Seit dem 24. Mai ist es in ganz Deutschland zu Störungen bei der Zahlung mit EC- und Kreditkarten mit dem Kartenterminal H5000 gekommen. Verkauft wurden die Geräte vom US-Hersteller Verifone, betrieben werden die Terminals in Deutschland von verschiedenen Zahlungsdienstleistern, darunter die Payone GmbH und die Concardis GmbH.

Von der Störung betroffen waren unter anderem Supermärkte von Aldi Nord und Edeka sowie Filialen von DM und Rossmann sowie auch einige Tankstellen. Mittlerweile funktionieren die meisten EC-Kartenlesegeräte wieder oder wurden ausgetauscht. Aber was hat die bundesweite Störung der Bezahlterminals ausgelöst?

Wie kam es dazu?

Vermehrt wurde die Vermutung geäußert, es handele sich um einen Hackerangriff. Dies wies der Hersteller Verifone entschieden zurück. Das Problem hänge nicht mit dem Ablauf eines Zertifikats oder einer Sicherheitslücke zusammen. Schuld sei eine Software-Fehlfunktion in der H5000-Software.

Wie kann man das lösen?

Der Hersteller Verifone hat zur Behebung des Problems ein Update entwickelt. Vielen ist diese Lösung allerdings zu umständlich, da der Programmierfehler nur mit einer Softwareanpassung vor Ort behoben werden kann. Für jedes defekte Gerät muss ein Techniker kommen und das Update einzeln auf die Kartenterminals überspielen. Concardis, einer der Zahlungsdienstleister die das Gerät bei den Geschäftsinhabern einsetzen, verspricht, die nicht mehr funktionsfähigen Verifone H5000-Bezahlterminals schnellstmöglich auszutauschen und Alternativgeräte zur Verfügung zu stellen. Dies könne allerdings eine gewisse Zeit in Anspruch nehmen. Sowohl die Behebung des Fehlers, als auch der Austausch der defekten Geräte kann also längere Zeit dauern. Dies führt bei den betroffenen Händlern zu erheblichen Einnahmeausfällen. Es stellt sich also die Frage, ob die betroffenen Einzelhändler einen Anspruch auf Entschädigung für die hohen Umsatz- und Ertragsausfälle haben.

Anspruch auf Schadensersatz? Wer ist verantwortlich?

Der Schaden ist signifikant. Noch ist unklar, ob Händler Schadensersatz für Einnahmeausfälle bei den Herstellern oder auch bei den Zahlungsdienstleitern geltend machen können. Dies dürfte gerichtlich geklärt werden müssen. Im Folgenden werden wir etwaige Schadensersatzansprüche prüfen.

Verifone ist ein US-amerikanischer Anbieter von Hardware-Produkten für die Abwicklung von Zahlungen. Zu seinen Produkten zählen insbesondere POS-Terminals („point of sale“) für den Einzelhandel, also Online-Terminals zum bargeldlosen Bezahlen an einem Verkaufsort. Einzelhändler wie Edeka kaufen die Terminals nicht selber, sondern schließen einen Vertrag mit sogenannten Zahlungsdienstleister ab. Ein Zahlungsdienstleister erleichtert Händlern die Annahme von Zahlungen und tritt als dritte Partei auf. Sie verkaufen oder vermieten Zahlungsterminals, die sie von Herstellern wie Verifone erwerben, an Einzelhändler, die diese in ihren Geschäften zur Kartenzahlung verwenden. Ein Zahlungsdienstleister übernimmt dabei die Transaktionen von Geldern. Neben einem Mietvertrag besteht also zwischen den Einzelhändlern und den Zahlungsdienstleistern ein Zahlungsdienstvertrag, der den Großteil des Schuldverhältnisses ausmacht.

Fraglich ist, wem gegenüber die Einzelhändler ihren Anspruch auf Ersatz des entstandenen Schaden geltend machen können.

Anspruch Händler gegen Zahlungsdienstleister

Die Händler könnten gegen ihre Zahlungsdienstleister einen Anspruch auf Ersatz des entgangenen Gewinns haben. Hierzu müssten die Dienstleister eine Pflicht aus einem mit den Händlern geschlossenen Vertrag verletzt haben, wodurch den Händlern ein Schaden entstanden ist.

Schuldverhältnis

Die Zahlungsdienstleister stellen den Einzelhändlern das Bezahlterminal zur Verfügung und verpflichten sich, die aus der ordnungsgemäßen Verwendung von Zahlungskarten entstehenden Zahlungsvorgänge abzurechnen. Der Zahlungsdienstleister erhält vom Einzelhändler Servicegebühren als Vergütung für die erbrachten Dienstleistungen und muss selber Beträge an die Kartenorganisationen und die Kartenunternehmen zahlen.

Pflichtverletzung

Die Zahlungsdienstleister müssten eine Pflicht aus diesem Vertrag verletzt haben. Vorliegend erbringen die Zahlungsdienstleister Leistungen bei der Abwicklung verschiedener Zahlungsverfahren. Sie sind beauftragt mit der Weiterleitung von Transaktionsdaten bei durch Zahlungskarten ausgelösten Zahlungsvorgängen und mit der Weiterleitung von der Abrechnung solcher Zahlungsvorgänge. Seit dem 24. Mai ist es in Deutschland zu Störungen mit den Zahlungsterminals der Serie H5000 gekommen. Daten wurden nicht weitergeleitet und Zahlungsvorgänge konnten nicht abgeschlossen werden. Die mit dem Dienstvertrag versprochenen Dienste konnten nicht geleistet werden. Die Zahlungsdienstleister, die das Gerät H5000 verwenden, haben folglich ihre Hauptpflicht aus dem Vertrag verletzt.

Vertretenmüssen

Fraglich ist, ob die Zahlungsdienstleister diese Pflichtverletzung auch zu vertreten haben. Gemäß § 280 I 2 BGB wird das Vertretenmüssen vermutet. Problematisch ist allerdings, dass die Störung auf einem Systemfehler des von Verifone hergestellten Gerätes basiert und nicht etwa auf einer Fehlfunktion der jeweiligen Zahlungsdienstleister. Interessant ist, dass Geräte der Serie H5000 seit Ende 2019 gar nicht mehr vertrieben werden. Seit April 2021 sollte es dem Hersteller Verifone zufolge auch keine Software-Updates mehr geben. Nur große Zahlungsdienstleister haben wohl noch Geräte, die mit einer Sonderregelung bis 2023 betrieben werden sollen. Im Dezember 2021 veröffentlichte Verifone dann dennoch ein Update mit dem Hinweis, dass den Entwicklern ein drohendes Problem aufgefallen sein könnte. Dieses Update wurde allerdings nur von wenigen Einzelhändlern installiert. Diejenigen Händler, die das Update einspielten, haben offenbar keine Probleme. Bei allen anderen sind die Geräte ausgefallen. Dies deutet auf ein Verschulden der Händler hin, die das Update gerade nicht nutzten.

Wenn man davon ausgeht, dass es mit Einspielung dieses Updates nicht zu einer so weitläufigen Störung gekommen wäre, ist fraglich, wer für die kaputten Geräte verantwortlich ist.

In vergangenen Äußerungen, betonte der Zahlungsdienstleister Concardis, dass der Fehler einzig beim Hersteller Verifone liege. Dies ist allerdings fraglich. Hauptpflicht des Dienstvertrages ist es die Leistung wie bestellt zu erbringen. Die Zahlungsdienstleister hätten als Nutzer der Verifone-Terminals wissen müssen, dass diese Geräte seit 2019 nicht mehr vertrieben werden. Dennoch haben sie diese weiter den Einzelhändlern angeboten. Sofern nachgewiesen werden kann, dass sie sich nicht ausreichend darum gekümmert haben, dass das von Verifone entwickelte Update eingespielt wurde, spräche dies für ein Vertretenmüssen in Form von Fahrlässigkeit gem. § 276 II BGB und damit für eine Haftung.

Schaden

Den Einzelhändlern ist auch ein signifikanter Schaden entstanden. Tagelang funktionierten die Kartengeräte nicht und Kunden konnten ihren Einkauf nur bar zahlen. So ist es bei den Händlern zu hohen Einnahmeausfällen gekommen. Dieser Schaden bemisst sich nach §§ 249 ff. BGB. Gemäß 249 II 1 BGB sind die Händler so zu stellen wie sie ohne das schädigende Ereignis stünden. Den Händlern muss also der entgangene Gewinn ersetzt werden. Dies wird im Einzelfall schwer nachzuweisen sein. Allerdings können Einzelhändler Ihre Umsätze aus anderen Zeiträumen zum Vergleich heranziehen. Je größer die Datenmenge, desto besser die Ausgangslage. Lässt sich anhand dessen ein signifikanter Umsatzrückgang ausschließlich in diesem Zeitraum darstellen, könnte dies einen Ansatzpunkt zum Nachweis eines ersatzfähigen Schadens darstellen.

Die in Anspruch genommenen Zahlungsdienstleister müssten sich ihrerseits durch in Regressname des Herstellers der Geräte, also Verifone, schadlos stellen, sofern sie nachweisen können, dass Verifone nicht das Erforderliche unternommen hat, um die Funktionsfähigkeit der Geräte zu Gewährleisten und dies vom Pflichtenprogramm von Verifone umfasst war. Interessant ist, dass der Gesetzgeber im Rahmen der Umsetzung der Digitale Inhalte Richtiglinie Pflichten für Unternehmer in das Bürgerliche Gesetzbuch aufgenommen hat, funktionserhaltende Updates und Sicherheitsupdates, die für den Erhalt der Vertragsmäßigkeit erforderlich sind, kostenfrei bereitzustellen und den Verbraucher darüber zu informieren.