Ein Phishingversuch von unerwarteter Seite?

Kundendaten sind für FinTech-Firmen bares Geld. [1] Viele Kunden von Kreditkartenunternehmen [2] bekamen kürzlich ein Schreiben mit dem Hinweis auf – nicht näher ausgeführte – „regulatorische Vorgaben“, verbunden mit einer engen Frist, um einen Fragebogen auszufüllen. Schickt man den ausgefüllten Fragebogen nicht rechtzeitig ab, folgt die Drohung mit einer Kartensperre (Beendigung der Geschäftsbeziehung). In diesem Fragebogen werden jedoch sehr intime Fragen per *Pflichtfeld abgefragt, [3] die man als vorsichtiger Kunde nicht oder nur dann rausrücken würde, wenn es gesetzlich vorgeschrieben wäre. Ist es auch. Oder ist es? Wir haben uns das einmal genauer angesehen:

Es stimmt schon, dass für Kreditkartenunternehmen gesetzliche Verpflichtungen nach BWG und nach FM-GwG bestehen, die eine Mitwirkungspflicht für den Kunden statuieren. Aber sind Intensität und Umfang des ausgedrückten Informationswunsches mittels standardisierten Fragebogens vom Gesetz gedeckt?

Zudem steht die Frage im Raum, an wen aller die gesammelten Informationen weitergegeben werden: Dem in § 20 FM-GwG grundsätzlich statuierten Verbot der Informationsweitergabe stünde nämlich die Informationsweitergabe zwischen derselben Unternehmensgruppe angehörenden Kredit- und Finanzinstituten mit Sitz in Mitgliedsstaaten oder zwischen diesen und ihren Zweigstellen bzw. Zweigniederlassungen und ihren Tochterunternehmen in Drittländern nicht entgegen (§ 20 Abs 3 Z 2 FM-GwG).

Bei den meisten Kunden handelt es sich wohl um natürliche Personen mit österreichischer Staatsbürgerschaft und keine Gesellschaft oder andere juristische Person und kein Unternehmen, die auch nicht etwa politisch exponiert iSd § 2 Z 6 FM-GwG wären.

Die Geschäftsbeziehung iSd § 2 Z 10 FM-GwG besteht bereits seit Jahren, sodass dem Kreditkartenunternehmen die abgefragten Daten, in denen sich keine Veränderung ergeben hat, längst bekannt sind.

Per Fragebogen begehrte Informationen wie z. B. Geburtsland und Geburtsort, Anzahl der unterhaltsberechtigten Kinder, Vorliegen einer Doppelstaatsbürgerschaft, Anschrift des Dienstgebers des Kunden und Dauer der Beschäftigung, Nettomonatseinkommen, Herkunft seines Geldes sowie überwiegender Zweck, zu dem der Kunde die Kreditkarte verwendet, sind vom Gesetz nicht gedeckt.

Da im Online-Fragebogen diese Abfragen als Pflichtfelder formuliert sind, ist den Kunden eine, auf die gesetzlich gedeckten Erfordernisse eingeschränkte Antwort mittels Online-Fragebogen auch nicht möglich.

Hinweise auf geldwäschegeneigte Aktivitäten besitzen die Kreditkartenunternehmen meist nicht und führen sie jedenfalls nicht ins Treffen; ebenso wenig weitere oder andere Auffälligkeiten.

Bereits in 6 Ob 217/16d hat der Oberste Gerichtshof erwogen, die von der dort beklagten Bank aus § 39 BWG abgeleitete „Verpflichtung“ zu der von ihr vorgenommenen Verwendung von Kundendaten auch ohne Zustimmung des Betroffenen finde im Wortlaut der Bestimmung keine Deckung. Mithin war auch in jenem der Entscheidung zugrundeliegenden Fall das Verständnis des Kreditinstitutes von § 39 BWG überschießend.

Ebenso wenig finden sich im Finanzmarkt-Geldwäschegesetz die angefragten Informationen als zwingend vom Kunden anzugeben; auch in keiner der drei Anlagen zum Finanzmarkt-Geldwäschegesetz sind die geforderten Informationen als zu geben definiert.

Die Überprüfung der Identität gem Abs 1 Z 1 bei einer natürlichen Person regelt § 6 Abs 2 leg cit. Von dem Geburtsort ist dort nicht die Rede.

Die FMA hat von ihrer mit § 6 Abs 4 FM-GwG eingeräumten Verordnungsermächtigung, nämlich festzulegen, welche Maßnahmen bei der Online-Identifikation zum Ausgleich des erhöhten Risikos erforderlich sind und dabei insbesondere Anforderungen an die Datensicherheit, Fälschungssicherheit und an jene Personen, die die Online-Identifikation durchführen, keinen Gebrauch gemacht. Zwar hat sie wie häufig Rundschreiben auch zur Thematik Geldwäsche & Terrorismusbekämpfung veröffentlicht. Rundschreiben stellen aber gerade keine Verordnung dar. Sie sollen nur als Orientierungshilfe dienen und geben die Rechtsauffassung der FMA wieder. Über die gesetzlichen Bestimmungen hinausgehende Rechte und Pflichten können aus Rundschreiben bekanntlich nicht abgeleitet werden.

Das FMA-Rundschreiben Sorgfaltspflichten zur Prävention von Geldwäscherei und Terrorismusfinanzierung vom 18.12.2018,Dokumentennummer 09/2018 enthält unter 4.1.2, Feststellung der Identität, keineswegs zwingende Bestimmungen: Notwendige Angaben zur Identität einer natürlichen Person sind demnach lediglich Vor- und Nachname(n), Geburtsdatum und Wohnsitz (Rz 51). Lediglich um ein umfassendes KYC-Profil für einen Kunden erstellen zu können, benötigen Verpflichtete – risikoorientiert – noch zusätzliche Angaben betreffend die Identität einer natürlichen Person. Dazu können u.a. Beruf, Arbeitgeber oder Art der selbständigen Tätigkeit, Staatsbürgerschaft, Geburtsland, Unterschrift, Telefonnummer und E-Mail-Adresse gezählt werden (Rz 52).

Aus dem letzten veröffentlichten FMA-Rundschreiben Risikoanalyse zur Prävention von Geldwäscherei und Terrorismusfinanzierung vom 08.11.2019, Dokumentennummer 03/2019, geht die Rechtsauffassung der FMA hervor, dass das Ausmaß der Anwendung der Sorgfaltspflichten gemindert werden kann, wenn das mit der Geschäftsbeziehung verbundene Risiko als niedrig zu erachten ist (Rz 62). Je komplexer sich die Geschäftsbeziehung gestaltet, umso höher sind die Anforderungen (Rz 66). Wenn sich die Geschäftsbeziehung keineswegs komplex gestaltet, sind die Anforderungen denkbar niedrig. Langjährige Geschäftsbeziehungen, im Rahmen derer es regelmäßig zu Kundenkontakten kommt, stellen möglicherweise ein geringeres Risiko im Hinblick auf Geldwäscherei dar (keine Auffälligkeiten im Transaktionsverhalten, keine Änderung von maßgeblichen Umständen, etc) (Rz 71).

Auf unser Abwehrschreiben dieses Inhalts hat uns das Kreditkartenunternehmen bis heute nicht geantwortet.

 

Zum Abschluss noch ein paar Fakten:

Begriff Zahlungsinstitute [4]

  • Zahlungsinstitute sind Unternehmen, die aufgrund einer Konzession der Finanzmarktaufsicht oder aber einer Bewilligung einer Aufsichtsbehörde eines anderen Mitgliedstaates der Europäischen Union zur gewerblichen Erbringung und Ausführung von Zahlungsdiensten im gesamten Gebiet des Europäischen Wirtschaftsraums berechtigt sind. Die Aufgaben von Zahlungsinstituten können verschiedenste Aspekte von Zahlungsdienstleistungen umfassen. Für jedes dieser Geschäfte bedarf es jedoch einer eigenen Konzession, die durch die jeweilige Aufsichtsbehörde vergeben wird. Konzessionspflichtige Zahlungsdienste sind in § 1 Abs. 2 ZaDiG 2018 geregelt:
    • Lastschriftgeschäft
    • Zahlungskartengeschäft
    • Überweisungsgeschäft
    • Lastschriftgeschäft
    • Zahlungskartengeschäft
    • Überweisungsgeschäft
    • Ausgabe von Zahlungsinstrumenten (Issuing)
    • Annahme und Abrechnung von Zahlungsvorgängen (Acquiring)
    • Ein Zahlungsinstrument ist z. B. eine Kredit- oder Debitkarte samt PIN und Unterschrift, aber auch ein personalisiertes Instrument wie der PIN und TAN im Online-Banking.
    • das Einzahlungsgeschäft (Z 1)
    • das Auszahlungsgeschäft (Z 2)
    • das Zahlungsgeschäft (Z 3)
    • das Zahlungsgeschäft mit Kreditgewährung (Z 4)
    • das Zahlungsinstrumentegeschäft (Z 5)
    • das Finanztransfergeschäft (Z 6)
    • Zahlungsauslösedienste (Z 7)
    • Kontoinformationsdienste (Z 8)
  • Neben Zahlungsinstituten dürfen ua Kreditinstitute, E-Geldinstitute sowie die Oesterreichische Nationalbank, der Bund und die Länder im Rahmen ihrer Hoheitsverwaltung Zahlungsdienste erbringen. Bei Kreditinstituten hängt es davon ab, zu welchen Bankgeschäften sie berechtigt sind. Im Gegensatz zu Kreditinstituten dürfen Zahlungsinstitute aber nicht mehr als die oben angeführten Zahlungsdienste anbieten. Andere konzessionspflichtige Geschäfte, insbesondere das Einlagengeschäft, sind den Zahlungsinstituten verwehrt.

 

Begriff Zahlungsdienstleister iSd ZaDiG [5] [6] - näheres siehe Dokument WKO – Zahlungsdienstegesetz und Zahlungsinstrumente (06.05.2020)

  • Die PSD II (Payment Services Directive) (RL (EU) 2015/2366) war bis zum 13.1.2018 in nationales Recht umzusetzen. Dadurch kommt es in einigen österreichischen Gesetzen zu Änderungen. Das "alte" ZaDiG (Zahlungsdienstegesetz 2009) wurde aufgehoben und durch das ZaDiG 2018 ersetzt.
  • Nun werden Zahlungsauslöse- bzw. Kontoinformationsdienstleister als Zahlungsdienstleister reguliert (EB ME 332 BlgNR 25.GP 1). Die Bestimmungen der §§ 60 und 61 ZaDiG traten 14.09.2019 in Kraft. Bislang waren solche neuen Zahlungsdienste im aufsichtsrechtlichen "Graubereich" tätig.
  • Der Zahlungsauslösedienst wird vom Kunden beauftragt, für ihn bei seinem kontoführenden Zahlungsdienstleister eine Überweisung auszulösen, beispielsweise wenn er im Online-Shop eines Händlers einkauft ("Sofortüberweisung"). In der Gewissheit, dass die Zahlung ausgelöst wurde, ist der Händler eher bereit, seine Ware unverzüglich freizugeben bzw. seine Dienstleistung zu erbringen. Beim Kontoinformationsdienst erhält der Kunde vom Dienstleister aufbereitete Informationen über seine Zahlungskonten, die er bei einem oder mehreren Zahlungsdienstleistern hält.
  • Die Haftung für missbräuchliche oder fehlerhafte Zahlungsvorgänge liegt, beim kontoführenden Zahlungsdienstleister, der jedoch ein Regressrecht gegenüber dem neuen Dienstleister hat. In bestimmten Fällen kann der Zahlungsdienstleister vom Zahler eine sog starke Kundenauthentifizierung verlangen.
  • Die Rechtsstellung des Zahlers bei nicht autorisierten Zahlungsvorgängen wird verbessert: Bei missbräuchlicher Verwendung eines Zahlungsinstruments haftet der Zahler nur, wenn er in der Lage war, den Verlust, den Diebstahl oder die sonstige missbräuchliche Verwendung des Zahlungsinstruments zu bemerken. Aber selbst in diesem Fall ist die Haftung des Zahlers gem § 68 Abs 1 ZaDiG 2018 auf höchstens 50 Euro begrenzt.

 

Allgemeines zu Kartengesellschaften [7]

  • Kreditkartengesellschaften sind Unternehmen mit Kreditkartenmarken, die Lizenzen für die Ausgabe von Kreditkarten an Banken vergeben. Die weltweit bekanntesten Kreditkartengesellschaften sind Visa, MasterCard, American Express und Diners Club. Die Lizenzvergabe ist von Kreditkartengesellschaft zu Kreditkartengesellschaft unterschiedlich geregelt. In der Regel erhält eine Bank von der Kreditkartengesellschaft die sogenannte Issuing-Lizenz. Das ist die Erlaubnis, Kreditkarten dieser Marke an Kunden auszugeben. Die kreditkartenausgebende Bank wird auch Issuing-Bank genannt.
  • Das Vier-Parteien-System (z. B. MasterCard und Visa): vergibt die Kreditkartengesellschaft die Karte nicht direkt, sondern über Issuing-Banken, erhalten diese Banken die Lizenz eine Kreditkarte der Marke herauszugeben und zahlen dafür eine Gebühr. Der Kunde erhält von einer solchen Issuing-Bank seine Kreditkarte. Der Händler des Geschäfts in dem der Kunde einkauft akzeptiert die Kreditkarte für die Zahlung. Dafür benötigt auch die Bank des Händlers (Acquiring-Bank) eine Lizenz für die Akzeptanz der Kreditkarte. Bei einem Drei-Parteien-System (z. B. American Express)  wird keine Bank zwischengeschaltet, die Kreditkartengesellschaft vergibt die Kreditkarten direkt an ihre Kunden.

 

Internetseite card complete [8]

  • Die card complete-Gruppe, bestehend aus der card complete Service Bank AG und der DC Bank AG, ist mit rund 1,2 Mio. Karteninhabern und einem flächendeckenden Netz von Akzeptanzstellen die Nummer 1 am heimischen Kreditkartenmarkt.
  • Der einzige österreichische voll integrierte Karten-Komplettanbieter vereint alle Elemente des bargeldlosen Zahlens - von der Produktentwicklung über Akzeptanzgeräte bis zu Abwicklungssystemen - unter einem Dach.
  • Seit über 30 Jahren in Österreich.
  • Der Gesamtumsatz mit den Karten und Teminals von card complete erreichte 2016 bereits die 14 Milliarden EuroMarke – steigender Trend.
  • 2016 wurden bereits rund 26 Millionen Transaktionen kontaktlos über die NFC-fähigen Karten und Terminals von card complete abgewickelt - das entspricht monatlichen Zuwachsraten von fast 10%.

 

Angebot von card complete

4 Kartenbrands

  • Über die card complete Service Bank AG werden Karten der Marken Visa und Mastercard sowie seit 2015 auch JCB-Karten ausgegeben.
  • Die seit 2015 zur Gruppe gehörende DC Bank AG bietet darüber hinaus sämtliche Kreditkartenprodukte der Marke Diners Club an.
  • Visa, V PAY, Mastercard, Maestro, JCB und CUP werden akzeptiert.
  • Zur card complete Gruppe zählen außerdem die KSG Karten- Verrechnungs- und Serviceges.m.b.H und die DC elektronische Zahlungssysteme GmbH.

Partner

 

Konkurrenten in Österreich

  • Die Anbieter im bargeldlosen Zahlungsverkehr: [9]
    • A1 Payment
    • aecora IT/myPOS
    • American Express
    • BAW Business Applications GmbH
    • card complete Service Bank AG
    • Cards & Systems
    • cashpresso
    • Concardis GmbH
    • DC Bank AG
    • DIMOCO Payment Services
    • Fintrax
    • First Data
    • Global Payments s.r.o.
    • hobex AG
    • Payone
    • QENTA Payment CEE GmbH
    • REA Card
    • SIX Payment Services (Austria) GmbH = Pay Life
  • Card Complete hat im Jahr 2012 103 Millionen Transaktionen mit Umsätzen von 9,8 Mrd. Euro abgewickelt und rund 1,25 Mio. Karteninhaber.[10] Der Konkurrent PayLife hat im Jahr 2012 insgesamt 394 Millionen Transaktionen mit Umsätzen von 19,95 Mrd. Euro abgewickelt und rund 1,4 Mio. Karten ausgegeben.[11]
  • Im Jahr 2007 hatte die Europäische Kommission angeraten den Kreditkartenmarkt in Österreich zu entflechten. Die Wettbewerbshüter hatten es für rechtswidrig erachtet, dass in Österreich mit PayLife (damals noch Europay Austria) und card complete (damals noch VISA SERVICE Kreditkarten AG) zwei große Kartengesellschaften im Besitz von Banken stehen.[12] [13]
  • Im September 2013 wurde der Verkauf von Paylife an die Schweizer SIX Group bekanntgegeben.[14]

 

Paylife – Kartellurteil (2007)[15]

  • Kartellobergericht verhängt Geldbuße gegen Europay Austria (jetzt PayLife) über 7 Mio EUR.
  • Durch Bestimmungen des "Bankomatvertrages" von 1998 bis 2004: 1. gegen das Kartellverbot und 2. gegen das Verbot des Missbrauches einer marktbeherrschenden Stellung verstoßen.
  • Die Europäische Kommission hat in ihrem Zwischenbericht über den EU-Zahlungskartenmarkt (April 2006) ebenfalls Wettbewerbsprobleme auf dem österreichischen Zahlungskartenmarkt (Debit- u. Kreditkarten) festgestellt. Insbesondere hat sie eine extrem hohe Unternehmenskonzentration konstatiert.

 

[1] Warum das so ist, haben wir bereits hier anschaulich beschrieben. Unser Artikel fußt insbesondere auf der Arbeit von Eidenmüller/Wagner,Down by Algorithms? Siphoning Rents, Exploiting Biases, and Shaping Preferences: Regulating the Dark Side of Personalized Transactions.

[2] Die Wiener Zeitung berichtete am 28.04.2021: Kassenschluss. Heute schon am digitalen Bankwesen der Neuzeit gescheitert?

[3] z. B. Geburtsland und -ort, Anzahl der unterhaltsberechtigten Kinder, ob eine Doppelstaatsbürgerschaft besteht, die Anschrift des Dienstgebers, seit wann man dort beschäftigt ist, das Netto-Monatseinkommen, die Herkunft des Geldes, zu welchem Zweck man die Kreditkarte überwiegend verwendet, etc. Und man soll seinen Ausweis hochladen.

[4] Zahlungsinstitute | FMA Österreich: https://www.fma.gv.at/finanzdienstleister/zahlungsinstitute/#:~:text=Zahlungsinstitute%20sind%20Unternehmen%2C%20die%20aufgrund,gesamten%20Gebiet%20des%20Europ%C3%A4ischen%20Wirtschaftsraums

[5] Zahlungsdienstegesetz (ZaDiG) 2018 | Verbraucherrecht (28.05.2018): https://verbraucherrecht.at/zahlungsdienstegesetz-zadig-2018/3999#:~:text=Die%20Rechte%20und%20Pflichten%20des%20Zahlungsausl%C3%B6sedienstleisters%20sind%20in,Kontoinformationsdienstleister%20ist%20in%20%C2%A7%2061%20ZaDiG%202018%20geregelt.

[6] Zahlungsdienstegesetz und Zahlungsinstitute (wko.at) https://www.wko.at/branchen/information-consulting/finanzdienstleister/artikel-zahlungsdienstegesetz.pdf

[7] Kartengesellschaft Kreditkarten Lexikon | CHECK24: https://www.check24.de/kreditkarte/lexikon/kreditkartengesellschaften/#:~:text=Kreditkartengesellschaften%20sind%20Unternehmen%20mit%20Kreditkartenmarken%2C%20die%20Lizenzen%20f%C3%BCr,Unternehmen%20Visa%2C%20MasterCard%2C%20American%20Express%20und%20Diners%20Club.

[8] Zahlen und Fakten » card complete Service Bank AG: https://www.cardcomplete.com/ueber-card-complete/zahlen-und-fakten/

[9]Anbieter im bargeldlosen Zahlungsverkehr - WKO.at  (Stand 05.11.2020) https://www.wko.at/branchen/handel/Anbieter_im_bargeldlosen_Zahlungsverkehr.html

[10] Factsheet Card Complete Group https://www.cardcomplete.com/media/medialibrary/2020/08/CC_Factsheet_082020_web.pdf

[11] Aufwärtstrend bei Kartenzahlungen hält an https://web.archive.org/web/20130614232023/https://www.paylife.at/web/content/de/Home/Presse_Center/Pressemitteilungen/101_Aufwaertstrend_bei_Kartenzahlungen_haelt_an.html

[12] Europay: Entflechtung nötig - Banken - derStandard.at › Wirtschaft: https://www.derstandard.at/story/2781555/europay-entflechtung-noetig

[13] Österreich « Nachrichten « wirtschaftsblatt.at (archive.org): https://web.archive.org/web/20140111230919/http://wirtschaftsblatt.at/home/nachrichten/oesterreich/771298/index

[14] www.paylife.at - SIX übernimmt die österreichische Kartengesellschaft PayLife (archive.org):https://web.archive.org/web/20140111231524/https://www.paylife.at/web/content/de/Home/Presse_Center/Pressemitteilungen/107_sixuebernimmtpaylife.html

[15] Kartellobergericht verhängt Geldbuße gegen Europay Austria (jetzt PayLife) über 7 Mio EUR | Bundeswettbewerbsbehörde, 24.09.2007 (ots.at):https://www.ots.at/presseaussendung/OTS_20070924_OTS0212/kartellobergericht-verhaengt-geldbusse-gegen-europay-austria-jetzt-paylife-ueber-7-mio-eur