall einer Kundin verhandelt, die Opfer von Phishing wurde. Die Frau erhielt eine E-Mail, angeblich von ihrer Bank, mit der Bitte, sich dringend über einen beigefügten Link anzumelden, um ihr Konto „freizuschalten“. Nach der Eingabe ihrer Anmeldedaten auf der präparierten Seite erhielten die Betrüger Zugang dazu und führten eine nicht autorisierte Überweisung durch. Die Bank verweigerte die Rückerstattung der Mittel und berief sich auf grobe Fahrlässigkeit der Kundin und ihre mutmaßliche Beteiligung an der Autorisierung der Transaktion. Die Zahlungsdiensterichtlinie (PSD2), die im Januar 2018 in Kraft trat, zielte darauf ab, die Sicherheit elektronischer Transaktionen zu erhöhen und die Rechte der Verbraucher zu stärken. Ihre Vorschriften regeln unter anderem streng die Haftung für Operationen, die ohne Zustimmung des Nutzers durchgeführt werden. Art. 74 der Richtlinie stellt den Grundsatz auf, dass für eine nicht autorisierte Zahlungstransaktion der Zahlungsdienstleister (z.B. die Bank) haftet und er die Mittel unverzüglich auf das Zahlungskonto zurückerstatten muss. Der Generalanwalt betonte in seiner Analyse, dass das Ziel der PSD2-Richtlinie darin bestehe, ein hohes Schutzniveau für den Verbraucher zu gewährleisten, der die schwächere Seite im Verhältnis zu einem professionellen Finanzdienstleister sei. Daher müssten Ausnahmen von der Rückerstattungspflicht eng ausgelegt werden. Er erachtete es als gegeben, dass selbst grobe Fahrlässigkeit des Kunden, die in der Preisgabe von Daten infolge eines Betrugs bestehe, nicht mit einer Autorisierung der Transaktion gleichgesetzt werden könne noch die Bank von ihrer grundlegenden Pflicht entbinde. „Even if the payment service user acted with gross negligence by disclosing confidential personalised security credentials, this does not mean that they authorised the payment transaction.” (Selbst wenn der Nutzer des Zahlungsdienstes durch die Preisgabe vertraulicher personalisierter Sicherheitsmerkmale grob fahrlässig gehandelt hat, bedeutet dies nicht, dass er die Zahlungstransaktion autorisiert hat.) — Generalanwalt des EuGH (im Auszug) Der entscheidende Unterschied, auf den der Generalanwalt hinwies, liegt in der Trennung der Datenweitergabe von der Willenserklärung zur Durchführung einer konkreten Zahlung. Phishing, auch wenn es Social Engineering nutzt, ändere nichts an der Tatsache, dass die endgültige Entscheidung zur Durchführung der Überweisung vom Betrüger und nicht vom Kunden getroffen worden sei. Damit bleibe die Transaktion im rechtlichen Sinne nicht autorisiert. Diese Position könnte einen wesentlichen Durchbruch in der Rechtsprechung darstellen, da Banken bisher oft das Argument der Fahrlässigkeit des Kunden nutzten, um die Rückerstattung in ähnlichen Fällen zu verweigern. Die endgültige Entscheidung liegt nun beim voll besetzten Spruchkörper des Gerichtshofs der Europäischen Union, der in der Regel, wenn auch nicht immer, den Stellungnahmen seiner Generalanwälte folgt. Das Urteil wird für alle Gerichte der Mitgliedstaaten, einschließlich Polens, verbindlich sein und eine einheitliche Auslegung der EU-Vorschriften etablieren. Für Millionen von Verbrauchern in der EU bedeutet dies potenziell einen stärkeren Schutz vor den finanziellen Folgen immer raffinierterer Cyberangriffe. Für den Bankensektor könnte dies eine Überprüfung der Verfahren und potenziell höhere Kosten aufgrund von Rückerstattungen mit sich bringen, was die Institute zu Investitionen in noch effektivere Systeme zur Echtzeiterkennung und -blockierung verdächtiger Transaktionen bewegen könnte.

Mentioned People

  • Rzecznik generalny TSUE — Verfasser der bahnbrechenden rechtlichen Stellungnahme zur Pflicht der Banken zur Rückerstattung nicht autorisierter Transaktionen.