EuGH stärkt Verbraucher bei Bankkarten-Verlust

11.11.2020
Das kontaktlose Bezahlen mit Bank- oder Kreditkarten boomt. Doch wie sicher ist das NFC-Verfahren? Wer haftet, wenn die Karte abhanden kommt? Und können Betrüger heimlich Zahlungen provozieren? Der EuGH hat sich mit einem Urteil an die Seite der Verbraucher gestellt.
Wer trägt das Missbrauchsrisiko bei einer Bankkarte, die für kontaktloses Bezahlen kleiner Beträge ohne Pin-Code freigeschaltet ist? Der EuGH sieht die Verantwortung bei den Banken. Foto: picture alliance / Rolf Vennenbernd/dpa
Wer trägt das Missbrauchsrisiko bei einer Bankkarte, die für kontaktloses Bezahlen kleiner Beträge ohne Pin-Code freigeschaltet ist? Der EuGH sieht die Verantwortung bei den Banken. Foto: picture alliance / Rolf Vennenbernd/dpa

Luxemburg (dpa) - Beim Verlust einer Bankkarte mit kontaktloser Bezahlfunktion hat der Europäische Gerichtshof die Verbraucher in der EU gestärkt. Nach einem Urteil trägt der Kunde nicht das Risiko für Zahlungen, die vorgenommen werden, nachdem er das Abhandenkommen einer Karte bei der Bank gemeldet hat.

Diese könne nicht einfach behaupten, dass es technisch unmöglich sei, die sogenannte Nahfeldkommunikationsfunktion (NFC) für das kontaktlose Zahlen zu sperren, urteilten die Luxemburger Richter (Rechtssache C 287/19). Banken verlangen in der Regel beim kontaktlosen Bezahlen mit NFC-Karten oder einem Smartphone bei Beträgen bis zu 25 Euro keine Eingabe eines PIN-Codes. Die Deutsche Kreditwirtschaft hat in der Corona-Krise dieses Limit auf 50 Euro hochgesetzt.

Hintergrund ist eine Klage des österreichischen Vereins für Konsumenteninformation (VKI) gegen die Allgemeinen Geschäftsbedingungen für NFC-Karten der DenizBank. Darin schließt die Bank unter anderem ihre Haftung für nicht autorisierte Zahlungen aus. Zudem weist sie darauf hin, dass der Kontoinhaber beim Verlust der Karte das Risiko eines NFC-Missbrauchs trägt sowie die Sperrung dieser Funktion beim Verlust der Karte nicht möglich sei. Im Prozess vor dem Obersten Gerichtshof Österreichs bestritt die DenizBank «das Vorbringen des VKI, dass eine solche Sperrung technisch möglich sei», dem EuGH zufolge hingegen nicht.

Die Luxemburger Richter stellten nun klar, dass es sich beim kontaktlosen Zahlen zwar um ein anonymisiertes Zahlungsinstrument im Sinne der entsprechenden EU-Richtlinie handele und dies der Bank Haftungserleichterungen ermögliche. Aber die Bank könne nicht einfach behaupten, dass das Sperren der Karte technisch unmöglich sei, obwohl dies nachweislich falsch sei. Der Kunde müsse den Verlust oder die missbräuchliche Verwendung der Karte unverzüglich und kostenlos melden können. Nach dieser Meldung dürften keine finanziellen Folgen für den Kunden entstehen - es sei denn, er habe in betrügerischer Absicht gehandelt.

Die Übertragung von Bezahldaten via Near Field Communication (NFC) gilt generell als sicher und ausgereift. Da der Abstand der Bankkarte oder eines Smartphones zum Bezahlterminal nur wenige Zentimeter betragen darf, kann der übertragene Datensatz («Token») nicht aus der Ferne abgefangen werden. Das unterscheidet NFC von der Funktechnik Bluetooth. Außerdem ist der verschlüsselt übertragene Token nur für diesen einen Bezahlvorgang gültig und kann nicht mehrfach verwendet werden.

Da die Banken für kleinere Summen bis 25 Euro keine Eingabe einer PIN am Kassenterminal verlangen, ist es zumindest theoretisch möglich, dass Angreifer selbst eine nicht autorisierte Zahlung auslösen. Dazu müssten sie sich der NFC-Karte des Opfers mit einem kleinen Mobilterminal unbemerkt bis auf wenige Zentimeter nähern, etwa im Gedränge einer U-Bahn. Diese Angriffsmethode kann allerdings wirksam ausgehebelt werden, in dem man eine NFC-fähige Kredit- oder Girokarte zusammen mit anderen zusammen im Portemonnaie aufbewahrt, da sich mehrere NFC-fähige Karten gegenseitig blockieren. Das funktioniert auch mit dem neuen Personalausweis mit NFC-Funktion.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält es deshalb für «unwahrscheinlich», dass Karten «im Vorbeigehen» abgegriffen werden. Wer einen unbefugten Zahlungsvorgang durch NFC befürchtet, kann seine Kredit- oder Girokarte auch in eine Abschirmhülle stecken, die Kommunikation durch NFC unterbindet. Zum Bezahlen via NFC müsste die Karte dann stets aus der Hülle entnommen werden.

© dpa-infocom, dpa:201111-99-298404/3

EuGH-Urteil


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Mit Apple Pay können Kunden teilnehmender Banken ihr Smartphone zum kontaktlosen Bezahlen verwenden. Foto: Apple Inc./dpa-tmn Smartphone-Bezahldienst Apple Pay in Deutschland gestartet Deutschland gilt weiter als Bargeldland. In der Branche geht man aber davon aus, dass sich das schneller ändern könnte als bisher, wenn Kunden an der Kasse nur ihr Telefon zücken müssen. Nach Google geht nun auch Apple mit seinem Smartphone-Bezahldienst an den Start.
Fast jeder Dritte hat der Bitcom-Umfrage zufolge schon mindestens einmal mit dem Handy oder einer Computeruhr bezahlt. Foto: Lino Mirgeler Jeder Dritte zahlt schon mit seinem Handy In deutschen Supermärkten klingelt weniger Kleingeld in den Kassen - doch so richtig trauen sich die Verbraucher noch nicht an neue Bezahlmethoden ran. Sie fürchten um ihre Daten. Zu recht?
Das kontaktlose Bezahlen hat in Zeiten von Corona Vorteile. Man muss den Bezahlterminal nicht direkt anfassen. Foto: Franziska Gabbert/dpa-tmn Limit für kontaktloses Zahlen soll steigen Viele Verbraucher greifen derzeit beim Einkaufen zur Zahlungskarte. Der Vorteil: Kunde und Kassierer können einen direkten Kontakt vermeiden und sich so vor dem Corona-Virus schützen.
Ab Spätsommer sollen Sparkassenkunden auch mit Apple Pay in Geschäften bezahlen können. Abgebucht wird das Geld dann direkt von ihrem Girokonto. Foto: Frank May/pa/dpa Sparkassen wollen Apple Pay mit Girocard verknüpfen Bei der Einführung von Apple Pay standen die Sparkassen in Deutschland nicht in der ersten Reihe. Noch in diesem Sommer starten sie aber eine echte Premiere: Apple Pay kann dann erstmals mit der in Deutschland sehr populären Girocard verknüpft werden.