Themenspezial: Verbraucher & Service Kontaktlos

NFC-Zahlung: EuGH stärkt Verbraucher bei Karten-Verlust

Kontakt­loses Bezahlen mit Karte ist prak­tisch und einfach. Wie sicher ist das NFC-Verfahren? Wer haftet, wenn die Karte abhanden kommt? Können Betrüger heim­lich Zahlungen auslösen? Der EuGH hat geur­teilt.
Von mit Material von dpa

Eine Karte mit Funkchip für kontaktloses Bezahlen . Der EuGH hat die Rechte der Verbraucher bei Kartenverlust gestärkt. Eine Karte mit Funkchip für kontaktloses Bezahlen . Der EuGH hat die Rechte der Verbraucher bei Kartenverlust gestärkt.
Foto: picture alliance / Rolf Vennenbernd / dpa Geht eine Bank­karte mit kontakt­loser Bezahl­funk­tion verloren, könnte es teuer werden, doch der Euro­päi­sche Gerichtshof hat die Verbrau­cher in der EU gestärkt. Nach einem Urteil vom Mitt­woch trägt der Kunde nicht das Risiko für Zahlungen, die vorge­nommen werden, nachdem dieser das Abhan­den­kommen seiner Karte bei der Bank gemeldet hat.

NFC-Karten sind sperrbar

Eine Karte mit Funkchip für kontaktloses Bezahlen . Der EuGH hat die Rechte der Verbraucher bei Kartenverlust gestärkt. Eine Karte mit Funkchip für kontaktloses Bezahlen . Der EuGH hat die Rechte der Verbraucher bei Kartenverlust gestärkt.
Foto: picture alliance / Rolf Vennenbernd / dpa Die Bank könne nicht einfach behaupten, dass es tech­nisch unmög­lich sei, die soge­nannte Nahfeld­kom­muni­kati­ons­funk­tion (NFC) für das kontakt­lose Zahlen zu sperren, urteilten die Luxem­burger Richter (Rechts­sache C 287/19). Banken verlangen in der Regel beim kontakt­losen Bezahlen mit NFC-Karten oder einem Smart­phone bei Beträgen bis zu 25 Euro keine Eingabe eines PIN-Codes. In der Corona-Krise hat die Deut­sche Kredit­wirt­schaft dieses Limit auf 50 Euro hoch­gesetzt.

Klage aus Öster­reich

Hinter­grund ist eine Klage des öster­rei­chi­schen Vereins für Konsu­men­ten­infor­mation (VKI) gegen die Allge­meinen Geschäfts­bedin­gungen für NFC-Karten der DenizBank. Darin schließt die Bank unter anderem ihre Haftung für nicht auto­risierte Zahlungen aus. Zudem weist sie darauf hin, dass der Konto­inhaber beim Verlust der Karte das Risiko eines NFC-Miss­brauchs trägt sowie die Sper­rung dieser Funk­tion beim Verlust der Karte nicht möglich sei.

Im Prozess vor dem Obersten Gerichtshof Öster­reichs bestritt die DenizBank "das Vorbringen des VKI, dass eine solche Sper­rung tech­nisch möglich sei", dem EuGH zufolge hingegen nicht.

Klar­stel­lung aus Luxem­burg

Die Luxem­burger Richter stellten unter dem Akten­zei­chen C-287/19 nun klar, dass es sich beim kontakt­losen Zahlen zwar um ein anony­misiertes Zahlungs­instru­ment im Sinne der entspre­chenden EU-Richt­linie handele und dies der Bank Haftungs­erleich­terungen ermög­liche. Aber die Bank könne nicht einfach behaupten, dass das Sperren der Karte tech­nisch unmög­lich sei, obwohl dies nach­weis­lich falsch sei. Der Kunde müsse den Verlust oder die miss­bräuch­liche Verwen­dung der Karte unver­züg­lich und kostenlos melden können. Nach dieser Meldung dürften keine finan­ziellen Folgen für den Kunden entstehen - es sei denn, er habe in betrü­geri­scher Absicht gehan­delt.

NFC gilt als sicher

Die Über­tra­gung von Bezahl­daten via Near Field Commu­nica­tion (NFC) gilt gene­rell als sicher und ausge­reift. Da der Abstand der Bank­karte oder eines Smart­phones zum Bezahl­ter­minal nur wenige Zenti­meter betragen darf, kann der über­tra­gene Daten­satz ("Token") nicht aus der Ferne abge­fangen werden. Das unter­scheidet NFC von der Funk­technik Blue­tooth. Außerdem ist der verschlüs­selt über­tra­gene Token nur für diesen einen Bezahl­vor­gang gültig und kann nicht mehr­fach verwendet werden.

Mehrere NFC-Karten gemeinsam aufbe­wahren

Da die Banken für klei­nere Summen bis 25 Euro (aktuell 50 Euro) keine Eingabe einer PIN am Kassen­ter­minal verlangen, ist es zumin­dest theo­retisch möglich, dass Angreifer selbst eine nicht auto­risierte Zahlung auslösen. Dazu müssten sie sich der NFC-Karte des Opfers mit einem kleinen Mobil­ter­minal unbe­merkt bis auf wenige Zenti­meter nähern, etwa im Gedränge einer U-Bahn. Diese Angriffs­methode kann aller­dings wirksam ausge­hebelt werden, in dem man eine NFC-fähige Kredit- oder Giro­karte zusammen mit anderen zusammen im Porte­mon­naie aufbe­wahrt, da sich mehrere NFC-fähige Karten gegen­seitig blockieren. Das funk­tio­niert auch mit dem neuen Perso­nal­aus­weis mit NFC-Funk­tion.

Kein Abgriff im Vorbei­gehen

Das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) hält es deshalb für "unwahr­schein­lich", dass Karten "im Vorbei­gehen" abge­griffen werden. Wer einen unbe­fugten Zahlungs­vor­gang durch NFC befürchtet, kann seine Kredit- oder Giro­karte auch in eine Abschirm­hülle stecken, die Kommu­nika­tion durch NFC unter­bindet. Zum Bezahlen via NFC müsste die Karte dann stets aus der Hülle entnommen werden.

Mehr zum Thema Europäischer Gerichtshof