Identitätsmissbrauch im Online Banking. 12. Tag des Bank- und Kapitalmarktrechts November 2015, Erfurt

Transkript

1 Identitätsmissbrauch im Online Banking 12. Tag des Bank- und Kapitalmarktrechts November 2015, Erfurt

2 Prof. Dr. Georg Borges Inhaber des Lehrstuhls für Bürgerliches Recht, Rechtstheorie und Rechtsinformatik, Universität des Saarlandes Geschäftsführender Direktor, Institut für Rechtsinformatik, Universität des Saarlandes Richter am Oberlandesgericht Hamm a.d. Sprecher des Vorstands, Arbeitsgruppe Identitätsschutz im Internet (a-i3) Mitglied des Vorstands, EDV-Gerichtstag e.v. Mitglied des Verwaltungsrats, Stiftung Datenschutz Mitglied des Center for IT-Security, Privacy and Accountability (CISPA) Mitglied des Hörst-Görtz-Instituts für IT-Sicherheit (HGI) 2

3 Das Institut für Rechtsinformatik Struktur 3 juristische Lehrstühle der Rechts- und Wirtschaftswissenschaftlichen Fakultät juris-stiftungsprofessur für Rechtsinformatik Kooperation mit Uni Luxemburg (Prof. Cole) Themenfelder IT-Recht ejustice, egovernment Datenschutz IT-Sicherheit Rechtsinformatik Informationen: 3

4 Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 4

5 I. Aktuelle Missbräuche im Zahlungsverkehr 5

6 I. Aktuelle Missbräuche im Zahlungsverkehr Quelle: SPIEGEL v , S. 70 6

10 I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Website des Betroffenen Angreifer Mobilfunkanbieter 10

11 I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut User / PIN Angreifer Mobilfunkanbieter 11

12 I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Authentifizierung als Betroffener Angreifer neue SIM-Karte / Rufnummernportierung Mobilfunkanbieter 12

13 I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Angreifer mtan Mobilfunkanbieter 13

14 I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Angreifer Mobilfunkanbieter 14

15 I. Aktuelle Missbräuche im Zahlungsverkehr Service: Beratungstelefon der a-i3 Die Arbeitsgruppe Identitätsschutz im Internet e.v. (a-i3) Gründung 2005 an der Ruhr-Universität Bochum Interdisziplinäre Gruppe aus Technikern und Juristen Gemeinnützige Organisation Themen: Zunächst vor allem Phishing Dazu Erforschung und Dokumentation von Angriffsszenarien; Suche nach Lösungen Nun zunehmend datenschutzrechtliche Themen Webseite der a-i3: 15

16 Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen 1. Verantwortlichkeit des Täters 2. Risikotragung 3. Rechtsscheinhaftung des Kunden 4. Haftung des Kunden auf Schadensersatz III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 16

17 II. Risikotragung und Haftung bei Missbräuchen 1. Verantwortlichkeit des Täters umfassende Strafbarkeit bei Identitätsmissbrauch Phishing Betrug, Computerbetrug, Ausspähen von Daten Handeln unter fremder Identität Betrug, Fälschung beweiserheblicher Daten, Ausspähen von Daten zivilrechtliche Haftung des Täters für Identitätsmissbrauch Problem: Täter ist unbekannt und kann nicht haftbar gemacht werden 17

18 II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage Zahlungsdiensterichtlinie (Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG) Artt. 54, 60 Zahlungsdiensterichtlinie Umsetzung in 675j, 675u BGB 18

19 II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage Risikoverteilung nach Zahlungsdiensterichtlinie Art. 54 ZD-RL»Zustimmung und Widerruf der Zustimmung«(1) Die Mitgliedstaaten stellen sicher, dass ein Zahlungsvorgang nur dann als autorisiert gilt, wenn der Zahler dem Zahlungsvorgang zugestimmt hat. [ ] (2) [ ] Fehlt diese Zustimmung, gilt der Zahlungsvorgang als nicht autorisiert. 19

20 II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage Risikoverteilung nach Zahlungsdiensterichtlinie Art. 60 Abs. 1 ZD-RL»Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge«Die Mitgliedstaaten stellen unbeschadet des Artikel 58 sicher, dass im Falle eines nicht autorisierten Zahlungsvorgangs der Zahlungsdienstleister des Zahlers diesem den Betrag des nicht autorisierten Zahlungsvorgangs unverzüglich erstattet und gegebenenfalls das belastete Konto wieder auf den Stand bringt, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte [ ] 20

21 II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage 675j Abs. 1 BGB»Zustimmung und Widerruf der Zustimmung«Ein Zahlungsvorgang ist gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). [ ] 675u BGB»Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge«Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. 21

22 II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Risikotragung der Bank Grundsatz: Bank trägt Risiko gefälschter Zahlungsvorgänge, 675j, 675u BGB Pflicht zur Gutschrift / Erstattung des Zahlungsbetrags Wichtige Abgrenzung: echte / gefälschte Überweisung Echte Überweisung = vom Kunden autorisierte Überweisung (der Kunde weiß, wieviel er an wen zahlt) kein Erstattungsanspruch des Kunden Falsche Überweisung = nicht vom Kunden autorisierte Überweisung (der Kunde weiß nicht, wieviel oder an wen er zahlt) 22

23 II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Rücküberweisungstrojaner LG Karlsruhe, , 20 O 24/13, BKR 2015, 86 LG Bonn, , 3 O 387/14 Pflicht zur Gutschrift / Erstattung des Zahlungsbetrags Frage: Autorisierung, 675j BGB? LG Bonn: Autorisierung (+) Anfechtbarkeit der Autorisierung? Keine Anfechtung (Motivirrtum) LG Karlsruhe BKR 2015, 86, 87 Offengelassen LG Bonn, , 3 O 387/14 (Entscheidungsgründe I.1.a.) 23

24 II. Risikotragung und Haftung bei Missbräuchen 3. Rechtsscheinhaftung des Kunden Voraussetzungen der Rechtsscheinhaftung Rechtsscheintatbestand Zurechenbarkeit des Rechtsscheins Rechtsfolge: Zurechnung der Zahlung zu Kunden unbegrenzte Verantwortlichkeit 24

25 II. Risikotragung und Haftung bei Missbräuchen 3. Rechtsscheinhaftung des Kunden Zurechenbarkeit des Rechtsscheins angenommen bei bewusster Weitergabe der Authentisierungsmedien OLG Schleswig-Holstein, , 3 W 47/10, CR 2011, 52 verneint bei täuschungsbedingter Weitergabe LG Landshut, , 24 O 1129/11, BeckRS 2011, angenommen bei unzureichender Kontrolle der mtan LG Darmstadt, , 28 O 36/14, BKR 2014, 480, 482 AG Bonn, , 109 C 244/14, BeckRS 2015,

26 II. Risikotragung und Haftung bei Missbräuchen 4. Haftung des Kunden auf Schadensersatz Haftung des Bankkunden geregelt in 675v BGB 675v Abs. 1 BGB»Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments«Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen. Dies gilt auch, wenn der Schaden infolge einer sonstigen missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments entstanden ist und der Zahler die personalisierten Sicherheitsmerkmale nicht sicher aufbewahrt hat. [ ] 26

27 II. Risikotragung und Haftung bei Missbräuchen 4. Haftung des Kunden auf Schadensersatz Grundlage: Art. 61 Zahlungsdiensterichtlinie Haftungskonzept: dreistufige Regelung volle Haftung bei Vorsatz und grober Fahrlässigkeit, 675v II BGB Haftungsbeschränkung auf 150 bei schuldhafter Pflichtverletzung, 675v I 2 BGB verschuldensunabhängige Haftung auf 150 ohne Pflichtverletzung bei Verlust eines Tokens, 675v I 1 BGB 27

28 Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung 1. Überblick 2. Pflicht zur Sicherung der technischen Geräte 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien 4. Grobe Fahrlässigkeit IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 28

29 III. Pflichten der Kunden zur Missbrauchsvermeidung 1. Überblick Regelung in 675l BGB, Art. 56 ZD-RL 675l BGB»Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente«Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. 29

30 III. Pflichten der Kunden zur Missbrauchsvermeidung 1. Überblick Sicherung der IT-Infrastruktur Sicherung der Authentisieungsmedien Erkennen von Täuschungen 30

31 III. Pflichten der Kunden zur Missbrauchsvermeidung 2. Pflicht zur Sicherung der technischen Geräte Inhalt der Pflicht Einsatz aktueller Virenschutzprogramme Einsatz einer personal firewall Aktualisierung der Schutzsoftware Aktualisierung des Betriebssystems Problem: Kausalität für Schaden nicht nachweisbar Keine praktische Bedeutung für Haftung 31

32 III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Inhalt der Pflicht Geheimhaltung von Passwörtern sorgfältige Aufbewahrung von ec-karte, Personalausweis etc. Meldung bei Verlust 32

33 III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Inhalt der Pflicht Abwehr von Täuschungsversuchen 33

34 III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Pflichtverletzung durch Kunden? Ignorieren von Verdachtsmomenten z.b. Beantworten einer plumpen Phishing-Mail 34

35 III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Pflichtverletzung durch Kunden? z.b. Eingabe von PIN und TAN auf Website Grundsatz: Geheimhaltungspflicht schließt angemessene Reaktion auf Täuschungsversuche ein Vorliegen einer Pflichtverletzung nur im Einzelfall zu klären Bei offensichtlichen Verdachtsmomenten wohl zu bejahen z.b. Eingabe von 10 TAN auf der Homepage Ombudsmann BVR, , D-29/06 Verschulden bei Eingabe 35

36 III. Pflichten der Kunden zur Missbrauchsvermeidung 4. Grobe Fahrlässigkeit Bedeutung Eingreifen der Haftungsbeschränkung auf 150 Euro, 675v BGB Beispiel: Eingabe von 100 itan (OLG München, , 17 U 3527/11, BKR 2012, 475; Landgericht Landshut, , 24 O 1129/11, BeckRS 2011, 20294) OLG München: grobe Fahrlässigkeit (a.a. LG Landshut: keine grobe Fahrlässigkeit) 36

37 III. Pflichten der Kunden zur Missbrauchsvermeidung 4. Grobe Fahrlässigkeit Bedeutung Eingreifen der Haftungsbeschränkung auf 150 Euro, 675v BGB Beispiel: Eingabe von PIN und vier TAN grob fahrlässig? grobe Fahrlässigkeit verneint: implizit KG, , 26 U 159/09 LG Berlin, , 37 O 4/09 = MMR 2010, 137 leichtfertiges Handeln bejaht: Ombudsmann BVR, , D-29/06 37

38 III. Pflichten der Kunden zur Missbrauchsvermeidung 4. Grobe Fahrlässigkeit BGH, , XI ZR 96/11, NJW 2012, 2422 keine grobe Fahrlässigkeit bei Eingabe von 10 TAN trotz Warnhinweises der Bank grobe Fahrlässigkeit bei Eingabe von mehreren TAN AG Krefeld, , 7 C 605/11, MMR 2013, 164 AG Bonn, , 109 C 223/13, BKR 2014, 304, 305 AG Köln, , 142 C 406/13, BKR 2014, 307, 308 Grobe Fahrlässigkeit bei Unterlassen der Kontrolle der mtan LG Köln, , 3 O 390/13, NJW 2014, 3735, 3736 AG Bonn, , 109 C 223/13, BKR 2014, 304,

39 Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen 1. Beweislast 2. Der Anscheinsbeweis im Zivilprozess 3. Der Anscheinsbeweis für die Echtheit einer Anweisung 4. Der Anscheinsbeweis für eine Pflichtverletzung des Kunden V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 39

40 IV. Beweisfragen 1. Beweislast Beweislastverteilung Echtheit der Überweisung Bank trägt Beweislast Pflichtverletzung des Kunden Bank trägt Beweislast Anscheinsbeweis zugunsten der Bank? 40

41 IV. Beweisfragen 2. Der Anscheinsbeweis im Zivilprozess Grundsatz Beweis für eine Tatsache ist geführt, wenn ein Anschein für diese Tatsache besteht und nicht erschüttert wird. 41

42 IV. Beweisfragen 2. Der Anscheinsbeweis im Zivilprozess Voraussetzung des Anscheinsbeweises: Erfahrungssatz typischer Geschehensablauf nach allgemeiner Lebenserfahrung Folge: besteht dem Anschein nach ein typischer Geschehensablauf, gilt dieser als bewiesen Ausnahme: Erschütterung des Anscheins 42

43 IV. Beweisfragen 2. Der Anscheinsbeweis im Zivilprozess Erschütterung des Anscheins Wenn der Beweisgegner die ernsthafte Möglichkeit eines anderen Geschehensablaufs (atypischer Geschehensablauf) im konkreten Fall behauptet und beweist. Im Beispiel: Der auffahrende Autofahrer weist nach, dass sich auf der Straße an der betreffenden Stelle eine Ölspur befand. Damit: Fahrfehler des auffahrenden Autofahrers ist nicht bewiesen. Voraussetzung für Anschein und Erschütterung: Die tatsächlichen Grundlagen müssen unstreitig oder bewiesen sein. 43

44 IV. Beweisfragen 3. Der Anscheinsbeweis für die Echtheit einer Anweisung Voraussetzung: Erfahrungssatz für Echtheit abhängig von Sicherheit des Authentisierungsverfahrens kein Beweis bei PIN/TAN-Verfahren kein Beweis bei itan-verfahren unklar: Beweis bei mtan-verfahren? Bejaht: LG Köln, , 3 O 390/13, NJW 2014, 3735 Beweis bei chiptan-verfahren? Erschütterung: bei Möglichkeit anderen Geschehensablaufs 44

45 IV. Beweisfragen 4. Der Anscheinsbeweis für eine Pflichtverletzung des Kunden sehr str.; keine aktuellen Entscheidungen wie bei Anscheinsbeweis für Echtheit Dissertation Bochum (Mühlenbrock): i.d.r. kein Anscheinsbeweis für Pflichtverletzung wohl zu differenzieren nach Sicherheit des Verfahrens bei sicheren Verfahren (chiptan) Anscheinsbeweis für Weitergabe u.u. Anscheinsbeweis für Pflichtverletzung 45

46 Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht 2. Warnpflicht 3. Missbrauchsprävention und Datensicherheit VI. Die Reform der Zahlungsdiensterichtlinie 46

47 V. Pflichten der Banken zur Missbrauchsprävention Relevanz: Verminderung des Anspruchs auf Schadensersatz gegen Kunden bei Pflichtverletzung, 254 BGB Pflichten im Einzelnen Information der Kunden über Missbrauchsrisiken Verwendung sicherer Authentisierungsverfahren 47

48 V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht Information der Kunden über Missbrauchsrisiken 48

49 V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht Information der Kunden über Missbrauchsrisiken 49

50 V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht Pflicht zur Information über Missbrauchsrisiken im Online Banking LG Karlsruhe, , 20 O 24/13, BKR 2015, 86, 88 h.m. der Literatur Wohl auch: BGH, , XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, , XI ZR 56/07, Rn. 14, BGHZ 176, 281 Offengelassen: LG Bonn, , 3 O 387/14 Keine Pflicht zur Information über allg. Risiken des Internets LG Nürnberg-Fürth, , 10 O 11391/07 50

51 V. Pflichten der Banken zur Missbrauchsprävention 2. Warnpflicht Warn- und Hinweispflichten im Zahlungsverkehr nur im Ausnahmefall BGH, , XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, , XI ZR 56/07, Rn. 14, BGHZ 176, 281 Warnplicht zugunsten Kunden bei massiven Verdachtsmomenten BGH, , XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, , XI ZR 56/07, Rn. 14, BGHZ 176, 281 keine generelle Pflicht zur Überwachung von Kontobewegungen BGH, , XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, , XI ZR 56/07, Rn. 14, BGHZ 176,

52 V. Pflichten der Banken zur Missbrauchsprävention 2. Warnpflicht Beispiel: BGH, , XI ZR 96/11, Rn. 32 = NJW 2012, 2422, 2425: Situation: (gefälschte) erstmalige Überweisung eines glatten Betrags (5.000 ) oberhalb der Verfügungsgrenze (4.500 ) auf griechisches Konto, die zu erheblichem Soll des Girokontos (4.300 ) führt; gleichzeitig ähnliche Überweisung von anderem Kunden auf dasselbe griechische Konto BGH: keine massiven Verdachtsmomente, die Warnpflicht auslösen m.e.: Warnpflicht bei Erkenntnissen aufgrund von Missbrauchsbekämpfung Borges, NJW 2012, 2385,

53 V. Pflichten der Banken zur Missbrauchsprävention 3. Missbrauchsprävention und Datensicherheit Pflicht zur Einführung neuer Verfahren mit höherem Sicherheitsstandard? allgemeine Pflicht des Diensteanbieters, Daten des Kunden vor Zugriffen Dritter zu schützen. Maßstab: Erforderlichkeit, Zumutbarkeit Beispiel (Online Banking): Konventionelles PIN/TAN Verfahren entspricht nicht mehr dem Stand der Technik: KG, , 26 U 159/09 (BGH lässt für itan dahinstehen; BGH, , XI ZR 96/11, NJW 2012, 2422) Pflicht der Bank zur Anpassung an verbesserten Standard 53

54 Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 1. Verfahrensstand 2. Konzept: Regulierung der Anforderungen an Authentisierung 3. Risikoverteilung 4. Pflichten und Haftung des Zahlers 54

55 VI. Die Reform der Zahlungsdiensterichtlinie 2013/0264 (COD) Vorschlag für eine RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2013/36/EU und 2009/110/EG sowie zur Aufhebung der Richtlinie 2007/64/EG 55

56 VI. Die Reform der Zahlungsdiensterichtlinie 1. Verfahrensstand Kommissionsentwurf, , COM(2013) 547 final, 2013/0264 (COD) 1. Lesung EU-Parlament, Änderungen Erörterung im Rat, Standpunkt EU-Parlament, Erlass Richtlinie u.u. Anfang 2016 Umsetzungsfrist: 2 Jahre, Art. 102 ZD-RL-Entwurf 56

57 VI. Die Reform der Zahlungsdiensterichtlinie 2. Konzept: Regulierung der Anforderungen an Authentisierung Art. 87 Abs. 1 S. 1 ZD-RL-Entwurf Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstleister eine verstärkte Kundenauthentifizierung verlangt, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst, es sei denn, die EBA-Leitlinien erlauben auf der Grundlage des Risikos des erbrachten Zahlungsdienstes bestimmte Ausnahmen. Art. 97 Abs. 1 S. 1 ZD-RL-Parlament Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstleister eine verstärkte Kundenauthentifizierung verlangt, wenn der Zahler a) online auf sein Zahlungskonto zugreift; b) einen elektronischen Zahlungsvorgang auslöst, [ ] 57

58 VI. Die Reform der Zahlungsdiensterichtlinie 2. Konzept: Regulierung der Anforderungen an Authentisierung Pflicht zur Verwendung starker Kundenauthentifizierung starke Kundenauthentifizierung, Art. 4 Nr. 22 ZD-RL-Entwurf / Art. 4 Nr. 30 ZD-RL - Parlament 2-Faktor-Authentisierung 58

59 VI. Die Reform der Zahlungsdiensterichtlinie 2. Konzept: Regulierung der Anforderungen an Authentisierung Konkretisierung der Anforderungen durch EBA Art. 98 Abs. 1 ZD-RL-Parlament Die EBA arbeitet im Einklang mit Artikel 10 der Verordnung (EU) Nr. 1093/2010 in enger Zusammenarbeit mit der EZB und nach Anhörung aller maßgeblichen Akteure, einschließlich des Zahlungsverkehrsmarktes, unter Berücksichtigung der Interessen aller Beteiligten für Zahlungsdienstleister im Sinne des Artikels 1 Absatz 1 dieser Richtlinie technische Regulierungsstandards aus, in denen Folgendes präzisiert wird: a) die Erfordernisse des Verfahrens zur starken Kundenauthentifizierung gemäß Artikel 97 Absätze 1 und 2, [ ] 59

60 VI. Die Reform der Zahlungsdiensterichtlinie 3. Risikoverteilung Autorisierung erforderlich, Art. 57 ZD-RL-Entwurf /Art. 64 ZD-RL P wie bisher Art. 54 ZD-RL Erstattung des Zahlbetrags bei fehlender Autorisierung, Art. 65 ZD-RL-Entwurf / Art. 73 ZD-RL-Parlament wie bisher Art. 60 ZD-RL In erster Lesung: unverzügliche Anzeigepflicht geändert in innerhalb von 24 Stunden, nachdem er den Vorgang festgestellt hat oder darüber informiert wurde (Änderung 137) 60

61 VI. Die Reform der Zahlungsdiensterichtlinie 4. Pflichten und Haftung des Zahlers Pflichten des Zahlers, Art. 61 ZD-RL-E, Art. 69 ZD-RL-P wie bisher Art. 56 ZD-RL Haftung des Zahlers, Art. 66 ZD-RL-E, Art. 74 ZD-RL-P ähnlich Art. 61 ZD-RL Begrenzung der Haftung auf 50 oder den entsprechenden Betrag in einer anderen nationalen Währung [ ]. Das gilt nicht, wenn der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstruments für den Zahler vor der Zahlung nicht erkennbar war. (Art. 66 Abs. 1 ZD-RL-Entwurf) (Bisher: 150 ) 61

62 VI. Die Reform der Zahlungsdiensterichtlinie 4. Pflichten und Haftung des Zahlers unbegrenzte Haftung bei grober Fahrlässigkeit, Art. 66 Abs. 2 S. 1 ZD-RL-E, Art. 74 ZD-RL-P aber: keine Haftung (außer betr. Absicht), wenn keine starke Kundenauthentifizierung, Art. 66 Abs. 2 S. 4 ZD-RL-E, Art. 74 Abs. 2 ZD-RL-P 62

63 VI. Die Reform der Zahlungsdiensterichtlinie 4. Pflichten und Haftung des Zahlers wichtigste Frage: Was genau ist starke Kundenauthentifizierung? Art. 4 Nr. 30 ZD-RL Parlament starke Kundenauthentifizierung ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist; Präzisierung durch Europäische Bankenaufsicht (EBA) aber: Kompetenz sollte ausdrücklich geregelt werden 63

64 Vielen Dank für Ihre Aufmerksamkeit! Prof. Dr. Georg Borges it-recht.uni-saarland.de 64