Elektronische Postboxen bei Banken: EuGH definiert technologische Anforderungen – Blockchain naheliegend

Elektronische Postboxen sind nicht mehr aus dem Banking-Alltag von Direktbanken und FinTechs – aber auch zunehmend Filialbanken – wegzudenken: Sie verhelfen dem Kunden zu einem schnellen und unkomplizierten Zugang zu Informationen und eröffnen den Finanzdienstleistern zugleich eine kostengünstige Möglichkeit zur Erfüllung ihrer gesetzlichen Informationspflichten. Dennoch herrsche in der bankrechtlichen Praxis seit vielen Jahren Unsicherheit darüber, ob verbraucherrechtliche Informationspflichten mittels eines einem Verbraucher auf der Internetseite bereitgestellten elektronischen Postfachs (Postbox) erfüllt werden können. Diese Unsicherheit hat der Europäische Gerichtshof nunmehr zu Gunsten der Banken beseitigt.

von RA Dr. Jörn Heckmann, CMS in Deutschland

Doch wie kam es überhaupt zu der rechtlichen Kontroverse über die Zulässigkeit von elektronischen Postboxen? Um diese besser verstehen zu können, bedarf es eines Blicks in die Richtlinie 2007/64/EG über Zahlungsdienste im Binnenmarkt – gemeinhin auch als Zahlungsdiensterichtlinie (PSD) bezeichnet. Diese sieht vor, dass der Zahlungsdienstleister gegenüber dem Nutzer bestimmte Informationen in Papierform oder auf einem anderen dauerhaften Datenträger mitteilen muss.

Ist eine elektronische Postbox ein “Dauerhafter Datenträger”?

Es bestand nunmehr Streit darüber, ob es sich bei der elektronischen Postbox um einen solchen dauerhaften Datenträger im Sinne der Richtlinie handelt. Hierzu vertrat der österreichische Verbraucherverband Verein für Konsumenteninformation in einem Verfahren gegen die BAWAG PSK Bank für Arbeit und Wirtschaft und Österreichische Postsparkasse AG (BAWAG) die Auffassung, dass eine elektronische Postbox keinen dauerhaften Datenträger darstelle, da der Server, auf dem sich die elektronische Postbox befindet, von der Bank selbst verwaltet werde. Es sei daher – so der Verein für Konsumenteninformation weiter – nicht gewährleistet, dass die in der Mailbox gespeicherten Informationen unverändert blieben. Der Generalanwalt Michal Bobek fasste diese Auffassung mit einer Parallele zur „prävirtuellen“ Zeit zusammen:

Die elektronische Postbox ähnele einer Situation, in der den Kunden Papierfassungen ihrer Verträge mit einer Bank ausgehändigt werden, diese Verträge aber sodann zwingend in einem Archivraum in der Bank selbst aufbewahrt werden müssen.”

Die Auffassung des Vereins für Konsumenteninformation wurde vom Handelsgericht Wien in der ersten Instanz geteilt – mit der Folge, dass die BAWAG zukünftig auf den Einsatz elektronischer Postboxen hätte verzichten müssen. Das diese Entscheidung weitreichenden Einfluss auch auf die Prozesse der Bank (aber auch andere Finanzinstitute) gehabt hätte, ist offensichtlich. Es verwundert insofern nicht, dass die BAWAG gegen die Entscheidung Revision beim Oberlandesgericht Wien eingelegt hat. Dieses leitete daraufhin ein sogenanntes Vorabentscheidungsverfahren beim Europäischen Gerichtshof ein, welches die Einheitlichkeit der Rechtsprechung der Gerichte der Mitgliedstaaten im Hinblick auf das EU-Recht gewährleisten soll. Das Vorabentscheidungsverfahren war vorliegend das „Mittel der Wahl“, da die Zahlungsdiensterichtlinie als „EU-Recht“ europaweit Anwendung findet.

Der EuGH kam mit Urteil vom 25.01.2017 (AZ. C-375/15) zu dem (durchaus naheliegenden) Schluss, dass der Einsatz elektronischer Postboxen dann statthaft ist, wenn jede Möglichkeit der einseitigen Änderung ihres Inhalts durch den Zahlungsdienstleister oder durch einen mit der Verwaltung der Website betrauten Administrator ausgeschlossen sei. Offen lässt der EuGH jedoch die sich stellende Frage, wie diese Anforderung umzusetzen ist.”

In Betracht zu ziehen ist zunächst eine vertragliche Verpflichtung des Zahlungsdienstleisters gegenüber dem Kunden, keine Änderungen an den Informationen vorzunehmen. Die Urteilsbegründung des EuGH wird man jedoch dahingehend verstehen müssen, dass eine solche vertragliche Verpflichtung aus Sicht des EuGH nicht ausreichen wird, um von einer dauerhaften Speicherung auszugehen.

Informationen bei einem Trust-Center hinterlegen?

Somit verbleiben lediglich technische Lösungsmöglichkeiten zur Umsetzung der Anforderungen. Denkbar ist in diesem Zusammenhang insbesondere, dass der Zahlungsdienstleister die Informationen bei einem Trust-Center hinterlegt und damit aus seinem Einflussbereich entfernt. Diese Lösung ist jedoch nur in den engen Grenzen des Datenschutzrechts zulässig. Naheliegender erscheint es daher, die Unveränderlichkeit durch den Einsatz elektronischer Signaturen mittels eines Public-Key-Verfahrens sicherzustellen.

Auch ließe sich in Erwägung ziehen, die Dokumente mittels einer (public) blockchain unveränderlich zu archivieren.”

Unabhängig von der Praktikabilität dieser Lösungen ist diesen Ansätzen jedoch eins gemeinsam: Sie führen – soweit entsprechende Prozesse noch nicht umgesetzt worden sind – zu einem erheblichen Anpassungsbedarf.

Liegt die Postbox im Machtbereich des Kunden?

Neben der Frage der Qualifikation einer elektronischen Postbox als dauerhaften Datenträger hatte der EuGH sich im Rahmen des Vorabentscheidungsverfahren noch mit der Frage auseinanderzusetzen, ob Postboxen dem Machtbereich des Bankkunden zuzuordnen und von diesem genau wie ein herkömmliches E-Mail-Postfach regelmäßig auf Nachrichten zu überprüfen sind. Diese Frage beschäftigt die Branche seit Jahren. Der EuGH hat hierzu geurteilt, dass ein mitteilen neben der Einstellung des Dokuments in der Postbox auch die Entfaltung weiterer Aktivitäten auf einem alternativen Kommunikationsweg erfordert. Oder anders gewendet: Es kommt nicht nur darauf an, dass das Dokument in der elektronischen Postbox hinterlegt wird. Vielmehr bedarf es auch einer ergänzenden Information an den Kunden – wie beispielsweise den Versand eines postalischen Hinweises oder einer E-Mail. Gerade der Einsatz von E-Mails zur Benachrichtigung ist jedoch nicht unbegrenzt möglich, gilt es doch auch die Anforderungen des Datenschutzrechts im Auge zu behalten.

So wird beispielsweise der Versand unverschlüsselter E-Mails, welche auf eine Vertragsbeziehung zwischen Kunden und Finanzdienstleister schließen lassen, von einigen Datenschutzbehörden kritisch bewertet.”

Finanzdienstleister sind daher gut beraten, beim Einsatz von E-Mails zumindest eine Transportverschlüsselung mit dem technischen Standard TLS/SSL zu verwenden. Darüber hinaus sind auch alternative Benachrichtigungsverfahren (zum Beispiel SMS) in Betracht zu ziehen. Ob aber auch Dienste mit deaktivierbaren Push-Einstellungen wie Messenger oder InApp-Benachrichtigungen der geforderten Hinweisfunktion genügen, erscheint fraglich.aj