Haftung von Online-Plattformen unter der neuen Zahlungsdiensteregulierung? Was der Digital Services Act mit dem neuen Payment Package zu tun hat

Nachdem die Europäische Kommission Mitte 2023 im Rahmen eines „Payment Package“ unter anderem Entwürfe einer dritten Zahlungsdiensterichtlinie („PSD3“) sowie einer Zahlungsdiensteverordnung („PSR“) veröffentlicht hatte, hat das Europäische Parlament am 23. April 2024 eine legislative Entschließung mit verschiedenen Änderungsvorschlägen zu PSR („PSR-Entwurf“) und PSD3 veröffentlicht (siehe hier eine Zusammenfassung der wesentlichen Neuregelungen in PSD3 und PSR). Der PSR-Entwurf schlägt darin eine Reihe von Regelungen zur Verhinderung von „Spoofing“ vor und will nunmehr auch Online-Plattformen viel stärker in die Pflicht nehmen, als dies im Kommissionsentwurf der Fall war.

“Spoofing”

„Spoofing“ bezeichnet eine Form der Verschleierung der eigenen Identität, um einen Zahler zur Durchführung einer für ihn nicht gewünschten Zahlungstransaktion zu verleiten. Das Hauptziel von Spoofing ist es, das Opfer zu täuschen und dazu zu bringen, die gefälschte Identität oder Nachricht für echt zu halten. Im Payment-Bereich – so auch der PSR-Entwurf – meint dies Fälle, in denen Betrüger vorgeben, Mitarbeitende des Zahlungsdienstleisters eines Kunden oder einer einschlägigen Stelle zu sein, die mit einer vertrauten Quelle des Kunden, beispielsweise einer Zentralbank oder einer staatlichen Behörde, in Zusammenhang gebracht werden könnte. Den Namen, die Postanschrift, E-Mail-Adresse oder die Telefonnummer des Zahlungsdienstleisters oder der Behörde missbrauchen die Betrüger, um das Vertrauen der Kunden zu gewinnen und sie dazu zu bewegen, bestimmte Handlungen durchzuführen.

„Spoofing“ im PSR-Entwurf – Anbieter elektronischer Kommunikationsdienste

Nunmehr möchte der PSR-Entwurf auch „Anbieter elektronischer Kommunikationsdienste“ verpflichten, bei der Bekämpfung von Betrug mit Zahlungsdienstleistern zusammenzuarbeiten und anderenfalls im Betrugsfall unter bestimmten Voraussetzungen für Schäden zu haften. Unter den Begriff der „Anbieter elektronischer Kommunikationsdienste“ sollen nach der nunmehr in den PSR-Entwurf eingefügten Definition neben Anbietern gemäß dem Europäischen Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972, „EECCD“) auch Anbieter gemäß dem DSA fallen. Der DSA enthält keine „Anbieter“-Definition, erfasst jedoch sämtliche Anbieter von Vermittlungsdiensten, also nicht nur Anbieter von Online-Plattformen. Dies umfasst neben Anbietern von Caching-Diensten oder Diensten der reinen Durchleitung auch Hosting-Dienste, zu denen Online-Plattformen nur als Unterfall zählen.

Gerade Online-Plattformen im Sinne des DSA scheint der PSR-Entwurf jedoch im Blick zu haben, da nach Auffassung des Parlaments auch Online-Plattformen zum Anstieg der Zahl von Betrugsfällen beitragen können und sie daher, ergänzend zum DSA haftbar gemacht werden sollten, „wenn Betrug unmittelbar darauf zurückzuführen ist, dass Betrüger ihre Plattform nutzen, um Verbraucher zu betrügen, wenn sie über betrügerische Inhalte auf ihrer Plattform informiert wurden und sie nicht entfernt haben.“

Elektronische Kommunikationsdienste umfassen gemäß EECCD unter anderem Internetzugangsdienste und interpersonelle Kommunikationsdienste. „Anbieter“ unter der EECCD könnten auch Anbieter elektronischer Kommunikationsnetze umfassen.

Was regelt der Entwurf konkret?

Der PSR-Entwurf ordnet in Art. 59 Abs. 1 eine Haftung des Zahlungsdienstleisters des Zahlers an, „wenn dieser von einem Dritten manipuliert wird, der sich unter Verwendung des Namens oder der E-Mail- Adresse oder der Telefonnummer des Zahlungsdienstleisters des Verbrauchers oder einer anderen entsprechenden öffentlichen oder privaten Einrichtung als Mitarbeiter dieser Einrichtung ausgab, und […] diese Manipulation anschließend autorisierte betrügerische Zahlungsvorgänge zur Folge“ hatte, sofern der Zahler den Betrug polizeilich gemeldet hat und er nicht vorsätzlich oder grob fahrlässig gehandelt hat und er bei der Aufklärung des Falles kooperiert.

Neu ist nunmehr, dass der PSR-Entwurf unter Umständen eine Haftung des Anbieters elektronischer Kommunikationsdienste anordnet. Entfernen die Anbieter elektronischer Kommunikationsdienste die betrügerischen oder rechtswidrigen Inhalte nicht, nachdem sie (z. B. vom Zahlungsdienstleister) darüber unterrichtet wurden, sollen sie dem Zahlungsdienstleister den vollen Betrag des autorisierten betrügerischen Zahlungsvorgangs erstatten.

Es fällt auf, dass die im PSR-Entwurf beschriebenen Fälle des Spoofing nicht mit den gegenwärtig verbreiteten Betrugsfällen im Bereich von Online-Plattformen übereinstimmen. Während beim so beschriebenen Spoofing typischerweise ein angeblicher Mitarbeiter des Zahlungsdienstleisters den Verbraucher täuscht, funktionieren Betrugsfälle im Zusammenhang mit Online-Plattformen häufig entsprechend einem Muster, nach dem der Betrüger sich als Händler auf einer Plattform anmeldet und den Kunden über einen Link oder auf andere Weise in einen Bereich außerhalb der Plattform leitet, auf der er diesen durch gefälschte Zahlungsseiten oder auf anderem Wege zur Übermittlung von Zahlungsdaten auffordert. Auch wenn die in Art. 59 des PSR-Entwurfs beschriebene Spoofing-Variante daher auf den ersten Blick nicht Betrugsfälle auf Online-Plattformen zu adressieren scheint, lässt sich eine solche Interpretation gleichwohl bei einem weiten Verständnis ziehen.

Denn auch bei Betrugsfällen unter Nutzung von Online-Plattformen tritt der Betrüger in der Regel unter falscher Identität auf, beispielsweise indem fremde Nutzeraccounts oder Zahlungsdaten oder gefälschte Zahlungsseiten verwendet werden. Zudem ist zu berücksichtigten, dass der PSR-Entwurf in die Definition des Anbieters elektronischer Kommunikationsdienste ausdrücklich Anbieter im Sinne des DSA einbezieht. Mehr noch erklärt Art. 2 Abs. 9a des PSR-Entwurfs (rechtstechnisch überflüssigerweise) Art. 59 des PSR-Entwurfs auf Online-Plattformen entsprechend anwendbar. Auch wenn die Regelungstechnik des PSR-Entwurfs eine Reihe von Unklarheiten aufweist und Fragen aufwirft, scheint es gleichwohl das Ziel des Gesetzgebers zu sein, auch eine Haftung von Online-Plattformen begründen zu wollen.

Danach dürfte gewollt sein, dass spätestens zu dem Zeitpunkt, zu dem ein Zahlungsdienstleister oder ein Dritter der Online-Plattform Mitteilung über einen Betrugsfall eines auf der Online-Plattform registrierten Verkäufers macht und die Online-Plattform die „rechtswidrigen Inhalte“ nicht entfernt, die Plattformen mehr in die Pflicht genommen werden. Dem Grundsatz nach ist dies nichts Neues, denn bei Kenntnis über rechtswidrige Inhalte muss eine Online-Plattform ohnehin tätig werden, da sonst die Haftungserleichterungen unter dem DSA (die es bereits unter der E-Commerce-Richtlinie gab) nicht mehr greifen. Allerdings enthält der DSA selbst keine Haftungsgrundlage und regelt auch nicht die Haftung mehrerer Beteiligter untereinander. Im PSR-Entwurf hingegen ist nunmehr geregelt, dass Anbieter elektronischer Kommunikationsdienste, d.h. auch Anbieter von Online-Plattformen, dem Zahlungsdienstleister gegenüber zum Regress verpflichtet sind, wenn sie über die betrügerischen oder rechtswidrigen Inhalte unterrichtet wurden, diese daraufhin nicht entfernt haben und der Verbraucher sowohl den Betrug unverzüglich bei der Polizei angezeigt als auch seinen Zahlungsdienstleister unterrichtet hatte (Art. 59 Abs. 5 S. 2 PSR-Entwurf). Dies vermeidet auch etwaige Fragen zur Haftung im Innenverhältnis der beiden Verpflichteten: Zahlungsdienstleister und Anbieter des elektronischen Kommunikationsdienstes. Unklar ist, ob diese Haftung erst für Folgetransaktionen oder bereits bei der ersten gemeldeten Transaktion Anwendung finden soll. Im Zusammenspiel mit den Haftungserleichterungen für Hosting-Dienste (einschließlich Online-Plattformen) aus Art. 6 Abs. 1 DSA dürfte erst eine Haftung für Folgetransaktionen in Betracht kommen, sofern in Bezug auf die erste gemeldete Transaktion der Anbieter keine Kenntnis hatte. Ob dies auch unter dem PSR-Entwurf so gemeint ist, bleibt abzuwarten.

Bei Online-Plattformen dürften diese rechtswidrigen Inhalte insbesondere die von diesem Händler oder anderen Verbrauchern auf der Plattform eingestellten Angebote sein.

Was ist sonst noch für Anbieter elektronischer Kommunikationsdienste zu beachten?

Art. 59 des PSR-Entwurfs verlangt nunmehr die Erfüllung verschiedener einmaliger und laufender Compliance-Maßnahmen von Anbietern elektronischer Kommunikationsdienste.

Nach Unterrichtung durch einen Zahlungsdienstleister müssen sie umgehend handeln, um sicherzustellen, dass angemessene organisatorische und technische Maßnahmen getroffen werden, um die Sicherheit und Vertraulichkeit der Kommunikation gemäß der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), insbesondere auch in Bezug auf die Rufnummernanzeige und die E-Mail-Adresse, sicherzustellen. Diese Pflicht dürfte sich vor allem an Anbieter im Sinne der EECCD richten.

Die Anbieter elektronischer Kommunikationsdienste müssen zudem alle erforderlichen Aufklärungsmaßnahmen, einschließlich der Warnung ihrer Kunden mithilfe aller geeigneten Mittel und Medien leisten, wenn neue Formen von Online-Betrug aufkommen, wobei sie den Bedürfnissen ihrer schutzbedürftigsten Kundengruppen Rechnung tragen müssen. Sie müssen ihren Kunden klare Hinweise geben, wie sie Betrugsversuche erkennen können, und sie darauf aufmerksam machen, welche Maßnahmen und Vorkehrungen sie treffen müssen, um keinen betrügerischen Handlungen zum Opfer zu fallen. Dies geht also über die eher reaktiven Verpflichtungen des DSA hinaus. Weiter müssen sie ihre Kunden über das Verfahren für die Meldung betrügerischer Handlungen und darüber, wie sie in Sachen Betrug schnell Informationen erhalten können, informieren. Schließlich müssen „alle Anbieter, die Glieder der Betrugskette sind“, schnell handeln, um sicherzustellen, dass geeignete organisatorische und technische Maßnahmen getroffen werden, um für den Schutz der Zahlungsdienstnutzer bei der Ausführung von Transaktionen zu sorgen. Anbieter elektronischer Kommunikationsdienste müssen Betrugspräventions- und Betrugsminderungstechniken einsetzen, um gegen Betrug, einschließlich Betrug mit nicht autorisierter und mit autorisierter Push-Zahlung, vorzugehen. Diese Pflicht erstreckt der PSR-Entwurf nunmehr auch auf “Anbieter digitaler Plattformen”, ohne diese zu definieren.

Art. 91 Abs. 3 des PSR-Entwurfs regelt zudem ein Audit-Recht der zuständigen Behörden, um Verstöße gegen den PSR-Entwurf zu erkennen. Zudem sollen die Mitgliedstaaten gemäß Art. 96 des PSR-Entwurfs – wie üblich – wirksame, angemessene und verhältnismäßige verwaltungsrechtliche Sanktionen und Verwaltungsmaßnahmen einführen, die bei Verstößen gegen diese Verordnung anwendbar sind, und sicherstellen, dass diese umgesetzt werden. Dies bedeutet, dass es den Mitgliedstaaten überlassen ist, wie sie konkret Verstöße sanktionieren und ob es beispielsweise Bußgeldtatbestände geben wird.

Folgen für die Praxis

Der PSR-Entwurf konkretisiert die Haftung von Online-Plattformen an einer überraschenden Stelle, da sich die Zahlungsdiensteregulierung typischerweise ganz überwiegend an Zahlungsdienstleister richtet. Für Online-Plattformen erscheint der PSR-Entwurf kritisch, da die Voraussetzungen für das Eintreten der Haftung nicht mit letzter Klarheit geregelt sind und die Folgen schwer abschätzbar sind. Die Pflicht zur Einführung von Compliance-Pflichten zur Betrugsprävention dürfte zudem zusätzlichen organisatorischen Aufwand für Online-Plattformen nach sich ziehen und entsprechende Informationen zur Betrugsprävention bedeuten darüber hinaus weiteren Implementierungs- und Pflegeaufwand.