Überweisungsbetrug: Haftung des Zahlungsdienstleisters?

RA Dr. Daniel Tamerl, RAA Marko Pavlovic, LL.M. (WU)

 

Überweisungsbetrug – was ist das?

In den letzten Jahren hat die Anzahl der Überweisungsbetrugsfälle durch die zunehmende Digitalisierung und den verstärkten Einsatz von Online-Banking-Diensten deutlich zugenommen. Immer mehr Unternehmen und Privatpersonen werden Opfer von unterschiedlichsten Betrugsmaschen. Dies führt dazu, dass auch Zahlungsdienstleister immer öfter mit Erstattungsansprüchen ihrer Kunden konfrontiert werden, die behaupten, sie hätten die entsprechende Zahlung gar nicht autorisiert.

In diesem Beitrag beleuchten wir die rechtlichen Grundlagen im Zusammenhang mit gängigen Überweisungsbetrugsmaschen und die daraus resultierenden Haftungsfragen für Zahlungsdienstleister und deren Kunden.

Welche Arten von Überweisungsbetrug sind aktuell vermehrt zu beobachten?

Überweisungsbetrug kann auf verschiedene Weisen auftreten, insbesondere durch sogenannte “Social Engineering Techniken“, bei denen die Schwachstelle Mensch im Vordergrund steht. Hierzu gehören insbesondere:

• Vorauszahlungsbetrug: Das Opfer wird durch Vorspiegelung falscher Tatsachen dazu verleitet, einen Betrag im Voraus auf das Konto des Betrügers zu zahlen. Klassische Beispiele sind Gewinnversprechen oder Bestellungen in Online-Shops, bei denen die bezahlten Waren nie geliefert werden​.
• Veranlagungsbetrug: Dem Opfer wird eine in Wahrheit nicht existente Investmentmöglichkeit, beispielsweise in Kryptowährungen, mit hoher Gewinnmarge in Aussicht gestellt, woraufhin dieser sein Geld auf ein Konto des Betrügers überweist​.
• Rücküberweisungsbetrug: Das Opfer wird durch einen modifizierten Webbrowser darüber getäuscht, dass auf seinem Konto irrtümlich eine Zahlung (zB durch das Finanzamt) gutgeschrieben wurde. Dieser wird sodann aufgefordert, die Zahlung zurückzuüberweisen.
• Spoofing: Der Betrüger ruft das Opfer mit einer gefälschten Vorwahl an und gibt vor, jemand anderer zu sein. Häufig wird vorgespielt, es würden Sicherheitsprobleme bestehen, weshalb eine Sicherheitsüberprüfung durchgeführt werden muss. Das Opfer wird manipuliert, persönliche Daten bekannt zu geben oder Geld zu bezahlen.

Ob dem Kunden ein Erstattungsanspruch über die missbräuchlich herausgelockte Zahlung gegenüber dem Zahlungsdienstleister zukommt, hängt maßgebend davon, ob der Zahlungsvorgang durch den Kunden (durch eine starke Kundenauthentifizierung) autorisiert wurde. Die Praxis zeigt, dass insbesondere bei den genannten Betrugsszenarien in der Regel von einer Autorisierung des Zahlungsvorganges durch den Kunden auszugehen ist. Dies rückt die Frage in den Vordergrund, wann eine Zahlungsvorgang als entsprechend autorisiert gilt.

Autorisierte vs. nicht autorisierte Zahlungen: Wo liegt der Unterschied?

Im Online-Banking müssen elektronische Zahlungen durch eine starke Kundenauthentifizierung gemäß § 4 Z 28 ZaDiG 2018 autorisiert werden. Bei der starken Kundenauthentifizierung müssen mindestens zwei Elemente aus den Kategorien Wissen (etwas, das nur der Nutzer weiß, wie zB ein PIN oder Zugangscode), Besitz (etwas, das nur der Nutzer besitzt, wie zB die Kreditkarte oder das Mobiltelefon) oder Inhärenz (etwas, das nur der Nutzer ist, wie zB die Gesichtserkennung) vorliegen. Für die Wirksamkeit der Autorisierung ist es jedoch irrelevant, ob die Form (starke Kundenauthentifizierung) tatsächlich eingehalten wird. Wird die starke Kundenauthentifizierung nicht abgefragt bzw durchgeführt, ist aufgrund des erhöhten Betrugsrisikos allerdings mit verschärften haftungsrechtlichen Auswirkungen bei Zahlungsdienstleistern zu rechnen.

Eine Überweisung gilt unabhängig von einer Authentifizierung dann als autorisiert, wenn der Kunde der Zahlung ausdrücklich zustimmt, selbst wenn er dabei Opfer eines Betrugs wurde und den Zweck der Zahlung missverstanden hat. Dies wird in der Regel bei den oben genannten Betrugsszenarien im Zusammenhang mit den „Social Engineering Techniken“ vorliegen. Wird dem Kunden etwa vorgetäuscht, er habe ein Produkt gewonnen und er müsse dafür nur mehr einen bestimmten Betrag überweisen, ist von einer Autorisierung des Kunden auszugehen, weshalb ein Erstattungsanspruch gemäß § 67 ZaDiG 2018 gegen den Zahlungsdienstleister grundsätzlich ausscheidet.

Wird die Zahlung allerdings von einem Dritten und nicht vom Kunden selbst freigegeben, gilt die Überweisung als nicht autorisiert. Verschafft sich ein Dritter unbefugterweise die Zugangs- und Authentifizierungsdaten des Kunden und gibt eine Zahlung frei, steht dem Kunden ein Erstattungsanspruch gemäß § 67 ZaDiG 2018 gegen den Zahlungsdienstleister zu.

Wer haftet für den missbräuchlichen Zahlungsvorgang?

Autorisierte Zahlung:

Bei einem autorisierten Zahlungsvorgang hat der Zahlungsdienstleister dem Kunden die Zahlung grundsätzlich nicht zu erstatten (§ 67 Abs 1 ZaDiG 2018). Bestreitet der Kunde, den Zahlungsvorgang autorisiert zu haben, hat der Zahlungsdienstleister allerdings nachzuweisen, dass der Zahlungsvorgang nach den Vorgaben der starken Kundenauthentifizierung autorisiert wurde. Wurde eine starke Kundenauthentifizierung vom Zahlungsdienstleister nicht abgefragt bzw durchgeführt, führt dies zu einem Entfall der Haftung des Kunden, und zwar auch dann, wenn der Missbrauch durch ein grobes Verschulden des Kunden ermöglicht wurde. Sofern keine betrügerische Absicht oder Vorsatz seitens des Kunden vorliegt, trägt bei einem nicht gesicherten Zahlungsvorgang (keine starke Kundenauthentifizierung) somit jedenfalls nicht der Kunde das Risiko für allfällige Schäden.

Nicht autorisierte Zahlung:

Wird ein Zahlungsvorgang nicht vom Kunden, sondern einem unbefugten Dritten freigegeben, hat der Zahlungsdienstleister den Betrag des nicht durch den Kunden autorisierten Zahlungsvorgangs unverzüglich, nachdem dieser davon Kenntnis erhalten hat oder dieser ihm angezeigt wurde, zu erstatten.

Der Kunde muss unverzüglich eine Sperrmeldung vornehmen, sobald dieser eine missbräuchliche Nutzung der Online-Banking-Zugangsdaten oder den Verlust oder Diebstahl seiner Zahlungskarte feststellt. Zudem hat der Kunde alle zumutbaren Vorkehrungen zu treffen, um die Sicherheitsmerkmale, die für die starke Kundenauthentifizierung verwendet werden, geheim zu halten und vor einem unbefugten Zugriff zu schützen. Hat der Kunde seine Pflichten grob fahrlässig oder vorsätzlich verletzt, haftet dieser für den entstandenen Schaden.

Fazit und Ausblick

Überweisungsbetrug stellt nicht nur für Kunden, sondern insbesondere auch für Banken eine Herausforderung dar. Eine genaue rechtliche Prüfung des Einzelfalls ist entscheidend, insbesondere hinsichtlich der Frage, ob eine Zahlung autorisiert war. Unser Bankrechtsteam steht Ihnen dafür sehr gerne zur Verfügung.

Mit dem vorliegenden Entwurf der Payment Services Regulation (PSR) – die mit der Payment Service Directive 3 (PSD3) Teil des “Financial access data and payments package” der Europäischen Kommission ist – soll ein harmonisierter Rechtsrahmen geschaffen werden, um den Schutz von Verbrauchern bei autorisierten Zahlungsvorgängen noch weiter zu stärken. Anders als bisher soll den Kunden – nach dem vorliegenden Entwurf – in Zukunft ein Erstattungsanspruch auch bei bestimmten autorisierten Zahlungsvorgängen zukommen, und zwar selbst dann, wenn eine starke Kundenauthentifizierung durchgeführt wurde. Hintergrund ist die starke Zunahme von Zahlungsbetrug in Form von „Social Engineering“, bei dem in der Regel die Zahlung vom Kunden (mittels starker Kundenauthentifizierung) autorisiert wird.

Die vorliegenden Entwürfe zur einer neuen Payment Service Directive (PSD3) und einer neuen Payment Service Regulation (PSR) stellen Kreditinstitute vor neuen Herausforderungen. Unser Bankrechtsteam unterstützt Sie gerne bei einer risikovermeidenden und pragmatischen Implementierung Ihrer Pflichten!