Die Änderungen werden teilweise durch die Weiterentwicklung des Zahlungsverkehrmarktes in technischer Hinsicht erforderlich. So betonen die Erläuterungen zum Gesetzesentwurf, dass zum einen neue Zahlungsdienste mit innovativen Lösungen auf den Markt drängen und zum anderen sich die Sicherheitsrisiken bei elektronischen Zahlungen durch zahlreiche technische Neuerungen erhöht haben.
Neue Zahlungsdienste, in concreto Zahlungsauslösedienstleister sowie Kontoinformationsdienstleister, knüpfen mit ihren Diensten am Internet-Banking von Kreditinstituten an. Sie übermitteln Daten zwischen Kunden, Kreditinstituten und Händlern, ohne selbst in den Besitz von Kundengeldern zu gelangen.
Der Zahlungsauslösedienst wird vom Kunden beauftragt, für ihn bei seinem kontoführenden Zahlungsdienstleister eine Überweisung auszulösen, beispielsweise wenn er im Online-Shop eines Händlers einkauft ("Sofortüberweisung"). In der Gewissheit, dass die Zahlung ausgelöst wurde, ist der Händler eher bereit, seine Ware unverzüglich freizugeben bzw. seine Dienstleistung zu erbringen. Dieser Zahlungsdienst ist für Verbraucher, die keine Kreditkarte haben oder nicht online damit zahlen möchten, interessant. Die Rechte und Pflichten des Zahlungsauslösedienstleisters sind in § 60 ZaDiG 2018 geregelt.
Beim Kontoinformationsdienst erhält der Kunde vom Dienstleister aufbereitete Informationen über seine Zahlungskonten, die er bei einem oder mehreren Zahlungsdienstleistern hält. Der Kontoinformationsdienstleister ist in § 61 ZaDiG 2018 geregelt.
Bislang waren solche neuen Zahlungsdienste im aufsichtsrechtlichen "Graubereich" tätig.
Mit dem vorliegenden Gesetzentwurf werden Zahlungsauslöse- bzw. Kontoinformationsdienstleister nun als Zahlungsdienstleister reguliert (EB ME 332 BlgNR 25.GP 1). Die Bestimmungen der §§ 60 und 61 ZaDiG treten aber erst mit 14.09.2019 in Kraft.
Neu ist ein Recht auf Inanspruchnahme dieser Dienstleistungen, vorausgesetzt das Zahlungskonto des Zahlungsdienstnutzers ist online zugänglich (vgl § 60 Abs 1 ZaDiG 2018 und § 61 Abs 1 ZaDiG 2018). Auch der Dienstleister hat ein Recht, auf das Zahlungskonto des Zahlungsdienstnutzers zuzugreifen. Dabei muss aber eine "starke Kundenauthentifizierung" verlangt werden. Diese neuen Zahlungsdienstleister dürfen keine Kundengelder halten und müssen auch gesetzliche Datenschutz- und Sicherheitsvorschriften einhalten (diese sind in den §§ 60 u 61 ZaDiG 2018 aufgelistet).
Die Haftung für missbräuchliche oder fehlerhafte Zahlungsvorgänge liegt, auch beim Einsatz neuer Zahlungsdienstleister, beim kontoführenden Zahlungsdienstleister, der jedoch ein Regressrecht gegenüber dem neuen Dienstleister hat.
In bestimmten Fällen hat der Zahlungsdienstleister künftig (ab 14.09.2019) vom Zahler eine sog starke Kundenauthentifizierung zu verlangen. Eine starke Kundenauthentifizierung erfordert mindestens zwei Elemente der folgenden Kategorien: Besitz: etwas, das ausschließlich der Zahler besitzt (zB Kreditkarte), Wissen: etwas, das ausschließlich der Zahler weiß (zB Passwort) oder Inhärenz: ein Merkmal des Zahlers, das diesem eindeutig zugeordnet werden kann (zB Fingerabdruck).
Der Einsatz dieser starken Kundenauthentifizierung für elektronische Zahlungsvorgänge gem § 87 ZaDiG 2018 ist ab 14.09.2019 vorgesehen. Aktuell sieht § 68 Abs 5 ZaDiG 2018 eine Obliegenheit des Zahlungsdienstleisters vor, eine starke Kundenauthentifizierung zu verlangen. Beachtet der Zahlungsdienstleister dies nicht, so entfällt die Haftung des Zahlungsdienstnutzers für missbräuchliche Zahlungsvorgänge (ausgenommen betrügerische Absicht).
Gem § 87 ZaDiG muss diese starke Kundenauthentifizierung dann verlangt werden, wenn der Zahler online auf sein Zahlungskonto zugreift, oder einen elektronischen Zahlungsvorgang auslöst, oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch birgt. Bei einem elektronischen Zahlungsvorgang muss der Zahlungsdienstleister dazu noch sicherstellen, dass die starke Kundenauthentifizierung auch Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. Wird die Zahlung über einen Zahlungsauslösedienstleister ausgelöst, dann muss dies ebenso eingehalten werden.
§ 67 ZaDiG 2018 sieht vor, dass der Zahlungsdienstleister des Zahlers bei nicht autorisierten Zahlungsvorgängen das Zahlungskonto unverzüglich wieder auf jenen Stand zu bringen hat, auf dem es sich ohne diesen missbräuchlichen Zahlungsvorgang befinden würde. Dies hat gem § 67 ZaDiG 2018 unverzüglich bis zum Ende des folgenden Geschäftstages zu geschehen.
Die Rechtsstellung des Zahlers bei nicht autorisierten Zahlungsvorgängen wird jedoch verbessert: Bei missbräuchlicher Verwendung eines Zahlungsinstruments haftet der Zahler nur, wenn er in der Lage war, den Verlust, den Diebstahl oder die sonstige missbräuchliche Verwendung des Zahlungsinstruments zu bemerken. Aber selbst in diesem Fall ist die Haftung des Zahlers gem § 68 Abs 1 ZaDiG 2018 auf höchstens 50 Euro begrenzt; bisher lag die Haftungsgrenze bei 150 Euro.
§ 68 ZaDiG 2018 sieht insgesamt weitere Ausnahmen vor, bei denen der Zahlungsdienstnutzer nicht haftet.
Das Verbot von Entgeltzuschlägen gilt auch weiterhin gem § 56 Abs 3 ZaDiG 2018 (früher § 27 Abs 6 ZaDiG), wurde jedoch erweitert. Nunmehr können eine Ermäßigung, oder "anderweitige Anreize" für die Verwendung eines bestimmten Zahlungsinstrumentes gewährt werden. Die bisherige Judikatur des OGH zu "Zahlscheingebühren" soll weiterhin aufrecht bleiben.
Inkrafttreten: 01.06.2018
