Kontaktloses Bezahlen Wer haftet, wenn ich meine Bankkarte verliere?

Ein Kunde verliert seine Bankkarte mit kontaktloser Bezahlfunktion – Diebe können mehrmals 25 Euro ohne PIN ausgeben. Pech? Oder zahlt die Bank? Der Europäische Gerichtshof hat nun die Rechte der Verbraucher gestärkt.
Foto: Karl-Josef Hildenbrand / dpa

Der Europäische Gerichtshof hat die Rechte von Verbrauchern gestärkt, wenn sie ihre Bankkarte mit kontaktloser Bezahlfunktion verlieren. Nach dem neuen Urteil trägt der Kunde nicht das Risiko für Zahlungen, die getätigt werden, nachdem er den Kartenverlust bei der Bank gemeldet hat.

Schäden für Kunden können auftreten, weil Banken in der Regel beim kontaktlosen Bezahlen mit NFC-Karten oder einem Smartphone bei Beträgen bis zu 25 Euro keine Eingabe eines PIN-Codes verlangen.

Banken könnten nicht einfach behaupten, dass es technisch unmöglich sei, die sogenannte Nahfeldkommunikationsfunktion (NFC) für das kontaktlose Zahlen zu sperren, urteilten die Luxemburger Richter. Der Kunde müsse den Verlust oder die missbräuchliche Verwendung der Karte unverzüglich und kostenlos melden können. Nach dieser Meldung dürften keine finanziellen Folgen für den Kunden entstehen – es sei denn, er habe in betrügerischer Absicht gehandelt.

Der österreichische Verein für Konsumenteninformation (VKI) hatte gegen die Allgemeinen Geschäftsbedingungen für NFC-Karten der DenizBank geklagt. Darin schließt die Bank unter anderem ihre Haftung für nicht autorisierte Zahlungen aus. Zudem weist sie darauf hin, dass der Kontoinhaber beim Verlust der Karte das Risiko eines NFC-Missbrauchs trägt sowie die Sperrung dieser Funktion beim Verlust der Karte nicht möglich sei und dass sie NFC-Zahlungen bis 75 Euro nicht erstatte. Im konkreten Fall muss nun das österreichische Gericht entscheiden. Es ist dabei aber an das Urteil des EuGH gebunden.

Betrugsrisiko gering

Das NFC-Bezahlsystem gilt generell als sicher und ausgereift. Da der Abstand der Bankkarte oder eines Smartphones zum Bezahlterminal nur wenige Zentimeter betragen darf, kann der übertragene Datensatz ("Token") nicht aus der Ferne abgefangen werden. Das unterscheidet NFC von der Funktechnik Bluetooth. Außerdem ist der verschlüsselt übertragene Token nur für diesen einen Bezahlvorgang gültig und kann nicht mehrfach verwendet werden.

Da die Banken für kleinere Summen bis 25 Euro keine Eingabe einer PIN am Kassenterminal verlangen, ist es zumindest theoretisch möglich, dass Angreifer selbst eine nicht autorisierte Zahlung auslösen. Dazu müssten sie sich der NFC-Karte des Opfers mit einem kleinen Mobilterminal unbemerkt bis auf wenige Zentimeter nähern, etwa im Gedränge einer U-Bahn. Diese Angriffsmethode kann allerdings wirksam ausgehebelt werden, indem man eine NFC-fähige Kredit- oder Girokarte zusammen mit anderen im Portemonnaie aufbewahrt, da sich mehrere NFC-fähige Karten gegenseitig blockieren.

hej/dpa
Die Wiedergabe wurde unterbrochen.