Grundsätzlich muss Ihnen Ihr Kreditkartenanbieter nicht autorisierte Abbuchungen zurückerstatten. In manchen Fällen kann das Kreditkartenunternehmen eine Rückerstattung verweigern, obwohl Sie der Abbuchung nicht zugestimmt haben. Dazu zählen betrügerische Absichten sowie eine grob fahrlässige Verletzung Ihrer Sorgfaltspflichten.
Grundsätzlich muss Ihnen nach § 67 Abs 1 Zahlungsdienstegesetz 2018 (ZaDiG 2018) Ihr Kreditkartenunternehmen eine Zahlung, die Sie nicht freigegeben (autorisiert) haben, unverzüglich zurückerstatten. Nach § 68 Abs 3 ZaDiG 2018 kann das Kreditkartenunternehmen die Rückerstattung des abgebuchten Betrags jedoch in zwei Fällen verweigern:
Wann eine schwere Verletzung Ihrer Sorgfaltspflichten (genau: ein grob fahrlässige Verletzung der Sorgfaltspflichten gemäß § 63 ZaDiG 2018, d. h. Ihrer Pflichten in Bezug auf Zahlungsinstrumente und personalisierte Sicherheitsmerkmale) vorliegt und wann nicht, kann jeweils nur im Einzelfall beurteilt werden.
Nach der Rechtsprechung handelt grob fahrlässig, wer im täglichen Leben die erforderliche Sorgfalt gröblich aus Unbekümmertheit oder Leichtfertigkeit außer Acht lässt bzw. wer nicht beachtet, was unter den gegebenen Umständen jedem einleuchten musste. Grobe Fahrlässigkeit ist somit bei schlechthin unentschuldbaren Pflichtverletzungen gegeben, die das gewöhnliche Maß an alltäglich vorkommenden, nie ganz vermeidbaren Fahrlässigkeitshandlungen des täglichen Lebens ganz erheblich übersteigen. Eine solche grobe Fahrlässigkeit wurde etwa in dem Urteil 9 Ob 48/18a (noch zu alter Rechtslage) zugrunde liegenden Sachverhalt bejaht: Die betroffene Person wurde dabei von einer akzentfrei Deutsch sprechenden Frau angerufen, sie sich als Angestellte der Bank ausgab und die betroffene Person aufforderte, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS übermittelten Code bekannt zu geben.
Beispiel: Ernst lernt auf einer Erotikplattform Ursula kennen. Sie unterhalten sich in einem Video-Chat miteinander. Um Ursula zu beeindrucken, hält Ernst seine goldene Kreditkarte in die Webcam. Im Lauf des Chats teilt Ursula Ernst mit, dass er Codes auf seinem Smartphone erhalten wird. Wenn er ihr diese Codes mitteilt, kann Ursula weitere Funktionen des Video-Chats freischalten. Ernst erhält Codes auf seinem Smartphone, die er sich nicht näher ansieht, sondern einfach an Ursula weitergibt. Ein Komplize von Ursula nützt Ernsts Kreditkartendaten und die weitergegebenen Codes, um missbräuchliche Zahlungen von Ernsts Kreditkarte auszulösen. In diesem Fall ist Ernst eine schwere Verletzung seiner Sorgfaltspflichten vorzuwerfen. Ernst muss den entstandenen Schaden selbst tragen.
In einem bestimmten Fall darf Ihnen das Kreditkartenunternehmen die Rückerstattung aber wiederum nicht verweigern. Das Kreditkartenunternehmen muss Ihnen – selbst wenn Sie grob fahrlässig gehandelt haben – jedenfalls den Betrag zurückerstatten, wenn die Zahlung nicht mittels einer starken Kundenauthentifizierung (2-Faktor-Authentifizierung) autorisiert wurde (§ 68 Abs 5 ZaDiG 2018). Wenn eine unerlaubte Zahlung also etwa nur durch eine Eingabe der Kreditkartendaten getätigt oder (in einem Laden) durch eine gefälschte Unterschrift autorisiert wurde, muss Ihnen das Kreditkartenunternehmen diese Zahlung zurückerstatten., selbst wenn Sie sehr unvorsichtig gewesen sein sollten.
Beispiel: Martin gibt seine Kreditkartendaten auf einer unsicheren Website ein. Kriminelle fangen auf dieser Website die Daten ab und tätigen damit online Bestellungen. Dafür müssen sie lediglich die Kreditkartendaten eingeben, da das Kreditkartenunternehmen keine „starke Kundenauthentifizierung“ fordert. Martin bekommt die abgebuchten Beträge zurückgebucht, selbst wenn er die Kreditkartendaten leichtfertig auf der unsicheren Website eingegeben hat.
Auch wiederkehrende Kreditkartenzahlungen müssen durch eine starke Kundenauthentifizierung autorisiert werden. Dabei muss das Kreditkartenunternehmen nur für die erste Abbuchung eine starke Kundenauthentifizierung verlangen. Sind die allgemeinen Anforderungen an eine starke Kundenauthentifizierung erfüllt, darf das Kreditkartenunternehmen bei Auslösen der nachfolgenden Zahlungen der Zahlungsserie von der Vorgabe einer starken Kundenauthentifizierung absehen (Art 14 der Delegierten Verordnung (EU) 2018/389). Da die auf die erste Zahlung folgenden Zahlungen aber nicht mittels starker Kundenauthentifizierung autorisiert werden, müssen diese Abbuchungen jedenfalls zurückerstattet werden – unabhängig davon, ob Sie Sorgfaltspflichten verletzt haben oder nicht (§ 68 Abs 5 ZaDiG 2018).
Wenn Sie bestreiten, eine ausgeführte Zahlung autorisiert zu haben, muss Ihr Kreditkartenunternehmen nachweisen, dass 1. der Zahlungsvorgang authentifiziert war, 2. ordnungsgemäß aufgezeichnet und verbucht wurde und 3. nicht durch einen technischen Fehler oder eine andere Störung des Systems des Kreditkartenunternehmens beeinträchtigt wurde (§ 66 Abs 1 ZaDiG 2018). Allein der Nachweis der Nutzung der Kreditkarte reicht als Beweis Ihre Autorisierung des Zahlungsvorgangs nicht aus; Ihr Kreditkartenunternehmen müsste in diesem Fall weitere unterstützende Beweismittel vorlegen, um Ihre Autorisierung des Zahlungsvorgangs oder ein grobe fahrlässige Verletzung Ihrer Sorgfaltspflichten nachzuweisen (§ 66 Abs 3 ZaDiG 2018). Ansonsten müsste das Kreditkartenunternehmen den Betrag zurückerstatten und gegebenenfalls in einem Gerichtsverfahren den vollen Beweis für seinen Schadenersatzanspruch gegen Sie erbringen.
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Bezahlen im Internet"? Sie haben eine andere Frage?
Letzte Änderung: 21.10.2022