Betrügerisch erschlichene Registrierung einer Kreditkarte auf einer elektronischen Geldbörse (Digital Wallet wie Apple Pay oder Samsung Pay)
Der Kunde erklärte dem Ombudsman, er gehe sehr vorsichtig mit seiner Kreditkarte um, welche er vornehmlich für Online-Transaktionen nutze. Sämtliche seine elektronischen Geräte seien gemäss dem neuesten Stand mit Anti-Schadsoftware geschützt. Er habe die Kreditkartendaten nie an Dritte weitergegeben und könne sich nicht erklären, wie es zu den umstrittenen Belastungen gekommen sei. Er machte geltend, diese seien für ihn höchst ungewöhnlich und hätten der Kreditkartenherausgeberin auffallen müssen, zumal seine Kreditlimite damit erheblich überschritten worden sei. Diese habe er im Zusammenhang mit einer USA-Reise auf 19 000 CHF erhöht gehabt und leider vergessen, sie danach wieder herabzusetzen. Nach dem Vorfall habe er sie jedoch wieder auf 2000 CHF herabgesetzt.
In ihrer Stellungnahme an den Ombudsman schrieb die Kreditkartenherausgeberin, sie zweifle nicht daran, dass die vom Kunden monierten Transaktionen durch einen unberechtigten Dritten getätigt worden seien. Der Einsatz von Kartendaten auf einem Digital Wallet sei jedoch einer Benützung der Karte mit dem PIN gleichzusetzen. Unbefugte Dritte könnten die Karte mit einem Digital Wallet nämlich nur dann benützen, wenn sie im Besitz der dafür notwendigen Kartendaten seien. Diese Kartendaten seien zuerst immer nur im Besitz des Karteninhabers. Wenn ein Dritter an diese gelangen könne, inklusive des Freigabe-Codes der 2-Faktoren-Authentifizierung, sei dies daher auf eine Sorgfaltspflichtverletzung des Karteninhabers zurückzuführen. Wie dies im Einzelfall geschehe, sei nicht ausschlaggebend, da es keinen anderen Weg gebe, wie die Daten an einen Dritten gelangen könnten, ausser über den Karteninhaber. Nachdem die Karte nur mit einer 2-Faktoren-Authentifizierung für die Benützung mit einem Digital Wallet registriert werden könne, gehe die Kartenherausgeberin davon aus, dass die damit getätigten Transaktionen durch den Karteninhaber bzw. mit seiner Billigung veranlasst werden. Deshalb würden solche Buchungen nicht nach denselben Regeln überwacht, wie dies bei Transaktionen ohne 2-Faktoren-Authentizifierung der Fall sei.
Es komme leider immer wieder vor, dass sich Kunden durch gefälschte E-Mails oder SMS dazu verleiten liessen, Links anzuklicken und ihre Kreditkartendaten preiszugeben. Im Fall des Kunden müsse es deshalb so gewesen sein, dass er alle Daten, die für die Registrierung seiner Karte in der Digital Wallet notwendig seien, bekannt gegeben habe. Es handle sich dabei um die Kartennummer, das Verfalldatum und den Card Validation Code (CVC), sowie um die mTAN zur Freigabe der Registrierung der Karte auf dem Digital Wallet.
Die CVC sei ausschliesslich auf der Rückseite der Karte vermerkt und nicht generell zugänglich. Die Kartenherausgeberin müsse daher davon ausgehen, dass der Kunde diese Angaben im Vorfeld an Dritte weitergegeben habe, eventuell im Glauben, für eine gewollte Dienstleistung zu zahlen oder an einem Wettbewerb teilzunehmen. Zudem müssten die unberechtigten Dritten entweder Zugang zu seinem Mobiltelefon gehabt haben, oder aber den Code von ihm erhalten haben. Dieser sei nur auf dem vorgängig registrierten Mobiltelefon des Kunden zugänglich gewesen.
Die Systeme der Kreditkartenherausgeberin zeigten, dass sowohl die SMS mit dem Aktivierungscode wie auch die Bestätigungs-SMS an die vom Kunden angegebene Telefonnummer geschickt worden seien. Nachdem jemand, welcher im Besitz der notwendigen Daten gewesen sei, die Anfrage zur Registrierung der Karte als Zahlungsmittel in einem Digital Wallet auf einem Smartphone ausgelöst habe, habe die Kreditkartenherausgeberin unmittelbar danach den Aktivierungscode verschickt, worauf die Karte erfolgreich auf dem Digital Wallet aktiviert worden sei. Die Bestätigung dieses Vorgangs sei ebenfalls per SMS an die vom Kunden angegebene Telefonnummer verschickt worden. Aus dem Standardtext der SMS («Geben Sie bitte den Aktivierungscode XXX ein, um Ihre Kreditkarte mit der Endziffer XXXX für [Apple Pay/Samsung Pay] zu aktivieren» sowie «Sie haben Ihre Kreditkarte mit der Endziffer XXXX erfolgreich für [Apple Pay/Samsung Pay] aktiviert») sei klar ersichtlich gewesen, dass es um die Aktivierung der Karte in einer Bezahl-App ging. Die betrügerischen Karteneinsätze, welche einige Tage später erfolgten, hätten bei einer rechtzeitigen Reaktion des Kunden auf diese SMS noch verhindert werden können.
Es handle sich bei den monierten Transaktionen mit einem Digital Wallet um Contactless-Transaktionen, wie sie als Einsatzmöglichkeit der Karte in den Kartenbedingungen vorgesehen seien. Daraus, dass der Kunde sowohl seine Kartendaten preisgegeben habe, als auch den Aktivierungscode entweder selbst bestätigt oder diesen Dritten zugänglich gemacht habe, ergebe sich, dass er seine Sorgfaltspflichten verletzt habe. Die Übernahme des Schadens sei deshalb zu Recht abgelehnt worden.
Die Kreditkartenherausgeberin erwähnte schliesslich, dass es durch Währungswechsel und den Karteneinsatz im Ausland unter Umständen zu Limitenüberschreitungen kommen könne. Die Limiten würden zudem bei langjährigen Kunden mit einer gewissen Flexibilität gehandhabt. Sie zeigte sich aufgrund der langjährigen Kundenbeziehung bereit, Ihr Entschädigungsangebot unpräjudiziell und ohne Anerkennung einer Rechtspflicht auf 85 % des vom Kunden erlittenen Schadens zu erhöhen.
Der Ombudsman unterbreitete dem Kunden das angepasste Angebot der Bank. Er hatte dazu folgende Bemerkungen: Transaktionen mit einer Kreditkarte sind im Allgemeinen – dies ist in den entsprechenden Verträgen regelmässig so festgehalten – dann dem Kunden zuzurechnen, wenn sie mit den vereinbarten Legitimationsmitteln ausgelöst worden sind. Die Kreditkarteninstitute sind nur dann bereit, einen Schaden aus einer missbräuchlichen Verwendung der Karte zu übernehmen, wenn die Transaktionen von unberechtigten Dritten ausgelöst worden sind, ohne dass der Kunde dies durch eine Verletzung seiner Sorgfaltspflichten ermöglicht hat.
Wie es im Fall des Kunden dazu gekommen ist, dass die Betrüger an sämtliche notwendigen Daten gelangt sind, um seine Karte in einem Digital Wallet zu registrieren, musste im Rahmen des Ombudsverfahrens offenbleiben. Die Kreditkartenherausgeberin erklärte, dies sei nur durch die Mitwirkung des Kunden möglich gewesen, indem er, wahrscheinlich unter Vorspiegelung falscher Tatsachen, zur Freigabe der Daten verleitet worden sei. Der Kunde machte geltend, dies sei nicht der Fall gewesen. Als neutraler Vermittler ist der Ombudsman nicht in der Lage, die Glaubwürdigkeit der Parteien in Frage zu stellen. Im Ombudsverfahren werden keine formellen Beweisverfahren durchgeführt, in welchen ein unterschiedlich dargestellter Sachverhalt nach festgelegten Regeln verbindlich geklärt werden könnte. Das Verfahren hat vielmehr den Zweck, durch Schlichtung zwischen den Parteien einvernehmliche Lösungen zu Streitigkeiten zu erzielen, wobei der Ombudsman aufgrund der ihm von den Parteien unterbreiteten Informationen Lösungsvorschläge unterbreiten kann. Er hat jedoch nicht die Befugnis, über strittige Sachverhalts- oder Rechtsfragen verbindlich zu entscheiden. Dies ist den ordentlichen Gerichten vorbehalten.
Da eine weitergehende Abklärung des Vorfalles im Rahmen des Ombudsverfahrens nicht möglich war und die Kreditkartenherausgeberin erklärt hatte, zu keinem weiteren Entgegenkommen bereit zu sein, empfahl der Ombudsman dem Kunden, das von ihr unterbreitete Angebot anzunehmen. Es wäre aus seiner Sicht zwar wünschenswert gewesen, wenn der Vorgang der Registrierung einer Karte auf einem Digital Wallet vertraglich deutlicher geregelt worden wäre, so dass ein Kunde das Produkt und die Funktionsweise zumindest in den Grundzügen erklärt erhielte und er dieses beispielsweise auch generell ablehnen könnte. Es stellte sich dem Ombudsman auch die Frage, ob die dafür von der Kartenherausgeberin angerufene vertragliche Grundlage genügend war. Diese schien eher auf eine Einzeltransaktion mit Contactless-Funktion als auf eine Registrierung der Karte in einem Digital Wallet zugeschnitten zu sein. Die Kreditkartenherausgeberin vertrat jedoch die Meinung, es komme auf der SMS im Rahmen der 2-Faktoren-Authentifizierung genügend deutlich zum Ausdruck, dass der Kunde mit der Freigabe des Codes der Registrierung einer Karte auf einer solchen elektronischen Geldbörse zustimme. Aufgrund des Prozesses waren die detaillierten vertraglichen Regelungen für die Digital Wallets lediglich für die Betrüger auf dem Endgerät, auf welchem die Registrierung der Karte vorgenommen wurde, ersichtlich. Dies erschien dem Ombudsman nicht optimal.
Nach Abwägung der Vor- und Nachteile der Vergleichslösung entschied der Kunde, diese anzunehmen. Er drückte jedoch seinen Unmut über das Verhalten der Kreditkartenherausgeberin bei der Behandlung seiner Reklamation aus.