Keine direkte Anwendung des ZaDIG 2018 (und dessen §§ 67, 87) auf die Übertragung von Bitcoins von und auf „Wallets“ – Keine Rechtsscheinhaftung durch Bewerbung als PSD2 Zahlungsdienstleister auf Website (Anmerkungen zu OGH 4 Ob 234/23z vom 26.04.2024)

Der Oberste Gerichtshof hat mit Zustellung vom 05.06.2024 erstmals zur Frage der (direkten) Anwendung der PSD2-Richtlinie des ZaDIG auf die Übertragung von Bitcoins sowie die Konsequenzen der Selbstdarstellung als „PSD2-Zahlungsdienstleister“ auf der eigenen Website höchstgerichtlich Stellung genommen.

Aus dem Verfahren (in dem TT+P auf Seiten der Geschädigten vertrat) war folgender relevanter Sachverhalt streitgegenständlich: Die Klägerin war Opfer und Geschädigte der Straftat des schweren Betruges, begangen von unbekannten Tätern, wonach durch Installation der Remotedesktop-Software Anydesk Bitcoins von einer Wallet (Bitcoin-Konto) der Klägerin auf eine andere Wallet (Bitcoin-Konto) der Täter transferiert wurden. Diese Zahlungsvorgänge wären von der Klägerin nicht autorisiert; es bestand keine Zwei-Faktoren-Authentifizierung oder sonstige starke Kundenauthentifizierung.

Auf ihrer Website hat sich Bitpanda als ein „PSD2 Zahlungsinstitut“ oder als „stolzer PSD2 Zahlungsdienstleister“ bezeichnet. Die Payment Service Directive 2 (PSD2) oder zweite Zahlungsdienste-Richtlinie hat den Schutz vor Betrugsrisken zum Ziel. Sie wurde in Österreich im ZaDIG 2018 umgesetzt.

Zu entscheiden war daher, ob ZaDIG 2018 direkt zur Anwendung kommt oder ob durch die Bewerbungen/Bezeichnungen auf der Website als „PSD2 – Zahlungsdienstleister“ Haftungen (auf verschiedenen Anspruchsgrundlagen) in Betracht kämen.

1. Die direkte Anwendung des ZaDIG 2018 hat der OGH unter anderem mit folgenden Begründungen abgelehnt:

Zunächst hat der OGH zum ZaDIG 2018, PSD II und zum Erstattungsanspruch unter anderem ausgeführt:

Mit dem am 1.6.2018 in Kraft getretenen ZaDiG 2018 wurde die PSD II umgesetzt, deren Art 107 Abs 1 grundsätzlich eine vollständige Harmonisierung vorsieht, um im Bereich der Zahlungsdienste mehr Rechtsklarheit zu schaffen und die unionsweit einheitliche   Anwendung des rechtlichen Rahmens sicherzustellen (ErwGr 6). Das ZaDiG 2018 legt demnach die Bedingungen fest, zu denen Personen Zahlungsdienste gewerblich in Österreich erbringen dürfen (Zahlungsdienstleister), und regelt die Rechte und Pflichten von Zahlungsdienstleistern und Zahlungsdienst-nutzern im Zusammenhang mit Zahlungsdiensten (§ 1 Abs 1 ZaDiG 2018; 8 Ob 106/20a Rz 17 f).

(…)

Nach § 87 Abs 1 ZaDiG 2018 hat ein Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift (Z 1), einen elektronischen Zahlungsvorgang auslöst (Z 2) oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt (Z 3).

(…)

Nach der nunmehr erstmals vorliegenden Entscheidung des Obersten Gerichtshofes sind ZaDIG 2018 und PSD II auf Bitcoins nicht anwendbar; dies begründet der OGH unter anderem wie folgt:

„Bitcoins sind unstrittig ein im Rechenwege durch eine Computerleistung erzeugtes verschlüsseltes elektronisches Zahlensystem, das in einem für jeden zugänglichen Netzwerk verwaltet und gespeichert wird und das auf jedermann, der ebenfalls über ein internetfähiges Computersystem verfügt, übertragen werden kann. Der Bitcoin wird weder von einer Zentralbank oder einer öffentlichen Behörde ausgegeben, noch existiert im Netzwerk ein allgemein gültiger Emittent dieses als Ersatzwährung genutzten Zahlungssystems. Das Vorliegen eines Zahlungsvorgangs sowie eines Zahlungskontos setzt somit voraus, dass sie sich auf „Geldbeträge“, also Banknoten und Münzen, Giralgeld oder E-Geld beziehen.

(…)

Eine Kryptowährung, jedenfalls in der festgestellten Ausgestaltung von Bitcoins, entspricht aber auch schon nach dem klaren Wortlaut des § 1 Abs 1 E-GeldG 2010 nicht der dort getroffenen Definition von E-Geld, zumal sie gerade keinen in Form einer Forderung gegenüber einem der vom Gesetz definierten E-Geld-Emittenten gespeicherten monetären Wert repräsentiert.“

Zusammenfassend hat daher der OGH die direkte Anwendung des ZaDIG 2018 mit der Begründung abgelehnt, dass es Bitcoins an den fehlenden Eigenschaften von Geld, dem folgend am Fehlen eines Zahlungsvorgangs und am Fehlen der Eigenschaft der Bitpanda GmbH als Zahlungsdienstleister scheitern würde; auf eine Bezeichnung des Wallets als „Unterkonto“ zum Kundenkonto (wie in den AGBs festgestellt) käme es nach Ansicht des OGH dabei nicht mehr an.

2. Die vom OGH abgelehnte Haftung für Angaben auf der Website als „PSD II Zahlungsdienstleister“ ist durchaus diskussionswürdig; die wesentlichen Begründungen des OGH seien nachfolgend angeführt:

Soweit die Klägerin auf die Aussagen auf der Website, die Investitionen seien reguliert und sicher, und in ihrer Revision auf die Blg ./R hinweist (wonach sich unter „reguliert“ die Wortfolge „MiFID II Wertpapierfirma PSD II Zahlungsinstitut“ sowie ein Link „Lizenzen einsehen“ finden), hat schon das Berufungsgericht zutreffend darauf hingewiesen, dass daraus eine konkrete Selbstverpflichtung gerade der Beklagten zur Durchführung bestimmter vom Gesetz für Fallkonstellationen wie hier gerade nicht zwingend vorgesehener Sicherheitsmaßnahmen (über deren bloße Ermöglichung hinaus) nicht ableitbar ist. Eine Erwähnung der PSD II findet sich überdies gerade nicht unter der Rubrik „sicher“, sondern unter „reguliert“, während unter „sicher“– neben einer Bezugnahme auf die Konformität mit Anti-Geldwäschebestimmungen – nur darauf verwiesen wird, dass „Bestände sicher in Offline-Wallets verwahrt“ würden.

Nicht hinreichend bestimmte öffentliche Äußerungen sind aber weder geeignet, konkludent Teil einer Vereinbarung zu werden, noch können sie die Basis für einen ausreichenden Vertrauenstatbestand bilden, weil marktschreierische oder unbestimmte Aussagen auch nur ein nicht hinreichend konkretisiertes und daher nicht schutzwürdiges Vertrauen begründen könnten (vgl Riss, Inhaltlicher Widerspruch zwischen Allgemeinen Geschäftsbedingungen und öffentlichen Äußerungen [Werbung], ÖBA 2008, 188 [193]).“

Insgesamt schlussfolgert der OGH, dass weder eine vertrauensrechtliche Erfüllungshaftung noch eine schadenersatzrechtliche Haftung auf das Erfüllungsinteresse vorliege; auch würde ein zurechenbarer Rechtsschein, welcher auf eine rechtsgeschäftliche Willenserklärung der Beklagten im Sinne einer konkreten Selbstverpflichtung zur Durchführung einer starken Kundenauthentifizierung für nicht dem ZaDIG 2018 unterliegende Transaktionen wie hier begründet werden könnten, nach Ansicht des OGH nicht in Betracht.

Leave a Reply