EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62019CC0287

Forslag til afgørelse fra generaladvokat M. Campos Sánchez-Bordona fremsat den 30. april 2020.
DenizBank AG mod Verein für Konsumenteninformation.
Anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof.
Præjudiciel forelæggelse – forbrugerbeskyttelse – direktiv (EU) 2015/2366 – betalingstjenester i det indre marked – artikel 4, nr. 14) – begrebet »betalingsinstrument« – personaliserede, multifunktionelle bankkort – nærfeltskommunikation (NFC-funktion) – artikel 52, nr. 6), litra a), og artikel 54, stk. 1 – oplysninger, der skal meddeles brugeren – ændring af betingelser i en rammeaftale – stiltiende godkendelse – artikel 63, stk. 1, litra a) og b) – rettigheder og forpligtelser i forbindelse med betalingstjenester – undtagelse for betalingsinstrumenter med lav værdi – betingelser for anvendelse – betalingsinstrument, som ikke kan spærres – betalingsinstrument, som er anvendt anonymt – tidsmæssig begrænsning af dommes retsvirkning.
Sag C-287/19.

ECLI identifier: ECLI:EU:C:2020:322

 FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. CAMPOS SÁNCHEZ-BORDONA

fremsat den 30. april 2020 ( 1 )

Sag C-287/19

DenizBank AG

mod

Verein für Konsumenteninformation

(anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof (øverste domstol, Østrig))

»Præjudiciel forelæggelse – forbrugerbeskyttelse – betalingstjenester i det indre marked – urimelige kontraktvilkår – ændring af betingelserne i en rammeaftale – gennemsigtighedskontrol – gyldigheden af vilkår, der indeholder en godkendelsesfiktion og vælter hæftelsesrisikoen for uautoriserede betalinger over på betalingstjenestebrugeren – undtagelse for betalingsinstrumenter vedrørende betalinger af ringe værdi – personaliseret betalingskort med nærfeltskommunikation (NFC-funktion) – anonyme betalingsinstrumenter – betalingsinstrumenter, som ikke er mulige at spærre«

1. 

Den teknologiske innovation har en enorm indvirkning på betalingstjenesterne i det indre marked. Dette bekræftes af vedtagelsen af direktiv 2007/64/EF ( 2 ) og af den omstændighed, at dette direktiv få år senere blev erstattet af direktiv (EU) 2015/2366 ( 3 ). Denne opdatering var nødvendig i betragtning af de nye betalingssystemer, den stigende mængde af elektroniske betalinger og de øgede sikkerhedsrisici, som knytter sig hertil.

2. 

En af disse innovationer, som hurtigt er blevet populær, er den såkaldte nærfeltskommunikation (Near Field Communication, herefter »NFC«), som inkorporeres i visse betalingskort ( 4 ). Med denne funktion er det muligt at foretage betalinger af lav værdi anonymt og uden anvendelse af stærk kundeautentifikation.

3. 

Banker, der udsteder kort med NFC-funktion, ønsker at gøre standardkontrakter mere fleksible for at lette forvaltningen heraf, men de betingelser, som bankerne stiller for deres anvendelse, kan være til skade for forbrugernes rettigheder. Baggrunden for den forelæggende rets spørgsmål er modsætningsforholdet mellem disse to formål.

I. Retsforskrifter

A.   EU-retten. Direktiv 2015/2366

4.

Betragtningerne til dette direktiv omfatter bl.a. følgende:

»(6)

[…] Der bør garanteres lige forretningsvilkår for eksisterende og nye markedsaktører, så det bliver nemmere for nye betalingsmidler at nå ud til et større marked, og så der sikres en høj grad af forbrugerbeskyttelse i forbindelse med betalingstjenester i hele Unionen. Dette bør skabe effektivitet i betalingssystemet som helhed og føre til større udvalg af og mere gennemsigtighed i betalingstjenester og samtidig styrke forbrugernes tillid til et harmoniseret betalingsmarked.

[…]

(63)

For at sikre en høj grad af forbrugerbeskyttelse bør medlemsstaterne i forbrugernes interesse kunne opretholde eller indføre begrænsninger af eller forbud mod ensidigt at foretage ændringer i betingelserne i en rammeaftale, f.eks. hvis der ikke er en berettiget årsag til ændringer.

[…]

(91)

Betalingstjenesteudbydere er ansvarlige for sikkerhedsforanstaltninger. Disse foranstaltninger bør være forholdsmæssigt afpassede efter de pågældende sikkerhedsrisici. Betalingstjenesteudbydere bør fastlægge rammer for at begrænse risici og opretholde effektive procedurer til håndtering af hændelser. Der bør indføres en mekanisme til regelmæssig rapportering, så det sikres, at betalingstjenesteudbydere regelmæssigt giver de kompetente myndigheder en ajourført vurdering af deres sikkerhedsrisici og de foranstaltninger, som de har truffet for at imødegå disse risici. Endvidere er det for at sikre, at skadevirkninger for brugere, andre betalingstjenesteudbydere eller betalingssystemer, såsom væsentlige forstyrrelser af et betalingssystem, holdes på et minimum, nødvendigt at forpligte betalingstjenesteudbydere til uden unødig forsinkelse at underrette de kompetente myndigheder om større sikkerhedshændelser. EBA bør have en koordinerende rolle.

[…]

(96)

Sikkerhedsforanstaltningerne bør være forenelige med det risikoniveau, der er forbundet med betalingstjenesten. For at gøre det muligt at udvikle brugervenlige og tilgængelige betalingsmidler for betalinger med lav risiko, såsom kontaktløse betalinger med lav værdi på salgsstedet, uanset om de er baseret på en mobiltelefon eller ej, bør undtagelserne for anvendelse af sikkerhedskrav derfor præciseres i de reguleringsmæssige tekniske standarder […]«

5.

Artikel 4, nr. 14), definerer »betalingsinstrument« som »en personaliseret anordning eller personaliserede anordninger og/eller sæt af procedurer, der er aftalt mellem betalingstjenestebrugeren og betalingstjenesteudbyderen, og som bruges for at initiere en betalingsordre«.

6.

Afsnit III omhandler »åbenhed om betingelserne for og oplysningskravene vedrørende betalingstjenester«. Kapitel 3, som regulerer »rammeaftaler«, indeholder artikel 52 og 54.

7.

Artikel 52 (»oplysninger og betingelser«) bestemmer:

»Medlemsstaterne sikrer, at følgende oplysninger og betingelser meddeles betalingstjenestebrugeren:

[…]

6)

vedrørende ændringer i og opsigelse af rammeaftalen:

a)

hvis det er aftalt, oplysninger om, at betalingstjenestebrugeren anses for at have godkendt de ændrede betingelser i overensstemmelse med artikel 54, medmindre betalingstjenestebrugeren inden den foreslåede ikrafttrædelsesdato meddeler betalingstjenesteudbyderen, at de ikke kan godkendes

b)

rammeaftalens løbetid

c)

betalingstjenestebrugerens ret til at opsige rammeaftalen og eventuelle aftaler om opsigelse, jf. artikel 54, stk. 1, og artikel 55

[…]«

8.

Artikel 54 (»ændringer i betingelser i rammeaftaler«) bestemmer:

»1.   Betalingstjenesteudbyderen skal foreslå eventuelle ændringer i rammeaftalen eller i de oplysninger og betingelser, der er anført i artikel 52, på samme måde som fastsat i artikel 51, stk. 1, og senest to måneder inden den foreslåede anvendelsesdato. Betalingstjenestebrugeren kan enten acceptere eller afvise ændringerne inden den foreslåede ikrafttrædelsesdato.

Hvis det er relevant i overensstemmelse med artikel 52, nr. 6), litra a), skal betalingstjenesteudbyderen meddele betalingstjenestebrugeren, at betalingstjenestebrugeren anses for at have godkendt disse ændringer, hvis denne ikke inden den foreslåede ikrafttrædelsesdato meddeler betalingstjenesteudbyderen, at de ikke kan godkendes. Betalingstjenesteudbyderen skal også meddele betalingstjenestebrugeren, at betalingstjenestebrugeren, såfremt denne afviser disse ændringer, har ret til at opsige rammeaftalen vederlagsfrit og med virkning på et hvilket som helst tidspunkt indtil den dato, hvor ændringen ville have fundet anvendelse.

[…]«

9.

I kapitel 1 (»fælles bestemmelser«) i afsnit IV (»rettigheder og forpligtelser i forbindelse med udbud og brug af betalingstjenester«) fastsætter artikel 63 (»undtagelse for betalingsinstrumenter med lav værdi og elektroniske penge«) følgende:

»1.   Hvis der er tale om betalingsinstrumenter, der i henhold til rammeaftalen udelukkende vedrører særskilte betalingstransaktioner på højst 30 EUR, eller som enten har en beløbsgrænse på 150 EUR eller på intet tidspunkt lagrer midler på mere end 150 EUR, kan betalingstjenesteudbyderne aftale med deres betalingstjenestebrugere at:

a)

artikel 69, stk. 1, litra b), artikel 70, stk. 1, litra c) og d), samt artikel 74, stk. 3, ikke finder anvendelse, hvis betalingsinstrumentet ikke kan spærres eller yderligere anvendelse af betalingsinstrumentet ikke kan forhindres

b)

artikel 72 og 73 og artikel 74, stk. 1 og 3, ikke finder anvendelse, hvis betalingsinstrumentet anvendes anonymt, eller betalingstjenesteudbyderen af andre grunde, som er særlige for det givne betalingsinstrument, ikke er i stand til at bevise, at betalingstransaktionen var autoriseret

[…]«

B.   National ret. Zahlungsdienstegesetz 2018 ( 5 )

10.

§ 4, nr. 14, definerer »betalingsinstrument« på samme måde som den tilsvarende artikel i direktiv 2015/2366.

11.

Med hensyn til ændringer af rammeaftaler gengiver § 48, stk. 1, nr. 6, indholdet af artikel 52, nr. 6), i direktiv 2015/2366.

12.

Med hensyn til ændringer af betingelserne for rammeaftaler minder ordlyden af § 50, stk. 1, om ordlyden af artikel 54, stk. 1, i direktiv 2015/2366.

13.

Det samme gør sig gældende for ZaDiG’s § 57, stk. 1, og artikel 63, stk. 1, i direktiv 2015/2366 med hensyn til undtagelsen for betalingsinstrumenter med lav værdi og elektroniske penge.

II. Hovedsagen og de præjudicielle spørgsmål

14.

Verein für Konsumenteninformation (herefter »VKI«) er en sammenslutning, som i henhold til østrigsk ret har søgsmålskompetence med henblik på at gøre forbrugernes interesser gældende.

15.

DenizBank AG er en bank, der udøver bankvirksomhed i Østrig. I sine handelsforbindelser med kunderne anvender banken almindelige forretningsbetingelser og -vilkår samt aftaleformularer, bl.a. om brug af betalingskort med NFC-funktion. Denne funktion aktiveres automatisk, første gang kunden bruger kortet.

16.

Ved at bringe disse kort tæt på salgsterminalen kan der på forretningssteder, der har en anordning, som er udstyret med en trådløs forbindelse, betales beløb på højst 25 EUR uden at indtaste et personligt identifikationsnummer (herefter »PIN-kode«). Betaling af større beløb kræver autentifikation via PIN-koden.

17.

De almindelige forretningsbetingelser, som DenizBank anvender i sine aftaler, omfatter bl.a.:

»Vilkår 14:

Ændringer af kundebetingelserne: Ændringer af disse kundebetingelser foreslås kunden senest to måneder inden den foreslåede ikrafttrædelsesdato. Kunden anses for at have godkendt de ændrede betingelser, der derved samtidigt anses for aftalt, såfremt kunden ikke inden den foreslåede ikrafttrædelsesdato meddeler DenizBank AG, at ændringerne ikke kan godkendes. Kunden modtager meddelelse om ovennævnte ændringsforslag i papirform eller, såfremt vedkommende er indforstået hermed, på et andet varigt medium. I sit ændringsforslag gør DenizBank AG kunden opmærksom på dette og henviser til, at kunden som beskrevet ovenfor anses for at have godkendt ændringen, hvis vedkommende forholder sig passivt. DenizBank AG offentliggør desuden en sammenlignende oversigt over de pågældende ændringer af kundebetingelserne på bankens websted og sender også denne oversigt til kunden. I forhold til virksomheder er det tilstrækkeligt, at virksomheden har adgang til ændringsforslaget på en måde, der er aftalt med denne. Planlægges en sådan ændring af kundebetingelserne kan kunden, såfremt vedkommende er forbruger, vederlagsfrit opsige sine rammeaftaler om betalingstjenester (navnlig aftalen om en anfordringskonto), inden ændringerne træder i kraft. I sit ændringsforslag gør DenizBank AG ligeledes kunden opmærksom på dette.

Vilkår 15:

Ingen autoriseringsdokumentation: Formålet med betaling af beløb af lav værdi uden indgivelse af den personlige kode er at afvikle betalingstransaktioner på enkel vis og uden autorisering; DenizBank AG er derfor ikke forpligtet til at bevise, at betalingstransaktionen var autoriseret, korrekt registreret og bogført, og at den ikke blev berørt af et teknisk sammenbrud eller andet funktionssvigt.

Vilkår 16:

Intet ansvar for uautoriserede betalinger: Eftersom DenizBank AG ved brug af bankkortet til betalinger af beløb af lav værdi uden indgivelse af den personlige kode ikke er i stand til at bevise, at betalingstransaktionen var autoriseret af kortindehaveren, er DenizBank AG i tilfælde af en uautoriseret betalingstransaktion ikke forpligtet til at godtgøre beløbet fra den uautoriserede betalingstransaktion og føre den debiterede betalingskonto tilbage til den situation, der ville have været gældende, hvis den uautoriserede betalingstransaktion ikke var blevet gennemført. Der kan heller ikke gøres yderligere krav gældende mod DenizBank AG – såfremt disse skyldes simpel uagtsomhed fra bankens side.

Vilkår 17:

Advarsel: Kontoindehaveren bærer risikoen for, at bankkortet misbruges til betaling af beløb af lav værdi uden indgivelse af den personlige kode.

Vilkår 18:

Spærring af bankkortet ved bortkomst ikke mulig: Af tekniske årsager er det ikke muligt at spærre bankkortet således, at det ikke kan bruges til betalinger af beløb af lav værdi. Bortkommer bankkortet (f.eks. ved tab eller tyveri) kan der også efter en spærring i henhold til punkt 2.7 foretages betalinger af beløb på højst 75,00 EUR uden indgivelse af den personlige kode: Disse beløb godtgøres ikke. Da der er tale om »betaling af beløb af lav værdi« i henhold til ZaDiG’s § 33, og værdien af de enkelte betalingstransaktioner ikke kan overstige 25 EUR, og det samtidigt ikke er muligt at spærre bankkortet for så vidt angår betalinger af beløb af lav værdi uden indgivelse af den personlige kode, finder ZaDiG’s § 44, stk. 3, ikke anvendelse.

Vilkår 19:

For så vidt der ikke udtrykkeligt er opstillet særregler for betalinger af beløb af lav værdi i punkt 3, gælder bestemmelserne i punkt 2 (kortservice) også for disse betalinger.«

18.

Den 9. august 2016 anlagde VKI et søgsmål med påstand om forbud mod DenizBank ved Handelsgericht Wien (handelsretten i Wien, Østrig).

19.

Nævnte ret gav ved dom af 28. april 2017 sagsøgeren medhold for så vidt angår vilkår 14-19. Retten fastslog, at vilkår 14 er til urimelig ulempe for adressaten, samt at betingelserne for at anvende undtagelsen for betalingsinstrumenter med lav værdi ikke var opfyldt, eftersom bankkortet også kunne benyttes til andre betalinger. Tillægsfunktionen »kontaktløs betaling uden autentificering« kunne slet ikke anses for et betalingsinstrument.

20.

Der blev iværksat appel til prøvelse af denne dom ved Oberlandesgericht (øverste regionale domstol i Wien, Østrig), som ved dom af 20. november 2017 delvis bekræftede fortolkningen i første instans.

21.

Hvis der kun tages udgangspunkt i den kontaktløse betalingsfunktion, er der efter appelrettens opfattelse ikke tale om anvendelse af et betalingsinstrument, og der er snarere tale om en kreditkorttransaktion foretaget pr. brev eller pr. telefon. Denne opfattelse støttes ifølge appelretten af, at NFC-funktionen, der kan udløses uden indgivelse af PIN-koden ved lave beløb, i modsætning til den »elektroniske pung« aktiveres automatisk. Det betalingskort, der anvendes til NFC-transaktioner, er desuden ikke anonymt, men derimod både personaliseret og sikret med en kode.

22.

VKI og DenizBank iværksatte begge kassationsanke til prøvelse af dommen af 20. november 2017 ved Oberster Gerichtshof (øverste domstol, Østrig), som har forelagt Domstolen disse præjudicielle spørgsmål:

»1)

Skal artikel 52, [nr.] 6), litra a), sammenholdt med artikel 54, stk. 1, i direktiv (EU) 2015/2366 (betalingstjenestedirektivet), hvorefter betalingstjenestebrugeren anses for at have godkendt en foreslået ændring af betingelserne i rammeaftalen, medmindre vedkommende over for betalingstjenesteudbyderen har afvist ændringen inden den foreslåede ikrafttrædelsesdato, fortolkes således, at der også i forhold til en forbruger kan aftales en godkendelsesfiktion, der skal gælde fuldstændig ubegrænset for alle tænkelige betingelser i rammeaftalen?

2)

a)

Skal artikel 4, nr. 14), i direktiv (EU) 2015/2366 fortolkes således, at NFC-funktionen i et personaliseret, multifunktionelt bankkort, der bruges til betalinger med lav værdi, som den hermed forbundne kundekonto debiteres for, udgør et betalingsinstrument?

2)

b)

Såfremt spørgsmål 2, litra a), besvares bekræftende:

Skal artikel 63, stk. 1, litra b), i direktiv (EU) 2015/2366 om undtagelse for betalingsinstrumenter med lav værdi og elektroniske penge fortolkes således, at en kontaktløs betaling med lav værdi, der gennemføres ved anvendelse af NFC-funktionen i et personaliseret, multifunktionelt bankkort, udgør en anonym anvendelse af betalingsinstrumentet som omhandlet i denne undtagelsesbestemmelse?

3)

Skal artikel 63, stk. 1, litra b), [ ( 6 )] i direktiv (EU) 2015/2366 fortolkes således, at en betalingstjenesteudbyder kun kan påberåbe sig denne undtagelsesbestemmelse, hvis det kan bevises, at betalingsinstrumentet på grundlag af den objektive, aktuelle tekniske viden ikke kan spærres eller yderligere anvendelse af betalingsinstrumentet ikke kan forhindres?«

23.

Selv om den retsakt, der finder anvendelse på de faktiske omstændigheder ratione temporis, er direktiv 2007/64, har Oberster Gerichtshof (øverste domstol) efter anmodning fra Domstolen forklaret, at den ved afgørelsen af søgsmålene med påstand om forbud vedrørende gyldigheden af vilkårene i rammeaftalen (»klauselprozess«) også skal anvende direktiv 2015/2366, som finder anvendelse på tidspunktet for domsafsigelsen. Da indholdet af bestemmelserne i begge direktiver for så vidt angår denne sag praktisk talt er sammenfaldende ( 7 ), vil jeg henvise til bestemmelserne i direktiv 2015/2366, som fremgår af den forelæggende rets spørgsmål.

24.

VKI, DenizBank, Kommissionen, den portugisiske og den tjekkiske regering har afgivet skriftlige indlæg. Den 13. februar 2020 blev der afholdt retsmøde med deltagelse af VKI, DenizBank og Kommissionen.

III. Bedømmelse

25.

Den forelæggende rets fire spørgsmål kan behandles, idet deres rækkefølge ændres, og nogle af spørgsmålene samles. Dette betyder, at jeg:

først og fremmest vil undersøge, om betalingskortenes NFC-funktion tillader, at denne funktion kan kvalificeres som et betalingsinstrument [det andet præjudicielle spørgsmåls litra a)]

for det andet vil undersøge den anonyme anvendelse af kort med NFC-funktion som betalingsinstrumenter, som ikke kan spærres [det andet spørgsmåls litra b) og det tredje præjudicielle spørgsmål]

endelig vil undersøge muligheden for stiltiende ændringer af vilkårene i rammeaftalen (det første præjudicielle spørgsmål).

26.

Selv om DenizBank har anført, at de tidsmæssige virkninger af en eventuel dom, der er ugunstig for banken, bør begrænses, bør denne foranstaltning, som hverken den forelæggende ret eller de øvrige procesdeltagere har anmodet om, efter min opfattelse ikke træffes. DenizBank har desuden blot fremført generelle argumenter med hensyn til den mulige økonomiske virkning af dommen, men har ikke påberåbt sig konkrete forhold, som kan begrunde denne usædvanlige påstand i den omstændighed, at de berørte parter skal være i god tro, og at der skal være fare for alvorlige forstyrrelser, således som Domstolens praksis kræver ( 8 ).

A.   NFC-funktionen i personaliserede betalingskort som et betalingsinstrument [det andet præjudicielle spørgsmåls litra a)]

27.

Den forelæggende ret ønsker oplyst, om »NFC-betalingsfunktionen i et personaliseret kort […] er et betalingsinstrument« i henhold til artikel 4, nr. 14), i direktiv 2015/2366.

28.

I henhold til denne bestemmelse er et betalingsinstrument »en personaliseret anordning eller personaliserede anordninger og/eller sæt af procedurer, der er aftalt mellem betalingstjenestebrugeren og betalingstjenesteudbyderen, og som bruges for at initiere en betalingsordre«.

29.

Ifølge Domstolens dom i T-Mobile Austria-sagen ( 9 ) kan betalingsinstrumenter være:

personaliserede, dvs. give udbyderen af betalingstjenester mulighed for at verificere, at betalingsordren er initieret af en bruger, der har den nødvendige tilladelse

anonyme eller ikke-personaliserede, i hvilke tilfælde udbyderne af betalingstjenester ikke er forpligtet til at bevise den pågældende betalingstransaktions autentificering.

30.

Eksistensen af ikke-personaliserede betalingsinstrumenter indebærer, at det begreb, der er defineret i artikel 4, nr. 14), i direktiv 2015/2366, kan omfatte et ikke-personaliseret sæt af procedurer, der er aftalt mellem brugeren og udbyderen af betalingstjenester, og som brugeren bruger for at initiere en betalingsordre ( 10 ).

31.

I samme dom afklarede Domstolen den tvivl, der var opstået på grund af de forskellige anvendelser af adjektivet »personaliserede« i de forskellige sprogversioner af artikel 4, nr. 23), i direktiv 2007/64 ( 11 ), hvis indhold praktisk talt er sammenfaldende med indholdet af den nuværende artikel 4, nr. 14), i direktiv 2015/2366.

32.

Den definition af betalingsinstrument, der anvender formuleringen »personaliseret« i forbindelse med såvel en anordning som et sæt af procedurer, findes udelukkende i den tyske version ( 12 ). I betragtning af de øvrige versioner og formålene med direktiv 2015/2366 må det fastslås, at definitionen af betalingsinstrumenter omfatter personaliserede og ikke-personaliserede eller anonyme betalingsinstrumenter ( 13 ).

33.

Som den portugisiske regering har anført, forholder det sig sådan, at bankkort ikke udtrykkeligt betegnes som betalingsinstrumenter i direktiv 2015/2366. Punkt 3, litra b), i bilag I til dette direktiv betegner imidlertid betalingstjenester som »gennemførelse af betalingstransaktioner via et betalingskort eller en lignende anordning«

34.

Artikel 2, nr. 15), i forordning (EU) 2015/751 ( 14 ) definerer desuden »betalingskort« som »en betalingsinstrumentkategori, der gør det muligt for betaleren at initiere en debet- eller kreditkorttransaktion«.

35.

Artikel 2, nr. 7), i samme forordning definerer en »kortbaseret betalingstransaktion« som »en tjeneste, der er baseret på betalingskortordningers infrastruktur og forretningsbestemmelser med det formål at foretage en betalingstransaktion ved hjælp af enhver form for kort, telekommunikation, digitalt udstyr eller it-udstyr eller software, hvis dette fører til en debet- eller kreditkorttransaktion. Kortbaserede betalingstransaktioner omfatter ikke transaktioner baseret på andre former for betalingstjenester«.

36.

Det kan udledes af disse bestemmelser i direktiv 2015/2366 og forordning 2015/751 (tæt forbundne retsakter), at betalingskort er betalingsinstrumenter i nævnte direktivs forstand. Således kan et multifunktionelt bankkort såsom det af DenizBank udstedte anses for et betalingsinstrument, der er omfattet af direktiv 2015/2366.

37.

Denne form for kort har en todelt karakter eller funktionalitet:

De er på den ene side knyttet til en specifik og klart identificerbar kunde og kan således anvendes som personaliserede betalingsinstrumenter, når bankens kunde giver banken tilladelse til at betale modtageren ved at indtaste en PIN-kode eller ved en underskrift. Det kan desuden fastslås, at denne brug af bankkortet som et personaliseret betalingsinstrument er den eneste mulige brug i forbindelse med alle betalingstransaktioner. Der hersker efter min opfattelse ingen tvivl om, at bankkort med denne eneste funktionalitet er omfattet af ordningen i direktiv 2015/2366 og dets gennemførelsesbestemmelser.

De kan på den anden side indeholde en yderligere funktionalitet, NFC-funktionen, hvilket er tilfældet for de af DenizBank udstedte kort. Disse korts NFC-funktion, som både gør sig gældende for kredit- og debetkort, gør det muligt at betale for et køb ved hjælp af radiofrekvensidentifikationsteknologi, som er inkorporeret i selve kortet. Kunderne foretager betalingen ved at bringe dette kort tæt på en salgsterminal, uden at der er behov for at føre det gennem en kortlæser. Den trådløse kommunikation mellem kortet med NFC-funktion og salgsterminalen er tilstrækkelig til at validere transaktionen, uanset hvem der på dette tidspunkt er i besiddelse af kortet, og det kræves ikke, at indehaveren indtaster sin PIN-kode eller underskriver betalingen ( 15 ). Der er således tale om en ikke-personaliseret eller anonym betalingsprocedure.

38.

NFC-funktionen i et personaliseret, multifunktionelt bankkort er omfattet af kategorien anonyme betalingsinstrumenter, da den udgør et ikke-personaliseret sæt af procedurer, der er aftalt mellem brugeren og udbyderen af betalingstjenester, og som brugeren bruger for at initiere en betalingsordre som omhandlet i artikel 4, nr. 14), i direktiv 2015/2366.

39.

Gennemførelsen af betalingen kræver som nævnt blot, at en person er i besiddelse af et kort med NFC-funktion. Derfor kan alle, også uautoriserede, tredjemænd bruge det. Denne betydelige risiko forklarer, hvorfor den NFC-funktion, som er inkorporeret i kortet, kun gælder for betalinger af små beløb med en nedsat øvre grænse (25 EUR i denne sag).

40.

Som jeg netop har anført, udgør anonyme betalingsinstrumenter et ikke-personaliseret sæt af procedurer, der er »aftalt« mellem brugeren og udbyderen af betalingstjenester. Den forelæggende ret skal i denne sag efterprøve, om der i denne sag forelå en sådan aftale, eftersom DenizBank, ifølge VKI, automatisk aktiverer NFC-funktionen i det personaliserede, multifunktionelle bankkort, også uden brugerens samtykke ( 16 ).

41.

En kvalificering af NFC-funktionen i et personaliseret, multifunktionelt bankkort som et anonymt betalingsinstrument er den løsning, der stemmer bedst overens med en formålsfortolkning ( 17 ) af artikel 4, nr. 14), i direktiv 2015/2366 og er i overensstemmelse med dets formål, således som de er beskrevet i femte og sjette betragtning hertil.

42.

Den høje grad af forbrugerbeskyttelse (brugere af kort med NFC-funktion) og målet om fremme af fair og gennemsigtig konkurrence mellem de finansielle institutioner, der udsteder dem, taler for, at disse kort kvalificeres som betalingskort, der er omfattet af direktiv 2015/2366. Således er de omfattet af de garantier, som direktivet fastsætter for at styrke forbrugernes tillid på et harmoniseret betalingsmarked.

43.

Samme bedømmelse kan også udledes af artikel 11 i delegeret forordning (EU) 2018/389 ( 18 ), som regulerer »kontaktløse betalinger på salgsstedet« som et middel, der giver mulighed for at udvikle brugervenlige betalingstjenester, som indebærer en lav risiko ( 19 ).

44.

Denne bestemmelse fastsætter, at betalingstjenesteudbydere har mulighed for at undlade at anvende stærk kundeautentifikation ( 20 ), hvis betaleren initierer en kontaktløs elektronisk betalingstransaktion, forudsat at følgende betingelser er opfyldt:

a)

[V]ærdien af transaktionen overstiger ikke 50 EUR, […]

b)

[D]en samlede værdi af tidligere transaktioner siden den seneste anvendelse af stærk kundeautentifikation overstiger ikke 150 EUR, […]

c)

[A]ntallet af konsekutive kontaktløse elektroniske betalingstransaktioner siden den seneste anvendelse af stærk kundeautentifikation overstiger ikke fem.

45.

Betalinger, som foretages gennem anonyme betalingsinstrumenter (f.eks. et betalingskort med NFC-funktion), er i sagens natur ikke omfattet af kravet om stærk kundeautentifikation ( 21 ), hvilken undtagelse ( 22 ) andre instrumenter også er omfattet af ( 23 ).

46.

Den tjekkiske regering har imidlertid anført, at betalingsinstrumentet er selve det personaliserede, multifunktionelle betalingskort, og at NFC-funktionen blot er en af dette korts anvendelsesmuligheder. Sidstnævnte er således ikke et anonymt betalingsinstrument, men kan derimod ganske enkelt anvendes til betalinger af lav værdi på en mindre sikker måde ved at anvende autentifikationen ved hjælp af NFC-teknologien (dvs. uden at indehaveren af kortet benytter sig af en sikkerhedsfeature som f.eks. sin underskrift eller PIN-kode).

47.

Dette argument kan jeg ikke tiltræde. Som jeg har forklaret, indeholder de kort, som DenizBank udsteder, efter min opfattelse to forskellige betalingsinstrumenter:

en personaliseret anordning, som kræver anvendelse af en eller to sikkerhedsfeatures (stærk kundeautentifikation), og som anvendes til betalinger over en vis størrelse

et sæt af procedurer med henblik på gennemførelse af en betaling af lav værdi uden anvendelse af disse sikkerhedsfeatures ved hjælp af NFC-funktionen.

48.

Princippet om teknologineutralitet, som ligger til grund for forskellige bestemmelser i direktiv 2015/2366, og hvortil der henvises i 21. betragtning hertil ( 24 ), taler for, at disse to funktioner på det samme bankkort betragtes som to forskellige betalingsinstrumenter.

49.

Det forholder sig sådan, da der for nylig er blevet tilføjet et andet instrument til det traditionelle instrument (det klassiske personaliserede betalingskort) ( 25 ), nemlig NFC-funktionen, som udgør et særskilt betalingsinstrument og er underlagt en anderledes retlig ordning. Det fysiske medium er identisk (det kort, som banken har udstedt), men dette medium indeholder nu to forskellige betalingsinstrumenter.

50.

Denne fortolkning er som nævnt den, der er mest i overensstemmelse med princippet om teknologineutralitet i direktiv 2015/2366, hvis bestemmelser ikke må forhindre udviklingen af nye betalingsinstrumenter og -tjenester, for så vidt som de teknologiske fremskridt fremmer den. Intet bør være til hinder for, at der i fremtiden inkorporeres flere betalingsinstrumenter i et kort ud over den personaliserede funktion og NFC-funktionen, som allerede findes.

51.

Sammenfattende bør NFC-funktionen i et personaliseret, multifunktionelt betalingskort kvalificeres som et betalingsinstrument som omhandlet i artikel 4, nr. 14), i direktiv 2015/2366.

B.   Anonym anvendelse af kort med NFC-funktion som betalingsinstrumenter, som ikke kan spærres [det andet spørgsmåls litra b) og det tredje præjudicielle spørgsmål]

52.

Den forelæggende ret ønsker oplyst, om »betalingsinstrumentet anvendes anonymt« med henblik på undtagelsen i artikel 63, stk. 1, litra b), i direktiv 2015/2366, når der gennemføres en kontaktløs betaling med lav værdi ved anvendelse af NFC-funktionen.

53.

Med sit tredje præjudicielle spørgsmål ønsker den forelæggende ret desuden oplyst, om artikel 63, stk. 1, litra a), i dette direktiv, som fastsætter en anden undtagelse, der minder om (men ikke er identisk med) førnævnte undtagelse, finder anvendelse på disse tilfælde, når »betalingsinstrumentet ikke kan spærres eller yderligere anvendelse af betalingsinstrumentet ikke kan forhindres«.

54.

Artikel 63 i direktiv 2015/2366 fastsætter en række undtagelser for betalingsinstrumenter med lav værdi (og for elektroniske penge, som imidlertid ikke er relevante her), hvorefter nogle af de »rettigheder og forpligtelser i forbindelse med udbud og brug af betalingstjenester«, som er fastsat i direktivets afsnit IV, ikke finder anvendelse.

55.

Artikel 63, stk. 1, fokuserer på nogle klart definerede betalingsinstrumenter: dem, »der i henhold til rammeaftalen udelukkende vedrører særskilte betalingstransaktioner på højst 30 EUR, eller som enten har en beløbsgrænse på 150 EUR eller på intet tidspunkt lagrer midler på mere end 150 EUR«.

56.

I disse tilfælde kan betalingstjenesteudbyderne aftale med deres betalingstjenestebrugere, at bestemte rettigheder eller bestemte forpligtelser, som er omhandlet i andre bestemmelser i direktiv 2015/2366, ikke finder anvendelse:

Når betalingsinstrumentet »ikke kan spærres eller yderligere anvendelse af betalingsinstrumentet ikke kan forhindres« [stk. 1, litra a)], kan aftaleparterne aftale, at artikel 69, stk. 1, litra b) ( 26 ), artikel 70, stk. 1, litra c) og d) ( 27 ), og artikel 74, stk. 3 ( 28 ), ikke finder anvendelse.

Når betalingsinstrumentet »anvendes anonymt, eller betalingstjenesteudbyderen af andre grunde, som er særlige for det givne betalingsinstrument, ikke er i stand til at bevise, at betalingstransaktionen var autoriseret« [stk. 1, litra b)], kan aftaleparterne aftale, at artikel 72 ( 29 ) og 73 ( 30 ) samt artikel 74, stk. 1 og 3 ( 31 ), ikke finder anvendelse.

1. Udstederens forpligtelser, når kortene ikke kan spærres, eller yderligere anvendelse af betalingsinstrumentet ikke kan forhindres

57.

Med den første undtagelse [artikel 63, stk. 1, litra a)] indføres en ordning, hvorefter den bank, der har udstedt betalingskortet, har et »formindsket« ansvar.

58.

Hvis dette kort ikke kan spærres, eller »yderligere anvendelse« af betalingsinstrumentet ikke kan forhindres (f.eks. i forbindelse med misbrug som følge af tab, tyveri eller uberettiget tilegnelse eller anden uautoriseret brug af betalingsinstrumentet), kan banken aftale med sine kunder, at den ikke bærer de almindelige forpligtelser, der er fastsat i direktivet, med henblik på spærring af kortet og yderligere anvendelse heraf i forbindelse med misbrug.

59.

Som den forelæggende ret med føje har anført, kan en bank, der har udstedt et kort med NFC-funktion, kun gøre brug af denne undtagelse, hvis den beviser, at det ikke er teknisk muligt at spærre dette kort eller forhindre yderligere anvendelse heraf i de førnævnte tilfælde. Det påhviler således banken at bevise, at dette er umuligt, eftersom undtagelsen bør undergives en streng fortolkning.

60.

Den forelæggende ret har, ligeledes med rette, tilføjet, at hvis banken ikke skulle bevise, at det er umuligt at spærre kortet, kunne banken blot markedsføre et teknisk middelmådigt kort (uden nogen form for spærring) for at skade forbrugernes interesser og lade dem bære den risiko, der følger af uautoriserede betalinger.

61.

Jeg er enig i disse overvejelser, da fritagelsen for ansvaret i modsat fald ville være i strid med 91. betragtning til ( 32 ) og artikel 73 i direktiv 2015/2366, som pålægger betalingstjenesteudbydere at garantere sikkerheden i forbindelse med betalinger og bære ansvaret (om end med en mindre begrænsning) for uautoriserede betalingstransaktioner.

62.

Det tilkommer den forelæggende ret at efterprøve dette, men alt peger på, at det aktuelle tekniske niveau gør det muligt for en bank at spærre et personaliseret, multifunktionelt betalingskort ( 33 ). Visse bestemmelser i direktivet (artikel 69, 70 og 74 osv.) forudsætter, at dette er muligt. Det forekommer således ikke, at inkorporeringen af NFC-funktionen i disse kort er til hinder for, at de spærres.

63.

Hvis det forholder sig sådan, er et vilkår i en rammeaftale såsom det af DenizBank indsatte (vilkår 18), hvoraf det fremgår, at det »[a]f tekniske årsager […] ikke [er] muligt at spærre bankkortet således, at det ikke kan bruges til betalinger af beløb af lav værdi« (og som nægter godtgørelse af visse beløb, der er betalt uretmæssigt i forbindelse med tab eller tyveri af dette kort), i strid med artikel 63, stk. 1, litra a), i direktiv 2015/2366.

2. Udstederens ansvar, når betalingsinstrumentet anvendes anonymt

64.

Den forelæggende ret ønsker oplyst, om anvendelsen af NFC-funktionen i et personaliseret, multifunktionelt betalingskort kan henføres under formuleringen »anonym anvendelse«, som svarer til undtagelsen i artikel 63, stk. 1, litra b), i direktiv 2015/2366.

65.

Jeg minder om, at denne bestemmelse indfører en ordning, hvorefter betalingstjenesteudbyderen har et »formindsket« ansvar, når betalingsinstrumentet anvendes anonymt, eller når »betalingstjenesteudbyderen af andre grunde, som er særlige for det givne betalingsinstrument, ikke er i stand til at bevise, at betalingstransaktionen var autoriseret«.

66.

Som den forelæggende ret og Kommissionen har anført, er det et fælles træk for begge tilfælde, at det er umuligt at bevise, hvem der i praksis autoriserede betalingstransaktionen. Denne omstændighed forklarer muligvis, at Domstolen i T-Mobile Austria-dommen behandlede undtagelsen i artikel 53, stk. 1, litra b), i direktiv 2007/64 generelt uden at sondre mellem de to førnævnte omstændigheder ( 34 ).

67.

Ovennævnte argumenter ( 35 ) førte mig til at foreslå, at NFC-funktionen i et personaliseret, multifunktionelt bankkort henhører under kategorien anonyme betalingsinstrumenter. Ud over disse argumenter vil jeg tilføje, at der må sondres mellem identificering af kortindehaveren (som altid er mulig, da kortet er personaliseret) og den autorisation af betalingen, som den person, der var i besiddelse af kortet, foretager (som ikke nødvendigvis er den egentlige indehaver i tilfælde af tab, tyveri eller uberettiget tilegnelse).

68.

Autorisation af betalinger med NFC-funktionen i et personaliseret betalingskort kræver kun en simpel autentifikation (som blot kræver besiddelse af kortet) og ikke en stærk autentifikation (som finder sted, når der kræves indtastning af PIN-kode eller en underskrift). Dette betyder, at disse betalingsautorisationer bør betegnes som anonyme, da kortudstederen ikke kan bevise, om betalingen reelt er blevet autoriseret af kortindehaveren frem for en tredjemand, som har stjålet, piratkopieret eller anvendt kortet uretmæssigt.

69.

Der er fordele og ulemper ved anonymiteten ved NFC-funktionen i et personaliseret betalingskort:

På den ene side sikrer den en hurtigere behandling af betalingerne og fremmer udviklingen af nye typer betalingstjenester eller -midler i overensstemmelse målene med direktiv 2015/2366 ( 36 ).

På den anden side skaber den en risiko for misbrug af kortet, som hverken kontrolleres af kortindehaveren eller af den kortudstedende bank. For at mindske denne risiko tillader NFC-funktionen som nævnt kun betalinger af små beløb (op til 30 EUR) og altid med en øvre grænse (150 EUR).

70.

Inden for disse rammer består den afbalancerede løsning, som er vedtaget i direktiv 2015/2366, i, at undtagelsen i artikel 63, stk. 1, litra b), i direktiv 2015/2366 finder anvendelse, hvis indehaveren af et personaliseret betalingskort accepterer, at dette kort indeholder NFC-funktionen. Dermed er de aftalebetingelser, der indeholder denne undtagelse, hvilket forekommer at være tilfældet for vilkår 15, 16 og 17 i DenizBanks rammeaftale, forenelige med dette direktiv.

71.

Sammenfattende kan kontaktløs betaling af et lille beløb ved hjælp af NFC-funktionen kvalificeres som »anonym« anvendelse af et personaliseret, multifunktionelt betalingskort som omhandlet i artikel 63, stk. 1, litra b), i direktiv 2015/2366.

C.   Det første præjudicielle spørgsmål: stiltiende ændring af vilkårene i en rammeaftale

72.

Den forelæggende ret ønsker oplyst, om det af artikel 52, nr. 6), litra a), sammenholdt med artikel 54, stk. 1, i direktiv 2015/2366, følger, at brugeren har godkendt den af betalingstjenesteudbyderen foreslåede ændring af aftalebetingelserne, alene fordi brugeren ikke afviser den.

73.

Den forelæggende ret har anført, at såfremt denne fortolkning antages, kan banken »i forhold til en forbruger […] [aftale] en godkendelsesfiktion, der skal gælde fuldstændig ubegrænset for alle tænkelige betingelser i rammeaftalen«.

74.

Artikel 52, nr. 6), litra a), i direktiv 2015/2366, bestemmer, at »hvis det er aftalt, […] [anses] betalingstjenestebrugeren […] for at have godkendt de ændrede betingelser i overensstemmelse med artikel 54, medmindre betalingstjenestebrugeren inden den foreslåede ikrafttrædelsesdato meddeler betalingstjenesteudbyderen, at de ikke kan godkendes« ( 37 ).

75.

Forpligtelsen til at formidle oplysninger til forbrugerne forud for aftaleindgåelsen er et afgørende element i EU-rettens forbrugerbeskyttelse. I forbindelse med standardkontrakter, hvor der forekommer en åbenlys asymmetri mellem betalingstjenesteudbyderen og forbrugerne, hjælper oplysninger forud for aftaleindgåelsen sidstnævnte til at træffe velfunderede beslutninger. De beskytter desuden deres aftalefrihed og gør det muligt for dem at afveje eksisterende tilbud på markedet og fremmer derudover gennemsigtigheden i gennemførelsen af aftalerne ( 38 ).

76.

Direktiv 2015/2366 afspejler dette sigte, såvel i betragtningerne hertil (især 59. betragtning ( 39 )) som i artikel 51-54 ( 40 ).

77.

Artikel 51 regulerer formen og proceduren for formidling af oplysninger forud for aftaleindgåelsen til betalingstjenestebrugeren. Artikel 52 angiver indholdet af disse udførlige og præcise oplysninger, som udbyderen skal formidle til brugeren ( 41 ).

78.

Et element af disse oplysninger vedrører ændringer i rammeaftalen, jf. direktivets artikel 52, nr. 6), litra a), som jeg tidligere har gengivet. Betalingstjenesteudbyderen og betalingstjenestebrugeren kan som en undtagelse aftale stiltiende samtykke i forbindelse med ændringer af aftalebetingelserne (»hvis det er aftalt«).

79.

Vilkår 14 i rammeaftalen mellem DenizBank og bankens kunder anvender denne mulighed. Den omhandler stiltiende accept af de ændringer, som banken foreslår (og meddeler), og advarer om, at kunden anses for at have godkendt dem, hvis kunden ikke gør indsigelse herimod ( 42 ).

80.

Ifølge DenizBank gør den stiltiende accept, som er tilladt i henhold til artikel 52, nr. 6), litra a), i direktiv 2015/2366, sig gældende for alle former for aftaleændringer. Efter bankens opfattelse er det ikke realistisk og yderst vanskeligt at sikre, at betalingstjenestebrugerne udtrykkeligt godkender ændringer af en aftale såsom den, der regulerer den retlige ordning for det personaliserede, multifunktionelle bankkort.

81.

Den stiltiende accept til ændringerne udgør ifølge DenizBank en uundværlig mekanisme i bankens forretningsmodel. Dens funktion må ikke komme forbrugernes interesser til skade, da den gør det muligt for dem på en lettere og hurtigere måde at få adgang til forbedringer af deres betalingsinstrumenter eller benytte ny teknologisk udvikling f.eks. i form af NFC-funktionen, der er inkorporeret i kortene.

82.

Muligheden for stiltiende at godkende ændringer af aftalebetingelser, som er fastsat i artikel 52, nr. 6), litra a), i direktiv 2015/2366, hvis det er aftalt mellem betalingstjenestebrugeren og betalingstjenesteudbyderen, skal efter min opfattelse fortolkes indskrænkende, når indholdet af disse betingelser er ugunstigt for kunden.

83.

Denne mulighed ophører ikke med at være en undtagelse til det generelle princip om, at ændringer af rammeaftalen, ligesom de oprindelige betingelser, kræver brugerens udtrykkelige accept.

84.

Denne indskrænkende fortolkning understøttes af målene med direktiv 2015/2366 (navnlig forbrugerbeskyttelse) og af den systematiske placering af artikel 52, nr. 6), litra a), blandt de bestemmelser om oplysninger forud for aftaleindgåelsen, som betalingstjenesteudbyderen skal formidle til brugeren under alle omstændigheder for at opveje den ugunstige situation, som sidstnævnte befinder sig i. Den informationsmæssige asymmetri, som jeg har nævnt, forekommer ved afgivelsen af såvel det oprindelige samtykke til indgåelsen af rammeaftalen som godkendelsen af dens efterfølgende ændringer.

85.

Jeg tilslutter mig den forelæggende rets og Kommissionens opfattelse, hvorefter en eventuel stiltiende accept ikke kan gøre sig gældende for alle betingelserne i rammeaftalen. Dette ville i praksis betyde, at betalingstjenesteudbyderen ville have en næsten uindskrænket og, de facto, ensidig magt til at ændre den pågældende aftale: Erfaringen viser, at størstedelen af forbrugerne ikke foretager en kritisk analyse af forslagene til ændring af betingelserne i deres aftaler, navnlig ikke hvis de er teknisk eller juridisk komplicerede.

86.

I retsmødet anerkendte DenizBank, at dens bankpraksis udelukker anvendelse af stiltiende accept i forbindelse med væsentlige ændringer af aftalebetingelserne. DenizBank gav imidlertid ikke en overbevisende forklaring på, hvorfor den ikke bringer rammeaftalens vilkår 14 i overensstemmelse med denne praksis, idet banken anførte, at vilkårets virkning blot svarede til en mindre væsentlig ændring af kontraktforholdet.

87.

Muligheden for stiltiende accept af ændringerne kan efter min opfattelse kun gøre sig gældende for ikke-væsentlige ændringer af vilkårene i en rammeaftale, såfremt de garantier, som direktiv 2015/2366 etablerer, overholdes ( 43 ).

88.

Den omstændighed, at et personaliseret, multifunktionelt betalingskort forsynes med NFC-funktionen til kontaktløse betalinger af lav værdi, tilføjer som nævnt et nyt betalingsinstrument til dette kort. Der er således tale om enten en ny tjeneste, som bør være genstand for en ny yderligere aftale, eller om en væsentlig ændring af betingelserne i den tidligere rammeaftale ( 44 ) (som regulerede forholdet mellem kortudstederen og forbrugeren).

89.

I begge tilfælde (ved en ny aftale eller ved en objektiv nyordning af et væsentligt element i den forudgående kontrakt) bør forbrugeren, når den pågældende er oplyst om de fordele og risici, som NFC-funktionen medfører for den pågældendes kort, utvetydigt give sit udtrykkelige samtykke til dette betalingsinstrument, hvilket ikke er foreneligt med en stiltiende accept.

IV. Forslag til afgørelse

90.

På baggrund af det ovenstående foreslår jeg, at Domstolen svarer Oberster Gerichtshof (øverste domstol, Østrig) således:

»1)

Nærfeltskommunikation (NFC-funktionen) i et personaliseret, multifunktionelt betalingskort bør kvalificeres som et betalingsinstrument som omhandlet i artikel 4, nr. 14), i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked.

2)

Kontaktløs betaling af et lille beløb ved hjælp af NFC-funktionen udgør en »anonym« anvendelse af et personaliseret, multifunktionelt betalingskort som omhandlet i artikel 63, stk. 1, litra b), i direktiv 2015/2366.

3)

En bank, der har udstedt et personaliseret, multifunktionelt betalingskort, som er blevet forsynet med NFC-funktionen, kan udelukkende gøre brug af undtagelsen i artikel 63, stk. 1, litra a), i direktiv 2015/2366, hvis den beviser, at det ikke er teknisk muligt at spærre dette kort eller forhindre yderligere anvendelse heraf i tilfælde af tab, tyveri eller uberettiget tilegnelse eller anden uautoriseret brug.

4)

Muligheden for stiltiende accept af ændringer i betingelser i rammeaftalen, som er tilladt i henhold til artikel 52, nr. 6), litra a), i direktiv 2015/2366, hvis det er aftalt mellem betalingstjenestebrugeren og betalingstjenesteudbyderen, bør underkastes en indskrænkende fortolkning og kan ikke anvendes på ændringer af væsentlige elementer i denne rammeaftale, f.eks. ændringer i form af, at et betalingskort forsynes med NFC-funktionen.«


( 1 ) – Originalsprog: spansk.

( 2 ) – Europa-Parlamentets og Rådets direktiv af 13.11.2007 om betalingstjenester i det indre marked og om ændring af direktiv 97/7/EF, 2002/65/EF, 2005/60/EF og 2006/48/EF og om ophævelse af direktiv 97/5/EF (EUT 2007, L 319, s. 1).

( 3 ) – Europa-Parlamentets og Rådets direktiv af 25.11.2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT 2015, L 337, s. 35). Direktiv 2007/64 blev ophævet med virkning fra den 13.1.2018.

( 4 ) – Inkorporeringen af NFC-teknologien i kontaktløse kort gør det muligt at etablere en trådløs forbindelse mellem kortet og en kompatibel terminal ved at bringe kortet tæt på terminalen, uden at der kræves andre operationer. NFC er en trådløs kommunikationsteknologi med kort rækkevidde og høj frekvens, som sikrer en næsten øjeblikkelig transmission af data mellem anordninger. Den anvendes til forskellige formål, heriblandt kredit- og debetkort og i stigende grad i mobiltelefoner. NFC-standarderne omfatter kommunikationsprotokoller og dataudvekslingsformater, der primært bygger på ISO 14443-standarden, som forvaltes af Den Internationale Standardiseringsorganisation (ISO) og Den Internationale Elektrotekniske Kommission (IEC) i fællesskab.

( 5 ) – Lov om betalingstjenester af 2018 (herefter »ZaDiG«), som gennemførte direktiv 2015/2366 i østrigsk ret.

( 6 ) – Den forelæggende ret har efterfølgende berigtiget dette spørgsmål, således at det henviser til litra a), og ikke til litra b), i artikel 63, stk. 1, i direktiv 2015/2366.

( 7 ) – Kommissionen fremhævede i retsmødet, at direktiv 2015/2366 har lagt større vægt på beskyttelse af forbrugere af betalingstjenester end direktiv 2007/64.

( 8 ) – Det følger af fast retspraksis, at Domstolen kun undtagelsesvis under anvendelse af et almindeligt retssikkerhedsprincip i Unionens retsorden vil finde anledning til at begrænse borgernes mulighed for at påberåbe sig den således fortolkede bestemmelse med henblik på at anfægte retsforhold, der tidligere er stiftet i god tro. For at der kan træffes bestemmelse om en sådan begrænsning, skal to hovedbetingelser være opfyldt, nemlig at de berørte parter skal være i god tro, og at der skal være fare for alvorlige forstyrrelser; jf. navnlig dom af 27.2.2014, Transportes Jordi Besora (C-82/12, EU:C:2014:108, præmis 41), af 19.4.2018, Oftalma Hospital (C-65/17, EU:C:2018:263, præmis 57), og af 3.10.2019, Schuch-Ghannadan (C-274/18, EU:C:2019:828, præmis 60-62).

( 9 ) – Dom af 9.4.2014 (C-616/11, EU:C:2014:242; herefter »T-Mobile Austria-dommen«, præmis 33 og 34).

( 10 ) – Ibidem, præmis 35.

( 11 ) – Domstolen bemærkede, at »adjektivet »personaliseret« beskriver syntagmet »enhver form for […] instrument« i alle sprogversionerne. I den franske version (»tout dispositif personnalisé et/ou ensemble de procédures«), der stemmer overens med bl.a. den spanske, den italienske, den ungarske, den portugisiske og den rumænske version, beskriver adjektivet (»personnalisé«) (»personaliseret«) imidlertid ikke syntagmet »ensemble de procédures« (»sæt af procedurer«). Modsat i den tyske version (»jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf«), hvor adjektivet »personaliseret« beskriver syntagmet »sæt af procedurer«. Den engelske version (»any personalised device(s) and/or set of procedures«), som bl.a. stemmer overens med den danske, den græske, den hollandske, den finske og den svenske udgave, kan fortolkes på begge måder« (T-Mobile Austria-dommen, præmis 31, samt generaladvokat Wathelets forslag til afgørelse af 19.4.2014 i samme sag, EU:C:2013:691, punkt 36).

( 12 ) – Det er muligt, at diskussionen i retslitteraturen i Østrig om dette spørgsmål i høj grad skyldes ordlyden af den tyske version af artikel 4, nr. 23), i direktiv 2007/64 (»jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf«).

( 13 ) – T-Mobile Austria-dommen, præmis 35, in fine: »[…] begrebet betalingsinstrument, som defineret i samme direktivs artikel 4, nr. 23), kan omfatte et ikke-personaliseret sæt af procedurer, der er aftalt mellem brugeren og udbyderen af betalingstjenester, og som brugeren bruger for at initiere en betalingsordre«.

( 14 ) – Europa-Parlamentets og Rådets forordning af 29.4.2015 om interbankgebyrer for kortbaserede betalingstransaktioner (EUT 2015, L 123, s. 1).

( 15 ) – Vedrørende anvendelsen af kontaktløse betalingsinstrumenter henviser jeg til Den Europæiske Centralbanks analyser: Card payments in Europe — current landscape and future prospects: a Eurosystem perspective, 2019 (tilgængelig via https://www.ecb.europa.eu/pub/pubbydate/2019/html/ecb.cardpaymentsineu_currentlandscapeandfutureprospects201904~30d4de2fc4.en.html#toc1) og analysen fra European Cards Stakeholders Group, Feasibility Study on the development of open specifications for a card and mobile contactless payment application, 2017 (https://www.ecb.europa.eu/paym/groups/erpb/shared/pdf/7th-ERPB-meeting/Annex_to_Stat_past_ERPB_Recommendations_ECSG_Interim_Report_contatless_feasibility_study_and_progress_indicators.pdf?115946678f056d5ccc9eba5f72cb4a88).

( 16 ) – I retsmødet formåede DenizBank ikke fuldstændig at afvise dette anbringende fra VKI. DenizBank bekræftede, at den bruger, der modtager kortet med posten (banken anførte, at dette var den sædvanlige leveringsordning), i nogle tilfælde muligvis ikke er bevidst om, at kortets NFC-funktion er aktiveret.

( 17 ) – Domstolen har anvendt formålskriteriet ved fortolkningen af andre begreber i direktiv 2007/64, forgængeren til direktiv 2015/2366. Jf. dom af 25.1.2017, BAWAG (C-375/15, EU:C:2017:38, præmis 40-45), med hensyn til begrebet »varigt medium« som omhandlet i artikel 4, nr. 25), i direktiv 2007/64, af 22.3.2018, Rasool (C-568/16, EU:C:2018:211, præmis 30-39), med hensyn til begrebet »betalingstjeneste« som omhandlet i artikel 4, nr. 3), og af 4.10,2018, ING-DiBa Direktbank Austria (C-191/17, EU:C:2018:809), med hensyn til begrebet »betalingskonto« som omhandlet i artikel 4, nr. 14).

( 18 ) – Kommissionens delegerede forordning af 27.11.2017 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 for så vidt angår reguleringsmæssige tekniske standarder for stærk kundeautentifikation og fælles og sikre åbne standarder for kommunikation (EUT 2018, L 69, s. 23).

( 19 ) – 11. betragtning til delegeret forordning 2018/389.

( 20 ) – Ifølge artikel 4, nr. 30), i direktiv 2015/2366 er »stærk kundeautentifikation«»en autentifikation baseret på anvendelse af to eller flere elementer, der kategoriseres som viden (noget, som kun brugeren ved), besiddelse (noget, som kun brugeren besidder) og iboende egenskab (noget, som brugeren er), og som er uafhængige, idet brud på et af dem ikke svækker de andres pålidelighed, og som desuden er udformet på en måde, der beskytter fortroligheden af autentifikationsdataene«. Denne stærke autentifikation, som fastsættes for at opnå elektroniske betalingstjenester, der er sikrere for forbrugerne og i højere grad respekterer deres personoplysninger, omsættes i sidste ende til anvendelsen af mindst to af disse sikkerhedsfeatures: Noget, som kun brugeren ved, f.eks. en adgangskode eller en numerisk kode; noget, der tilhører brugeren, f.eks. brugerens mobiltelefon; noget, som er iboende i brugeren: f.eks. brugerens stemme eller fingeraftryk.

( 21 ) – Ottende betragtning til delegeret forordning 2018/389.

( 22 ) – Undtagelserne fra princippet om stærk kundeautentifikation fastsættes i delegeret forordning 2018/389 ved gennemførelsen af artikel 97 i direktiv 2015/2366 på grundlag af risikoniveauet, beløbet, den tilbagevendende karakter og den betalingskanal, der anvendes til at gennemføre betalingstransaktionen.

( 23 ) – Artikel 10-18 i delegeret forordning 2018/389 omfatter andre undtagelser fra den stærke autentifikation i form af betalingskontooplysninger, ubemandede terminaler til betaling af befordringsbilletter og parkeringsgebyrer, troværdige begunstigede, tilbagevendende transaktioner, kreditoverførsler mellem den samme fysiske eller juridiske persons konti, mindre transaktioner og sikre erhvervsrelaterede betalingsprocesser og -protokoller.

( 24 ) –

( 25 ) – Et betalingskort kan også indeholde to forskellige funktioner, når det kan anvendes som et kreditkort og som et debetkort, således at det samme bankkort indeholder to personaliserede betalingsinstrumenter.

( 26 ) – Brugerens pligt til at underrette betalingstjenesteudbyderen om tyveri eller uberettiget tilegnelse eller anden uautoriseret brug af betalingsinstrumentet.

( 27 ) – Betalingstjenesteudbyderens pligt til at sikre, at brugeren har mulighed for at anmode om ophævelse af spærringen af betalingsinstrumentet.

( 28 ) – Betaleren bærer ikke det økonomiske ansvar, efter at der er sket underretning om tyveri eller uberettiget tilegnelse af betalingsinstrumentet.

( 29 ) – Betalingstjenesteudbyderens pligt til at bevise autentifikation og gennemførelse af betalingstransaktioner.

( 30 ) – Betalingstjenesteudbyderes ansvar for uautoriserede betalingstransaktioner.

( 31 ) – Betalerens ansvar på op til 50 EUR for tab, der skyldes uautoriserede betalingstransaktioner i forbindelse med brug af et tabt eller stjålet betalingsinstrument eller uberettiget tilegnelse af et betalingsinstrument, undtagen når betaleren handler svigagtigt eller undlader at opfylde forpligtelserne vedrørende korrekt brug af instrumentet og beskyttelse af sikkerhedsoplysningerne (stk. 1), og den omstændighed, at betaleren ikke bærer det økonomiske ansvar, efter at der er sket underretning om tyveri eller uberettiget tilegnelse af betalingsinstrumentet (stk. 3).

( 32 ) –

( 33 ) – Dette anerkendte DenizBank i retsmødet, da banken besvarede VKI’s anbringender. Sidstnævnte havde anført, at »næsten alle østrigske banker, med undtagelse af sagsøgte, foreskriver i deres almindelige forretningsbetingelser, at kortets NFC-funktion efter en underretning om spærring skal spærres og bliver spærret« (VKI’s skriftlige indlæg, punkt 5).

( 34 ) – T-Mobile Austria-dommen, præmis 34.

( 35 ) – Punkt 36-51 i dette forslag til afgørelse.

( 36 ) – Jf. 15., 21. og 96. betragtning til direktiv 2015/2366. Dom af 21.3.2019, Tecnoservice Int. (C-245/18, EU:C:2019:242, præmis 28), støttede sig på målene om automatisk behandling og hurtige betalinger i 40. og 43. betragtning til direktiv 2007/64 og fortolkede dette direktivs artikel 74, stk. 2, således, at den »begrænser såvel ansvaret for betalerens udbyder af betalingstjenester som ansvaret for modtagerens udbyder af betalingstjenester, hvilket således fritager disse tjenesteydere for pligten til at kontrollere, om den af betalingstjenestebrugeren angivne entydige identifikationskode også svarer til den person, der er benævnt som betalingsmodtager«.

( 37 ) – I dette tilfælde har betalingstjenestebrugeren ret til at opsige rammeaftalen vederlagsfrit og med virkning på et hvilket som helst tidspunkt indtil den dato, hvor ændringen ville have fundet anvendelse.

( 38 ) – I faglitteraturen hersker der en vis tvivl om den egentlige værdi af at formidle disse oplysninger, når det drejer sig om den finansielle sektor. Der er nogle, der har foreslået forhåndsregulering af aftalebetingelser som en ideel løsning frem for en udvidelse af de forudgående oplysninger. Se f.eks. J. Alfaro: »Formidling af oplysninger til de mindst avancerede forbrugere – som har det laveste uddannelsesniveau – gavner dem ikke, fordi deres vanskeligheder ved at sætte sig ind i, bearbejde og præcist begribe konsekvenserne af de oplysninger, som de formidles, er store; så store, at det ikke er rationelt for dem at investere tid og kræfter i at forsøge at forstå dem, selv hvis bankerne frivilligt formidler oplysningerne, og dermed omsættes oplysningerne ikke til »bedre valg« for disse mindre avancerede forbrugere«.(Bloggen https://derechomercantilespana.blogspot.com (indlæg af 25.11.2018, No todos los prestatarios son iguales: lecciones para el legislador (Ikke alle långivere er lige: erfaringer til lovgiver)).

( 39 ) –

( 40 ) – Det samme gjorde sig gældende for direktiv 2007/64, hvilket blev fremhævet i dom af 25.1.2017, BAWAG (C-375/15, EU:C:2017:38, præmis 45).

( 41 ) – Oplysningerne omhandler bl.a. brug af betalingstjenesten, gebyrer, renter og vekselkurser, kommunikation mellem parterne, beskyttelsesforanstaltninger og korrigerende foranstaltninger, klage og erstatning samt ændringer i og opsigelse af rammeaftalen.

( 42 ) – I dette vilkår præciseres betingelserne for meddelelse af forslaget i papirform eller på et andet varigt medium, meddelelsesfristen i forhold til ikrafttrædelsesdatoen, fristen for at give stiltiende samtykke og brugerens mulighed for at gøre indsigelse mod ændringen og opsige rammeaftalen.

( 43 ) – I forelæggelsesafgørelsen (s. 12) nævner den forelæggende ret sin praksis, som fremgår af flere domme (1Ob 210/12g, 2Ob 131/12x, 8Ob 58/14h, 9Ob 26/15m, 10Ob 60/17x) om grænserne for stiltiende accept af aftalebetingelser. I retsmødet henviste VKI desuden til Bundesgerichtshofs (forbundsdomstol, Tyskland) dom af 11.10.2007 (III ZR 63/07), som Oberster Gerichtshof (øverste domstol) havde henvist til i præmis 2.20 i sin dom af 11.4.2013 (ECLI:OGH002:2013:0010OB00210 12G.0411 000), idet sidstnævnte domstol bekræftede, at »samtykkeformodningen« (stiltiende accept) ikke kan understøtte væsentlige aftaleændringer.

( 44 ) – I henhold til artikel 4, nr. 21), i direktiv 2015/2366 forstås der ved »rammeaftale«»en aftale om betalingstjenester, der regulerer den fremtidige gennemførelse af særskilte og successive betalingstransaktioner, og som kan indeholde forpligtelser og betingelser for oprettelse af en betalingskonto«.

Top