Bank haftet bei kontaktlosem Bezahlen ohne PIN (NFC-Verfahren)

Europäischer_Gerichtshof

Urteil v. 11.11.2020 - Az.: C-287/19

Leitsatz

1. Art. 52 Nr. 6 Buchst. a in Verbindung mit Art. 54 Abs. 1 der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG ist dahin auszulegen, dass er die Informationen und Vertragsbedingungen bestimmt, die von einem Zahlungsdienstleister mitzuteilen sind, der mit dem Nutzer seiner Dienste gemäß den in diesen Bestimmungen vorgesehenen Modalitäten eine Vermutung der Zustimmung zur Änderung des zwischen ihnen geschlossenen Rahmenvertrags vereinbaren möchte, dass er aber keine Beschränkungen hinsichtlich der Eigenschaft des Nutzers oder der Art der Vertragsbedingungen, die Gegenstand einer solchen Vereinbarung sein können, festlegt; hiervon unberührt bleibt jedoch, wenn es sich bei dem Nutzer um einen Verbraucher handelt, die Möglichkeit der Prüfung, ob diese Klauseln im Licht der Bestimmungen der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen missbräuchlich sind.

2. Art. 4 Nr. 14 der Richtlinie 2015/2366 ist dahin auszulegen, dass es sich bei der Nahfeldkommunikationsfunktion (Near Field Communication) einer personalisierten multifunktionalen Bankkarte, mit der Kleinbetragszahlungen zulasten des verknüpften Kundenkontos getätigt werden können, um ein „Zahlungsinstrument“ im Sinne dieser Bestimmung handelt.

3. Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 ist dahin auszulegen, dass eine kontaktlose Kleinbetragszahlung unter Verwendung der Nahfeldkommunikationsfunktion (Near Field Communication) einer personalisierten multifunktionalen Bankkarte als „anonyme“ Nutzung des fraglichen Zahlungsinstruments im Sinne dieser Ausnahmeregelung anzusehen ist.

4. Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 ist dahin auszulegen, dass sich ein Zahlungsdienstleister, der sich auf die in dieser Bestimmung enthaltene Ausnahmeregelung berufen möchte, nicht darauf beschränken kann, zu behaupten, das betreffende Zahlungsinstrument könne nicht gesperrt oder seine weitere Nutzung nicht verhindert werden, obwohl dies nach dem objektiven Stand der Technik nicht nachweislich unmöglich ist.

Tenor

n der Rechtssache C-287/19

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) mit Entscheidung vom 25. Januar 2019, beim Gerichtshof eingegangen am 5. April 2019, in dem Verfahren

DenizBank AG

gegen

Verein für Konsumenteninformation

 

erlässt

DER GERICHTSHOF (Erste Kammer)

unter Mitwirkung des Kammerpräsidenten J.-C. Bonichot, des Richters L. Bay Larsen, der Richterin C. Toader sowie der Richter M. Safjan und N. Jääskinen (Berichterstatter),

Generalanwalt: M. Campos Sánchez-Bordona,

Kanzler: M. Krausenböck, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 13. Februar 2020,

unter Berücksichtigung der Erklärungen

–        der DenizBank AG, vertreten durch die Rechtsanwälte G. Ganzger und A. Egger,

–        des Vereins für Konsumenteninformation, vertreten durch Rechtsanwalt S. Langer,

–        der tschechischen Regierung, vertreten durch M. Smolek, J. Vláčil und S. Šindelková als Bevollmächtigte,

–        der portugiesischen Regierung, vertreten durch L. Inez Fernandes, P. Barros da Costa, S. Jaulino und G. Fonseca als Bevollmächtigte,

–        der Europäischen Kommission, vertreten durch G. Braun, T. Scharf und H. Tserepa-Lacombe als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 30. April 2020

folgendes

Urteil

Entscheidungsgründe

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Nr. 14 und Art. 52 Nr. 6 Buchst. a in Verbindung mit Art. 54 Abs. 1 und Art. 63 Abs. 1 Buchst. a und b der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. 2015, L 337, S. 35, berichtigt im ABl. 2016, L 169, S. 18, und im ABl. 2018, L 102, S. 97).

2        Es ergeht im Rahmen eines Rechtsstreits zwischen der DenizBank AG, einer Gesellschaft nach österreichischem Recht, und dem Verein für Konsumenteninformation (Österreich, im Folgenden: VKI) betreffend die Gültigkeit von Vertragsklauseln, die die Nutzung personalisierter multifunktionaler Bankkarten betreffen, die insbesondere mit der Nahfeldkommunikationsfunktion (Near Field Communication) (im Folgenden: NFC-Funktion) – üblicherweise als „kontaktlose Zahlungsfunktion“ bezeichnet – ausgestattet sind.

 Rechtlicher Rahmen

 Richtlinie 93/13/EWG

3        Art. 2 der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. 1993, L 95, S. 29) lautet:

„Im Sinne dieser Richtlinie bedeuten:

a)      missbräuchliche Klauseln: Vertragsklauseln, wie sie in Artikel 3 definiert sind;

b)      Verbraucher: eine natürliche Person, die bei Verträgen, die unter diese Richtlinie fallen, zu einem Zweck handelt, der nicht ihrer gewerblichen oder beruflichen Tätigkeit zugerechnet werden kann;

c)      Gewerbetreibender: eine natürliche oder juristische Person, die bei Verträgen, die unter diese Richtlinie fallen, im Rahmen ihrer gewerblichen oder beruflichen Tätigkeit handelt, auch wenn diese dem öffentlich-rechtlichen Bereich zuzurechnen ist.“

4        Art. 3 dieser Richtlinie legt Folgendes fest:

„(1) Eine Vertragsklausel, die nicht im Einzelnen ausgehandelt wurde, ist als missbräuchlich anzusehen, wenn sie entgegen dem Gebot von Treu und Glauben zum Nachteil des Verbrauchers ein erhebliches und ungerechtfertigtes Missverhältnis der vertraglichen Rechte und Pflichten der Vertragspartner verursacht.

...

(3) Der Anhang enthält eine als Hinweis dienende und nicht erschöpfende Liste der Klauseln, die für missbräuchlich erklärt werden können.“

5        Art. 6 Abs. 1 der Richtlinie 93/13 lautet:

„Die Mitgliedstaaten sehen vor, dass missbräuchliche Klauseln in Verträgen, die ein Gewerbetreibender mit einem Verbraucher geschlossen hat, für den Verbraucher unverbindlich sind, und legen die Bedingungen hierfür in ihren innerstaatlichen Rechtsvorschriften fest; sie sehen ferner vor, dass der Vertrag für beide Parteien auf derselben Grundlage bindend bleibt, wenn er ohne die missbräuchlichen Klauseln bestehen kann.“

6        Art. 8 dieser Richtlinie sieht vor, dass „[d]ie Mitgliedstaaten … auf dem durch diese Richtlinie geregelten Gebiet mit dem Vertrag vereinbare strengere Bestimmungen erlassen [können], um ein höheres Schutzniveau für die Verbraucher zu gewährleisten“.

7        Der Anhang der Richtlinie 93/13, der eine als Hinweis dienende und nicht erschöpfende Liste der „Klauseln gemäß Artikel 3 Absatz 3“ dieser Richtlinie enthält, nennt in Nr. 1 Buchst. j „Klauseln, die darauf abzielen oder zur Folge haben, dass der Gewerbetreibende die Vertragsklauseln einseitig ohne triftigen und im Vertrag aufgeführten Grund ändern kann“. In Nr. 2 dieses Anhangs wird die Tragweite von Nr. 1 Buchst. j festgelegt.

 Richtlinie (EU) 2015/2366

8        Durch die Richtlinie (EU) 2015/2366 wurde die Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG (ABl. 2007, L 319, S. 1) mit Wirkung vom 13. Januar 2018 aufgehoben.

9        In den Erwägungsgründen 6, 53 bis 55, 63, 81, 91 und 96 der Richtlinie 2015/2366 heißt es:

„(6)      ... Den … Marktteilnehmern sollten gleichwertige Bedingungen für ihre Tätigkeit garantiert werden, indem neuen Zahlungsmitteln der Zugang zu einem größeren Markt eröffnet und ein hohes Maß an Verbraucherschutz bei der Nutzung dieser Zahlungsdienstleistungen in der Union als Ganzes gewährleistet wird. Das dürfte zu Effizienzgewinnen im Zahlungssystem insgesamt sowie zu mehr Auswahl und Transparenz bei den Zahlungsdiensten führen und gleichzeitig das Vertrauen der Verbraucher in einen harmonisierten Markt für Zahlungen stärken.

...

(53)      Da die Situation von Verbrauchern und Unternehmen nicht dieselbe ist, brauchen sie nicht im selben Umfang geschützt zu werden. Zwar müssen die Verbraucherrechte durch Vorschriften geschützt werden, die nicht vertraglich abbedungen werden können, doch sollte es Unternehmen und Organisationen freistehen, abweichende Vereinbarungen zu schließen, wenn es nicht um vertragliche Beziehungen zu Verbrauchern geht. ...

(54)      In dieser Richtlinie sollten die Informationspflichten der Zahlungsdienstleister gegenüber den Zahlungsdienstnutzern festgelegt werden, damit Letztere ein gleich hohes Maß an verständlichen Informationen über Zahlungsdienste erhalten und so in voller Kenntnis der Sachlage entscheiden und innerhalb der Union eine freie Wahl treffen können. ...

(55)      Verbraucher sollten gemäß der Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates [vom 11. Mai 2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (ABl. 2005, L 149, S. 22)] sowie gemäß de[n] Richtlinien 2000/31/EG [des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (ABl. 2000, L 178, S. 1)], 2002/65/EG [des Europäischen Parlaments und des Rates vom 23. September 2002 über den Fernabsatz von Finanzdienstleistungen an Verbraucher und zur Änderung der Richtlinie 90/619/EWG des Rates und der Richtlinien 97/7/EG und 98/27/EG (ABl. 2002, L 271, S. 16)], 2008/48/EG [des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates (ABl. 2008, L 133, S. 66)], 2011/83/EU [des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates (ABl. 2011, L 304, S. 64)] und 2014/92/EU [des Europäischen Parlaments und des Rates vom 23. Juli 2014 über die Vergleichbarkeit von Zahlungskontoentgelten, den Wechsel von Zahlungskonten und den Zugang zu Zahlungskonten mit grundlegenden Funktionen (ABl. 2014, L 257, S. 214)] vor unlauteren oder irreführenden Praktiken geschützt werden. Die Bestimmungen jener Richtlinien gelten weiterhin. Doch sollte insbesondere präzisiert werden, in welchem Verhältnis die vorvertraglichen Informationspflichten der vorliegenden Richtlinie zu denen der Richtlinie 2002/65/EG stehen.

...

(63)      Um ein hohes Verbraucherschutzniveau zu gewährleisten, sollten die Mitgliedstaaten im Interesse des Verbrauchers Beschränkungen oder Verbote einseitiger Änderungen der Bedingungen eines Rahmenvertrags aufrechterhalten oder einführen können, beispielsweise wenn eine solche Änderung nicht gerechtfertigt ist.

...

(81)      Zahlungsinstrumente für Kleinbetragszahlungen sollten bei Waren und Dienstleistungen des Niedrigpreissegments eine kostengünstige und benutzerfreundliche Alternative darstellen und nicht durch übermäßig hohe Anforderungen überfrachtet werden. … Trotz einer weniger strengen Regelung sollten die Zahlungsdienstnutzer gegen die mit diesen Zahlungsinstrumenten verbundenen begrenzten Risiken angemessen geschützt sein, speziell im Hinblick auf Instrumente auf Guthabenbasis.

...

(91)      Zahlungsdienstleister sind für die Sicherheitsmaßnahmen verantwortlich. Diese Maßnahmen müssen den jeweiligen Sicherheitsrisiken angemessen sein. Die Zahlungsdienstleister sollten einen Rahmen festlegen, um Risiken zu vermindern und wirksame Verfahren für den Umgang mit Vorfällen aufrechtzuerhalten. … Damit sichergestellt ist, dass Schäden für Nutzer … auf ein Minimum begrenzt werden, ist es des Weiteren von entscheidender Bedeutung, dass Zahlungsdienstleister verpflichtet werden, schwere Sicherheitsvorfälle unverzüglich den zuständigen Behörden zu melden. …

...

(96)      Die Sicherheitsmaßnahmen sollten dem Risikoniveau des Zahlungsdienstes angemessen sein. Um die Entwicklung benutzerfreundlicher und leicht zugänglicher Zahlungsmittel für Zahlungen mit einem niedrigen Risiko wie kontaktlose Kleinbetragszahlungen an der Verkaufsstelle, unabhängig davon, ob sie an ein Mobiltelefon gebunden sind, zu ermöglichen, sollten in den technischen Regulierungsstandards die Ausnahmen von der Anwendung der Sicherheitsanforderungen dargelegt sein. …“

10      In Art. 4 („Begriffsbestimmungen“) dieser Richtlinie heißt es:

„Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck:

...

8.      ‚Zahler‘ eine natürliche oder juristische Person, die Inhaber eines Zahlungskontos ist und die einen Zahlungsauftrag von diesem Zahlungskonto gestattet oder – falls kein Zahlungskonto vorhanden ist – eine natürliche oder juristische Person, die den Auftrag für einen Zahlungsvorgang erteilt;

9.      ‚Zahlungsempfänger‘ eine natürliche oder juristische Person, die den Geldbetrag, der Gegenstand eines Zahlungsvorgangs ist, als Empfänger erhalten soll;

10.      ‚Zahlungsdienstnutzer‘ eine natürliche oder juristische Person, die einen Zahlungsdienst als Zahler oder Zahlungsempfänger oder in beiden Eigenschaften in Anspruch nimmt;

...

14.      ‚Zahlungsinstrument‘ jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf, das bzw. der zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart wurde und zur Erteilung eines Zahlungsauftrags verwendet wird;

...

20.      ‚Verbraucher‘ eine natürliche Person, die bei den von dieser Richtlinie erfassten Zahlungsdienstverträgen zu Zwecken handelt, die nicht ihrer gewerblichen oder beruflichen Tätigkeit zugerechnet werden können;

21.      ‚Rahmenvertrag‘ einen Zahlungsdienstvertrag, der die zukünftige Ausführung einzelner und aufeinander folgender Zahlungsvorgänge regelt und die Verpflichtung zur Einrichtung eines Zahlungskontos und die entsprechenden Bedingungen enthalten kann;

...

29.      ‚Authentifizierung‘ ein Verfahren, mit dessen Hilfe der Zahlungsdienstleister die Identität eines Zahlungsdienstnutzers oder die berechtigte Verwendung eines bestimmten Zahlungsinstruments, einschließlich der Verwendung der personalisierten Sicherheitsmerkmale des Nutzers, überprüfen kann;

30.      ‚starke Kundenauthentifizierung‘ eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist;

31.      ‚personalisierte Sicherheitsmerkmale‘ personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt;

...“

11      Titel III („Transparenz der Vertragsbedingungen und Informationspflichten der Zahlungsdienste“) der Richtlinie 2015/2366 umfasst in seinem Kapitel 1 („Allgemeine Vorschriften“) die Art. 38 bis 42.

12      Art. 38 („Anwendungsbereich“) Abs. 1 dieser Richtlinie sieht vor:

„Dieser Titel gilt für Einzelzahlungen sowie für Rahmenverträge und die von ihnen erfassten Zahlungsvorgänge. Die Parteien können vereinbaren, dass dieser Titel insgesamt oder teilweise keine Anwendung findet, wenn es sich bei dem Zahlungsdienstnutzer nicht um einen Verbraucher handelt.“

13      Art. 42 („Ausnahmen von den Informationsanforderungen für Kleinbetragszahlungsinstrumente und E-Geld“) der Richtlinie 2015/2366 bestimmt:

„(1) Im Falle von Zahlungsinstrumenten, die gemäß dem entsprechenden Rahmenvertrag nur einzelne Zahlungsvorgänge bis höchstens 30 [Euro] betreffen oder die entweder eine Ausgabenobergrenze von 150 [Euro] haben oder Geldbeträge speichern, die zu keiner Zeit 150 [Euro] übersteigen,

a)      teilt der Zahlungsdienstleister dem Zahler abweichend von den Artikeln 51, 52 und 56 nur die wesentlichen Merkmale des Zahlungsdienstes, einschließlich der Nutzungsmöglichkeiten des Zahlungsinstruments, Haftungshinweise sowie anfallende Entgelte und andere wesentliche Informationen mit, die notwendig sind, um in Kenntnis der Sachlage entscheiden zu können; ferner gibt er an, wo die weiteren nach Artikel 52 vorgeschriebenen Informationen und Vertragsbedingungen in leicht zugänglicher Form verfügbar sind;

b)      kann vereinbart werden, dass der Zahlungsdienstleister abweichend von Artikel 54 Änderungen der Bedingungen des Rahmenvertrags nicht in der in Artikel 51 Absatz 1 vorgesehenen Weise vorschlagen muss[;]

...“

14      Titel III der Richtlinie 2015/2366 enthält ein Kapitel 3 („Rahmenverträge“), das aus den Art. 50 bis 58 besteht.

15      Art. 51 („Allgemeine Vorabunterrichtung“) Abs. 1 dieser Richtlinie sieht vor:

„Die Mitgliedstaaten schreiben vor, dass der Zahlungsdienstleister dem Zahlungsdienstnutzer die Informationen und Vertragsbedingungen gemäß Artikel 52 in Papierform oder auf einem anderen dauerhaften Datenträger rechtzeitig mitteilt, bevor der Zahlungsdienstnutzer durch einen Rahmenvertrag oder ein Vertragsangebot gebunden ist. Die Informationen und Vertragsbedingungen sind in einer Amtssprache des Mitgliedstaats, in dem der Zahlungsdienst angeboten wird, oder in einer anderen zwischen den Parteien vereinbarten Sprache in leicht verständlichen Worten und in klarer und verständlicher Form abzufassen.“

16      Art. 52 („Informationen und Vertragsbedingungen“) der Richtlinie 2015/2366 sieht vor:

„Die Mitgliedstaaten stellen sicher, dass dem Zahlungsdienstnutzer folgende Informationen und Bedingungen mitgeteilt werden:

...

6.      über Änderungen und Kündigung des Rahmenvertrags:

a)      soweit vereinbart, die Angabe, dass die Zustimmung des Zahlungsdienstnutzers zu einer Änderung der Vertragsbedingungen nach Artikel 54 als erteilt gilt, außer der Zahlungsdienstnutzer zeigt dem Zahlungsdienstleister seine Ablehnung vor dem vorgeschlagenen Zeitpunkt des Inkrafttretens der geänderten Bedingungen an;

...“

17      Art. 54 („Änderungen der Vertragsbedingungen“) Abs. 1 dieser Richtlinie bestimmt:

„Der Zahlungsdienstleister schlägt Änderungen des Rahmenvertrags oder der in Artikel 52 genannten Informationen und Vertragsbedingungen in der in Artikel 51 Absatz 1 vorgesehenen Weise spätestens zwei Monate vor dem geplanten Tag ihrer Anwendung vor. Der Zahlungsdienstnutzer kann den Änderungen vor dem vorgeschlagenen Zeitpunkt ihres Inkrafttretens entweder zustimmen oder sie ablehnen.

Sofern gemäß Artikel 52 Nummer 6 Buchstabe a vereinbart, setzt der Zahlungsdienstleister den Zahlungsdienstnutzer davon in Kenntnis, dass dessen Zustimmung zu den Änderungen als erteilt gilt, wenn er dem Zahlungsdienstleister seine Ablehnung nicht vor dem vorgeschlagenen Tag des Inkrafttretens der geänderten Bedingungen angezeigt hat. Der Zahlungsdienstleister setzt den Zahlungsdienstnutzer ferner davon in Kenntnis, dass der Zahlungsdienstnutzer, wenn er diese Änderungen ablehnt, das Recht hat, den Rahmenvertrag jederzeit bis zum Tag der Anwendung der Änderungen kostenlos zu kündigen.“

18      Titel IV („Rechte und Pflichten bei der Erbringung und Nutzung von Zahlungsdiensten“) der Richtlinie 2015/2366 enthält ein Kapitel 1 („Gemeinsame Bestimmungen“), das die Art. 61 bis 63 umfasst.

19      Art. 63 („Ausnahmeregelung für Kleinbetragszahlungsinstrumente und E-Geld“) dieser Richtlinie bestimmt in Abs. 1:

„Im Falle von Zahlungsinstrumenten, die gemäß dem Rahmenvertrag nur einzelne Zahlungsvorgänge bis höchstens 30 [Euro] betreffen oder die entweder eine Ausgabenobergrenze von 150 [Euro] haben oder Geldbeträge speichern, die zu keiner Zeit 150 [Euro] übersteigen, können die Zahlungsdienstleister mit ihren Zahlungsdienstnutzern vereinbaren, dass

a)      Artikel 69 Absatz 1 Buchstabe b, Artikel 70 Absatz 1 Buchstaben c und d sowie Artikel 74 Absatz 3 keine Anwendung finden, wenn das Zahlungsinstrument nicht gesperrt werden oder eine weitere Nutzung nicht verhindert werden kann;

b)      die Artikel 72 und 73 sowie Artikel 74 Absätze 1 und 3 keine Anwendung finden, wenn das Zahlungsinstrument anonym genutzt wird oder der Zahlungsdienstleister aus anderen Gründen, die dem Zahlungsinstrument immanent sind, nicht nachweisen kann, dass ein Zahlungsvorgang autorisiert war;

...“

20      Titel IV der Richtlinie 2015/2366 enthält außerdem ein Kapitel 2 („Autorisierung von Zahlungsvorgängen“), das die Art. 64 bis 77 umfasst.

21      Art. 69 („Pflichten des Zahlungsdienstnutzers in Bezug auf Zahlungsinstrumente und personalisierte Sicherheitsmerkmale“) dieser Richtlinie sieht in Abs. 1 vor:

„Der zur Nutzung eines Zahlungsinstruments berechtigte Zahlungsdienstnutzer

...

b)      zeigt dem Zahlungsdienstleister oder der von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die nicht autorisierte Nutzung des Zahlungsinstruments unverzüglich an, sobald er davon Kenntnis erhält.“

22      Art. 70 („Pflichten des Zahlungsdienstleisters in Bezug auf Zahlungsinstrumente“) der Richtlinie 2015/2366 bestimmt in Abs. 1:

„Der Zahlungsdienstleister, der ein Zahlungsinstrument ausgibt:

...

c)      muss sicherstellen, dass der Zahlungsdienstnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige gemäß Artikel 69 Absatz 1 Buchstabe b vorzunehmen oder die Aufhebung der Sperrung des Zahlungsinstruments gemäß Artikel 68 Absatz 4 zu verlangen; er stellt dem Zahlungsdienstnutzer auf Verlangen die Mittel zur Verfügung, mit denen dieser bis zu 18 Monate nach der Anzeige nachweisen kann, dass der Zahlungsdienstnutzer seiner Anzeigepflicht nachgekommen ist;

d)      bietet dem Zahlungsdienstnutzer die Möglichkeit, eine Anzeige gemäß Artikel 69 Absatz 1 Buchstabe b kostenlos vorzunehmen, und darf allenfalls ausschließlich die direkt mit dem Zahlungsinstrument verbundenen Ersatzkosten anrechnen;

...“

23      Art. 72 („Nachweis der Authentifizierung und Ausführung von Zahlungsvorgängen“) sieht vor:

„(1) Die Mitgliedstaaten schreiben vor, dass ein Zahlungsdienstleister in dem Fall, dass ein Zahlungsdienstnutzer bestreitet, einen ausgeführten Zahlungsvorgang autorisiert zu haben, oder geltend macht, dass der Zahlungsvorgang nicht ordnungsgemäß ausgeführt wurde, nachweisen muss, dass der Zahlungsvorgang authentifiziert war, ordnungsgemäß aufgezeichnet und verbucht und nicht durch eine technische Panne oder einen anderen Mangel des von dem Zahlungsdienstleister erbrachten Dienstes beeinträchtigt wurde.

Wird der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so muss der Zahlungsauslösedienstleister nachweisen, dass der Zahlungsvorgang – innerhalb seines Zuständigkeitsbereichs – authentifiziert, ordnungsgemäß aufgezeichnet und nicht durch eine technische Panne oder einen anderen Mangel im Zusammenhang mit dem von ihm verantworteten Zahlungsdienst beeinträchtigt wurde.

(2) Bestreitet ein Zahlungsdienstnutzer, einen ausgeführten Zahlungsvorgang autorisiert zu haben, so reicht die vom Zahlungsdienstleister, gegebenenfalls einschließlich des Zahlungsauslösedienstleisters aufgezeichnete Nutzung eines Zahlungsinstruments für sich gesehen nicht notwendigerweise aus, um nachzuweisen, dass der Zahler entweder den Zahlungsvorgang autorisiert oder aber in betrügerischer Absicht gehandelt oder eine oder mehrere seiner Pflichten nach Artikel 69 vorsätzlich oder grob fahrlässig verletzt hat. Der Zahlungsdienstleister, gegebenenfalls einschließlich des Zahlungsauslösedienstleisters, muss unterstützende Beweismittel vorlegen, um Betrug oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen.“

24      Art. 73 („Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge“) der Richtlinie 2015/2366 lautet:

„(1) Die Mitgliedstaaten stellen unbeschadet des Artikels 71 sicher, dass im Falle eines nicht autorisierten Zahlungsvorgangs der Zahlungsdienstleister des Zahlers diesem den Betrag des nicht autorisierten Zahlungsvorgangs unverzüglich, auf jeden Fall spätestens bis zum Ende des folgenden Geschäftstags erstattet, nachdem er von dem Zahlungsvorgang Kenntnis erhalten hat oder dieser ihm angezeigt wurde, es sei denn, er hat berechtigte Gründe für den Verdacht, dass Betrug vorliegt, und teilt der zuständigen nationalen Behörde diese Gründe schriftlich mit. Der Zahlungsdienstleister des Zahlers bringt gegebenenfalls das belastete Zahlungskonto wieder auf den Stand, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte. Dabei wird sichergestellt, dass der Betrag auf dem Zahlungskonto des Zahlers spätestens zum Datum der Belastung des Kontos wertgestellt wird.

(2) Wird der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so erstattet der kontoführende Zahlungsdienstleister unverzüglich, auf jeden Fall spätestens bis zum Ende des folgenden Geschäftstags den Betrag des nicht autorisierten Zahlungsvorgangs und bringt das belastete Zahlungskonto gegebenenfalls wieder auf den Stand, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte.

Haftet der Zahlungsauslösedienstleister für den nicht autorisierten Zahlungsvorgang, so entschädigt er den kontoführenden Zahlungsdienstleister auf dessen Verlangen unverzüglich für die infolge der Erstattung an den Zahler erlittenen Verluste oder gezahlten Beträge, einschließlich des Betrags des nicht autorisierten Zahlungsvorgangs. Im Einklang mit Artikel 72 Absatz 1 muss der Zahlungsauslösedienstleister nachweisen, dass der Zahlungsvorgang – innerhalb seines Zuständigkeitsbereichs – authentifiziert, ordnungsgemäß aufgezeichnet und nicht durch eine technische Panne oder einen anderen Mangel im Zusammenhang mit dem von ihm verantworteten Zahlungsdienst beeinträchtigt wurde.

(3) Eine darüber hinausgehende finanzielle Entschädigung kann nach dem auf den Vertrag zwischen dem Zahler und dem Zahlungsdienstleister oder gegebenenfalls auf den Vertrag zwischen dem Zahler und dem Zahlungsauslösedienstleister anwendbaren Recht festgelegt werden.“

25      Art. 74 („Haftung des Zahlers für nicht autorisierte Zahlungsvorgänge“) Abs. 1 und 3 dieser Richtlinie lautet:

„(1) Abweichend von Artikel 73 kann der Zahler dazu verpflichtet werden, Schäden, die infolge eines nicht autorisierten Zahlungsvorgangs unter Nutzung eines verlorenen oder gestohlenen Zahlungsinstruments oder infolge der missbräuchlichen Verwendung eines Zahlungsinstruments entstehen, bis höchstens 50 [Euro] zu tragen.

Unterabsatz 1 findet keine Anwendung, wenn

a)      der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstruments für den Zahler vor einer Zahlung nicht bemerkbar war, es sei denn, der Zahler hat selbst in betrügerischer Absicht gehandelt oder

b)      der Verlust durch Handlungen oder Unterlassungen eines Angestellten oder eines Agenten, einer Zweigniederlassung eines Zahlungsdienstleisters oder einer Stelle, an den bzw. die Tätigkeiten ausgelagert werden, verursacht wurde.

Der Zahler trägt alle Verluste, die in Verbindung mit nicht autorisierten Zahlungsvorgängen entstanden sind, wenn er sie in betrügerischer Absicht oder durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer der Pflichten nach Artikel 69 herbeigeführt hat.

In diesen Fällen findet der Höchstbetrag nach Unterabsatz 1 keine Anwendung.

Wenn der Zahler weder in betrügerischer Absicht gehandelt hat noch seinen Pflichten nach Artikel 69 vorsätzlich nicht nachgekommen ist, können die Mitgliedstaaten die Haftung nach dem vorliegenden Absatz einschränken, wobei sie insbesondere der Art der personalisierten Sicherheitsmerkmale sowie den besonderen Umständen Rechnung tragen, unter denen der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstruments stattgefunden hat.

...

(3) Nach einer Anzeige gemäß Artikel 69 Absatz 1 Buchstabe b trägt der Zahler keine finanziellen Folgen der Nutzung des verlorenen, gestohlenen oder missbräuchlich verwendeten Zahlungsinstruments, es sei denn, er hat in betrügerischer Absicht gehandelt.

Stellt der Zahlungsdienstleister nicht nach Artikel 70 Absatz 1 Buchstabe c geeignete Mittel bereit, um jederzeit den Verlust, Diebstahl oder die missbräuchliche Verwendung eines Zahlungsinstruments anzeigen zu können, so haftet der Zahler nicht für die finanziellen Folgen der Nutzung dieses Zahlungsinstruments, es sei denn, er hat in betrügerischer Absicht gehandelt.“

26      In Titel VI („Schlussbestimmungen“) sieht Art. 107 („Vollständige Harmonisierung“) der Richtlinie 2015/2366 vor:

„(1) Unbeschadet des Artikels 2, des Artikels 8 Absatz 3, des Artikels 32, des Artikels 38 Absatz 2, des Artikels 42 Absatz 2, des Artikels 55 Absatz 6, des Artikels 57 Absatz 3, des Artikels 58 Absatz 3, des Artikels 61 Absätze 2 und 3, des Artikels 62 Absatz 5, des Artikels 63 Absätze 2 und 3, des Artikels 74 Absatz 1 Unterabsatz 4 und des Artikels 86 dürfen die Mitgliedstaaten in den Bereichen, in denen diese Richtlinie harmonisierte Bestimmungen enthält, keine anderen als die in dieser Richtlinie festgelegten Bestimmungen beibehalten oder einführen.

...

(3) Die Mitgliedstaaten stellen sicher, dass die Zahlungsdienstleister nicht zum Nachteil der Zahlungsdienstnutzer von den nationalen Vorschriften zur Umsetzung dieser Richtlinie abweichen, es sei denn, das ist in diesen Vorschriften ausdrücklich vorgesehen.

Zahlungsdienstleister können jedoch beschließen, Zahlungsdienstnutzern günstigere Konditionen einzuräumen.“

 Delegierte Verordnung (EU) 2018/389

27      In den Erwägungsgründen 9 und 11 der Delegierten Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (ABl. 2018, L 69, S. 23) heißt es:

„(9)      Gemäß der Richtlinie (EU) 2015/2366 wurden die Ausnahmen vom Grundsatz der starken Kundenauthentifizierung ausgehend vom Risikoniveau, vom Betrag und von der Periodizität des Zahlungsvorgangs und des für seine Ausführung genutzten Zahlungswegs festgelegt.

...

(11)      Ausnahmen für kontaktlose Kleinbetragszahlungen an der Verkaufsstelle, die auch eine maximale Anzahl von aufeinanderfolgenden Vorgängen oder einen bestimmten Höchstbetrag aufeinanderfolgender Vorgänge ohne Durchführung einer starken Kundenauthentifizierung einbeziehen, erlauben die Entwicklung benutzerfreundlicher Zahlungsdienste mit niedrigem Risiko und sollten deshalb vorgesehen werden. …“

28      In Art. 1 („Gegenstand“) der Delegierten Verordnung 2018/389 heißt es:

„In dieser Verordnung werden die Anforderungen festgelegt, die Zahlungsdienstleister für die Umsetzung von Sicherheitsmaßnahmen erfüllen müssen, die es ihnen ermöglichen,

a)      das Verfahren zur starken Kundenauthentifizierung nach Artikel 97 der Richtlinie (EU) 2015/2366 anzuwenden;

b)      unter genau festgelegten, eingeschränkten Voraussetzungen, die auf die Höhe des Risikos, den Betrag und die Häufigkeit des Zahlungsvorgangs sowie auf den für dessen Ausführung genutzten Zahlungsweg abstellen, von der Durchführung der aus Sicherheitsgründen vorgeschriebenen starken Kundenauthentifizierung abzusehen;

...“

29      Art. 2 („Allgemeine Anforderungen an die Authentifizierung“) Abs. 1 Unterabs. 1 dieser Delegierten Verordnung sieht vor:

„Die Zahlungsdienstleister verfügen über Transaktionsüberwachungsmechanismen, die ihnen für den Zweck der Umsetzung der in Artikel 1 Buchstaben a und b genannten Sicherheitsmaßnahmen die Erkennung nicht autorisierter oder betrügerischer Zahlungsvorgänge ermöglichen.“

30      Art. 11 („Kontaktlose Zahlungen an der Verkaufsstelle“) der Delegierten Verordnung 2018/389 lautet:

„Zahlungsdienstleister dürfen unter Einhaltung der in Artikel 2 festgelegten Anforderungen bei Auslösen eines kontaktlosen elektronischen Zahlungsvorgangs durch den Zahler davon absehen, eine starke Kundenauthentifizierung zu verlangen, wenn dabei die folgenden Bedingungen erfüllt sind:

a)      Der Einzelbetrag des kontaktlosen elektronischen Zahlungsvorgangs geht nicht über 50 [Euro] hinaus, und

b)      die früheren kontaktlosen elektronischen Zahlungsvorgänge, die über ein mit einer kontaktlosen Funktion ausgestattetes Zahlungsinstrument ausgelöst wurden, gehen seit der letzten Durchführung einer starken Kundenauthentifizierung zusammengenommen nicht über 150 [Euro] hinaus, oder

c)      die Anzahl der aufeinanderfolgenden kontaktlosen elektronischen Zahlungsvorgänge, die über das mit einer kontaktlosen Funktion ausgestattete Zahlungsinstrument ausgelöst wurden, geht seit der letzten Durchführung einer starken Kundenauthentifizierung nicht über fünf hinaus.“

 Ausgangsverfahren und Vorlagefragen

31      Der VKI ist ein in Österreich ansässiger Verein, der nach den österreichischen Rechtsvorschriften zur Durchsetzung von Verbraucherinteressen klageberechtigt ist.

32      Die DenizBank ist eine in Österreich tätige Bank. Im geschäftlichen Verkehr mit Kunden verwendet sie Allgemeine Geschäftsbedingungen, u. a. für die Verwendung von Zahlungskarten, die mit der NFC-Funktion ausgestattet sind. Mit dieser Funktion, die bei der ersten Benutzung der Karte durch den Kunden automatisch aktiviert wird, können an dafür ausgerüsteten Kassen Kleinbeträge bis zu 25 Euro pro Zahlungsvorgang bezahlt werden, ohne die Karte in ein Zahlungsterminal einführen und eine persönliche Identifizierungsnummer (im Folgenden: PIN-Code) eingeben zu müssen. Die Zahlung höherer Beträge erfordert dagegen eine Authentifizierung durch PIN-Code.

33      Der Inhalt der für den vorliegenden Fall relevanten Klauseln der Allgemeinen Geschäftsbedingungen kann wie folgt zusammengefasst werden:

–        Klausel 14 sieht insbesondere vor, dass Änderungen der allgemeinen Geschäftsbedingungen für Zahlungskarten dem Kunden spätestens zwei Monate vor dem geplanten Zeitpunkt ihres Inkrafttretens vorgeschlagen werden und die Zustimmung des Kunden zu diesen Änderungen als erteilt gilt, sofern der Kunde die Änderungen nicht vor diesem Zeitpunkt ausdrücklich ablehnt, wobei der Kunde, der Verbraucher ist, das Recht zur kostenlosen Kündigung hat; hierauf ist in dem Änderungsvorschlag, den die DenizBank ihm übermittelt, hinzuweisen;

–        Klausel 15 bestimmt, dass die DenizBank nicht nachweisen muss, dass Kleinbetragszahlungen, die ohne Eingabe des persönlichen Codes, d. h. mittels der NFC-Funktion, vorgenommen wurden, autorisiert waren und diese Zahlungsvorgänge nicht durch ein technisches Versagen oder eine andere Störung beeinträchtigt wurden;

–        Klausel 16 befreit die DenizBank von jeglicher Haftung und Erstattungspflicht in Fällen, in denen derartige Zahlungsvorgänge vom Karteninhaber nicht autorisiert wurden;

–        Klausel 17 sieht vor, dass der Kontoinhaber das Risiko des Missbrauchs seiner Karte für Zahlungen dieser Art trägt;

–        Klausel 18 weist darauf hin, dass es bei Abhandenkommen der Bezugskarte z. B. durch Verlust oder Diebstahl technisch nicht möglich ist, die Karte für Kleinbetragszahlungen zu sperren, und dass solche Zahlungen auch nach einer Sperrung noch bis zu einem Betrag von 75 Euro vorgenommen werden können und von der DenizBank nicht erstattet werden;

–        Klausel 19 sieht vor, dass die Regelungen für den Karten-Service grundsätzlich auch für Kleinbetragszahlungen gelten.

34      Mit Schriftsatz vom 9. August 2016 erhob der VKI beim Handelsgericht Wien (Österreich) eine Unterlassungsklage mit dem Antrag, der DenizBank zu untersagen, die sechs oben genannten Klauseln zu verwenden, da diese unwirksam seien. Die DenizBank wandte ein, dass Klausel 14 rechtmäßig sei und die einzelnen Zahlungsfunktionen der Karten mit NFC-Funktion getrennt zu beurteilen seien.

35      Mit Urteil vom 28. April 2017 gab das erstinstanzliche Gericht dieser Klage statt. Es entschied, dass Klausel 14 gröblich benachteiligend sei und die NFC-Funktion nicht unter die Ausnahmeregelungen für Kleinbetragszahlungen falle, da die Karte auch für andere Arten von Zahlungen verwendet und die NFC-Funktion als solche nicht als Zahlungsinstrument angesehen werden könne.

36      Mit Urteil vom 20. November 2017 bestätigte das Oberlandesgericht Wien (Österreich) als Berufungsgericht das erstinstanzliche Urteil teilweise. Es führte u. a. aus, dass die Verwendung der NFC-Funktion keine Verwendung eines Zahlungsinstruments darstelle, sondern wie MOTO-Kreditkartentransaktionen zu behandeln sei. Im Unterschied zur „Elektronischen Geldbörse“ werde die NFC-Funktion automatisch aktiviert, die mit dieser Funktion ausgestattete Karte sei nicht anonym, sondern sowohl personalisiert als auch mit einem Code gesichert.

37      Der VKI und die DenizBank legten gegen das Urteil des Berufungsgerichts jeweils Revision beim vorlegenden Gericht, dem Obersten Gerichtshof (Österreich) ein.

38      Dieser führt erstens aus, dass er bereits wiederholt entschieden habe, dass eine weitreichende Änderung der Bedingungen des Rahmenvertrags durch den Zahlungsdienstleister nicht durch eine stillschweigende Zustimmung des Kunden wie nach Klausel 14 der im Ausgangsverfahren gegenständlichen Allgemeinen Geschäftsbedingungen zustande kommen könne. Eine solche Änderung verstoße gegen Art. 52 Nr. 6 Buchst. a und Art. 54 Abs. 1 der Richtlinie 2015/2366, die durch das Zahlungsdienstegesetz 2018 (BGBl. I, Nr. 17/2018) wortgleich in die österreichische Rechtsordnung übernommen worden sei, sowie gegen das im 63. Erwägungsgrund dieser Richtlinie niedergelegte Ziel des Verbraucherschutzes. Zudem müsse die fragliche Klausel einer zusätzlichen Kontrolle nach der Richtlinie 93/13 unterliegen. Seine oben genannte Rechtsprechung sei jedoch bei einem Teil der österreichischen Literatur auf Kritik gestoßen, von der u. a. geltend gemacht werde, dass die Interessen der Unternehmen gegen die der Verbraucher abgewogen werden müssten, für die eine derartige Änderung auch vorteilhaft sein könne.

39      Zweitens ist das vorlegende Gericht unter Bezugnahme auf die Rechtsprechung des Gerichtshofs, insbesondere die Rn. 33 und 35 des Urteils vom 9. April 2014, T-Mobile Austria (C-616/11, EU:C:2014:242), der Ansicht, dass es sich bei der Auslösung eines Zahlungsauftrags unter Verwendung der NFC-Funktion einer einem individuellen Bankkonto zugeordneten Bankkarte um einen nicht personalisierten „Verfahrensablauf“ und damit um ein „Zahlungsinstrument“ im Sinne von Art. 4 Nr. 14 dieser Richtlinie handeln könne.

40      Für diesen Fall möchte das vorlegende Gericht drittens wissen, ob eine Zahlung mittels der NFC-Funktion einer solchen personalisierten Karte als „anonyme“ Nutzung eines Zahlungsinstruments im Sinne von Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 angesehen werden kann oder ob eine anonyme Nutzung nur dann vorliegt, wenn der Zahlungsvorgang mit einer Bankkarte, die nicht einem individuellen Kundenkonto zugeordnet ist, und ohne zusätzliche Authentifizierungsmerkmale, wie sie in Art. 4 Nrn. 29 und 30 dieser Richtlinie definiert sind, ausgelöst wird.

41      Viertens fragt sich das vorlegende Gericht im Wesentlichen, ob ein Zahlungsdienstleister, der sich auf die Ausnahme in Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 berufen möchte, nachweisen muss, dass das Zahlungsinstrument nach dem neusten Stand der Technik nicht gesperrt oder seine weitere Nutzung nicht verhindert werden kann. Nach Auffassung des vorlegenden Gerichts ist diese Frage aus Gründen des Verbraucherschutzes und in Anbetracht des Umstands, dass der Zahlungsdienstleister gemäß dem 91. Erwägungsgrund der Richtlinie 2015/2366 die Verantwortung für die Sicherheitsmaßnahmen trägt, zu bejahen. Es präzisiert, dass im vorliegenden Fall die DenizBank das Vorbringen des VKI, dass eine solche Sperrung technisch möglich sei, nicht bestritten habe.

42      Unter diesen Umständen hat der Oberste Gerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.      Sind die Art. 52 Nr. 6 Buchst. a in Verbindung mit Art. 54 Abs. 1 der Richtlinie 2015/2366, wonach die Zustimmung des Zahlungsdienstnutzers zu einer vorgeschlagenen Änderung der Vertragsbedingungen als erteilt gilt, außer der Zahlungsdienstnutzer zeigt dem Zahlungsdienstleister seine Ablehnung vor dem vorgeschlagenen Zeitpunkt des Inkrafttretens der geänderten Bedingungen an, dahin auszulegen, dass eine Zustimmungsfiktion auch mit einem Verbraucher völlig uneingeschränkt für sämtliche denkbaren Vertragsbedingungen vereinbart werden kann?

2.      a)      Ist Art. 4 Nr. 14 der Richtlinie 2015/2366 dahin auszulegen, dass es sich bei der NFC-Funktion einer personalisierten multifunktionalen Bankkarte, mit der Kleinbetragszahlungen zulasten des verknüpften Kundenkontos getätigt werden, um ein Zahlungsinstrument handelt?

b)      Falls die Frage 2.a) bejaht wird:

Ist Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 über die Ausnahmeregeln für Kleinbetragszahlungen und elektronisches Geld dahin auszulegen, dass eine kontaktlose Kleinbetragszahlung unter Verwendung der NFC-Funktion einer personalisierten multifunktionalen Bankkarte als anonyme Nutzung des Zahlungsinstruments im Sinne der Ausnahmeregelung anzusehen ist?

3.      Ist Art. 63 Abs. 1 Buchst.b der Richtlinie 2015/2366 dahin auszulegen, dass sich ein Zahlungsdienstleister auf diese Ausnahmeregelung nur dann berufen kann, wenn das Zahlungsinstrument nachweislich nach dem objektiven Stand der Technik nicht gesperrt werden kann oder eine weitere Nutzung nicht verhindert werden kann?

43      Am 26. November 2019 hat der Gerichtshof das vorlegende Gericht gemäß Art. 101 seiner Verfahrensordnung um Klarstellung ersucht, aus welchen Gründen davon auszugehen ist, dass die Richtlinie 2015/2366 sowie die zu ihrer Umsetzung ergangenen österreichischen Rechtsvorschriften in zeitlicher Hinsicht auf den Ausgangsrechtsstreit anwendbar sind, obwohl die Klage des VKI am 9. August 2016 erhoben wurde, als die Richtlinie 2007/64 noch in Kraft war, deren Aufhebung am 13. Januar 2018 erfolgte.

44      In seiner Antwort, die am 24. Januar 2020 bei der Kanzlei des Gerichtshofs eingegangen ist, hat das vorlegende Gericht präzisiert, dass es, da es mit einer Klage auf Unterlassung der zukünftigen Verwendung der im Ausgangsrechtsstreit gegenständlichen Vertragsklauseln befasst worden sei, die Rechtmäßigkeit dieser Klauseln nicht nur anhand der Bestimmungen, die zum Zeitpunkt der Klageerhebung in Kraft gewesen seien, sondern auch anhand der Bestimmungen, die nach der Aufhebung der Richtlinie 2007/64 Anwendung fänden, zu beurteilen habe.

 Zu den Vorlagefragen

 Zur ersten Frage

45      Mit der ersten Frage möchte das vorlegende Gericht wissen, ob Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 in Verbindung mit deren Art. 54 Abs. 1 dahin auszulegen ist, dass ein Zahlungsdienstleister, der einen Rahmenvertrag mit einem Zahlungsdienstnutzer geschlossen hat, mit diesem vereinbaren kann, dass die Zustimmung des Nutzers zu einer Änderung des zwischen ihnen geschlossenen Rahmenvertrags unter den in diesen Bestimmungen festgelegten Bedingungen als erteilt gilt, auch wenn es sich bei dem Nutzer um einen Verbraucher handelt und unabhängig davon, welche Art von Vertragsklauseln diese Zustimmungsfiktion betrifft.

46      Nach Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 müssen die Mitgliedstaaten sicherstellen, dass dem Zahlungsdienstnutzer mitgeteilt wird, dass, soweit dies zwischen den Parteien des Rahmenvertrags vereinbart ist, seine Zustimmung zu einer von dem Zahlungsdienstleister vorgeschlagenen Änderung der Vertragsbedingungen nach Art. 54 Abs. 1 dieser Richtlinie als erteilt gilt, außer er zeigt dem Zahlungsdienstleister seine Ablehnung vor dem vorgeschlagenen Zeitpunkt des Inkrafttretens der geänderten Bedingungen an.

47      Hervorzuheben ist, dass die Vermutung der stillschweigenden Zustimmung des Zahlungsdienstnutzers, deren Geltung mit dem Zahlungsdienstleister vereinbart wurde, nach diesen Bestimmungen nur „Änderungen“ der Bedingungen des Rahmenvertrags erfasst, d. h. Anpassungen, die sich auf die Bedingungen dieses Rahmenvertrags nicht in einem solchen Maße auswirken, dass der Vorschlag des Dienstleisters in Wirklichkeit dem Abschluss eines neuen Vertrags gleichkommt. Es ist Aufgabe des nationalen Gerichts, bei dem ein Rechtsstreit über eine solche stillschweigende Zustimmung anhängig ist, zu prüfen, ob diese Voraussetzung erfüllt ist.

48      Dagegen enthält der Wortlaut von Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 in Verbindung mit deren Art. 54 Abs. 1, wie in der ersten Frage angesprochen, keine Präzisierung hinsichtlich der Eigenschaft des Zahlungsdienstnutzers. Wenn es aber auf die Eigenschaft als „Verbraucher“ im Sinne von Art. 4 Nr. 20 dieser Richtlinie entscheidend ankommt, wird in deren Bestimmungen – wie etwa in ihrem Art. 38 – ausdrücklich darauf hingewiesen.

49      Daraus folgt, dass Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 sowohl auf Zahlungsdienstnutzer, die Verbraucher sind, als auch auf solche, die keine Verbraucher sind, Anwendung findet.

50      Außerdem ergibt sich aus dem Wortlaut von Art. 52 Nr. 6 Buchst. a dieser Richtlinie in Verbindung mit deren Art. 54 Abs. 1 Unterabs. 2, dass mit der erstgenannten Bestimmung ausschließlich Anforderungen hinsichtlich der Vorabunterrichtung aufgestellt und keine Vorgaben zum Inhalt von Änderungen eines Rahmenvertrags, die stillschweigend angenommen werden können, gemacht werden sollen; diese Bestimmungen räumen nämlich lediglich die Möglichkeit solcher Änderungen ein und schreiben umfassende Transparenz in Bezug auf diese Änderungen vor, ohne deren Inhalt zu bestimmen.

51      Dieses Ergebnis wird durch eine systematische Auslegung von Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 in Verbindung mit deren Art. 54 Abs. 1 bestätigt.

52      Art. 52 („Informationen und Vertragsbedingungen“) und Art. 54 („Änderungen der Vertragsbedingungen“) der Richtlinie 2015/2366 stehen nämlich in deren Kapitel 3, das für Zahlungsvorgänge gilt, die von einem Rahmenvertrag erfasst sind, in Titel III („Transparenz der Vertragsbedingungen und Informationspflichten der Zahlungsdienste“) dieser Richtlinie. Daraus folgt, dass die Art. 52 und 54 lediglich regeln, welche Vertragsbedingungen und Informationen ein Zahlungsdienstleister dem Zahlungsdienstnutzer übermitteln muss, und nicht den Inhalt der gegenseitigen Verbindlichkeiten bestimmen, die diese Personen vertraglich festlegen dürfen; dieser Inhalt unterliegt den Bestimmungen des Titels IV („Rechte und Pflichten bei der Erbringung und Nutzung von Zahlungsdiensten“) dieser Richtlinie.

53      Außerdem weist Art. 42 („Ausnahmen von den Informationsanforderungen für Kleinbetragszahlungsinstrumente und E-Geld“) der Richtlinie 2015/2366, der ebenfalls in deren Titel III enthalten ist, klar darauf hin, dass die Art. 52 und 54 Informationen zu Zahlungsdiensten betreffen, die von dem Erbringer dieser Dienste zu erteilen sind, es sei denn, Abweichungen sind ausdrücklich zugelassen.

54      Im Übrigen sieht Art. 51 dieser Richtlinie vor, dass der Zahlungsdienstleister die Informationen und Vertragsbedingungen gemäß Art. 52 rechtzeitig, bevor der Zahlungsdienstnutzer durch einen Rahmenvertrag oder ein Vertragsangebot gebunden ist, auf einem dauerhaften Datenträger in klarer und verständlicher Form mitteilt, damit der Zahlungsdienstnutzer in voller Kenntnis der Sachlage entscheiden kann, wie sich aus dem 54. Erwägungsgrund der Richtlinie 2015/2366 ergibt.

55      Die teleologische Auslegung von Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 in Verbindung mit deren Art. 54 Abs. 1 widerspricht den obigen Erwägungen nicht.

56      Zwar heißt es im 63. Erwägungsgrund dieser Richtlinie, wie das vorlegende Gericht und der VKI ausführen, dass, „[u]m ein hohes Verbraucherschutzniveau zu gewährleisten, … die Mitgliedstaaten im Interesse des Verbrauchers Beschränkungen oder Verbote einseitiger Änderungen der Bedingungen eines Rahmenvertrags aufrechterhalten oder einführen können [sollten], beispielsweise wenn eine solche Änderung nicht gerechtfertigt ist“.

57      Aus Art. 107 der Richtlinie 2015/2366 folgt jedoch, dass deren Art. 52 Nr. 6 Buchst. a und Art. 54 Abs. 1 eine vollständige Harmonisierung in dem Bereich bewirken sollen, den sie regeln, d. h. angesichts ihres Wortlauts im Bereich der Vorabunterrichtung betreffend die stillschweigende Zustimmung zu Änderungen eines Rahmenvertrags, falls die Vertragsparteien eine Vereinbarung in diesem Sinne getroffen haben, und dass weder die Mitgliedstaaten noch die Zahlungsdienstleister davon abweichen können, außer soweit die Zahlungsdienstleister beschließen, den Nutzern ihrer Dienste günstigere Konditionen einzuräumen.

58      Somit kann Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 in Verbindung mit deren Art. 54 Abs. 1 im Licht des 63. Erwägungsgrundes dieser Richtlinie nicht dahin ausgelegt werden, dass er Beschränkungen in Bezug auf die Eigenschaft des Nutzers oder die Art der Vertragsbedingungen festlegt, die von solchen Vereinbarungen über Änderungen, denen stillschweigend zugestimmt wird, erfasst sein können.

59      Zudem ist es nach ständiger Rechtsprechung im Rahmen des durch Art. 267 AEUV eingeführten Verfahrens der Zusammenarbeit zwischen den nationalen Gerichten und dem Gerichtshof Aufgabe des Gerichtshofs, dem nationalen Gericht eine für die Entscheidung des bei ihm anhängigen Rechtsstreits sachdienliche Antwort zu geben. Hierzu kann der Gerichtshof aus dem gesamten vom nationalen Gericht vorgelegten Material, insbesondere der Begründung der Vorlageentscheidung, diejenigen Normen und Grundsätze des Unionsrechts herausarbeiten, die unter Berücksichtigung des Gegenstands des Ausgangsrechtsstreits einer Auslegung bedürfen, auch wenn diese Bestimmungen in den Fragen nicht ausdrücklich genannt sind (vgl. insbesondere Urteile vom 19. Dezember 2019, Airbnb Ireland, C-390/18, EU:C:2019:1112, Rn. 36, und vom 12. März 2020, Caisse d’assurance retraite et de la santé au travail d’Alsace-Moselle, C‑769/18, EU:C:2020:203, Rn. 39 und 40).

60      Im vorliegenden Fall hat das vorlegende Gericht in der Begründung seiner Entscheidung zutreffend einen Zusammenhang zwischen der Klausel 14 der im Ausgangsverfahren gegenständlichen Allgemeinen Geschäftsbedingungen, deren Inhalt in Rn. 33 des vorliegenden Urteils wiedergegeben ist, und den Bestimmungen der Richtlinie 93/13 über missbräuchliche Klauseln in Verbraucherverträgen hergestellt. Zudem ist es der Auffassung, dass die streitige Klausel aufgrund der darin vorgesehen Zustimmungsvermutung in der Praxis zu einer einseitigen Änderung des Rahmenvertrags führen könne, da sich die Zahlungsdienstnutzer mit den Auswirkungen derartiger Klauseln nicht hinreichend auseinandersetzten.

61      Hierzu ist festzustellen, dass die Prüfung, ob eine Klausel, die wie die im Ausgangsverfahren in Rede stehende die stillschweigende Zustimmung zu Änderungen eines Rahmenvertrags betrifft, missbräuchlich ist, den Bestimmungen der Richtlinie 93/13 unterliegt, wenn es sich bei den Zahlungsdienstnutzern um „Verbraucher“ im Sinne von Art. 2 dieser Richtlinie handelt.

62      Aus den Bestimmungen der Richtlinie 2015/2366, insbesondere im Licht des 55. Erwägungsgrundes dieser Richtlinie, ergibt sich nämlich, dass andere Texte des Unionsrechts, die den Verbraucherschutz betreffen, wie u. a. die Richtlinie 2011/83, weiterhin gelten. Handelt es sich bei dem Zahlungsdienstnutzer um einen Verbraucher, ist die Richtlinie 2015/2366 folglich neben der Richtlinie 93/13 in der durch die Richtlinie 2011/83 geänderten Fassung anwendbar und somit unbeschadet der Maßnahmen, die die Mitgliedstaaten zur Umsetzung der Richtlinie 93/13 getroffen haben, die auf dem durch sie geregelten Gebiet nur eine Mindestharmonisierung bewirkt und den Erlass mit dem Vertrag vereinbarer strengerer Bestimmungen erlaubt, um ein höheres Schutzniveau für die Verbraucher zu gewährleisten (vgl. in diesem Sinne Urteil vom 2. April 2020, Condominio di Milano, via Meda, C‑329/19, EU:C:2020:263, Rn. 33).

63      So bestimmt Art. 3 Abs. 1 der Richtlinie 93/13, wann eine Klausel in einem Vertrag zwischen einem Verbraucher und einem Gewerbetreibenden für missbräuchlich erklärt werden kann. Art. 3 Abs. 3 verweist auf den Anhang dieser Richtlinie, der eine als Hinweis dienende Liste solcher Klauseln enthält. Darin genannt sind unter Nr. 1 Buchst. j „Klauseln, die darauf abzielen oder zur Folge haben, dass … der Gewerbetreibende die Vertragsklauseln einseitig ohne triftigen und im Vertrag aufgeführten Grund ändern kann“. Außerdem sieht Art. 6 Abs. 1 der Richtlinie 93/13 vor, dass eine missbräuchliche Klausel im Sinne dieser Richtlinie für den Verbraucher nach den in den anwendbaren innerstaatlichen Rechtsvorschriften festgelegten Bedingungen unverbindlich ist. Art. 8 dieser Richtlinie stellt klar, dass die Mitgliedstaaten auf dem durch diese Richtlinie geregelten Gebiet Bestimmungen erlassen können, die dem Verbraucher höheren Schutz bieten, sofern diese mit dem Vertrag vereinbar sind.

64      Somit hat das vorlegende Gericht die Prüfung, ob die im Ausgangsverfahren in Rede stehende Klausel 14 der Allgemeinen Geschäftsbedingungen, die die stillschweigende Änderung des mit Verbrauchern geschlossenen Rahmenvertrags betrifft, missbräuchlich ist, nicht nach Maßgabe von Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 in Verbindung mit deren Art. 54 Abs. 1, sondern nach Maßgabe der Bestimmungen der Richtlinie 93/13 vorzunehmen und gegebenenfalls die Konsequenzen aus einer Rechtswidrigkeit dieser Klausel zu ziehen.

65      In diesem Zusammenhang hat der Gerichtshof entschieden, dass Standardklauseln, die eine einseitige Vertragsanpassung erlauben, den in der Richtlinie 93/13 aufgestellten Anforderungen an Treu und Glauben, Ausgewogenheit und Transparenz genügen müssen (vgl. in diesem Sinne Urteil vom 21. März 2013, RWE Vertrieb, C-92/11, EU:C:2013:180, Rn. 47).

66      Folglich ist auf die erste Frage zu antworten, dass Art. 52 Nr. 6 Buchst. a der Richtlinie 2015/2366 in Verbindung mit deren Art. 54 Abs. 1 dahin auszulegen ist, dass er die Informationen und Vertragsbedingungen bestimmt, die von einem Zahlungsdienstleister mitzuteilen sind, der mit dem Nutzer seiner Dienste gemäß den in diesen Bestimmungen vorgesehenen Modalitäten eine Vermutung der Zustimmung zur Änderung des zwischen ihnen geschlossenen Rahmenvertrags vereinbaren möchte, dass er aber keine Beschränkungen hinsichtlich der Eigenschaft des Nutzers oder der Art der Vertragsbedingungen, die Gegenstand einer solchen Vereinbarung sein können, festlegt; hiervon unberührt bleibt jedoch, wenn es sich bei dem Nutzer um einen Verbraucher handelt, die Möglichkeit der Prüfung, ob diese Klauseln im Licht der Bestimmungen der Richtlinie 93/13 missbräuchlich sind.

 Zu Frage 2 a)

67      Mit der Frage 2 a) möchte das vorlegende Gericht wissen, ob Art. 4 Nr. 14 der Richtlinie 2015/2366 dahin auszulegen ist, dass es sich bei der NFC-Funktion einer personalisierten multifunktionalen Bankkarte, mit der Kleinbetragszahlungen zulasten des verknüpften Kundenkontos getätigt werden können, um ein „Zahlungsinstrument“ im Sinne dieser Bestimmung handelt.

68      Art. 4 Nr. 14 der Richtlinie 2015/2366 definiert „Zahlungsinstrument“ im Sinne dieser Richtlinie als „jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf, das bzw. der zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart wurde und zur Erteilung eines Zahlungsauftrags verwendet wird“.

69      In entsprechendem Wortlaut definierte Art. 4 Nr. 23 der Richtlinie 2007/64 „Zahlungsinstrument“ im Sinne dieser Richtlinie als „jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf, das bzw. der zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart wurde und das bzw. der vom Zahlungsdienstnutzer eingesetzt werden kann, um einen Zahlungsauftrag zu erteilen“.

70      Hierzu ist darauf hinzuweisen, dass der Gerichtshof in Rn. 31 des Urteils vom 9. April 2014, T-Mobile Austria (C-616/11, EU:C:2014:242), zur Auslegung von Art. 4 Nr. 23 der Richtlinie 2007/64 zunächst festgestellt hat, dass zwischen den verschiedenen Sprachfassungen dieser Bestimmung eine gewisse Divergenz hinsichtlich der Verwendung des Attributs „personalisiert“ besteht, das sich je nach Sprachfassung auf das Syntagma „jedes Instrument“ und/oder auf das Syntagma „jeden Verfahrensablauf“ bezieht. Anschließend hat er in Rn. 32 dieses Urteils auf seine ständige Rechtsprechung hingewiesen, wonach die Vorschriften des Unionsrechts im Licht der Fassungen in allen Sprachen der Europäischen Union einheitlich ausgelegt und angewandt werden müssen und die fragliche Vorschrift nach der allgemeinen Systematik und dem Zweck der Regelung, zu der sie gehört, ausgelegt werden muss, wenn die verschiedenen Sprachfassungen eines Unionstexts voneinander abweichen. Schließlich hat der Gerichtshof in Rn. 33 dieses Urteils festgestellt, dass ein Zahlungsinstrument nur dann als personalisiert angesehen werden kann, wenn es dem Zahlungsdienstleister ermöglicht, zu überprüfen, dass der Zahlungsauftrag von einem hierzu berechtigten Nutzer erteilt wurde.

71      Der Gerichtshof hat daher in den Rn. 34 und 35 dieses Urteils entschieden, dass aus dem Umstand, dass es nicht personalisierte Zahlungsinstrumente wie die in Art. 53 der Richtlinie 2007/64, jetzt Art. 63 der Richtlinie 2015/2366, ausdrücklich genannten gibt, zwangsläufig folgt, dass der in Art. 4 Nr. 23 der Richtlinie 2007/64 definierte Begriff „Zahlungsinstrument“ einen nicht personalisierten Verfahrensablauf erfassen kann, der zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart wurde und der vom Zahlungsdienstnutzer eingesetzt werden kann, um einen Zahlungsauftrag zu erteilen.

72      Die im vorliegenden Fall vom vorlegenden Gericht gestellte Frage 2 a) ist im Licht dieser Definition des Begriffs „Zahlungsinstrument“ im Sinne von Art. 4 Nr. 23 der Richtlinie 2007/64, jetzt Art. 4 Nr. 14 der Richtlinie 2015/2366, zu beantworten.

73      Im vorliegenden Fall entnimmt das vorlegende Gericht der in den Rn. 70 und 71 des vorliegenden Urteils angeführten Rechtsprechung zutreffend, dass es sich bei der NFC-Funktion einer mit einem individuellen Bankkonto verknüpften multifunktionalen Bankkarte wie der im Ausgangsverfahren in Rede stehenden nicht um ein „personalisiertes Instrument“ im Sinne der ersten Alternative von Art. 4 Nr. 14 der Richtlinie 2015/2366 handelt, da die Verwendung dieser Funktion als solcher es dem Zahlungsdienstleister nicht ermöglicht, zu überprüfen, ob der Zahlungsauftrag von einem hierzu berechtigten Nutzer erteilt wurde, im Unterschied zu den anderen Funktionen dieser Karte, die die Verwendung personalisierter Sicherheitsmerkmale wie eines PIN-Codes oder einer Unterschrift erfordern.

74      Daher möchte das vorlegende Gericht wissen, ob es sich bei der Verwendung der NFC-Funktion für sich genommen um einen nicht personalisierten „Verfahrensablauf“ im Sinne der zweiten Alternative von Art. 4 Nr. 14 der Richtlinie 2015/2366 und damit um ein „Zahlungsinstrument“ für die Zwecke der Anwendung dieser Richtlinie handeln kann.

75      Wie der Generalanwalt in den Nrn. 37 bis 40 seiner Schlussanträge ausgeführt hat, handelt es sich bei der Verwendung der NFC-Funktion einer an ein individuelles Bankkonto geknüpften Bankkarte um einen nicht personalisierten Verfahrensablauf, der zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart worden sein muss und zur Erteilung eines Zahlungsauftrags verwendet wird, und somit um ein „Zahlungsinstrument“ im Sinne der zweiten Alternative von Art. 4 Nr. 14 der Richtlinie 2015/2366.

76      Aus den dem Gerichtshof unterbreiteten Akten geht hervor, dass die NFC-Funktion, nachdem sie von dem Inhaber des mit einer solchen Karte verknüpften Bankkontos aktiviert wurde, gemäß dem zwischen dem Zahlungsdienstleister und dem Zahlungsdienstnutzer geschlossenen Vertrag von jedem, der sich im Besitz dieser Karte befindet, verwendet werden kann, um Kleinbetragszahlungen im Rahmen des durch diesen Vertrag vereinbarten Höchstbetrags zulasten dieses Kontos zu tätigen, ohne dass personalisierte Sicherheitsmerkmale des Inhabers des betreffenden Kontos zu einer „Authentifizierung“ oder „starken Kundenauthentifizierung“ des Zahlungsauftrags im Sinne von Art. 4 Nrn. 29 bis 31 dieser Richtlinie verwendet werden müssten.

77      In Anbetracht ihrer Besonderheiten lässt sich die NFC-Funktion rechtlich trennen von den anderen Funktionen der ihr als Datenträger dienenden Bankkarte, die insbesondere für die Zahlung von Beträgen, die die für die Verwendung der NFC-Funktion festgelegte Obergrenze überschreiten, die Verwendung personalisierter Sicherheitsmerkmale erfordern. Somit kann die NFC-Funktion isoliert betrachtet als Zahlungsinstrument im Sinne von Art. 4 Nr. 14 der Richtlinie 2015/2366 qualifiziert werden und in deren sachlichen Geltungsbereich fallen.

78      Diese Auslegung ist geeignet, zur Verwirklichung der mit der Richtlinie 2015/2366 verfolgten Ziele beizutragen, denn der Umstand, dass die NFC-Funktion auf diese Weise unmittelbar den Anforderungen dieser Richtlinie unterliegt, fördert im Einklang mit den in den Erwägungsgründen dieser Richtlinie, u. a. ihrem sechsten Erwägungsgrund, enthaltenen Vorgaben nicht nur die Entwicklung dieses neuen Zahlungsmittels im Rahmen eines fairen Wettbewerbs zwischen den Zahlungsdienstleistern, sondern auch den Schutz der Zahlungsdienstnutzer, insbesondere derjenigen, die Verbraucher sind.

79      Folglich ist auf die Frage 2 a) zu antworten, dass Art. 4 Nr. 14 der Richtlinie 2015/2366 dahin auszulegen ist, dass es sich bei der NFC-Funktion einer personalisierten multifunktionalen Bankkarte, mit der Kleinbetragszahlungen zulasten des verknüpften Kundenkontos getätigt werden können, um ein „Zahlungsinstrument“ im Sinne dieser Bestimmung handelt.

 Zu Frage 2 b)

80      Mit der Frage 2 b) möchte das vorlegende Gericht wissen, ob Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 dahin auszulegen ist, dass eine kontaktlose Kleinbetragszahlung unter Verwendung der NFC-Funktion einer personalisierten multifunktionalen Bankkarte als „anonyme“ Nutzung des fraglichen Zahlungsinstruments im Sinne dieser Ausnahmeregelung anzusehen ist.

81      Gemäß Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 kann ein Zahlungsdienstleister für Kleinbetragszahlungsinstrumente, wie sie im Eingangssatz von Art. 63 Abs. 1 definiert sind, mit dem Zahlungsdienstnutzer vereinbaren, dass von den in Buchst. b aufgeführten Bestimmungen abgewichen wird, wenn „das Zahlungsinstrument anonym genutzt wird“ oder „der Zahlungsdienstleister aus anderen Gründen, die dem Zahlungsinstrument immanent sind, nicht nachweisen kann, dass ein Zahlungsvorgang autorisiert war“.

82      Der Gerichtshof hat darauf hingewiesen, dass sich aus Art. 53 Abs. 1 Buchst. b der Richtlinie 2007/64, jetzt Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366, ergibt, dass bestimmte Zahlungsinstrumente anonym genutzt werden und die Zahlungsdienstleister dann den Nachweis der Authentifizierung in dem in Art. 59 der Richtlinie 2007/64, jetzt Art. 72 der Richtlinie 2015/2366, geregelten Fall nicht zu erbringen brauchen (Urteil vom 9. April 2014, T-Mobile Austria, C‑616/11, EU:C:2014:242, Rn. 34).

83      Im Einzelnen erlaubt Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 dem Zahlungsdienstleister und dem Zahlungsdienstnutzer, durch Vereinbarung abzuweichen von erstens Art. 72 dieser Richtlinie, der den Zahlungsdienstleister verpflichtet, die Authentifizierung und Ausführung von Zahlungsvorgängen nachzuweisen, zweitens Art. 73 dieser Richtlinie, der den Grundsatz der Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge aufstellt, und drittens Art. 74 Abs. 1 und 3 der Richtlinie 2015/2366, der von diesem Grundsatz teilweise abweicht, indem er vorsieht, inwieweit der Zahler dazu verpflichtet werden kann, Schäden, die infolge solcher Zahlungsvorgänge entstehen, bis höchstens 50 Euro zu tragen, es sei denn, diese Zahlungsvorgänge erfolgen, nachdem der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstruments dem Zahlungsdienstleister angezeigt wurden.

84      Hervorzuheben ist, dass Art. 63 Abs. 1 Buchst. b dieser Richtlinie aufgrund seines Ausnahmecharakters eng auszulegen ist.

85      Wie das vorlegende Gericht und die Kommission ausgeführt haben, ergibt sich aus dem Wortlaut von Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 im Licht der darin genannten Bestimmungen, dass den beiden Fällen, in denen von der darin vorgesehenen Ausnahme Gebrauch gemacht werden kann, gemeinsam ist, dass der Zahlungsdienstleister aufgrund der „anonymen“ Nutzung des betreffenden Zahlungsinstruments oder aus „andere[n] dem Zahlungsinstrument immanente[n] Gründe[n]“ objektiv nicht in der Lage ist, nachzuweisen, dass ein Zahlungsvorgang autorisiert war.

86      Im vorliegenden Fall sind für die Frage, ob eine Zahlung, die mit der NFC-Funktion einer personalisierten multifunktionalen Bankkarte getätigt wird, als „anonyme“ Verwendung im Sinne von Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 qualifiziert werden kann, folgende Umstände zu berücksichtigen.

87      Zum einen wird die betreffende Karte als personalisiert angesehen, wenn sie mit dem Bankkonto eines bestimmten Kunden, nämlich des „Zahlers“ im Sinne von Art. 4 Nr. 8 dieser Richtlinie, verknüpft ist und dieses Konto nach einer mittels der NFC-Funktion erfolgten Zahlung belastet wird. Zum anderen erfordert eine derartige, auf Kleinbeträge begrenzte Zahlung, sobald diese Funktion vom Kunden aktiviert wurde, lediglich den Besitz dieser Karte und keine Authentifizierung durch die Verwendung personalisierter Sicherheitsmerkmale wie eines PIN-Codes oder einer Unterschrift. Aus dem letztgenannten Umstand folgt, dass jeder, der Zugang zu dieser Karte hat, eine solche Zahlung im Rahmen des erlaubten Höchstbetrags auch ohne Einverständnis des Kontoinhabers, bei Verlust, Diebstahl oder missbräuchlicher Verwendung der Karte tätigen kann.

88      In diesem Zusammenhang ist zwischen der Identifizierung des Inhabers des belasteten Kontos, die sich unmittelbar aus der Personalisierung der betreffenden Karte ergibt, und der etwaigen Autorisierung der Zahlung durch den Kontoinhaber, die nicht durch die bloße Benutzung der Karte belegt werden kann, wenn die fragliche Zahlung mit der NFC-Funktion getätigt wird, zu unterscheiden. Das Einverständnis des Inhabers mit einer solchen Zahlung kann nämlich nicht aus dem bloßen physischen Besitz der mit dieser Funktion ausgestatteten Karte hergeleitet werden.

89      Somit stellt die Verwendung der NFC-Funktion zur Zahlung von Kleinbeträgen eine „anonyme“ Nutzung im Sinne von Art. 63 Abs. 1 Buchst. b dieser Richtlinie dar, selbst wenn die mit dieser Funktion ausgestattete Karte mit dem Bankkonto eines bestimmten Kunden verknüpft ist. In einer solchen Situation ist es dem Zahlungsdienstleister nämlich objektiv unmöglich, die Person, die mit diesem Mittel gezahlt hat, zu identifizieren und damit zu überprüfen oder gar nachzuweisen, dass der Vorgang von dem Kontoinhaber autorisiert war.

90      Wie die DenizBank geltend gemacht hat, wird diese Auslegung durch die Ziele der Richtlinie 2015/2366 bestätigt, „die Entwicklung benutzerfreundlicher und leicht zugänglicher Zahlungsmittel für Zahlungen mit einem niedrigen Risiko wie kontaktlose Kleinbetragszahlungen an der Verkaufsstelle … zu ermöglichen“ (96. Erwägungsgrund dieser Richtlinie) und „neuen Zahlungsmitteln de[n] Zugang zu einem größeren Markt [zu] eröffne[n] und ein hohes Maß an Verbraucherschutz bei der Nutzung dieser Zahlungsdienstleistungen … [zu] gewährleiste[n]“ (sechster Erwägungsgrund dieser Richtlinie). Zudem sieht der 81. Erwägungsgrund der Richtlinie 2015/2366 vor, dass „Zahlungsinstrumente für Kleinbetragszahlungen … bei Waren und Dienstleistungen des Niedrigpreissegments eine kostengünstige und benutzerfreundliche Alternative darstellen und nicht durch übermäßig hohe Anforderungen überfrachtet werden [sollten]“, wobei jedoch „die Zahlungsdienstnutzer … angemessen geschützt sein [sollten]“. Es ist nämlich im Interesse nicht nur des Zahlungsdienstleisters, sondern auch seines Kunden, sofern dieser es wünscht und weiterhin hinreichend geschützt ist, über innovative, schnelle und einfach zu benutzende Zahlungsmittel wie die NFC-Funktion zu verfügen.

91      Außerdem steht diese Auslegung von Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 im Einklang mit der allgemeinen Systematik dieser Richtlinie, da im Licht der durch diese festgelegten Regeln davon auszugehen ist, dass ein Kunde, der sich für die Nutzung eines vereinfachten Zahlungsinstruments wie der NFC-Funktion, bei dem für Kleinbetragszahlungen keine Identifizierung notwendig ist, entschieden hat, damit einverstanden ist, gegebenenfalls den Auswirkungen der nach dieser Bestimmung zulässigen vertraglichen Beschränkungen der Haftung des Zahlungsdienstleisters ausgesetzt zu sein.

92      Indem der Unionsgesetzgeber die von einem Kunden potenziell zu tragenden finanziellen Verluste begrenzt, wie sich aus dem Eingangssatz von Art. 63 Abs. 1 der Richtlinie 2015/2366 ergibt, ermöglicht er gemäß den Vorschriften dieser Richtlinie im Licht der in Rn. 90 des vorliegenden Urteils angeführten Erwägungsgründe, ein Gleichgewicht zwischen den mit einem solchen Instrument einhergehenden Vorteilen und Risiken insbesondere für die Kunden, die Verbraucher sind, zu gewährleisten.

93      Daher ist auf die Frage 2 b) zu antworten, dass Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 dahin auszulegen ist, dass eine kontaktlose Kleinbetragszahlung unter Verwendung der NFC-Funktion einer personalisierten multifunktionalen Bankkarte als „anonyme“ Nutzung des fraglichen Zahlungsinstruments im Sinne dieser Ausnahmeregelung anzusehen ist.

 Zur dritten Frage

94      Mit der dritten Frage möchte das vorlegende Gericht wissen, ob Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 dahin auszulegen ist, dass sich ein Zahlungsdienstleister, der sich auf die in dieser Bestimmung enthaltene Ausnahmeregelung berufen möchte, darauf beschränken kann, zu behaupten, das betreffende Zahlungsinstrument könne nicht gesperrt oder seine weitere Nutzung nicht verhindert werden, obwohl dies nach dem objektiven Stand der Technik nicht nachweislich unmöglich ist.

95      Gemäß Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 kann ein Zahlungsdienstleister für Kleinbetragszahlungsinstrumente im Sinne des Eingangssatzes von Art. 63 Abs. 1 dieser Richtlinie mit dem Zahlungsdienstnutzer vereinbaren, dass sie von einigen ihrer gegenseitigen Verpflichtungen, nämlich den sich aus den in Buchst. a aufgeführten Bestimmungen ergebenden, befreit sind, „wenn das Zahlungsinstrument“, das Gegenstand des zwischen ihnen geschlossenen Rahmenvertrags ist, „nicht gesperrt werden oder eine weitere Nutzung nicht verhindert werden kann“.

96      Aus dem Wortlaut dieses Art. 63 Abs. 1 Buchst. a geht klar hervor, dass die in dieser Bestimmung vorgesehene Ausnahmeregelung nur Anwendung findet, wenn die dem fraglichen Zahlungsinstrument immanente Unmöglichkeit festgestellt wird, dieses zu sperren oder seine weitere Nutzung zu verhindern.

97      Ebenso bestimmte Art. 53 Abs. 1 Buchst. a der Richtlinie 2007/64, dem Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 entspricht, dass die darin geregelte Ausnahme in dem konkreten Fall Anwendung findet, dass „es das Zahlungsinstrument nicht ermöglicht, es zu sperren oder eine weitere Nutzung zu verhindern“.

98      Somit kann sich ein Zahlungsdienstleister, der von der Möglichkeit nach Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 Gebrauch machen möchte, nicht damit begnügen, in dem Rahmenvertrag über das betreffende Zahlungsinstrument darauf zu verweisen, dass es ihm nicht möglich sei, dieses Instrument zu sperren oder seine weitere Nutzung zu verhindern, um sich von seinen eigenen Verpflichtungen zu befreien. Er hat nachzuweisen, dass es aus technischen Gründen nicht möglich ist, das betreffende Instrument zu sperren oder seine weitere Nutzung zu verhindern, und trägt hierfür im Fall eines Rechtsstreits die Beweislast. Ist das mit der Angelegenheit befasste Gericht der Auffassung, dass es nach dem objektiven Stand der verfügbaren technischen Kenntnisse tatsächlich möglich ist, das Zahlungsinstrument zu sperren oder seine weitere Nutzung zu verhindern, der Zahlungsdienstleister diese Kenntnisse aber nicht angewandt hat, kann Art. 63 Abs. 1 Buchst. a dieser Richtlinie nicht zum Vorteil des Zahlungsdienstleisters angewandt werden.

99      Diese Auslegung des Wortlauts von Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 wird sowohl durch eine systematische als auch durch eine teleologische Auslegung dieser Bestimmung untermauert.

100    Zur allgemeinen Systematik der Richtlinie 2015/2366 ist darauf hinzuweisen, dass deren Art. 63 Abs. 1 Buchst. a es dem Zahlungsdienstleister und dem Zahlungsdienstnutzer erlaubt, durch Vereinbarung von den Verpflichtungen abzuweichen, die sich aus folgenden Bestimmungen ergeben: erstens aus Art. 69 Abs. 1 Buchst. b dieser Richtlinie, wonach der Zahlungsdienstnutzer verpflichtet ist, dem Zahlungsdienstleister den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die nicht autorisierte Nutzung des betreffenden Zahlungsinstruments unverzüglich anzuzeigen, zweitens aus Art. 70 Abs. 1 Buchst. c und d der Richtlinie 2015/2366, wonach der Zahlungsdienstleister dem Nutzer Mittel zur Verfügung stellen muss, um diese Anzeige kostenlos vorzunehmen oder die Aufhebung der Sperrung dieses Instruments zu verlangen, und drittens aus Art. 74 Abs. 3 dieser Richtlinie, wonach der Zahler nach der so vorgesehenen Anzeige keine finanziellen Folgen der Nutzung des verlorenen, gestohlenen oder missbräuchlich verwendeten Zahlungsinstruments trägt, es sei denn, er hat in betrügerischer Absicht gehandelt.

101    Da Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 eine Ausnahme von den Regeln vorsieht, die sich aus den anderen in der vorstehenden Randnummer genannten Bestimmungen ergeben, ist er eng auszulegen. Seine Tatbestandsmerkmale sind daher nicht in einer Weise auszulegen, die dazu führt, dass die Beweislast, die die Person zu tragen hat, die sich auf diese Ausnahme beruft, aufgehoben und diese Person damit von den nachteiligen Folgen, die sich aus der Anwendung dieser Regeln ergeben können, befreit wird.

102    Was die Ziele der Richtlinie 2015/2366 betrifft, ergibt sich u. a. aus deren Erwägungsgründen 6, 53 und 63, dass mit dieser Richtlinie bezweckt wird, Nutzer von Zahlungsdiensten zu schützen und insbesondere denjenigen, die Verbraucher sind, ein hohes Schutzniveau zu bieten (vgl. zur Richtlinie 2007/64 Urteile vom 25. Januar 2017, BAWAG, C-375/15, EU:C:2017:38, Rn. 45, und vom 2. April 2020, PrivatBank, C-480/18, EU:C:2020:274, Rn. 66).

103    Im Übrigen sind nach dem 91. Erwägungsgrund der Richtlinie 2015/2366 Zahlungsdienstleister für die Sicherheitsmaßnahmen verantwortlich, die den jeweiligen Sicherheitsrisiken angemessen sein müssen, und sollten gemäß Art. 95 dieser Richtlinie insbesondere einen Rahmen festlegen, um Risiken zu vermindern und wirksame Verfahren für den Umgang mit Vorfällen aufrechtzuerhalten. Zwar scheinen diese Verpflichtungen im 96. Erwägungsgrund dieser Richtlinie in Bezug auf „kontaktlose Kleinbetragszahlungen an der Verkaufsstelle“ etwas abgeschwächt zu werden, doch wird darin nicht der Grundsatz in Frage gestellt, dass die Zahlungsdienstleister für die Sicherheit verantwortlich sind, und ausgeführt, dass „in den technischen Regulierungsstandards die Ausnahmen von der Anwendung der Sicherheitsanforderungen dargelegt sein [sollten]“, wie es Art. 98 der Richtlinie 2015/2366 vorsieht. Daher legen die Art. 2 und 11 der Delegierten Verordnung 2018/389 in Verbindung mit deren Erwägungsgründen 9 und 11 fest, inwieweit Zahlungsdienstleister bei derartigen kontaktlosen Zahlungen von der Regel der starken Kundenauthentifizierung abweichen dürfen.

104    Wie der Generalanwalt in den Nrn. 60 und 61 seiner Schlussanträge hervorgehoben hat, könnte ein Zahlungsdienstleister, wenn er sich durch die bloße Behauptung, es sei ihm unmöglich, das Zahlungsinstrument zu sperren oder seine weitere Nutzung zu verhindern, von seiner Haftung befreien könnte, das Haftungsrisiko für nicht autorisierte Zahlungen einfach dadurch auf den Nutzer seiner Dienste verlagern, dass er eine technisch minderwertige Karte anbietet. Eine solche Verlagerung dieser Risiken und der damit verbundenen nachteiligen Folgen stünde weder mit dem Ziel des Schutzes von Zahlungsdienstnutzern, insbesondere Verbrauchern, im Einklang noch mit der Regel, dass die Zahlungsdienstleister für die angemessenen Sicherheitsmaßnahmen zu sorgen haben, die beide der Regelung in der Richtlinie 2015/2366 zugrunde liegen.

105    Diese Auslegung von Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 wird nicht durch das Vorbringen der DenizBank in Frage gestellt, wonach dieses Ergebnis der Entwicklung neuer Geschäftsmodelle auf dem Gebiet der Kleinbetragszahlungsdienste schade und die Freiheit der Dienstleister beeinträchtige, eine Zahlungskarte mit dem bloßen Hinweis darauf anzubieten, dass sie nicht – aus welchen Gründen auch immer – gesperrt werden könne. Dieses Vorbringen läuft nämlich nicht nur dem Wortlaut dieser Bestimmung zuwider, sondern auch der allgemeinen Systematik dieser Richtlinie und den Zielen, die mit der Regelung verfolgt werden, zu der diese Bestimmung gehört.

106    Folglich ist auf die dritte Frage zu antworten, dass Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 dahin auszulegen ist, dass sich ein Zahlungsdienstleister, der sich auf die in dieser Bestimmung enthaltene Ausnahmeregelung berufen möchte, nicht darauf beschränken kann, zu behaupten, das betreffende Zahlungsinstrument könne nicht gesperrt oder seine weitere Nutzung nicht verhindert werden, obwohl dies nach dem objektiven Stand der Technik nicht nachweislich unmöglich ist.

 Zur zeitlichen Begrenzung der Wirkungen des vorliegenden Urteils

107    In ihren schriftlichen Erklärungen hat die DenizBank sinngemäß beantragt, die Wirkungen des Urteils, insbesondere wenn der Gerichtshof zu der Auffassung gelangt, dass die NFC-Funktion einer personalisierten multifunktionalen Bankkarte nicht als ,,Zahlungsinstrument“ im Sinne von Art. 4 Nr. 14 der Richtlinie 2015/2366 anzusehen ist, zeitlich zu begrenzen. Sie beruft sich dabei auf die möglichen erheblichen finanziellen Auswirkungen des Urteils und darauf, dass die betroffenen Unternehmen eine andere Auslegung hätten erwarten dürfen.

108    Hierzu ist darauf hinzuweisen, dass der Gerichtshof nach ständiger Rechtsprechung nur ganz ausnahmsweise aufgrund des allgemeinen unionsrechtlichen Grundsatzes der Rechtssicherheit die für die Betroffenen bestehende Möglichkeit beschränken kann, sich auf die Auslegung, die er einer Bestimmung gegeben hat, zu berufen, um in gutem Glauben begründete Rechtsverhältnisse in Frage zu stellen. Eine solche Beschränkung ist nur dann zulässig, wenn zwei grundlegende Kriterien erfüllt sind, nämlich guter Glaube der Betroffenen und die Gefahr schwerwiegender Störungen (vgl. insbesondere Urteile vom 10. Juli 2019, WESTbahn Management, C-210/18, EU:C:2019:586, Rn. 45, und vom 3. Oktober 2019, Schuch-Ghannadan, C-274/18, EU:C:2019:828, Rn. 61 und die dort angeführte Rechtsprechung).

109    Überdies scheint der Antrag der DenizBank nur für den Fall gestellt worden zu sein, dass der Gerichtshof die Frage 2 a) verneint, was nicht der Fall ist. Jedenfalls hat die DenizBank keine konkreten und genauen Angaben gemacht, um die Begründetheit ihres Antrags darzutun, da sie lediglich Argumente allgemeiner Art geltend macht.

110    Infolgedessen sind die Wirkungen des vorliegenden Urteils nicht in zeitlicher Hinsicht zu begrenzen.

 Kosten

111    Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:

1.      Art. 52 Nr. 6 Buchst. a in Verbindung mit Art. 54 Abs. 1 der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG ist dahin auszulegen, dass er die Informationen und Vertragsbedingungen bestimmt, die von einem Zahlungsdienstleister mitzuteilen sind, der mit dem Nutzer seiner Dienste gemäß den in diesen Bestimmungen vorgesehenen Modalitäten eine Vermutung der Zustimmung zur Änderung des zwischen ihnen geschlossenen Rahmenvertrags vereinbaren möchte, dass er aber keine Beschränkungen hinsichtlich der Eigenschaft des Nutzers oder der Art der Vertragsbedingungen, die Gegenstand einer solchen Vereinbarung sein können, festlegt; hiervon unberührt bleibt jedoch, wenn es sich bei dem Nutzer um einen Verbraucher handelt, die Möglichkeit der Prüfung, ob diese Klauseln im Licht der Bestimmungen der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen missbräuchlich sind.

2.      Art. 4 Nr. 14 der Richtlinie 2015/2366 ist dahin auszulegen, dass es sich bei der Nahfeldkommunikationsfunktion (Near Field Communication) einer personalisierten multifunktionalen Bankkarte, mit der Kleinbetragszahlungen zulasten des verknüpften Kundenkontos getätigt werden können, um ein „Zahlungsinstrument“ im Sinne dieser Bestimmung handelt.

3.      Art. 63 Abs. 1 Buchst. b der Richtlinie 2015/2366 ist dahin auszulegen, dass eine kontaktlose Kleinbetragszahlung unter Verwendung der Nahfeldkommunikationsfunktion (Near Field Communication) einer personalisierten multifunktionalen Bankkarte als „anonyme“ Nutzung des fraglichen Zahlungsinstruments im Sinne dieser Ausnahmeregelung anzusehen ist.

4.      Art. 63 Abs. 1 Buchst. a der Richtlinie 2015/2366 ist dahin auszulegen, dass sich ein Zahlungsdienstleister, der sich auf die in dieser Bestimmung enthaltene Ausnahmeregelung berufen möchte, nicht darauf beschränken kann, zu behaupten, das betreffende Zahlungsinstrument könne nicht gesperrt oder seine weitere Nutzung nicht verhindert werden, obwohl dies nach dem objektiven Stand der Technik nicht nachweislich unmöglich ist.