PSD2 ante portas: Mehr Wettbewerb und mehr IT-Sicherheit im elektronischen Zahlungsverkehr

Neue Anforderungen an die Organisation der IT-Sicherheit im elektronischen Zahlungsverkehr.

Dr. Markus Escher, Rechtsanwalt GSK Stockmann, München, Bankaufsichtsrecht, Zahlungsregulierung.

I. Übersicht zur PSD2-Umsetzung

Die Zweite EU-Zahlungsdiensterichtlinie 2015/2366 vom 25.11.2015 („PSD2“) wird Banken nicht nur bei der IT-Sicherheit im elektronischen Zahlungsverkehr, sondern auch im Wettbewerb um den elektronischen Kontakt zum Bankkunden operationell, rechtlich und strategisch fordern. Hierzu ist das Zahlungsdiensteumsetzungsgesetz vom 17.07.2017[1] („ZDUG“) mit einer Neufassung des Zahlungsdiensteaufsichtsgesetzes („ZAG“) und Änderungen im BGB erlassen worden. Mit dem ZDUG werden die meisten Aspekte der PSD2 am 13.01.2018 in deutsches Recht umgesetzt und damit ein neuer Rechtsrahmen für mehr Wettbewerb um den Bankkunden bei elektronischen Zahlungen und „Banking as a Service“ geschaffen. Die Regelungen mit den stärksten IT-organisatorischen Anforderungen für Banken in der Interaktion mit Zahlungsauslöse- und Kontoinformationsdienstleistern („ZAD“, § 1 (2) Nr. 7; (33) ZAG und „KID“, § 1 (2) Nr. 8; (34) ZAG; zusammen „Drittdienstleister“), v. a. aber neue Anforderungen an die starke Kundenauthentifizierung im elektronischen Zahlungsverkehr, werden wohl erst im Sommer 2019 in Kraft treten, werfen aber heute bereits ihr Licht für Implementierungsprojekte und strategische Entscheidungen, insbesondere zu Auswirkungen auf das elektronische Kundenverhältnis voraus. Die Aufsichtspraxis der BaFin nach den MaSI[2] wird schrittweise durch das neue ZAG ersetzt.

II. Einführung zur PSD2

  1. Betroffene Institute

Für eine Bewertung der Auswirkungen der PSD2 und die gebotene Projektorganisation ist zunächst nach den betroffenen Instituten zu unterscheiden:

Klassische „CRR-Institute“ nach § 1 (3d) KWG (hier „Banken“) werden stärker von der PSD2 betroffen sein als seinerzeit von der PSD1. Ein Ausblenden des ZAG ist für Banken ab 13.01.2018 nicht mehr denkbar, da auch für diese gesteigerte aufsichtliche Anforderungen aus dem ZAG zur IT-Sicherheit bei electronic payments gelten, da für Banken alle Regelungen für Zahlungsdienstleister greifen. Zivilrechtliche Änderungen im Kundenverhältnis, aber auch zu anderen Zahlungsdienstleistern werden sich ebenfalls auf alle Banken auswirken. Hierzu gehören v. a. die rechtlich, aber auch strategisch neu zu bewertenden Regelungen im BGB zur Interaktion mit neuen Drittdienstleistern.

Teil-Banken nach § 1 (1) KWG ohne CRR-Institutsstatus unterliegen bereits heute einer Doppelaufsicht nach ZAG-alt als Kredit- und Zahlungsinstitut. Dies betrifft insbesondere Spezialbanken, die z. B. im Wertpapier- oder Bürgschaftsbereich Banktätigkeiten ohne Universalbankerlaubnis, aber mit Zahlungsdiensten erbringen. Für Spezialbanken besteht mit der PSD2 ein erhöhter Handlungsbedarf, da spätestens zum 13.07.2018 eine neue Erlaubnis als Zahlungsinstitut vorliegen muss (vgl. II.5.).

Betroffen werden ggf. auch Unternehmen der Telekommunikationsbranche sein, da die branchentypische Bereichsausnahme in § 2 (1) Nr. 11 ZAG erheblich beschränkt wurde. Zusätzlich wurde betont, dass auch bei Zahlungsabwicklungen mittels Forderungskäufen ein Zahlungsdienst nicht vermieden werden kann[3], so dass auch TK-Unternehmen ihre Zahlungsabwicklungsaktivitäten nach dem ZAG neu bewerten und fallabhängig ggf. eine Erlaubnis nach § 10 ZAG beantragen müssen. Gleiches gilt ggf. auch für Abrechnungsdienste von Zahlungsvorgängen für Händler, die unter das neue „Akquisitionsgeschäft“ fallen können, auch wenn diese nicht durch Karteneinsatz, sondern durch Lastschrift oder Überweisung ausgelöst werden. Auch dies erweitert das ZAG-Aufsichtsspektrum der BaFin.

2. Betroffene Zahlungsprodukte

Die PSD2 erfasst alle Zahlungsprodukte, also Überweisungs-, Lastschrift-, Karten- und E-Geldgeschäft, aber auch innovative Zahlungsprodukte im e-commerce wie Zahlungen über Drittdienstleister. Hierbei ist leider auf die gleiche Schwäche wie bei PSD1 hinzuweisen, da zahlreiche Vorschriften aus einer Überweisungsperspektive entstanden sind und in ihrer Anwendung auf das Kartengeschäft viele Unklarheiten aufwerfen. Für KID ist auch bemerkenswert, dass nicht nur Zahlungen, sondern gerade auch der transaktionsfreie Zugang zu Kontoinformationen nach PSD2 relevant sind.

3. Betroffene Kunden und internationale Erstreckung

Neben einer Stärkung des Verbraucherschutzes ist auch zu beachten, dass die PSD2 gerade in der Zahlungssicherheit erhebliche Auswirkungen auf das Firmenkundengeschäft haben kann, da auch bei Unternehmen die Pflicht zur starken Kundenauthentifizierung nach § 55 ZAG nicht vertraglich abbedungen werden kann. Anders als die PSD1 erstreckt sich die PSD2 international weiter und umfasst nun auch sog. „One-Leg-Transaktionen“, bei denen nur ein Zahlungsdienstleister in der EU ansässig ist, wie z. B. eine Auslandsüberweisung in die USA oder auch Zahlungen zwischen zwei EU- Banken in Nicht-EU Währungen, § 675d (6) BGB.

4. Vollharmonisierte Umsetzung und EBA-Mandate

Wie die PSD1 ist auch die PSD2 eine vollharmonisierte EU-Richtlinie. Das heißt, dass sie grundsätzlich EU-weit einheitlich umzusetzen ist und Mitgliedstaaten für Abweichungen nur einen begrenzten Spielraum haben, soweit ausdrücklich zugelassen. Zum anderen – und hier unter-scheidet sich PSD2 von PSD1 erheblich – erhält die European Banking Authority („EBA“) zur EU- Harmonisierung elf Mandate[4] zum Erlass aufsichtsrechtlicher Leitlinien („EBA Guidelines“) und Entwurf von Regulatory Technical Standards („EBA RTS“), die letztlich in unmittelbar geltende EU-Verordnungen der EU-Kommission münden, wie dies bereits nach der CRD-IV bzw. in der Wertpapieraufsicht nach MiFID II bekannt ist. Diese EBA-Maßnahmen werden sich erheblich auf den elektronischen Zahlungsverkehr und dessen IT-Organisation auswirken. Auch wenn das ZDUG in Deutschland bereits erlassen ist, sind einige EBA-Maßnahmen noch in der Konsultation und werden wohl erst vor Jahresende in finaler Fassung vorliegen. Beim EBA-RTS nach Art. 98 PSD2 zur starken Kundenauthentifizierung („SKA“) und zu sicheren Schnittstellen kommt es zu einer späteren Implementierung, wobei bei Redaktionsschluss dieses umstrittene RTS-Verfahren noch nicht abgeschlossen ist. Nach einem ersten Entwurf der EBA (EBA Final Report vom 23.02.2017, EBA/RTS/2017/02) hat die EU-Kommission diesen am 24.05.2017 zurückgewiesen, worauf die EBA einen zweiten Entwurf[5] („EBA RTS-E“) vorlegte. Die Annahme durch die Kommission sowie die erforderliche Mitwirkung des EU-Parlaments und des EU-Ministerrats, die bis zu drei Monate dauern kann[6], sind noch abzuwarten, so dass der RTS als EU-Verordnung vermutlich erst zum Jahreswechsel 17/18 veröffentlicht wird, dann allerdings erst 18 Monate später, also wohl erst im Sommer 2019 in Kraft tritt, Art. 37 EBA RTS-E.

5. Übergangsvorschriften und Zweistufige Implementierung

Für ZAG-Institute – und damit auch für Teil-Banken – ist die Beantragung einer neuen ZAG- Erlaubnis der BaFin nach § 66 (2) ZAG spätestens zum 27.01.2018 im Rahmen eines erleichterten Verfahrens anzuzeigen. Gleiches gilt für heutige E-Geld-Institute nach § 67 ZAG. Diese belastende Übergangsregelung wirkt ungewöhnlich, sie war allerdings durch Art. 109 PSD2 ohne Spielraum für den nationalen Gesetzgeber vorgegeben. Die Projekt- und Fristenverwaltung für diese Häuser hat daher akkurat § 66 ZAG zu beachten, da sonst zum 13.07.2018 die heutige ZAG-alt-Erlaubnis erlischt. Bei versäumten Anzeigefristen droht ein vollständig neues ZAG-Erlaubnisverfahren, ohne Erleichterungen. Dieses erleichterte Erlaubnisverfahren bedeutet, dass durch heute aktive ZAG-Institute nur die neuen PSD2-Erlaubnisvoraussetzungen zu IT-Sicherheits-, organisatorischen und strategischen Fragen der BaFin nachzuweisen sind, § 10 (2) S. 1 Nr. 6 bis 10 ZAG i. V. m. § 66 (2) ZAG. Antragsteller haben daher hierfür teilweise die bereits finalen EBA-Guidelines zum Erlaubnisverfahren[7] und zum Störfallmeldewesen[8], sowie den Entwurf der Guidelines zum IT-Sicherheitsmanagement[9] und zu jährlichen Betrugsberichten[10] zu beachten.

Für Drittdienstleister wie ZAD oder KID gilt bemerkenswerterweise nach Art. 115 Abs. 5 PSD2 eine liberalere Übergangsvorschrift. Soweit diese Dienste vor dem 12.01.2016 erbracht wurden, dürfen sie bis zum Wirksamwerden des EBA RTS, also ca. bis Sommer 2019, ohne ausdrücklich erteilte Erlaubnis tätig werden, § 68 (1), (2) ZAG. In dieser Übergangszeit bis zur zweiten Stufe der PSD2 sind Banken gleichwohl nicht berechtigt, Drittdienstleistern den Zugang zu ihren Zahlungskonten zu verweigern, § 68 (3) ZAG. Diese besondere Übergangsvorschrift für ZAD und KID führt zu einer Sondersituation, da alle PSD2-Änderungen im BGB sofort am 13.01.2018 in Kraft treten, auch wenn bereits aktive ZAD und KID noch keine ausdrücklich erteilte ZAG-Erlaubnis haben sollten.

Die PSD2 wird zweistufig nach Art. 15 (1) ZDUG umgesetzt, da die wichtigen Vorschriften zu den Schnittstellen zwischen ZAD, KID und Banken nach § 45 bis 52 ZAG sowie zur SKA nach § 55 ZAG erst mit Inkrafttreten des RTS SKA, also vermutlich Sommer 2019, greifen. Bis dahin hat die SKA weiterhin nach Maßgabe der MaSI zu erfolgen, § 68 (4) ZAG.

Die für alle Zahlungsdienstleister, also auch für Banken, relevanten Vorgaben an die IT- Sicherheitsorganisation und die Störfallanzeigen nach §§ 53, 54 ZAG werden allerdings sofort ab 13.01.2018 gelten. Die diesbezüglichen Anforderungen der BaFin aus den MaSI werden also bereits in Stufe 1 durch die neue gesetzliche Regelung verdrängt und wiederum durch neue Leitlinien der EBA in wichtigen Detailfragen ergänzt[11], die später durch die BaFin anzuwenden sind.

III. Verstärkter Wettbewerb um den Kundenkontakt mit Zahlungsauslöse- und Kontoinformationsdienstleistern

Nach langen Rechtstreitigkeiten zwischen der Deutschen Kreditwirtschaft (DK) und dem ZAD bzgl. der berechtigten Durchleitung von persönlichen Sicherheitsmerkmalen wie PIN und TAN im Online-Zahlungsauslöseverfahren bzw. in wettbewerbsrechtlicher Hinsicht bzgl. des Zugangs zu Zahlungskonten[12] erklärt nun die PSD2 die Tätigkeit von ZAD und KID, wie beispielsweise Sofortüberweisung, iDeal, Trustly und Figo, ausdrücklich für gesetzlich zulässig. Banken ist es daher nicht gestattet, diesen Drittdienstleistern den Zugang zu ihren Zahlungskonten zu verweigern, § 68 Abs. 3 ZAG. Diese Zulassung von ZAD und KID wird Banken rechtlich, technisch und strategisch fordern.

1. Aufsichtlicher Rahmen für Drittdienstleister und Banken

a) Aufsichtspflichtige Drittdienstleister

Die Erbringung von ZA-Diensten wird eine Erlaubnis der BaFin nach § 10 ZAG als Zahlungsinstitut erfordern. KID wiederum werden als Zahlungsinstitute nur im Institutsregister registriert – ohne ausdrückliche Erlaubnis, §§ 34, 43 ZAG. ZAD und KID unterliegen zwar den allgemeinen ZAG-Organisations- und Sicherheitsvorschriften, einschließlich der grundsätzlichen Anforderung an mindestens zwei zuverlässige und fachlich geeignete Geschäftsleiter. Sie unterliegen aber keinen Anforderungen an laufende Eigenmittel oder (Insolvenz-)Sicherungsanforderungen nach §§ 15, 17 ZAG, müssen hingegen eine spezifische Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie zur Absicherung Ihrer Haftung nach §§ 16, 36 ZAG[13] nachweisen. Sie profitieren wie alle Zahlungsinstitute vom EU-Pass mit Niederlassungs- und Dienstleistungsrecht, so dass sie zu europaweiten Diensten befugt sind, § 38 ZAG. Banken müssen sich daher nicht nur auf deutsche, sondern auch auf EU-Drittdienstleister vorbereiten.

b) IT-Schnittstellen zu Banken

Abweichend von den allgemeinen Bestimmungen für ZAD und KID (vgl. a), werden die für diese spezifischen Aufsichtsvorgaben nach § 49 und 51 ZAG erst mit der zweiten PSD2-Stufe gelten (vgl. oben, II.5.). ZAD und KID sind hiernach nicht berechtigt, Gelder von Nutzern zu halten. Sie sind verpflichtet, sich bei jeder Zahlungsauslösung oder Kommunikation gegenüber der Bank des Zahlers zu identifizieren und ausschließlich über sichere Kanäle zu kommunizieren, § 49 (2), (3) bzw. 51 (2), (3) ZAG. Der hierfür geltende, politisch stark umstrittene RTS SKA ist von der Kommission noch zu verabschieden, aber nach aktuellem Entwurfsstand ist zu erwarten, dass die Identifizierung von ZAD und KID nach der eIDAS-VO zu erfolgen hat. Nach Art. 33 EBA RTS-E werden hierfür qualifizierte Zertifikate für elektronische Siegel bzw. für die Website-Authentifizierung nach Art. 3 (30) bzw. (39) der eIDAS-VO (910/2014) gefordert sein. Aktuell strittig ist noch, ob und wie ZAD und KID auf die allgemeine oder nur auf eine dedizierte Kundenschnittstelle (API) bei Banken zugreifen dürfen. Ein für Banken nicht erkennbares „screen scraping“ nur unter Nutzung der allgemeinen Schnittstelle wie bisher wird künftig nicht mehr zulässig sein[14]. Nach der EBA sollen Banken die Wahl haben, den diskriminierungsfreien Zugang zu ihren Konten über eine dedizierte Schnittstelle oder über eine modifizierte allgemeine Kundenschnittstelle zu gewähren, Art. 30, 31 EBA RTS-E. Hiermit hat die EBA insbesondere den Vorschlag der Kommission zurückgewiesen, bei Nichtverfügbarkeit der dedizierten ZAD-/KID-Schnittstelle zwingend eine modifizierte allgemeine Schnittstelle bereit zu halten (keine „fall-back-Lösung“). Zur Vermeidung von Diskriminierungen auf Seiten der Drittdienstleister werden Banken aber wohl zu hoher Transparenz, Überwachung von KPI und Öffnung von Testzugängen spätestens drei Monate vor Wirksamwerden des RTS verpflichtet sein, vgl. Art. 29 (3)–(5), 30, 31, 32 EBA RTS-E. Unabhängig von den Details des finalen RTS steht jedoch fest, dass sich Banken rechtzeitig in rechtlicher und technischer Sicht mit den Anforderungen an die Schnittstellen für sichere Kommunikation mit ZAD und KID und deren Zugang zu online zugänglichen Zahlungskonten gemeinsam mit ihren technischen Dienstleistern/Rechenzentren vorzubereiten haben. Hierzu wird auch die Veröffentlichung von Verfügbarkeitsstatistiken bzw. von Kommunikationsplänen gehören, wie Drittdienstleister bei Störfällen zu informieren sind, Art. 31 (3); 32 EBA RTS-E. Die aufsichtsrechtlichen Pflichten der Drittdienstleister und Banken nach den §§ 45–52 und 55 ZAG sowie dem RTS werden aber wie gesagt erst im Sommer 2019 wirksam werden.

2. Zivilrechtliche Besonderheiten zwischen Drittdienstleistern und Banken

Zeitlich nicht konsistent zum Aufsichtsrecht werden Änderungen des BGB bereits in der ersten PSD2-Phase ab 13.01.2018 zivilrechtliche Besonderheiten begründen. So legt § 675f (3) BGB ein Recht des Bankkunden fest, ZAD und KID zu nutzen, auch ohne, dass diese einen Vertrag mit der Bank unterhalten müssen, es sei denn, das Zahlungskonto ist nicht online zugänglich. Wichtig und haftungsträchtig wird § 675p (2) BGB sein, der den Widerruf eines Zahlungsauftrags des Kunden ausschließt, sobald der Zahlungsvorgang über einen ZAD ausgelöst wurde. Eine Bank darf daher in diesem Fall einen Widerruf nicht mehr zulassen, da anderenfalls Haftungsrisiken gegenüber dem ZAD, der ggf. auf Grund der ihm zuvor erteilten Zustimmung bereits einem Akzeptanten gegenüber im Risiko ist, bestehen können. Andererseits wird ein Ausgleichsanspruch der Bank gegen den ZAD nach § 676a (1) BGB bestehen, falls die Ursache für eine Haftung der Bank gegenüber dem Bankkunden im Verantwortungsbereich des ZAD liegt. In Streitfällen hat der ZAD die Beweislast dafür, ob ein über ihn ausgelöster Zahlungsvorgang autorisiert oder ordnungsgemäß ausgeführt wurde, § 676a (2) und (3) BGB.

3. Strategische Bedeutung der Zulassung von Drittdiensten

Strategisch dürfen Banken die Bedeutung von Drittdiensten nicht unterschätzen. Sollte eine Bank in der Kundenwahrnehmung zunehmend hinter „Drittdienstleistern“ im elektronischen Zahlungsverkehr „verschwinden“, wird dies erhebliche Auswirkungen auf die Kundenbindung und -kommunikation haben, da der Kunde zunehmend den ZAD oder KID als „face-to-the-customer“ wahrnehmen wird. Die Zulassung von Drittdiensten durch die PSD 2 sollte durch Banken aber nicht nur als Bedrohung, sondern strategisch auch als Geschäftschance verstanden werden. Da jede Bank selbst berechtigt ist, Drittdienste anzubieten, kann auch sie im Wettbewerb um die Kundenkommunikation aktiv sein und passende Mehrwertdienste und innovative digitale Produkte wie ein „Personal Finance Management“ anbieten. Hierzu können sich auch Kooperationen mit FinTech-Unternehmen anbieten, die ggf. technologisch flexibler als bankeigene Ressourcen sein können. Soweit ein kooperierendes FinTech-Unternehmen selbst nur als technischer Dienstleister im Hintergrund bleibt, wird es auch ohne ZAG-Erlaubnis oder Registrierung technische Ressourcen anbieten können, um wiederum Banken bei der Erbringung von ZA- oder KI-Diensten zu unterstützen[15]. Mit Spannung ist also zu beobachten, wie die die Drittdienste liberalisierende PSD2 den elektronischen Wettbewerb um den Bankkunden befeuern wird.

IV. Neue aufsichtsrechtliche Organisationspflichten

1. Sicherheitsrisiken und Störfallmeldungen – § 53, 54 ZAG

Unabhängig von der Zulassung von Drittdiensten sieht die PSD2 bereits ab 13.01.2018 neue aufsichtsrechtliche Organisationspflichten für Banken vor. Die MaSI begründeten bereits für Internetzahlungen und AT 7.2 MaRisk ganz allgemein Risiko- und Sicherheitsmanagementvorgaben für Banken. Nach § 53 ZAG werden Banken nun speziell für alle Zahlungsdienste angemessene Risikomanagement- und Kontrollmechanismen zur Beherrschung operationeller und sicherheitsrelevanter Risiken anwenden müssen. Im Hinblick auf die in Konsultation befindliche Novellierung der MaRisk mit einer Verschärfung der Aufsicht über IT-Auslagerungen[16] sowie die in Ergänzung hierzu konsultierten BAIT[17], aber auch im Hinblick auf die neuen EBA-ICT SREP Guidelines[18] wird es nicht einfach sein den Überblick zu behalten, da die EBA auch nach PSD2 noch den Entwurf von Guidelines zu operationellen und Sicherheitsrisiken sowie zu statistischen Berichten über Betrugsfälle bei Zahlungsdiensten konsultiert[19], die die künftige aufsichtliche Praxis zu § 53 und 54 ZAG konkretisieren werden. Hier bleibt abzuwarten, ob die finalen EBA GL Security Risks tatsächlich einen für das IT-Risikomanagement noch nicht durch gängig verbreiteten „three-lines-of-defense“ Ansatz fordern wird (EBA Draft GL 1.5 Security Risks), der bisher eher aus der allgemeinen Compliancepraxis bekannt ist, und wie stark eine Erstreckung des IT-Risiko- und Sicherheitsmanagements auf Auslagerungsdienstleister betont wird. Bemerkenswert für Banken ist, dass diese – anlassunabhängig und über die bisherige MaSI-Praxis hinausgehend – zur Übermittlung einer (mindestens) jährlichen Bewertung der operationellen und sicherheitsrelevanten Risiken bei Zahlungsdiensten an die BaFin nach § 53 (2) ZAG verpflichtet sein werden.

Darüber hinaus liegen bereits finale EBA Guidelines zur Aufsichtspraxis bei schwerwiegenden Betriebs- oder Sicherheitsvorfällen vor, bei denen Banken nach § 53 ZAG – wie bisher bereits aus den MaSI bekannt – zur Meldung an die BaFin verpflichtet sind, die wiederum die EBA und die EZB hiervon unverzüglich unterrichten wird. Diese EBA GL Incident Reportings greifen nicht nur bei Störfällen im Verantwortungsbereich der Banken, sondern gerade auch bei einer Störwirkung aus der Sicht der Kunden, wenn für diese – ungeachtet einer Verantwortung der Bank – Zahlungskanäle oder -instrumente nicht mehr elektronisch verfügbar oder gestört sind. Da die aufsichtsrechtliche Meldepflicht auch bei Auslagerungslösungen stets bei der Bank verbleibt, hat diese bei Auslagerungsdienstleistern mindestens den Melde- und Informationsfluss an die Bank oder – vermutlich häufig – eine unmittelbare Meldung des Dienstleisters (unter Verantwortung) der Bank an die BaFin sicherzustellen[20]. Hier ist die finale deutsche Praxis der BaFin abzuwarten, ob dann ggf. auch Banken die Delegation von Störfallmeldungen stets vorab unter Vorlage des Auslagerungsvertrages der BaFin anzuzeigen haben, wovon die EBA auszugehen scheint, vgl. EBA GL 3.1 Incident Reporting. In jedem Fall werden Banken künftig auch gesetzlich nach § 54 (4) ZAG verpflichtet sein, deren Kunden über den Störfall und etwaige Reaktionsmaßnahmen zu unterrichten, soweit sich dieser auf die finanziellen Interessen des Kunden auswirken kann.

2. Starke Kundenauthentifizierung – § 55 ZAG

Die starke Kundenauthentifizierung („SKA“), mit mindestens zwei der drei Faktoren Wissen, Besitz oder Biometrie („Zwei-Faktor-Authentifizierung“) (§ 1 (24) ZAG), ist der Bankpraxis bereits nach den MaSI für Internetzahlungen bekannt. § 55 ZAG wird in Phase 2 der PSD2-Umsetzung ab ca. Sommer 2019 darüber hinausgehen und eine SKA fordern, wenn der „Zahler“ (i) online auf sein Zahlungskonto zugreift, (ii) einen elektronischen Zahlungsvorgang auslöst oder (iii) über einen Fernzugang eine sonstige Handlung mit Betrugs- oder Missbrauchsrisiko im Zahlungsverkehr vornimmt. Die gesetzlichen Pflichten zur Anwendung der SKA werden teilweise empfindlich in die Vertragsfreiheit, v. a. zwischen Banken und Kunden, aber auch internationaler Kartenzahlungssysteme eingreifen, ohne dass diese aufsichtlichen Pflichten im Kundenverhältnis – auch nicht gegenüber Unternehmen – abbedungen werden können. Da die verpflichtende SKA auch massiven Einfluss auf die Zahlungsabwicklung im Internethandel haben wird, sind die RTS-Entwürfe der EBA nach Art. 98 (2) PSD 2 umstritten und lösten viele Marktinterventionen aus. Aus dem zweiten EBA RTS-E werden manche Eckpunkte bereits heute der Projektorganisation einer Bank zu Grunde gelegt werden können:

a) Veränderungen zu den MaSI bei der Starken Kundenauthentifizierung

Im Vergleich zur bisherigen Praxis nach den MaSI wird sich Folgendes ändern:

  •  SKA greift nicht nur bei Internetzahlungen (so die MaSI), sondern für alle elektronischen Zahlungen, also auch elektronische Kartenzahlungen am POS-Terminal,
  •  auch der Online-Zugang eines Kunden zu seinem Konto wird eine SKA und damit in der Praxis neben der Eingabe der PIN noch ein Besitzelement (z. B. SMS-/Chip-TAN) oder ein biometrisches Merkmal erfordern,
  •  bei elektronischen Fernzahlungsvorgängen hat die SKA auch ein „dynamic linking“ zum Zahlungsbetrag und -empfänger zu umfassen, § 55 (2) ZAG,
  •  Banken sind zur Akzeptanz der gleichen Authentifizierungsmechanismen verpflichtet, auch wenn der Kunde über einen KID auf sein Konto zugreift oder über einen ZAD eine elektronische Zahlung auslöst, § 55 (3), (4) ZAG.

In welchem Umfang für den Kunden der Online-Zugang zu seiner „Bank-Plattform“ ggf. mit Zahlungs- und Wertpapierkonten und -depots nach Art. 10 EBA-RTS-E eine Ausnahme für Zugriffe 90 Tage nach einem ersten SKA-Zugriff gewähren wird, ist nach der finalen RTS-Fassung noch abzuklären. Wichtig für eine PSD2-Vorbereitung einer Bank ist, dass diese berechtigt, aber nicht verpflichtet ist, die im RTS zugelassenen Ausnahmen von der SKA anzuwenden, rec. 16 EBA RTS-E.

b) Ausnahmen nach EBA RTS und Überweisungsverkehr

Zunächst ist anzumerken, dass die EBA kein Mandat hat, die Fälle zu definieren, in denen die SKA verbindlich anzuwenden ist. Dies ist abschließend durch Art. 97 PSD2 bzw. § 55 ZAG erfolgt. Bei einer nach § 55 ZAG gegebenen Pflicht zur SKA ist die EBA nur berechtigt, die technische Art und Weise der SKA bzw. Ausnahmefälle hierzu zu bestimmen. Im Online-Überweisungsverkehr mit Verbrauchern werden die praktischen Auswirkungen für Banken, die bereits mobile TAN- Verfahren mit einem „Besitzinstrument“ (z. B. Smartphone, Tablet) einsetzen, überschaubar bleiben. Im Firmenkundenbereich hingegen wird es eine Einzelfallfrage sein, ob die jeweils eingesetzten Verfahren den SKA-Anforderungen entsprechen. Gerade der unternehmerische Zahlungsverkehr ist bei den Ausnahmen im RTS zwischen Kommission und EBA noch umstritten. Während die Kommission noch eine eigenständige, von bestimmten Betrugs- raten unabhängige Ausnahme für unternehmerische Zahlungen vorgesehen hat (vgl. Art. 18 Kommissionsvorschlag 24.05.2017), hat die EBA abweichend hiervon nur eine Corporate- Ausnahme in Art. 17 (2) (b) EBA RTS-E vorgeschlagen, falls eine durchschnittliche Betrugsrate von 0,005 % nicht überschritten wird. Für wiederkehrende Zahlungen und inhouse Zahlungen zwischen Konten des gleichen Kunden werden Ausnahmemöglichkeiten für Banken bestehen, Art. 14, 15 EBA RTS-E.

c) Starke Kundenauthentifizierung und Kartenzahlungen

Die größte Herausforderung kommt auf Banken bei elektronischen Kartenzahlungen[21] zu. Kreditkartenzahlungen im Internet haben eine große Bedeutung, werden aber im Regelfall noch ohne dedizierte SKA eingesetzt, was wiederum zur Zeit noch den Markterwartungen an einfache Verfahren entspricht. Eine verpflichtende SKA in e-commerce Transaktionen wird weder bei Kunden noch bei Händlern auf Gegenliebe stoßen, so dass sich gerade Banken als Issuer auf Anfragen zu Ausnahmen einstellen müssen. Für kontaktlose POS-Zahlungen ist eine Kleinbetragsausnahme bis max. 50,00 €, aber kumulativ nicht mehr als 150,00 € oder fünf Transaktionen zu erwarten, Art. 11 EBA RTS-E. Gleiches gilt für die elektronische Bezahlung an automatisierten Parkplatzterminals und bei Mautzahlungen, Art. 12 RTS-E. Für Kartenzahlungen ist noch zu beobachten, ob im finalen RTS die „trusted beneficiary“-Ausnahme (Art. 13 EBA RTS-E) gilt, da dies für die Issuing-Praxis bedeutsam ist. Bei Zulässigkeit müssen sich Banken darauf einstellen, dass Kunden „glaubwürdige“ Internet-Händler auf eine „white list“ setzen möchten, so dass die Bank auf eine SKA im Einzelfall bei diesen verzichten darf. Dies ist für die Kartenpraxis der Bank i. d. R. noch neu, sie muss aber bei e-commerce aktiven Bankkunden auf entsprechende Anfragen vorbereitet sein.

d) Risikobasierte Ausnahme

Auf Druck der e-commerce Wirtschaft wurde für elektronische Fernzahlungen eine risikobasierte Ausnahme geschaffen, Art. 17 EBA RTS-E. Anspruchsvoll hierbei ist, dass Banken auch vorheriges und atypisches Zahlungsverhalten sowie Betrugsanzeichen als Risikofaktoren berücksichtigen sollen, Art. 17 (2)(d); (3) EBA RTS-E. Hierbei dürfen die individuellen Gesamtbetrugsraten eines Issuers für Fern-Kartenzahlungen bestimmte, nach Betragsgrößen gestaffelte Schwellenwerte nicht überschreiten, wobei die Faustformel gilt „je geringer die Betrugsrate – desto höher der einsetzbare Schwellenwert“. Der Annex zu Art. 17, 18 EBA RTS-E legt für Fern-Kartenzahlungen Schwellenwerte von 100 € bei einer Gesamtbetrugsrate von 0,13 % bzw. 250 € bei 0,06 % oder 500 € bei 0,01 % fest. Bei der Entscheidung der Bank, ob diese risikobasierte Ausnahme eingesetzt wird, ist zu berücksichtigen, dass sie nach Art. 3 (2) EBA RTS-E eine mindestens jährliche Prüfung des Konzepts und der ermittelten Betrugsraten vorzunehmen hat, deren Bericht auf Anforderung der BaFin vorzulegen ist. Wird die risikobasierte Ausnahme nicht eingesetzt, ist eine allgemeine Revisionspflicht zur Compliance mit dem RTS nur nach allgemein gebotenen Zeitabständen gegeben, Art. 3 (1) (2)1. UA. EBA RTS-E. Umstritten ist noch, ob die gebotene unabhängige Prüfung durch erfahrene Innenrevisoren oder nur durch externe Prüfer erfolgen darf. Wie bei den anderen RTS-Ausnahmen muss sich auch hier die Bank auf entsprechende Kundenanfragen gefasst machen.

e) Internationaler Karteneinsatz

Wichtig für die Bankpraxis ist auch, dass geklärt werden konnte, dass es für den Einsatz einer deutschen Karte im Nicht-EWR-Ausland (z. B. Einsatz einer deutschen Kreditkarte bei Hotelreservierung und Kreditkartenacquirer in den USA,) aufsichtlich genügen wird, allgemeine Authentifizierungsstandards ohne SKA nach § 55 ZAG einzusetzen[22]. Gleiches gilt für den Einsatz von Nicht-EWR-Karten im Inland.

3. Neue Verfahren zur Streitbeilegung

Neu ist auch, dass Banken Beschwerde- und Streitbeilegungsverfahren zu den BGB-Vorschriften der PSD2 anzuwenden haben, wobei dies für jeden EWR-Staat gilt, in dem die Bank Zahlungsdienste anbietet – also auch im Cross- Border Angebot, § 62 (1), (2) ZAG. Beschwerden sind spätestens innerhalb von 15 Arbeitstagen zu beantworten, soweit nicht eine vorläufige Antwort mit Angabe der Gründe auf eine spätere Beantwortung hinweist, die nicht später als 35 Arbeitstage nach Beschwerdeeingang erfolgen darf, § 62 (3) ZAG. Bemerkenswert ist, dass nach § 62 (4) ZAG Informationspflichten über zuständige Verbraucherschlichtungsstellen bestehen, selbst wenn keine Websites oder AGB verwendet werden bzw. auch, falls es sich um einen unternehmerischen Kunden handelt, § 62 (4) ZAG.

V. Zivilrechtliche Änderungen im klassischen Bankkundenverhältnis

1. Beschränktes Entgelt bei Kartenverlust

Der neue § 675l S.3 BGB beschränkt nun eine Entgeltvereinbarung für den Ersatz verlorener oder missbräuchlich verwendeter Karten auf die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten. Nach dem jüngsten BGH-Urteil, das bisher bereits Entgeltvereinbarungen für die Ablehnung von Aufträgen nach § 675o (1) S. 4 BGB streng an den angemessenen und tatsächlichen Kosten ausrichtet[23], dürfte dies keine neue materielle Wirkung entfalten.

2. Unverzügliche Gutschrift bei nicht autorisierten Zahlungsvorgängen, § 675u BGB

Eine wichtige praktische Auswirkung hat die neue Pflicht einer Bank bei Anzeige nicht autorisierter Zahlungsvorgänge spätestens bis zum folgenden Geschäftstag dem Zahler den streitigen Zahlungsbetrag zu erstatten, § 675u S. 3–5 BGB. Einzige Ausnahme ist ein begründeter Betrugsverdacht beim Zahler und eine schriftliche Mitteilung der Bank dazu an eine zuständige Behörde, z. B. die lokal zuständige Staatsanwaltschaft. Nur in diesem Fall beschränkt sich die Pflicht auf eine unverzügliche Prüfung und Erstattung erst dann, wenn sich der Betrugsverdacht nicht bestätigt. Diese Pflicht trifft die Bank auch, wenn der Zahlungsvorgang über einen ZAD ausgelöst wird. Bei streitigen Onlinezahlungen kann der neue § 675u BGB empfindlich in die Kette des Kreditkartenclearings eingreifen, da sich die Acquirer und Akzeptanten auf kurzfristige Chargebacks einzustellen haben und Issuer ohne stark motivierte Karteninhaber (nach Gelderhalt) in Schwierigkeiten kommen, Zweifelsfälle aufzuklären.

3. Verschärfte Haftung, § 675v BGB

Bei verlorenen oder sonst abhanden gekommenen Karten kann die Regelhaftung des Zahlers nur noch bis zu einem Betrag von 50 € durchgesetzt werden. Dies gilt allerdings nicht, wenn es ihm nicht möglich war, den Verlust oder sonstigen Missbrauch rechtzeitig zu bemerken. Die abweichende Haftung des Zahlers nach § 675v (3) BGB bei vorsätzlicher oder grob fahrlässiger Pflichtverletzung (wie bisher) steht in Spannung zu Abs. 4, wonach der Zahler auch in diesen Fällen nicht zum Schadensersatz verpflichtet ist, wenn seine Bank eine SKA nicht verlangt oder der Zahlungsempfänger oder dessen Acquirer eine SKA nicht akzeptiert, es sei denn der Zahler hat in betrügerischer Absicht gehandelt. Dieses Haftungskonzept steht in evidentem Widerspruch zu den kommenden EBA RTS Ausnahmen zur SKA nach § 55 ZAG. Ist es denkbar, dass sich eine Bank aufsichtskonform mit Praktizierung einer SKA-Ausnahme verhält, dadurch aber dennoch ein gesteigertes Haftungsrisiko nach § 675v (4) BGB eingeht? Wohl kaum, auch wenn die Wortlaute der PSD2 sowie des ZDUG hierzu schweigen. Europarechtlich ist allerdings vorrangig die zweckgerichtete Auslegungsmethode heranzuziehen[24]. Richtigerweise sollte in richtlinienkonformer Auslegung der PSD2 mit dem ausdrücklichen EBA Mandat zur Bestimmung zulässiger SKA-Ausnahmen nach Art. 98 PSD2 die verschärfte Haftung nach § 675u (4) BGB nur greifen, wenn ein Issuer oder ein Acquirer „rechtswidrig“ die SKA nicht anwendet, also unter Verstoß gegen geltendes Aufsichtsrecht.

4. Erstattungen bei Lastschriften und surcharging-Verbot

Die PSD2 räumt Bankkunden bei Lastschriften nun schon ein gesetzliches Erstattungsrecht ein, ohne dass dies künftig (wie heute) gesondert vereinbart werden muss, § 675x (2) BGB. Dies gilt für alle auf Euro lautenden SEPA-Basis- als auch SEPA-Firmenlastschriften[25]. Abweichend von PSD1 regelt § 270a BGB nun für Zahlungsempfänger ein ausdrückliches surcharging-Verbot für die Nutzung von SEPA- Lastschriften oder SEPA-Überweisungen. Bei einer Zahlungskarte gilt dies nur bei Zahlungsvorgängen mit Verbrauchern, wenn auf diese die Entgeltbegrenzung nach der Interchange-Verordnung (EU/751/2015) anwendbar ist.

PRAXISTIPPS

  • Bei Implementierung der PSD2 muss das zweistufige Wirksamwerden des ZAG zum 13.01.2018 sowie mit dem RTS zum Sommer 2019 beachtet werden. Teilbanken mit ZAG -Erlaubnis müssen rasch eine neue ZAG -Erlaubnis nach PSD2 beantragen, um die alte ZAG -Erlaubnis nicht ab 13.07.2018 zu verlieren.
  • Das neue ZAG wird Banken stärker betreffen als das ZAG nach PSD1, da bei der Ausrichtung der IT-Sicherheitsorganisation nach den künftigen MaRisk und BAIT auch die neuen EBA-Guidelines zum Störfallmanagement, zu den IT-Sicherheitsrisiken und zum fraud reporting im Zahlungsverkehr nach PSD2 umgesetzt werden müssen. Hierzu gehören auch die rechtzeitige Einbindung von Auslagerungsdienstleistern und die Sicherstellung statistischen Materials für das Betrugsreporting an die BaFin.
  • Strategisch sollte die Auswirkung der Drittdienstleistungen auf die elektronische Kommunikation der Bank mit ihren Kunden bewertet werden. Rechtlich muss hierbei das Haftungsrisiko im Umgang mit widerrufenen Aufträgen durch Kunden nach § 675p (2) BGB beachtet werden.
  • Eine Bank sollte sich rechtzeitig auf die Behandlung von Kundenanfragen zum Umgang mit RTS-Ausnahmen zur starken Kundenauthentifizierung vorbereiten und die Auswirkungen im Firmenkundengeschäft frühzeitig beachten. Hierbei sollten Prüfaufwände nach Ar t. 3 EBA RTS-E bei Anwendung der risikobasierten Ausnahme nach Ar t. 17 EBA RTS-E berücksichtigt werden.
  1. BGBl. 2017, 2.446.
  2. BaFin Rundschreiben 5/2015, „Mindestanforderungen an die Sicherheit von Internetzahlungen“.
  3. Vgl. Amtl. Begründung ZDUG, BT-Drs. 18/11495, S. 104.
  4. Artt. 10, 16 EU-Verordnung 1093/2010.
  5. EBA-Op-2017-09 vom 29.06.2017.
  6. Vgl. Art. 13 Abs. 1 EU-Verordnung 1093/2010.
  7. Final EBA GL Authorization v. 11.07.2017, EBA/ GL/2017/09.
  8. Final EBA GL Incident Reporting vom 27.07.2017,

    EBA/GL/2017/10.

  9. EBA Draft GL Security Risks vom 05.05.2017,

    EBA/CP/2017/04.

  10. EBA Draft GL Fraud Reporting vom 02.08.2017,

    EBA/CP/2017/13.

  11. Vgl. EBA GL/2017/10 Incident Reporting, EBA Draft GL Security Risks und EBA Draft GL Fraud Reporting.
  12. Vgl. nrk Beschl. des Bundekartellamt vom 29. 06.2016 (B 4-71/10).
  13. Vgl. zusätzlich Final EBA GL Professional Indemnity Insurance vom 07.07.2017, EBA/GL/2017/07.
  14. Vgl. EBA-Op-2017-09 vom 29.06.2017, S. 8; Schmidt/Reinshagen/BaFin, GSK PSD2 Konferenz 17.05.2017, S. 26, https://www.gsk.de/de/veranstaltungen/veranstaltungsarchiv
  15. Vgl. hierzu Eschenlohr und Bernau, GSK PSD2- Konferenz 17.05.2017 (Fn. 14), Drittdienstleister und FinTech-Kooperationen.
  16. BaFin-Konsultation MaRisk 1/2016, AT 9.
  17. BaFin-Konsultation Bankaufaufsichtliche Anforderungen an die IT (BAIT) 02/2017.
  18. EBA Final Guidelines on ICT Risk Assessment under SREP vom 11.05.2017, EBA/GL/2017/05.
  19. Vgl. EBA Draft GL Security Risks (Fn. 9) und EBA Draft GL Fraud Reporting (Fn. 10).
  20. EBA GL/2017/10 Incident Reporting GL 3.1.
  21. Für handschriftlich bestätigte Kartenzahlungen konnte geklärt werden, dass diese nicht der SKA unterfallen (vgl. Bericht des Finanzausschusses, BT-Drs. 18/12568, S. 153).
  22. Vgl. Bericht des Finanzausschusses , BT-Drucksache 18/12568, S. 153, 154.
  23. Vgl. BGH-Urt. v. 12.09.2017 – XI ZR 590/15.
  24. EuGH-Urt. v. 18.03.2017 („Martini”) (C-211/12).
  25. Vgl. vgl. Amtl. Begründung ZDUG, BT-Drs. 18/11495, S. 82.

 

Beitragsnummer: 89256

Entgelt für Einzahlungen am Bankschalter nur dem Grunde nach wirksam

Prof. Dr. Hervé Edelmann, Rechtsanwalt und Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner

In seiner Entscheidung vom 18.06.2019, Az. XI ZR 768/17, hält der Bundesgerichtshof zunächst fest, dass in der Bepreisung von Bareinzahlungen und Barauszahlungen am Bankschalter eine Hauptpreisvereinbarung zu sehen ist, mit der Folge, dass eine entsprechende Entgeltklausel im Grundsatz der Inhaltskontrolle entzogen ist; dies unabhängig davon, ob eine Freipostenregelung enthalten ist oder nicht (Rn. 24 ff.).

SEMINARTIPPS

Praxisprobleme in Kontoführung & Zahlungsverkehr, 29.10.2020, Würzburg.

(Un)Zulässige Bankentgelte, 24.11.2020, Frankfurt/M.

Dessen ungeachtet hält der Bundesgerichtshof weiter fest, dass entgegen seiner bisherigen Grundaussage eine Hauptpreisabrede jedenfalls dann kontrollfähig ist, wenn diese Hauptpreisabrede gegen eine gesetzliche Preisregelung verstößt (Rn. 51 ff.). Dem stünde auch die Norm des § 675f Abs. 5 S. 1 BGB nicht entgegen. Denn anders als in Rechtsprechung und Literatur teilweise vertreten, enthalte § 675f Abs. 5 S. 1 BGB keine Regelung darüber, dass die Höhe des Entgelts für die Erbringung von Zahlungsdiensten bis zur Grenze der Sittenwidrigkeit gem. § 138 BGB zulässig und AGB-rechtlich kontrollfrei sein soll. Vielmehr treffe § 675f Abs. 5 S. 1 BGB lediglich eine Regelung darüber, dass der dort angesprochene Zahlungsdienst dem Grunde nach bepreisbar ist, wohingegen eine Aussage zur zulässigen Entgelthöhe darin nicht enthalten ist (Rn. 60). Insofern könne § 675f Abs. 5 S. 1 BGB nur insofern als lex specialis angesehen werden, als die Vereinnahmung des Entgelts als im Grundsatz zulässig angesehen wird. Hinsichtlich der Höhe des Entgelts würden daher die allgemeinen Regelungen gelten, weswegen die Höhe des Entgelts AGB-rechtlich überprüfbar sei, soweit dies durch gesetzliche Preisregelungen vorgesehen werde (Rn. 60).

Hiervon ausgehend hält der Bundesgerichtshof sodann fest, dass eine solche (nur) zu Gunsten des Verbrauchers im vorliegenden konkreten Fall eingreifende Preisregelung § 312a Abs. 4 Nr. 2 BGB darstelle, wonach eine Vereinbarung, durch die ein Verbraucher verpflichtet wird, ein Entgelt dafür zu zahlen, dass er für die Erfüllung seiner vertraglichen Pflichten ein bestimmtes Zahlungsmittel nutzt, dann unwirksam ist, wenn das vereinbarte Entgelt über die Kosten hinausgeht, die dem Unternehmer durch die Nutzung des Zahlungsmittels entstehen (Rn. 52). Nachdem wiederum die betroffene Preisklausel den Darlehensnehmer bei kundenfeindlichster Auslegung auch dazu verpflichtet, ein Entgelt auch für solche Bareinzahlungen zu entrichten, mit welchen der Verbraucher einen auf seinem Girokonto bestehenden Sollsaldo zurückführe, wodurch der Darlehensnehmer seiner vertraglichen Verpflichtung zur Rückzahlung seines Darlehens nachkomme, sei das vereinbarte Entgelt nur dann wirksam, wenn dieses Entgelt gem. § 312a Abs. 4 Nr. 2 BGB nicht über die Kosten hinausginge, die dem Unternehmer durch die Nutzung des Zahlungsmittels entstehen (Rn. 52 u. 56).

BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

Nachdem das Berufungsgericht nicht festgestellt hatte, ob die Vorgaben des § 312a Abs. 4 Nr. 2 BGB bei der Festlegung der Höhe des Entgelts erfüllt sind, wurde die Angelegenheit zur erneuten Verhandlung gem. § 563 Abs. 1 S. 1 ZPO zurückverwiesen (Rn. 73). Für das weitere Verfahren weist der BGH darauf hin, dass dann, wenn der Unternehmer einen Zahlungsdienstleister einschaltet, zu den dem Unternehmer durch die Nutzung des Zahlungsmittels entstehenden Kosten jedenfalls die Entgelte gehören, welche der Unternehmer aufgrund eines Zahlungsdienstevertrages an den Zahlungsdienstleister für die Erbringung eines mit der Annahme des Zahlungsmittels im Zusammenhang stehenden Zahlungsdienstes zu entrichten hat (sog. Transaktionskosten; Rn. 75). Daneben oder stattdessen könnten auch andere transaktionsbezogene Kosten umlagefähig sein, wenn und soweit sich deren Anfall und Höhe noch unmittelbar auf einen auf das in Rede stehende Zahlungsmittel bezogenen konkreten Nutzungsakt zurückführen lassen, es sich also um transaktionsbezogene Kosten handelt (Rn. 77). Dabei kann auch ein dem Unternehmer durch die Nutzung des konkreten Zahlungsmittels entstehender konkreter Personalmehraufwand transaktionsbezogen sein. Nicht umlagefähig sind dagegen Gemeinkosten, deren Anfall und Höhe von dem konkreten Nutzungsakt losgelöst sind, wie z. B. allgemeine Personalkosten, Schulungskosten oder Kosten für Geräte und Software (Rn. 78).

PRAXISTIPP

Der Bundesgerichtshof folgt mit seiner Entscheidung den bereits vom Oberlandesgericht Karlsruhe in seinem Urt. v. 26.06.2018, Az. 17 U 147/17, im Zusammenhang mit dem für Münzgeldeinzahlungen erhobenen Entgelt aufgestellten Grundsätzen. Denn in seiner diesbezüglichen Entscheidung hatte bereits das Oberlandesgericht Karlsruhe das Entgelt für Münzgeldeinzahlungen lediglich dem Grunde nach als Hauptpreisabrede für AGB-rechtlich nicht kontrollfähig angesehen, die AGB-Kontrolle jedoch in Bezug auf die Höhe der Kosten gem. § 312a Abs. 4 Nr. 2 BGB eröffnet und ebenfalls ausgeführt, dass entgeltpflichtig nur sog. transaktionsbezogene Kosten sind, nicht jedoch allgemeine Betriebskosten wie Kontoführungsgebühren, Schulungskosten, Software-Kosten. Insofern steht nunmehr fest, dass die Entgeltregelungen im Zahlungsdiensterecht dann keine abschließenden lex specialis-Regelungen sind, wenn diese hinsichtlich der konkreten Höhe der zu erhebenden Entgelte keine Regelung enthalten.

Nachdem der Bundesgerichtshof in seiner vorstehenden Entscheidung (vgl. z. B. Rn. 38 u. 42 am Ende) festgehalten hat, dass durch die betroffene Klausel nicht nur Bareinzahlungen und Barauszahlungen betroffen sind, sondern grundsätzlich sämtliche Buchungsvorgänge, die aufgrund einer persönlichen Vorsprache des Kunden am Bankschalter durchgeführt werden, müssen Kreditinstitute in Zukunft für alle Buchungsvorgänge am Bankschalter, mit denen der Kunde, wenn auch nur theoretisch, vertragliche Pflichten erfüllen könnte, zwar ein Entgelt verlangen. Dieses Entgelt muss jedoch dann nur transaktionsbezogene Kosten i. S. v. § 312a Abs. 4 Nr. 2 BGB beinhalten. Damit kann die Bank zwar nach wie vor auch für die Erbringung von Zahlungsdiensten ein Entgelt verlangen, muss hierbei jedoch stets prüfen, ob nicht Preisregelungen wie § 312a Abs. 4 Nr. 2 BGB eingreifen könnten, welche allerdings, worauf der BGH in Rn. 71 hinweist, nur auf Verbraucherdarlehensverträge anwendbar sind und nicht auch auf Kreditverträge mit Unternehmern.

 

 

Beitragsnummer: 88671

Das neue Geldwäschegesetz



Gesetzentwurf zur Umsetzung der Änderungsrichtlinie zur 4. EU-Geldwäscherichtlinie (5. EU-Geldwäscherichtlinie).

Ass.-jur. Franziska Horstmann LL.M, stellvertretende Geldwäschebeauftragte, Compliance, Norddeutsche Landesbank Girozentrale Hannover.

     

I. Die Umsetzung der Richtlinie in nationales Recht

Mit der Richtlinie (EU) 2018/849 vom 30.05.2018 wurde die 4. EU-Geldwäscherichtlinie (EU) 2015/849 geändert.

Die Mitgliedstaaten haben bis zum 10.01.2020 Zeit, die Vorgaben der Richtlinie in nationales Recht umzusetzen. Das deutsche Umsetzungsgesetz soll voraussichtlich bereits zum 01.01.2020 in Kraft treten.

Aktuell liegen sowohl ein Regierungsentwurf als auch eine Stellungnahme des Bundesrates zu diesem Entwurf vor. Der Regierungsentwurf enthält einige Änderungen, die gravierende Auswirkungen für die tägliche Bankenpraxis haben dürften. Zusätzlich zu diesen Änderungen lässt der Entwurf leider einige Fragen weiterhin offen, die für eine praxisgerechte Umsetzung der gesetzlichen Vorgaben dringend einer Klärung bedürften.

II. Die wesentlichen Änderungen im Einzelnen

Im Folgenden sollen die wesentlichsten Änderungen und einige noch immer offene Punkte in einem kurzen Überblick dargestellt werden.

1. Nutzung des Transparenzregisters

Aktuell ist die Einsichtnahme in das Transparenzregister, wenn es um die Identifizierung eines Geschäftspartners geht, freiwillig. Dies soll sich jedoch mit dem ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Bachelorwissen Bankrecht: AGB in der Kreditwirtschaft

Prof. Dr. Patrick Rösler, Rechtsanwalt, Vorstandsvorsitzender FCH Gruppe AG und Professor für Bankrecht an der Allensbach Hochschule

Bedeutung der AGB-Banken und AGB-Sparkassen

Allgemeine Geschäftsbedingungen sind in der Wirtschaft weit verbreitet, sie vereinfachen Geschäftsbeziehungen deutlich durch Standardisierung und Typisierung. Im Massengeschäft sind sie kaum wegzudenken, stellen sie doch eine kostensenkende Rationalisierungsmaßnahme dar und bringen Rechtssicherheit und eine gewisse Vergleichbarkeit ins Bankgeschäft und dessen Produkte. Die Banken haben bereits Anfang des 20. Jahrhunderts über ihre Verbände begonnen, die AGB der Häuser zu vereinheitlichen. Im Laufe der Jahrzehnte bildeten sich die AGB-Banken und AGB-Sparkassen heraus, die in mehreren Änderungen der sich weiterentwickelnden Produktlandschaft und der schärferen rechtlichen Rahmenbedingungen Rechnung tragen mussten. Sie werden regelmäßig gegenüber allen Privatkunden und Unternehmenskunden in die Geschäftsbeziehung einbezogen[1].

Der Bankenverband oder BdB und der BVR haben sich auf die AGB-Banken verständigt. Der DSGV hat inhaltlich praktisch identische Regelungen getroffen, die AGB-Sparkassen unterscheiden sich von denen der Privatbanken aber in einzelnen Bestimmungen und auch in der Nummerierung nicht unerheblich. Damit nutzen praktisch alle Banken und Sparkassen in Deutschland zumindest sehr ähnliche AGB, womit das Bankgeschäft insgesamt auf diesem einheitlichen Standard aufbaut und abgewickelt werden kann.

SEMINARTIPPS

Entgelte & Gebühren, 25.11.2019, Köln.

(Un)Zulässige Bankentgelte, 24.11.2020, Frankfurt/M.

 

Die privatrechtlichen Beziehungen zwischen Bank und Kunde werden mit den AGB der Kreditinstitute konkretisiert. Darum kommen ihnen für die gesamte Geschäftsbeziehung eine überragende Bedeutung zu. Neben den AGB-Banken/-Sparkassen stehen zahlreichen Sonderbedingungen für spezielle Produkte, die im Rechtssinne ebenfalls als allgemeine Geschäftsbedingungen zu qualifizieren sind. Diese gibt es z. B. für

  • Überweisungsverkehr
  • Scheckverkehr
  • MasterCard und VisaCard
  • Sparverkehr
  • Lastschriftverkehr
  • Online-Banking
  • Wertpapiergeschäfte
  • Termingeschäfte
  • Anderkonten und Anderdepots von Notaren

AGB und AGB-Recht, §§ 305 ff. BGB

AGB sind von einer Seite (der Bank) für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen. Darunter fallen also die AGB-Banken und AGB-Sparkassen genauso wie die Sonderbedingungen der Häuser und die Formularverträge. Letztlich sind alle von der Bank vorformulierten Texte zur mehrfachen Verwendung als AGB zu qualifizieren.

Nur wenn einzelne Klauseln zwischen Bank und Kunde wirklich ausgehandelt werden, liegen keine AGB vor und die Klausel unterliegt als Individualvereinbarung nicht der Kontrolle durch die §§ 305 ff. BGB. Im Massengeschäft, auch mit Firmenkunden, wird dies regelmäßig unmöglich sein, genügt es doch für die Qualifizierung als AGB, dass die mehrfache Verwendung einer Klausel nur beabsichtigt ist. Dabei müssen die Klauseln nicht schriftlich vorgegeben sein gegenüber dem Kunden. Es genügt im Ergebnis zur Qualifizierung als AGB, wenn der Kundenberater aus dem Kopf oder aus internen Arbeitsanweisungen immer wieder dieselben Klauseln gegenüber dem Kunden verwendet.

BUCHTIPPS

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

Münscher/Grziwotz/Krepold/Freckmann (Hrsg.), Praktikerhandbuch Baufinanzierung, 4. Aufl. 2017.

Praktisch alle von der Bank vorgegebenen Texte und Muster sind als AGB zu qualifizieren und unterliegen dementsprechend der AGB-Kontrolle nach §§ 305 ff. BGB.

Damit AGB in einem Vertragsverhältnis wirksam werden, müssen sie nach den Vorgaben des § 305 Abs. 2 BGB in den Vertrag wirksam einbezogen werden. Allgemeine Geschäftsbedingungen werden danach nur Bestandteil eines Vertrags, wenn die Bank bei Vertragsschluss den Kunden ausdrücklich auf sie hinweist und ihm die Möglichkeit verschafft, in zumutbarer Weise von ihrem Inhalt Kenntnis zu nehmen. Ein ausdrücklicher Hinweis in der Vertragsurkunde muss drucktechnisch hervorgehoben sein und sollte auf Seite 1 und nicht auf der Rückseite eines Formulars zu finden sein, so dass der durchschnittliche und flüchtig lesende Kunde von der Einbeziehung der AGB Kenntnis nehmen kann. Die AGB selbst sind im Idealfall auszuhändigen. Beim Online-Banking müssen die AGB durch aktive Auswahl eines Kreuz-Feldes oder ähnlicher Funktionen aktiv dem Nutzer zur Information angeboten werden, damit sie in den Vertrag einbezogen werden.

Beim Einbeziehen der AGB ist auch auf eine für die Bank erkennbare körperliche Behinderung des Kunden Rücksicht zu nehmen. Blinden Kunden wird man also keine normale Textfassung der AGB aushändigen können, damit diese Vertragsbestandteil werden.

Die AGB können für die gesamte Geschäftsverbindung im Voraus vereinbart werden, das regelt ausdrücklich § 305 Abs. 3 BGB. Werden mit dem Kunden individuelle Vereinbarungen getroffen, die im Widerspruch zu den AGB stehen, treten die AGB vor den Individualvereinbarungen zurück (funktionales Rangverhältnis, § 305b BGB).

Da allgemeine Geschäftsbedingungen in der Regel vom wirtschaftlich stärkeren Vertragspartner in die Geschäftsbeziehung eingebracht werden, setzt das Gesetz Grenzen für deren Inhalt. Diese Grenzen werden bei der Berufung auf AGB in Einzelfällen von den Gerichten überprüft oder sind abstrakt Gegenstand von Verfahren der Verbraucherverbände gegen Banken nach §§ 1 ff. UKlaG. Die AGB-Inhaltskontrolle durch die Gerichte soll also die Waffengleichheit zwischen Bank und Kunde in gewisser Weise wiederherstellen.

Die wichtigsten Kontrollnormen des AGB-Rechts im Hinblick auf die AGB-Regelungen in der Kreditwirtschaft im Überblick:

  • Überraschende Klauseln werden schon gar nicht Vertragsbestandteil, § 305c Abs. 1 BGB. Sofern der Klausel ein Überrumpelungs- oder starkes Überraschungsmoment innewohnt, qualifiziert der BGH die Klausel als überraschend. Standardbeispiel: Die formularmäßige Sicherungszweckerklärung zur Grundschuld sichert über den Anlass der Grundschuldbestellung hinaus weitere Kredite dritter Personen (weite Sicherungszweckerklärung). Diese Sicherungszweckerweiterung ist in der Regel überraschend und damit unwirksam.
  • Unklarheitenregel und Transparenzgebot, § 305c Abs. 2 BGB, unklare oder intransparente Klauseln sind unwirksam. Eine geltungserhaltende Reduktion gibt es hier nicht, vielmehr wird nach dem Prinzip der kundenfeindlichsten Auslegung die nachteiligste Version der Klausel vor Gericht bei einem Rechtsstreit zur Überprüfung herangezogen.
  • Unangemessene Benachteiligung, § 307 BGB. Klauseln, welche den Kunden unangemessen benachteiligen, sind unwirksam. Wichtige Anwendungsfälle sind das Abweichen von einer gesetzlichen Regelung durch die Klausel oder der Fall, dass die Klausel das Erreichen des Vertragszwecks gefährdet.

Unter die Fälle der unangemessenen Benachteiligung fallen auch die unzulässigen Entgelte[2]. Hauptpreise wie Zinsen oder Kontoführungsentgelte können nicht anhand der AGB-Kontrolle kontrolliert werden, hier gilt die Privatautonomie. Nebenleistungen, welche die Bank bepreisen will und die keine Sonderleistung für den Kunden darstellen, werden regelmäßig anhand der AGB-Kontrolle überprüft und genauso regelmäßig für unzulässig erklärt. Der BGH will damit erreichen, dass der Kunde über einen Preis (beim Darlehen der Zinssatz) und über die Kosten informiert ist und diese mit anderen Angeboten leicht vergleichen kann. Beispiele für unzulässige Entgelte: Entgelt für den Abschluss eines Darlehensvertrages, Entgelt für die Erteilung einer Löschungsbewilligung, Entgelt für die Bearbeitung eines Freistellungsauftrages, Entgelt für die Überziehung eines Dispokredits.

Ist eine Klausel unwirksam, wird sie nicht Vertragsbestandteil. An ihre Stelle tritt das gesetzliche Recht. Der übrige Teil des Vertrages und damit der Vertrag selbst bleiben wirksam.

Merksätze

  • Die Bank wird ihre AGB jeder Geschäftsbeziehung zugrunde legen.
  • Außer den AGB-Banken/-Sparkassen selbst werden alle Muster und Texte, welche die Bank dem Kunden vorlegt, als allgemeine Geschäftsbedingungen zu qualifizieren sein.
  • Hauptproblem für AGB ist die richterliche Kontrolle. Klauseln, die überraschend sind oder den Kunden unangemessen benachteiligen, sind unwirksam und werden nicht Vertragsbestandteil. Bei den Entgelten können Nebenleistungen in der Regel nicht bepreist werden, da eine solche Vereinbarung AGB-rechtlich unwirksam wäre.

Infos zum BWL-Bachelor (B.A.) mit Schwerpunkt Banking der Allensbach Hochschule im Online-Studium, das auch berufsbegleitend möglich ist: https://www.fc-heidelberg.de/hochschulweiterbildung/bachelor-finance/

  1. Ausführlich zur Entstehung, Aufgabe und Bedeutung Bunte: Die allgemeinen Geschäftsbedingungen der deutschen Banken, in: Schimansky/Bunte/Lwowski (Hrsg.), Bankrechts-Handbuch, Band I, 5. Aufl. 2017, S. 96 ff.
  2. Vgl. dazu Blauß, CompRechtsPraktiker 2019 S. 178: Bankgebühren – die „never ending story“ und Rösler, BankPraktiker 2019 S. 135: Zulässigkeit von Entgelten bei Krediten: Systematisches AGB-Recht oder nicht nachvollziehbares Case-Law des BGH?

    Aktuell und exemplarisch auch BGH v. 19.02.2019 – XI ZR 562/17 zu Entgelten im Kreditbereich und BGH v. 18.06.2019 – XI ZR 768/17 zu Entgelten für bare Ein- und Auszahlungen.

Beitragsnummer: 86935

Libra

Markus Thiedtke, Senior Spezialberater Zahlungsverkehr, Deutsche Bank Hamburg

„Der vorstehende Beitrag spiegelt ausschließlich persönliche Einschätzungen und Annahmen des Autors wider und stellt keine offizielle Verlautbarung der Deutschen Bank dar.“

Fünf Fragen, die sich Bankmitarbeiter zu Libra jetzt stellen (sollten)

  1. Was ist Libra genau?
  2. Wie stabil wird Libra sein?
  3. Wer wird Libra kontrollieren?
  4. Wir kritisch sollte man zu Libra sein und warum?
  5. Sind Währungen auf der Welt bedroht?

1. Was ist Libra genau?

Libra ist der privatwirtschaftliche Ansatz eine (digitale) Weltwährung zu etablieren. Initiator ist Facebook unter Beteiligung einiger dutzend Unternehmen, die sich in die Idee „Einkaufen“. Libra basiert auf einer Open Source Blockchain und wird mit einer eigenen Programmiersprache Libra Move entwickelt. Der Wert von Libra wird anhand eines Währungskorbs ermittelt. Welcher das ist, wird von der dahinterliegenden Gesellschaft Libra Association selbst festgelegt.

2. Wie stabil wird Libra sein?

Libra investiert seine zur Verfügung stehenden Gelder in sicheren Wertanlagen der „Old Economy“, die zu 100 % den Deckungsstock bilden sollen – ein ähnliches Modell, wie es z. B. in Hong Kong mit dem Currency Board existiert. Sofern lokale Währung in Libra getauscht werden soll, z. B. um Geld ein- oder auszuzahlen, wird ein Wechselkurs der jeweiligen Währung ermittelt – z. B. Libra/EUR oder Libra/USD. Diese Wechselkurse werden schwanken, so wie wir es auch von anderen Währungspaaren gewohnt sind (USD/EUR oder GBP/CHF). Die Schwankungen bei BITCOIN sind den meisten sicher geläufig, das ist vergleichbar. So lange also Gehälter, Umsätze etc. nicht in Libra gezahlt werden, sind die Nutzer diesen Schwankungen unterworfen. Weiterhin gibt es diverse andere Auswirkungen auf den Wert durch Negativzinsen bei Papieren, Ausfall von einzelnen Wertpapieren, Betrugsversuchen oder willkürlichen Änderungen an der Zusammensetzung. Falls Libra zu einem späteren Zeitpunkt nicht nur für Zahlungsverkehr, sondern auch weitere Dienstleistungen wie Kredite genutzt wird, entstünde neues Geld (Vergrößerung der Geldmenge), was sich ebenfalls auf den Wert der Libra auswirken wird.

SEMINARTIPPS

Geschäftsmodell-Analyse im Fokus der Aufsicht – Prüfungserfahrungen, 07.05.2020, Frankfurt/M.

FCH Innovation Days 2020, 15.–16.06.2020, Berlin.

Digitale Authentifizierung im Konten- & Zahlungsverkehr gemäß PSD II, 29.09.2020, Frankfurt/M.

Praxisprobleme in Kontoführung & Zahlungsverkehr, 29.10.2020, Würzburg.

3. Wer wird Libra kontrollieren?

Gerade zum jetzigen Zeitpunkt eine sehr theoretische Frage. Bei der Libra Association soll es sich um eine unabhängige Not-for-profit-Organisation handeln. Facebook ist über eine Gesellschaft namens Callibra, die als Wallet-Provider (zunächst der einzige) fungiert, beteiligt. Facebook hat wie alle anderen Partner nur eine Stimme, der Einfluss geht sicher allerdings über die tatsächliche Stimme hinaus. Zum Start sollen ca. 100 Partner dabei sein.

4. Wie kritisch sollte man zu Libra sein und warum?

Es gibt viele Gründe, dass Libra die Zahlungsströme der Welt ganz schön durcheinander würfeln kann. Die teilweise sehr heftigen Reaktionen von Staaten und Nationalbanken lassen darauf schließen, dass hier etwas Großes entstehen kann. Auch wenn es noch viele Fragen im Detail gibt, steht eines fest: Libra ist der erste Anlauf eine globale und darüber hinaus private Weltwährung zu initiieren. Die Auswirkungen, gerade bei offener Rechtslage und fehlender Kontrolle, können erheblich sein. Trotz Lücken bei Datenschutz und Sicherheit nutzen weltweit Millionen Menschen WhatsApp, Facebook und die anderen Dienste des Konzerns. Wenn der Umgang mit Geld ebenfalls so lax wird, kann man die möglichen Risiken daraus kaum greifen. Anfang Oktober wurde der Druck auf einige Libra-Partner scheinbar zu groß. Unter anderem Mastercard, Visa und eBay haben ihr aktives Engagement erstmal zurückgestellt.

BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

5. Sind Währungen auf der Welt bedroht?

Es gibt kaum eine Glaskugel, die milchiger ist. Durch den Euro haben wir Europäer gelernt, wie schön es sein kann nur eine Währung zu haben. Vieles ist für uns einfacher geworden, doch die Regulierung ist stets dabei Fehlentwicklungen zu beobachten und bei Bedarf einzugreifen. So wie einige Länder und Unternehmen den Bitcoin akzeptieren, wird dies der erste Weg für die Libra sein. Funktioniert es gut und einfach, wäre es insbesondere für Währungen in Schwellenländern ein Szenario die heimische Währung abzuschaffen. Mit welchen Folgen, zu welchen Bedingungen? Die Voraussetzung dafür wäre Libra als Zahlungsmittel und/oder Bargeld zuzulassen. Wohlgemerkt privates Bargeld – einem Bankkaufmann muss dabei unwohl werden.

PRAXISTIPPS

 

Beitragsnummer: 86912

 

Beitragsnummer: 86912

Bachelorwissen Bankrecht: Karten, Online-Banking und E-Geld



Zivilrechtliche Rechtsbeziehungen und Haftungsfragen im modernen Zahlungsverkehr.

Prof. Dr. Patrick Rösler, Rechtsanwalt, Vorstandsvorsitzender FCH Gruppe AG und Professor für Bankrecht an der Allensbach Hochschule.

I. Recht der Karten

1. Bankkarten

Bankkarten, Debitkarten oder Zahlungskarten sind heute Zahlungsauthentifizierungsinstrumente. Sie ermöglichen die Zahlung direkt beim Händler oder das Abheben an Geldautomaten zusammen mit der dazugehörigen persönlichen Geheimzahl. Die für die Nutzung nötigen Daten sind auf einem Magnetstreifen oder Chip gespeichert.

Für die Kartennutzung wird regelmäßig zusätzlich zum Girovertrag ein Bankkartenvertrag zwischen Bank und Kunde geschlossen. Dieser begründet für beide Seiten eine Reihe an Rechten und Pflichten. Daneben gelten meist besondere AGB-Regelwerke für Karten wie die Bedingungen für die Girocard im privaten Bankgewerbe[1].

So ist der Kunde an seinen kontobezogenen Verfügungsrahmen gebunden, denn Zahlungen oder Abhebungen werden sofort dem Girokonto belastet. Die Bank kann bei Überschreitung dieses Rahmens die Verfügung verweigern, sie kann sie aber auch zulassen und räumt dem Kunden dann automatisch einen (weiteren) Kredit ein.

Über den kontobezogenen Verfügungsrahmen hinaus besteht regelmäßig auch ein Verfügungsrahmen der Karte. Damit kann ein gewisser Verfügungsrahmen auch dann nicht überschritten werden, wenn ausreichend Kontodeckung vorhanden ist. Dies dient im Interesse beider Vertragsparteien der ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Neue Rechtsprechung des BGH zum Zahlungsdiensterecht



BGH bestätigt Bepreisbarkeit von Bareinzahlungs- und -auszahlungsentgelten.

Dr. Roman Jordans, LL.M. (NZ), Rechtsanwalt und Fachanwalt für Bank- und Kapitalmarktrecht, CBH Rechtsanwälte, Köln

I. Einleitung

Durch die bereits lange anhaltende Negativzinsphase nimmt das Erwirtschaften von Entgelten an wirtschaftlicher Bedeutung für Kreditinstitute zu. Bei der Vereinbarung von Entgelten ist allerdings die Rechtsprechung des BGH, insbesondere des XI. Zivilsenats, zu beachten[1].

Jüngst hat der BGH[2] bestätigt, dass abweichend von älterer Rechtsprechung unter dem neuen Zahlungsdiensterecht Entgelte für Bareinzahlungen und Barauszahlungen am Bankschalter vereinbart werden dürfen.

II. Alte Rechtslage

Nach der früheren Rechtsprechung des XI. Zivilsenats unterlagen Klauseln über die Bepreisung von Barein- und -auszahlungen sowohl im Verbraucher- als auch im Unternehmerverkehr der richterlichen Inhaltskontrolle und waren wegen unangemessener Benachteiligung des Kunden unwirksam, wenn sie keine angemessene Freipostenregelung vorsahen. Hintergrund dieser Rechtsprechung war, dass Ein- und Auszahlungen auf oder von einem Girokonto seinerzeit nach Darlehensrecht (§§ 488 ff. BGB) oder dem Recht der unregelmäßigen Verwahrung (§ 700 BGB) zu beurteilen waren, welches weder für die Begründung noch für die Erfüllung von Darlehens- bzw. Verwahrungsverhältnissen ein Entgelt vorsieht[3].

Ähnliches hatte der BGH für Buchungsposten entschieden: Entgeltklauseln für Buchungsposten wurden ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Starke Kundenauthentifizierung – die „letzte Stufe“ der PSD II

Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner

Wie Sie, liebe Leserinnen und Leser der Banken-Times SPEZIAL Bankrecht (BTS), alle wissen, war die „letzte Stufe“ der PSD II zum 14.09.2019 in nationales Recht umzusetzen. Seit dem 14.09.2019 ist daher bei elektronischen Kartenzahlungen in aller Regel eine „Starke Kundenauthentifizierung“ durchzuführen. Bei einem elektronischen Fernzahlungsvorgang ist – zum Schutze des Kunden – sogar eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. Bei einer Überweisung über das Online-Banking wird daher in der genutzten Smartphone-App bzw. dem eigens angeschafften QR-Code-Lesegerät neben der nur einmal gültigen TAN auch der Zahlungsempfänger sowie der zu überweisende Betrag angezeigt.

SEMINARTIPPS

FCH Innovation Days 2020, 15.–16.06.2020, Berlin.

Digitale Authentifizierung im Konten- & Zahlungsverkehr gemäß PSD II, 29.09.2020, Frankfurt/M.

Praxisprobleme in Kontoführung & Zahlungsverkehr, 29.10.2020, Würzburg.

Wer in den vergangenen Wochen Zahlungen im Internet ausgelöst hat, sei es bei der Nutzung eines Online-Shops oder bei der Buchung eines Tickets für den Nah- und Fernverkehr, dem wird aufgefallen sein, dass bei den meisten dieser Transaktionen, denen eine Kreditkartenzahlung zugrunde lag, eine starke Kundenauthentifizierung nicht verlangt wird. Der Grund hierfür liegt nicht in einer gesetzlichen Ausnahmeregelung für Kreditkartenzahlungen im Internet. Grund hierfür ist vielmehr, dass im Gegensatz zu den involvierten Banken die Mehrzahl der Online-Shops- und Händler die Voraussetzungen zur Durchführung einer starken Kundenauthentifizierung trotz der langläufigen Umsetzungsfristen nicht geschaffen haben. Die BaFin hat daher – im Einklang mit der EBA und den Aufsichtsbehörden aus weiteren EU-Staaten – verlauten lassen, dass sie vorerst Verstöße bei online veranlassten Transaktionen, denen eine Kreditkartenzahlung zugrunde liegt, nicht verfolgen wird, wenn die in die Transaktion involvierten Personen die neuen aufsichtsrechtlichen Vorgaben nicht beachten. Wichtig ist, dass dies rein aufsichtsrechtlich rechtliche Wirkungen entfaltet. Die zivilrechtlichen Haftungsregelungen bleiben von dem aufsichtsrechtlichen „Stillhalten“ unberührt. Grundsätzlich haftet somit der Zahlungsdienstleister des Zahlers für eine vom Zahler nicht autorisierte Zahlung. Etwas anders gilt dem Grunde nach und für Online-Transaktionen nur dann, wenn der Zahlungsempfänger oder dessen Zahlungsdienstleister eine starke Kundenauthentifizierung nicht akzeptieren.

FILMTIPP

Starke Kundenauthentifizierung nach PSD 2.

 

 

Die BaFin hat bislang nicht verlautbaren lassen, wie lange die aufsichtsrechtliche Ausnahme vom Erfordernis einer starken Kundenauthentifizierung bei Kreditkartenzahlungen im Internet gelten soll.

Beitragsnummer: 86097

Entgelt für Bankauskünfte zulässig

Dr. Tilman Schultheiß, Rechtsanwalt, Thümmel, Schütze & Partner

Das OLG Frankfurt/M. hat entschieden, dass eine AGB-Klausel, nach welcher für Bankauskünfte im Sinne von Ziff. 2 der AGB der Bank ein Entgelt i. H. v. € 25,00 verlangt werden kann, der Inhaltskontrolle nach § 307 Abs. 3 BGB entzogen ist, da eine solche Klausel ein Entgelt für eine echte Zusatzleistung der Bank festsetzt (OLG Frankfurt/M., Urt. v. 24.05.2019, Az.: 10 U 5/18, m. zust. Anm. Mehringer, EWiR 2019 S. 577).

SEMINARTIPPS

Entgelte & Gebühren, 25.11.2019, Köln.

Auskunftsersuchen: korrekt & effizient beantworten, 28.10.2020, Würzburg.

(Un)Zulässige Bankentgelte, 24.11.2020, Frankfurt/M.

 

Die beklagte Bank hatte in ihrem Preis- und Leistungsverzeichnis folgendes Entgelt vorgesehen: „Bankauskunft 25,00 €“. In den AGB war diesbezüglich in Ziff. 2 geregelt: „Eine Bankauskunft enthält allgemein gehaltene Feststellungen und Bemerkungen über die wirtschaftlichen Verhältnisse des Kunden, seine Kreditwürdigkeit und Zahlungsfähigkeit …“ Der klagende Verband hatte sich auf den Standpunkt gestellt, dass es sich bei dieser Entgeltklausel um eine kontrollfähige Preisnebenabrede handele, da gem. der Zweifelsregelung in § 305c Abs. 2 BGB sämtliche Auskünfte darunter fielen und mithin zumindest auch solche, zu welchen die Bank gesetzlich verpflichtet sei, was nach dem Grundsatz der kundenfeindlichsten Auslegung wiederum zur Unwirksamkeit der Klausel nach den allgemeinen Grundsätzen der BGH-Rechtsprechung führe.

BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

 

Das OLG Frankfurt/M. hat – in einem ersten Schritt – völlig zu Recht festgestellt, dass die vorliegende Klausel sich schon in Ermangelung eines Zweifels gem. § 305c Abs. 2 BGB im Gesamtkontext nicht im kundenfeindlichsten Sinne auslegen lässt: Wenn in den AGB der Bank der Begriff der „Bankauskunft“ explizit definiert wird, dann gilt – allein – diese Definition. In AGB verwendete Rechtsbegriffe sind nach der BGH-Rechtsprechung grundsätzlich entsprechend ihrer juristischen Fachbedeutung zu verstehen. Demzufolge fehlt es bereits an der für § 305c BGB erforderlichen Mehrdeutigkeit. Der ohnehin völlig ausufernden Anwendung des § 305c Abs. 2 BGB erteilt das OLG Frankfurt/M. deshalb eine Absage. Auch das OLG Nürnberg hatte die Bankauskunft zuvor bereits in diesem Verständnis ausgelegt (OLG Nürnberg, Urt. v. 02.07.1996 – 3 U 1182/96). Des Weiteren stellt das OLG Frankfurt/M. fest, dass es sich bei der „Bankauskunft“ im Sinne der Entgeltklausel um eine zusätzliche Leistung handelt, die von den sonstigen Gebühren nicht abgedeckt ist. Denn nach Ziff. 2 der AGB der Bank dient eine solche Bankauskunft der Information Dritter über die „wirtschaftlichen Verhältnisse des Kunden, seine Kreditwürdigkeit und Zahlungsfähigkeit“. Damit kann die Preisklausel auch nur so verstanden werden, dass das Entgelt für die Zusatzleistung dem Anfragenden (d. h. Dritten oder dem Kunden) berechnet wird, wobei hierin eine zusätzliche Leistung zu sehen ist.

PRAXISTIPP

Dem scharfen Schwert des § 305c Abs. 2 BGB kann durch Begriffsdefinitionen in den Bedingungswerken entgegengewirkt werden, da dann eine andere Auslegung als jene bedingungsmäßig definierte in der Regel ausgeschlossen sein dürfte. Generell ist es strategisch wichtig (und häufig entscheidend), die von der Verbraucherseite häufig angeführte vermeintliche Mehrdeutigkeit anzugreifen und andere Auslegungsmöglichkeiten als fernliegende Varianten darzustellen. Implizit hat sich das OLG Frankfurt/M. mit einer weiteren wichtigen Frage auseinandergesetzt, indem es den Gesamtkontext der einzelnen Klausel betrachtet und die Wirksamkeit der Klausel nicht isoliert anhand des Preis- und Leistungsverzeichnisses, sondern unter Rückgriff auf die AGB beurteilt hat. Verbraucherverbände blenden häufig den Gesamtkontext von einzelnen Klauseln aus und unterschlagen so rechtlich bedeutsame Einschränkungen, um auf diese Weise die Unwirksamkeit der Klausel zu begründen.

Beitragsnummer: 86068

Risiken bei der Löschung von Konten im Erbfall

Syndikusrechtsanwalt Christian Steiner, LL.M., Niedersächsische Bürgschaftsbank (NBB) GmbH, Hannover, Leiter Rechtsabteilung, MaRisk-Compliance-Beauftragter

Nach dem Todesfall geht die Verfügungsgewalt über das Konto auf die Erben über. Im Bestreben, den Erbfall schnell zu erledigen, handeln Erben und Banken gemeinsam, um die Konten zeitnah aufzulösen, die Guthaben an die Erben auszuzahlen und die Konten des Erblassers aufzulösen und zu löschen. Dies insbesondere, da es grundsätzlich keine gesetzlichen Löschfristen für Konten gibt. Dass dies riskant ist, zeigt ein Beschluss des Bundessozialgerichts (BSG, Beschluss vom 20.02.2019 – GS 1/18, BeckRS 2019 2852).

Sachverhalt und Entscheidung des Bundessozialgerichts (BSG)

Die Deutsche Rentenversicherung (DRV) überwies an die Erblasserin monatlich Witwenrente auf deren Konto bei der Empfängerbank. Nach dem Tod der Erblasserin zahlte die DRV noch zwei Monatsrenten. Die Bank kehrte alle Bankguthaben an die Erben der Erblasserin aus und löschte das Empfängerkonto. Die DRV forderte von der Bank die Erstattung der überzahlten Rentenbeträge, was diese wegen der Kontoauflösung ablehnte. Der Große Senat des BSG schloss sich der Ansicht des 13. Senats an, wonach die Kontoauflösung dem Erstattungsanspruch des Rententrägers nicht entgegensteht (vgl. zur Auffassung des 5. Senats BSG, Vorlagebeschluss v. 17.08.2017 – B 5 R 26/14 R, BeckRS 2017, 137064).

SEMINARTIPPS

Nachlass – Betreuung – Vorsorgevollmacht, 05.11.2019, Köln.

Nachlass – Betreuung – Vorsorgevollmacht, 27.10.2020, Würzburg.

 

§ 118 Abs. 3 S. 2 SGB VI begründet nach Ansicht des Großen Senats des BSG einen eigenständigen öffentlich-rechtlichen Anspruch des Trägers der DRV gegen Geldinstitute auf Rücküberweisung von Geldleistungen, die für die Zeit nach dem Tod des Berechtigten überwiesen worden sind. Er begründet insoweit i. S. von § 675o Abs. 2 BGB das Recht von Geldinstituten als Zahlungsdienstleister, die Ausführung eines ihnen erteilten autorisierten Zahlungsauftrags abzulehnen.

Die Verpflichtung eines Kreditinstituts, Geldleistungen „zurückzuüberweisen“, die auf ein Konto eines Empfängers bei ihm überwiesen wurden, setzt nicht zwingend den Fortbestand des Empfängerkontos beim Geldinstitut voraus. Das Regelungssystem des § 118 Abs. 3 SGB VI verdeutlicht, dass der Anspruch auf Rücküberweisung gegen das Kreditinstitut (§ 118 Abs. 3 S. 2 SGB VI) nicht durch die Auflösung des Kontos des Rentenempfängers erlischt.

FILMTIPP

Führen/Abwicklung von Nachlasskonten.

 

 

Der Anspruch auf Rücküberweisung aus § 118 Abs. 3 S. 2 SGB VI richtet sich nicht gegen den Rechtsnachfolger (Erben) des verstorbenen Berechtigten als Leistungsempfänger, sondern unmittelbar gegen den Leistungsmittler „Geldinstitut“ (Kreditinstitut).

Die Geldinstitute dürfen Empfängerkonten bei Rückforderung der betroffenen Geldleistungen durch Rentenversicherungsträger mit den Rückforderungsbeträgen belasten und bis zur Rückforderung ein Zurückbehaltungsrecht in entsprechender Höhe gegenüber den Kontoführungsberechtigten geltend machen. Das Kreditinstitut kann die Sicherung mittels Zurückbehaltungsrechts und Kontobelastung den ihm erteilten Anweisungen der Kontoführungsberechtigten, insbesondere der Kontoauflösung entgegenhalten. Insoweit ist das Geldinstitut berechtigt, die Ausführung des (Auflösungs-)Auftrags abzulehnen (vgl. § 675o Abs. 2 BGB).

Es besteht jedoch keine Verpflichtung des Kreditinstituts zur Rücküberweisung, soweit über den entsprechenden Betrag bei Eingang der Rückforderung des Rentenversicherungsträgers – in Unkenntnis des Todes des Rentenempfängers – bereits anderweitig verfügt wurde, es sei denn, dass die Rücküberweisung aus einem Guthaben erfolgen kann (vgl. § 118 Abs. 3 S. 3 SGB VI).

BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

Der Anspruch des Rentenversicherungsträgers auf Rücküberweisung erlischt jedoch nicht, wenn das Kreditinstitut das Konto auflöst, ohne von seinen Sicherungsmöglichkeiten Gebrauch zu machen. Das Kreditinstitut trifft insoweit das wirtschaftliche Risiko, nach einer Rücküberweisung keinen Rückgriff bei den Begünstigten mehr nehmen zu können.

Der Anspruch aus § 118 Abs. 3 S. 2 SGB VI überlagert die zivilrechtlichen Beziehungen zwischen den Kontoinhabern bzw. deren Erben oder anderen Verfügungsberechtigten einerseits und den Kreditinstituten andererseits insoweit, als er i.S. von § 675o Abs. 2 BGB das Recht von als Zahlungsdienstleister begründet, die Ausführung eines autorisierten Zahlungsauftrags abzulehnen. Daraus folgt, dass der Zahlungsdienstleister des Zahlers (= Kreditinstitut des Zahlungsempfängers) berechtigt ist, die Ausführung eines autorisierten Zahlungsauftrags (z. B. Kontoauflösung durch Erben und Auszahlung des Kontoguthabens an sie) abzulehnen, wenn und soweit gesetzlich begründete Gegenrechte einer hinreichenden Deckung des Auftrags entgegenstehen.

Kreditinstitute haben als Zahlungsdienstleister ab Kenntnis vom Tod des Empfängers (Versicherter/Rentner) bei der Ausführung autorisierter Zahlungsaufträge der Rechtsnachfolger des Empfängers im Rahmen des § 675o Abs. 2 BGB ein auf Rentenzahlungen für die Zeit nach dem Tod des Empfängers ein begrenztes Zurückbehaltungsrecht bei Verfügungen über das Konto.

Praxistipp

  • Nach dem Tod eines Kunden verlangen die Banken aus der „Bankenpraxis heraus“ nicht selten von den Erben, dass die Erblasserkonten möglichst zügig aufgelöst und gelöscht werden. Im entschiedenen Fall lagen zwischen Todeszeitpunkt des Erblassers und Kontolöschung gerade einmal zwei Monate. Der Große Senat schreibt den Banken nun ausdrücklich vor, dass das wirtschaftliche Risiko, etwaige Überzahlungen wieder erstatten zu müssen, bei den Banken haften bleibt. Auf die zivilrechtlichen Rückgriffsmöglichkeiten kommt es aufgrund der „Überlagerung“ durch die SGB-Norm gerade nicht an. Hierauf wird sich die Bankenpraxis einzustellen haben. Sicherlich sollte man hier eine gewisse Zeit verstreichen lassen und die Rückmeldung der DRV abwarten, bevor die Konten gelöscht werden.
  • Banken sollten Zahlungsaufträge oder Kontolöschungswünsche der Erben zumindest insoweit begrenzen, als dass der strittige Rentenzahlungsbetrag als Guthaben auf dem Konto verbleibt und erst nach Klärung mit der DRV das Konto aufgelöst wird und ein verbleibender Restbetrag erst dann verteilt wird.
  • Will man dies nicht, muss man ggf. mögliche Verluste in der Preisgestaltung berücksichtigen.

 

Beitragsnummer: 86058