Language of document : ECLI:EU:C:2020:897

DOMSTOLENS DOM (Første Afdeling)

11. november 2020 (*)

»Præjudiciel forelæggelse – forbrugerbeskyttelse – direktiv (EU) 2015/2366 – betalingstjenester i det indre marked – artikel 4, nr. 14) – begrebet »betalingsinstrument« – personaliserede, multifunktionelle bankkort – nærfeltskommunikation (NFC-funktion) – artikel 52, nr. 6), litra a), og artikel 54, stk. 1 – oplysninger, der skal meddeles brugeren – ændring af betingelser i en rammeaftale – stiltiende godkendelse – artikel 63, stk. 1, litra a) og b) – rettigheder og forpligtelser i forbindelse med betalingstjenester – undtagelse for betalingsinstrumenter med lav værdi – betingelser for anvendelse – betalingsinstrument, som ikke kan spærres – betalingsinstrument, som er anvendt anonymt – tidsmæssig begrænsning af dommes retsvirkning«

I sag C-287/19,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Oberster Gerichtshof (øverste domstol, Østrig) ved afgørelse af 25. januar 2019, indgået til Domstolen den 5. april 2019, i sagen

DenizBank AG

mod

Verein für Konsumenteninformation,

har

DOMSTOLEN (Første Afdeling),

sammensat af afdelingsformanden, J.-C. Bonichot, og dommerne L. Bay Larsen, C. Toader, M. Safjan og N. Jääskinen (refererende dommer),

generaladvokat: M. Campos Sánchez-Bordona,

justitssekretær: fuldmægtig M. Krausenböck,

på grundlag af den skriftlige forhandling og efter retsmødet den 13. februar 2020,

efter at der er afgivet indlæg af:

–        DenizBank AG ved Rechtsanwälte G. Ganzger og A. Egger,

–        Verein für Konsumenteninformation ved Rechtsanwalt S. Langer,

–        den tjekkiske regering ved M. Smolek, J. Vláčil og S. Šindelková, som befuldmægtigede,

–        den portugisiske regering ved L. Inez Fernandes, P. Barros da Costa, S. Jaulino og G. Fonseca, som befuldmægtigede,

–        Europa-Kommissionen ved G. Braun, T. Scharf og H. Tserepa-Lacombe, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 30. april 2020,

afsagt følgende

Dom

1        Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 4, nr. 14), artikel 52, nr. 6, litra a), sammenholdt med artikel 54, stk. 1, og artikel 63, stk. 1, litra a) og b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT 2015, L 337, s. 35, berigtiget i EUT 2018, L 102, s. 97).

2        Anmodningen er indgivet i forbindelse med en tvist mellem DenizBank AG, der er et østrigsk selskab, og Verein für Konsumenteninformation (organisation for forbrugeroplysning, Østrig, herefter »VKI«) vedrørende gyldigheden af aftalevilkår om brug af personaliserede, multifunktionelle bankkort, som bl.a. er udstyret med funktionen nærfeltskommunikation (Near Field Communication) (herefter »NFC-funktionen«), der er almindelig kendt som funktionen »kontaktløs betaling«.

 Retsforskrifter

 Direktiv 93/13/EØF

3        Artikel 2 i Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT 1993, L 95, s. 29) bestemmer følgende:

»I dette direktiv forstås ved

a)      »urimelige kontraktvilkår«: kontraktvilkår som defineret i artikel 3

b)      »forbruger«: en fysisk person, der i forbindelse med de af dette direktiv omfattede aftaler ikke handler som led i sit erhverv

c)      »erhvervsdrivende«: en fysisk eller juridisk person, der i forbindelse med de af dette direktiv omfattede aftaler handler som led i sit erhverv, hvad enten det er offentligt eller privat.«

4        Direktivets artikel 3 bestemmer:

»1.      Et kontraktvilkår, der ikke har været genstand for individuel forhandling, anses for urimeligt, hvis det til trods for kravene om god tro bevirker en betydelig skævhed i parternes rettigheder og forpligtelser ifølge aftalen til skade for forbrugeren.

[…]

3.      Bilaget indeholder en vejledende og ikke-udtømmende liste over de kontraktvilkår, der kan betegnes som urimelige.«

5        Direktivets artikel 6, stk. 1, har følgende ordlyd:

»Medlemsstaterne fastsætter, at urimelige kontraktvilkår i en aftale, som en erhvervsdrivende har indgået med en forbruger, i henhold til deres nationale lovgivning ikke binder forbrugeren, og at aftalen forbliver bindende for parterne på i øvrigt samme vilkår, hvis den kan opretholdes uden de urimelige kontraktvilkår.«

6        Samme direktivs artikel 8 bestemmer, at medlemsstaterne inden for det område, der omfattes af direktivet, »kan vedtage eller bevare strengere bestemmelser, der er forenelige med traktaten, for at sikre en mere omfattende beskyttelse af forbrugerne«.

7        I punkt 1, litra j), i bilaget til direktiv 93/13, som indeholder en vejledende og ikke-udtømmende liste over »[k]ontraktvilkår som omhandlet i artikel 3, stk. 3« i direktivet, er nævnt »[k]ontraktvilkår, hvis formål eller virkning er at tillade den erhvervsdrivende ensidigt at ændre kontraktvilkårene uden gyldig og i aftalen anført grund«. I bilagets punkt 2 fastsættes rækkevidden af litra j).

 Direktiv (EU) 2015/2366

8        Direktiv (EU) 2015/2366 ophævede Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13. november 2007 om betalingstjenester i det indre marked og om ændring af direktiv 97/7/EF, 2002/65/EF, 2005/60/EF og 2006/48/EF og om ophævelse af direktiv 97/5/EF (EUT 2007, L 319, s. 1) med virkning fra den 13. januar 2018.

9        6., 53.-55., 63., 81., 91. og 96. betragtning til direktiv 2015/2366 har følgende ordlyd:

»6)      […] Der bør garanteres lige forretningsvilkår for […] markedsaktører, så det bliver nemmere for nye betalingsmidler at nå ud til et større marked, og så der sikres en høj grad af forbrugerbeskyttelse i forbindelse med betalingstjenester i hele Unionen. Dette bør skabe effektivitet i betalingssystemet som helhed og føre til større udvalg af og mere gennemsigtighed i betalingstjenester og samtidig styrke forbrugernes tillid til et harmoniseret betalingsmarked.

[…]

53)      Da forbrugere og virksomheder ikke er i samme situation, har de ikke behov for det samme beskyttelsesniveau. Mens det er vigtigt at sikre forbrugerrettigheder ved bestemmelser, der ikke kan fraviges ved aftale, er det rimeligt at give virksomheder og organisationer mulighed for at indgå andre aftaler, når de ikke har at gøre med forbrugere. […]

54)      Ved dette direktiv bør det præciseres, hvilke forpligtelser der gælder for betalingstjenesteudbydere hvad angår oplysninger til betalingstjenestebrugere, der bør modtage samme høje niveau af klare oplysninger om betalingstjenester for at kunne foretage velinformerede valg og kunne vælge frit i hele Unionen. […]

55)      Forbrugerne bør beskyttes mod urimelig eller vildledende praksis i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2005/29/EF [af 11. maj 2005 om virksomheders urimelige handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (EUT 2005, L 149, s. 22)] samt Europa-Parlamentets og Rådets direktiv 2000/31/EF [af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (EFT 2000, L 178, s. 1)], 2002/65/EF [af 23. september 2002 om fjernsalg af finansielle tjenesteydelser til forbrugerne og om ændring af Rådets direktiv 90/619/EØF samt direktiv 97/7/EF og 98/27/EF (EFT 2002, L 271, s. 16)], 2008/48/EF [af 23. april 2008 om forbrugerkreditaftaler og om ophævelse af Rådets direktiv 87/102/EØF (EUT 2008, L 133, s. 66)], 2011/83/EU [af 25. oktober 2011 om forbrugerrettigheder, om ændring af Rådets direktiv 93/13/EØF og Europa-Parlamentets og Rådets direktiv 1999/44/EF samt om ophævelse af Rådets direktiv 85/577/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF (EUT 2011, L 304, s. 64)] og 2014/92/EU [af 23. juli 2014 om sammenlignelighed af gebyrer i forbindelse med betalingskonti, flytning af betalingskonti og adgang til betalingskonti med basale funktioner (EUT 2014, L 257, s. 214)]. Bestemmelserne i disse direktiver finder fortsat anvendelse. Navnlig forbindelsen mellem oplysningskravene forud for en aftale i nærværende direktiv og direktiv 2002/65/EF bør dog præciseres.

[…]

63)      For at sikre en høj grad af forbrugerbeskyttelse bør medlemsstaterne i forbrugernes interesse kunne opretholde eller indføre begrænsninger af eller forbud mod ensidigt at foretage ændringer i betingelserne i en rammeaftale, f.eks. hvis der ikke er en berettiget årsag til ændringer.

[…]

81)      Betalingsinstrumenter med lav værdi bør være et billigt og brugervenligt alternativ i forbindelse med billige varer og tjenester og bør ikke behæftes med en række urimelige krav. […] Trods den lempede ordning bør betalingstjenestebrugerne have tilstrækkelig beskyttelse under henvisning til de begrænsede risici, der er forbundet med disse betalingsinstrumenter, navnlig for så vidt angår forudbetalte betalingsinstrumenter.

[…]

91)      Betalingstjenesteudbydere er ansvarlige for sikkerhedsforanstaltninger. Disse foranstaltninger bør være forholdsmæssigt afpassede efter de pågældende sikkerhedsrisici. Betalingstjenesteudbydere bør fastlægge rammer for at begrænse risici og opretholde effektive procedurer til håndtering af hændelser. […] Endvidere er det for at sikre, at skadevirkninger for brugere […] holdes på et minimum, nødvendigt at forpligte betalingstjenesteudbydere til uden unødig forsinkelse at underrette de kompetente myndigheder om større sikkerhedshændelser. […]

[…]

96)      Sikkerhedsforanstaltningerne bør være forenelige med det risikoniveau, der er forbundet med betalingstjenesten. For at gøre det muligt at udvikle brugervenlige og tilgængelige betalingsmidler for betalinger med lav risiko, såsom kontaktløse betalinger med lav værdi på salgsstedet, uanset om de er baseret på en mobiltelefon eller ej, bør undtagelserne for anvendelse af sikkerhedskrav derfor præciseres i de reguleringsmæssige tekniske standarder. […]«

10      Direktivets artikel 4 med overskriften »Definitioner« har følgende ordlyd:

»I dette direktiv forstås ved:

[…]

8)      »betaler«: en fysisk eller juridisk person, der er indehaver af en betalingskonto og tillader en betalingsordre fra denne betalingskonto, eller, hvis der ikke er nogen betalingskonto, en fysisk eller juridisk person, der udsteder en betalingsordre

9)      »betalingsmodtager« en fysisk eller juridisk person, som er den tiltænkte modtager af de midler, der indgår i en betalingstransaktion

10)      »betalingstjenestebruger«: en fysisk eller juridisk person, som bruger en betalingstjeneste som betaler eller betalingsmodtager eller begge dele

[…]

14)      »betalingsinstrument«: en personaliseret anordning eller personaliserede anordninger og/eller sæt af procedurer, der er aftalt mellem betalingstjenestebrugeren og betalingstjenesteudbyderen, og som bruges for at initiere en betalingsordre

[…]

20)      »forbruger«: en fysisk person, der i forbindelse med betalingstjenesteaftaler, som er omfattet af dette direktiv, optræder med et formål, der ligger uden for den pågældendes erhvervsmæssige virksomhed

21)      »rammeaftale«: en aftale om betalingstjenester, der regulerer den fremtidige gennemførelse af særskilte og successive betalingstransaktioner, og som kan indeholde forpligtelser og betingelser for oprettelse af en betalingskonto

[…]

29)      »autentifikation«: en procedure, der giver betalingstjenesteudbyderen mulighed for at verificere identiteten af en betalingstjenestebruger eller validiteten af brugen af et specifikt betalingsinstrument, herunder brugen af brugerens personaliserede sikkerhedsoplysninger

30)      »stærk kundeautentifikation«: en autentifikation baseret på anvendelse af to eller flere elementer, der kategoriseres som viden (noget, som kun brugeren ved), besiddelse (noget, som kun brugeren besidder) og iboende egenskab (noget, som brugeren er), og som er uafhængige, idet brud på et af dem ikke svækker de andres pålidelighed, og som desuden er udformet på en måde, der beskytter fortroligheden af autentifikationsdataene

31)      »personaliserede sikkerhedsoplysninger«: personaliserede elementer, som betalingstjenesteudbyderen stiller til rådighed for en betalingstjenestebruger med henblik på autentifikation

[…]«

11      Afsnit III i direktiv 2015/2366 med overskriften »Åbenhed om betingelserne for og oplysningskravene vedrørende betalingstjenester« omfatter et kapital 1 om »Almindelige bestemmelser«, der omfatter direktivets artikel 38-42.

12      Nævnte direktivs artikel 38 med overskriften »Anvendelsesområde« fastsætter i stk. 1:

»Dette afsnit finder anvendelse på enkeltstående betalingstransaktioner, rammeaftaler og betalingstransaktioner, som er omfattet af disse. Parterne kan aftale, at dette afsnit ikke finder anvendelse helt eller delvis, når betalingstjenestebrugeren ikke er en forbruger.«

13      Artikel 42 i samme direktiv med overskriften »Undtagelse fra oplysningskravene i forbindelse med betalingsinstrumenter for små betalinger og elektroniske penge« bestemmer:

»1.      Når der er tale om betalingsinstrumenter, der i henhold til den relevante rammeaftale udelukkende vedrører særskilte betalingstransaktioner på højst 30 EUR, eller som enten har en beløbsgrænse på 150 EUR eller på intet tidspunkt lagrer midler på mere end 150 EUR:

a)      skal betalingstjenesteudbyderen uanset artikel 51, 52 og 56 kun give betaleren oplysning om de vigtigste karakteristika ved betalingstjenesten, herunder den måde, hvorpå betalingsinstrumentet kan anvendes, ansvar, de opkrævede gebyrer samt andre væsentlige oplysninger, der er nødvendige for at træffe en informeret beslutning, og en angivelse af, hvor andre oplysninger og betingelser, der er anført i artikel 52, stilles til rådighed på en let tilgængelig måde

b)      kan det aftales, at betalingstjenesteudbyderen uanset artikel 54 ikke har pligt til at foreslå ændringer af betingelserne i rammeaftalen på samme måde som fastsat i artikel 51, stk. 1

[…]«

14      Afsnit III i direktiv 2015/2366 indeholder et kapital 3 om »rammeaftaler«, der omfatter direktivets artikel 50-58.

15      Direktivets artikel 51 med overskriften »Generelle forudgående oplysninger« bestemmer i stk. 1:

»Medlemsstaterne kræver, at betalingstjenesteudbyderen, i god tid inden betalingstjenestebrugeren bliver bundet af en rammeaftale eller et tilbud, på papir eller et andet varigt medium meddeler denne de oplysninger og betingelser, der er anført i artikel 52. Oplysningerne og betingelserne affattes i et letforståeligt sprog og på en tydelig og forståelig måde på et af de officielle sprog i den medlemsstat, hvor betalingstjenesten udbydes, eller på et andet sprog, som parterne fastsætter indbyrdes.«

16      Direktivets artikel 52 med overskriften »Oplysninger og betingelser« fastsætter:

»Medlemsstaterne sikrer, at følgende oplysninger og betingelser meddeles betalingstjenestebrugeren:

[…]

6)      vedrørende ændringer i og opsigelse af rammeaftalen:

a)      hvis det er aftalt, oplysninger om, at betalingstjenestebrugeren anses for at have godkendt de ændrede betingelser i overensstemmelse med artikel 54, medmindre betalingstjenestebrugeren inden den foreslåede ikrafttrædelsesdato meddeler betalingstjenesteudbyderen, at de ikke kan godkendes

[…]«

17      Nævnte direktivs artikel 54 med overskriften »Ændringer i betingelser i rammeaftaler« fastsætter i stk. 1:

»Betalingstjenesteudbyderen skal foreslå eventuelle ændringer i rammeaftalen eller i de oplysninger og betingelser, der er anført i artikel 52, på samme måde som fastsat i artikel 51, stk. 1, og senest to måneder inden den foreslåede anvendelsesdato. Betalingstjenestebrugeren kan enten acceptere eller afvise ændringerne inden den foreslåede ikrafttrædelsesdato.

Hvis det er relevant i overensstemmelse med artikel 52, stk. 6, litra a), skal betalingstjenesteudbyderen meddele betalingstjenestebrugeren, at betalingstjenestebrugeren anses for at have godkendt disse ændringer, hvis denne ikke inden den foreslåede ikrafttrædelsesdato meddeler betalingstjenesteudbyderen, at de ikke kan godkendes. Betalingstjenesteudbyderen skal også meddele betalingstjenestebrugeren, at betalingstjenestebrugeren, såfremt denne afviser disse ændringer, har ret til at opsige rammeaftalen vederlagsfrit og med virkning på et hvilket som helst tidspunkt indtil den dato, hvor ændringen ville have fundet anvendelse.«

18      Afsnit IV i direktiv 2015/2366 med overskriften »Rettigheder og forpligtelser i forbindelse med udbud og brug af betalingstjenester« indeholder et kapital 1 om »Fælles bestemmelser«, der omfatter direktivets artikel 61-63.

19      Direktivets artikel 63 med overskriften »Undtagelse for betalingsinstrumenter med lav værdi og elektroniske penge« bestemmer i stk. 1:

»Hvis der er tale om betalingsinstrumenter, der i henhold til rammeaftalen udelukkende vedrører særskilte betalingstransaktioner på højst 30 EUR, eller som enten har en beløbsgrænse på 150 EUR eller på intet tidspunkt lagrer midler på mere end 150 EUR, kan betalingstjenesteudbyderne aftale med deres betalingstjenestebrugere at:

a)      artikel 69, stk. 1, litra b), artikel 70, stk. 1, litra c) og d), samt artikel 74, stk. 3, ikke finder anvendelse, hvis betalingsinstrumentet ikke kan spærres, eller yderligere anvendelse af betalingsinstrumentet ikke kan forhindres

b)      artikel 72 og 73 og artikel 74, stk. 1 og 3, ikke finder anvendelse, hvis betalingsinstrumentet anvendes anonymt, eller betalingstjenesteudbyderen af andre grunde, som er særlige for det givne betalingsinstrument, ikke er i stand til at bevise, at betalingstransaktionen var autoriseret

[…]«

20      Afsnit IV i direktiv 2015/2366 indeholder endvidere et kapital 2 om »autorisation af betalingstransaktioner«, der omfatter direktivets artikel 64-77.

21      Direktivets artikel 69 med overskriften »Betalingstjenestebrugerens forpligtelser i tilknytning til betalingsinstrumenter og personaliserede sikkerhedsoplysninger« bestemmer i stk. 1:

»En betalingstjenestebruger, der har ret til at anvende et betalingsinstrument:

[…]

b)      underretter snarest muligt betalingstjenesteudbyderen eller den enhed, som denne har udpeget, når vedkommende bliver opmærksom på tab, tyveri eller uberettiget tilegnelse eller anden uautoriseret brug af betalingsinstrumentet.«

22      Det nævnte direktivs artikel 70 med overskriften »Betalingstjenesteudbyderens forpligtelser i tilknytning til betalingsinstrumenter« bestemmer i stk. 1:

»En betalingstjenesteudbyder, der udsteder et betalingsinstrument:

[…]

c)      sikrer, at betalingstjenestebrugeren til enhver tid har mulighed for at foretage den underretning, der er omhandlet i artikel 69, stk. 1, litra b), eller anmode om ophævelse af spærringen af betalingsinstrumentet i henhold til artikel 68, stk. 4; betalingstjenesteudbyderen skal på anmodning sætte betalingstjenestebrugeren i stand til i en periode på 18 måneder, fra underretningen foretages, at bevise, at betalingstjenestebrugeren har foretaget en sådan underretning

d)      giver betalingstjenestebrugeren mulighed for at foretage en underretning i henhold til artikel 69, stk. 1, litra b), uden beregning og, hvis der beregnes gebyr, så kun til dækning af udskiftningsomkostninger i direkte tilknytning til betalingsinstrumentet

[…]«

23      Samme direktivs artikel 72 med overskriften »Bevis for autentifikation og gennemførelse af betalingstransaktioner« bestemmer:

»1.      Hvis en betalingstjenestebruger afviser at have autoriseret en gennemført betalingstransaktion eller hævder, at betalingstransaktionen ikke blev gennemført korrekt, kræver medlemsstaterne, at det er betalingstjenesteudbyderen, der skal bevise, at betalingstransaktionen var autentificeret, korrekt registreret og bogført og ikke var ramt af tekniske svigt eller andre fejl ved den tjeneste, som blev leveret af betalingstjenesteudbyderen.

Hvis betalingstransaktionen er initieret gennem en betalingsinitieringstjenesteudbyder, bærer betalingsinitieringstjenesteudbyderen bevisbyrden for, at betalingstransaktionen inden for dennes kompetenceområde var autentificeret, korrekt registreret og ikke ramt af tekniske svigt eller andre fejl i tilknytning til den betalingstjeneste, som denne udbyder har ansvaret for.

2.      Hvis en betalingstjenestebruger nægter at have autoriseret en gennemført betalingstransaktion, er brug af et betalingsinstrument, der er registreret af betalingstjenesteudbyderen, herunder i givet fald betalingsinitieringstjenesteudbyderen, i sig selv ikke nødvendigvis tilstrækkeligt til at bevise, hverken at betalingstransaktionen var autoriseret af betaleren, eller at betaleren handlede svigagtigt eller med forsæt eller ved grov forsømmelse undlod at opfylde en eller flere af sine forpligtelser i henhold til artikel 69. Betalingstjenesteudbyderen, herunder i givet fald betalingsinitieringstjenesteudbyderen, skal fremlægge bevismateriale for at påvise svig eller grov forsømmelse fra betalingstjenestebrugerens side.«

24      Artikel 73 i direktiv 2015/2366 med overskriften »Betalingstjenesteudbyderes ansvar for uautoriserede betalingstransaktioner« har følgende ordlyd:

»1.      Medlemsstaterne sikrer med forbehold af artikel 71, at en betalers betalingstjenesteudbyder i tilfælde af en uautoriseret betalingstransaktion tilbagebetaler betaleren beløbet for den uautoriserede betalingstransaktion straks og under alle omstændigheder inden afslutningen af den følgende arbejdsdag efter at have konstateret eller være blevet underrettet om transaktionen, medmindre betalerens betalingstjenesteudbyder har rimelige grunde til at have mistanke om svig og skriftligt underretter den relevante nationale myndighed om disse grunde. Betalerens betalingstjenesteudbyder skal i givet fald føre den debiterede betalingskonto tilbage til den situation, der ville have været gældende, hvis den uautoriserede betalingstransaktion ikke var blevet gennemført. Herved skal det også sikres, at valørdatoen for kreditering af betalerens betalingskonto ikke ligger senere end den dato, hvor beløbet blev debiteret.

2.      Hvis betalingstransaktionen initieres via en betalingsinitieringstjenesteudbyder, skal den kontoførende betalingstjenesteudbyder straks og under alle omstændigheder inden afslutningen af den følgende arbejdsdag tilbagebetale beløbet for den uautoriserede betalingstransaktion og, hvor det er relevant, føre den debiterede betalingskonto tilbage til den situation, der ville have været gældende, hvis den uautoriserede betalingstransaktion ikke var blevet gennemført.

Hvis betalingsinitieringstjenesteudbyderen er ansvarlig for den uautoriserede betalingstransaktion, skal denne efter den kontoførende betalingstjenesteudbyders anmodning herom straks holde denne skadesløs for tab eller betalte beløb som følge af tilbagebetalingen til betaleren, herunder beløbet for den uautoriserede betalingstransaktion. I overensstemmelse med artikel 72, stk. 1, er det betalingsinitieringstjenesteudbyderen, der inden for sit kompetenceområde bærer bevisbyrden for, at betalingstransaktionen var autentificeret, korrekt registreret og ikke ramt af tekniske svigt eller andre fejl i tilknytning til den betalingstjeneste, som betalingsinitieringstjenesteudbyderen har ansvaret for.

3.      Yderligere finansiel kompensation kan fastsættes i overensstemmelse med den lovgivning, der finder anvendelse på den aftale, der er indgået mellem betaleren og betalingstjenesteudbyderen, eller den aftale, der er indgået mellem betaleren og betalingsinitieringstjenesteudbyderen, hvor det er relevant.«

25      Direktivets artikel 74 med overskriften »Betalerens ansvar for uautoriserede betalingstransaktioner« fastsætter i stk. 1 og 3:

»1.      Uanset artikel 73 kan en betaler forpligtes til at dække tab i forbindelse med enhver uautoriseret betalingstransaktion på op til 50 EUR, der skyldes brug af et tabt eller stjålet betalingsinstrument eller uberettiget tilegnelse af et betalingsinstrument.

Første afsnit finder ikke anvendelse, hvis:

a)      tabet, tyveriet eller den uberettigede tilegnelse af betalingsinstrumentet ikke kunne opdages af betaleren forud for betalingen, medmindre betaleren selv har handlet svigagtigt, eller

b)      tabet er forårsaget af handlinger, der er foretaget af en betalingstjenesteudbyders ansat, agent eller filial eller en enhed, hvortil dens aktiviteter er outsourcet, eller disses passivitet.

Betaleren skal dække alle tab som følge af uautoriserede betalingstransaktioner, hvis de skyldes betalerens svigagtige handling eller manglende opfyldelse af en eller flere af de forpligtelser, der er fastsat i artikel 69, begået med forsæt eller ved grov forsømmelse. I sådanne tilfælde finder maksimumsbeløbet i første afsnit ikke anvendelse.

Hvis betaleren hverken har optrådt svigagtigt eller med forsæt har undladt at opfylde sine forpligtelser i henhold til artikel 69, kan medlemsstaterne begrænse det i dette stykke omhandlede ansvar under hensyntagen til navnlig arten af de personaliserede sikkerhedsoplysninger og de særlige omstændigheder, under hvilke betalingsinstrumentet blev tabt, stjålet eller uberettiget tilegnet.

[…]

3.      Betaleren skal ikke dække økonomiske følger af brug af et tabt, stjålet eller uberettiget tilegnet betalingsinstrument, efter at der er sket underretning i overensstemmelse med artikel 69, stk. 1, litra b), undtagen hvis betaleren har handlet svigagtigt.

Hvis betalingstjenesteudbyderen ikke træffer egnede foranstaltninger til på alle tidspunkter at kunne modtage underretning om tabte, stjålne eller uberettiget tilegnede betalingsinstrumenter som anført i artikel 70, stk. 1, litra c), hæfter betaleren ikke for de økonomiske følger af brug af betalingsinstrumentet, undtagen hvis betaleren har handlet svigagtigt.«

26      Artikel 107 i direktiv 2015/2366, der indgår i direktivets kapitel VI med overskriften »Afsluttende bestemmelser«, fastsætter:

»1.      For så vidt som dette direktiv indeholder harmoniserede bestemmelser, må medlemsstaterne ikke bevare eller indføre andre bestemmelser end dem, der er fastsat i direktivet, jf. dog artikel 2, artikel 8, stk. 3, artikel 32, artikel 38, stk. 2, artikel 42, stk. 2, artikel 55, stk. 6, artikel 57, stk. 3, artikel 58, stk. 3, artikel 61, stk. 2 og 3, artikel 62, stk. 5, artikel 63, stk. 2 og 3, artikel 74, stk. 1, andet afsnit, og artikel 86.

[…]

3.      Medlemsstaterne sikrer, at betalingstjenesteudbydere ikke til skade for betalingstjenestebrugerne fraviger de bestemmelser i national ret, der gennemfører dette direktiv, medmindre det udtrykkeligt er foreskrevet i disse.

Betalingstjenesteudbydere kan imidlertid tilbyde betalingstjenestebrugere gunstigere vilkår.«

 Delegeret forordning (EU) 2018/389

27      9. og 11. betragtning til Kommissionens delegerede forordning (EU) 2018/389 af 27. november 2017 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 for så vidt angår reguleringsmæssige tekniske standarder for stærk kundeautentifikation og fælles og sikre åbne standarder for kommunikation (EUT 2018, L 69, s. 23) har følgende ordlyd:

»9)      Undtagelserne fra princippet om stærk kundeautentifikation er i overensstemmelse med direktiv (EU) 2015/2366 blevet defineret på grundlag af risikoniveauet, beløbet, den tilbagevendende karakter og den betalingskanal, der anvendes til at gennemføre betalingstransaktionen.

[…]

11)      Undtagelser for mindre kontaktløse betalinger på salgssteder, hvor der også tages højde for et maksimalt antal konsekutive transaktioner eller et bestemt fast maksimumsbeløb for konsekutive transaktioner uden anvendelse af stærk kundeautentifikation, giver mulighed for at udvikle brugervenlige betalingstjenester, som indebærer en lav risiko, og bør derfor også tages i betragtning. […]«

28      Artikel 1 i delegeret forordning 2018/389 med overskriften »Genstand« bestemmer:

»Ved denne forordning indføres der krav, som betalingstjenesteudbydere skal opfylde med henblik på at gennemføre sikkerhedsforanstaltninger, som sætter dem i stand til at:

a)      anvende proceduren for stærk kundeautentifikation i overensstemmelse med artikel 97 i direktiv (EU) 2015/2366

b)      undlade at anvende sikkerhedskravene om stærk kundeautentifikation på særlige og begrænsede betingelser, der er baseret på risikoniveauet, betalingstransaktionens beløb og tilbagevendende karakter samt den betalingskanal, der anvendes til at gennemføre transaktionen

[…]«

29      Den delegerede forordnings artikel 2 med overskriften »Generelle autentifikationskrav« fastsætter i stk. 1, første afsnit:

»Betalingstjenesteudbydere skal råde over transaktionsovervågningsmekanismer, som sætter dem i stand til at afsløre uautoriserede eller svigagtige betalingstransaktioner med henblik på at gennemføre de sikkerhedsforanstaltninger, der er omhandlet i artikel 1, litra a) og b).«

30      Den nævnte delegerede forordnings artikel 11 med overskriften »Kontaktløse betalinger på salgsstedet« har følgende ordlyd:

»Betalingstjenesteudbydere har mulighed for at undlade at anvende stærk kundeautentifikation, jf. dog de krav, der skal opfyldes i henhold til artikel 2, hvis betaleren initierer en kontaktløs elektronisk betalingstransaktion, forudsat at følgende betingelser er opfyldt:

a)      værdien af hver enkelt kontaktløs elektronisk betalingstransaktion overstiger ikke 50 EUR, og

b)      den samlede værdi af tidligere kontaktløse elektroniske betalingstransaktioner initieret ved hjælp af et betalingsinstrument med en kontaktløs funktionalitet siden den seneste anvendelse af stærk kundeautentifikation overstiger ikke 150 EUR, eller

c)      antallet af konsekutive kontaktløse elektroniske betalingstransaktioner initieret ved hjælp af et betalingsinstrument med en kontaktløs funktionalitet siden den seneste anvendelse af stærk kundeautentifikation overstiger ikke fem.«

 Tvisten i hovedsagen og de præjudicielle spørgsmål

31      VKI er en sammenslutning, der er etableret i Østrig, og som i henhold til østrigsk ret har søgsmålskompetence med henblik på at forsvare forbrugernes interesser.

32      DenizBank er en bank, der udøver bankvirksomhed i Østrig. I handelsforbindelserne med sine kunder anvender dette selskab almindelige betingelser, bl.a. om brug af bankkort med NFC-funktionen. Med den nævnte funktion, som aktiveres automatisk, første gang kunden bruger kortet, kan kunden betale engangsbeløb af lav værdi, som ikke overstiger 25 EUR, uden at indsætte kortet i en betalingsterminal og uden at skulle indtaste et personligt identifikationsnummer (herefter »PIN-kode«) ved de kasser, som er indrettet til denne betalingsform. Betaling af større beløb kræver derimod autentifikation ved brug af PIN-kode.

33      Indholdet af de almindelige betingelser og ‑vilkår, som er relevante for den foreliggende sag, kan sammenfattes således:

–        Det følger navnlig af vilkår 14, at ændringer i de almindelige betingelser om debetkort foreslås kunden senest to måneder inden den foreslåede ikrafttrædelsesdato, og at kunden anses for at have godkendt de ændrede betingelser, medmindre vedkommende udtrykkeligt gør indsigelse herimod inden denne dato, idet kunder, som er forbrugere, vederlagsfrit kan opsige aftalen, hvilket de skal gøres opmærksom på i det ændringsforslag, som DenizBank retter til dem.

–        I henhold til vilkår 15 er DenizBank ikke forpligtet til at bevise, at betalinger af beløb med lav værdi, som er foretaget uden angivelse af den personlige kode, dvs. ved hjælp af NFC-funktionen, har været autoriseret, eller at transaktionerne ikke har været berørt af et teknisk sammenbrud eller andet funktionssvigt.

–        Vilkår 16 fritager DenizBank for dennes ansvar og enhver forpligtelse til at godtgøre beløb i tilfælde, hvor sådanne betalingstransaktioner ikke har været autoriserede af kortindehaveren.

–        Ved vilkår 17 bestemmes det, at kontoindehaveren bærer risikoen for alle former for misbrug af bankkortet i forbindelse med denne type betalinger.

–        Af vilkår 18 fremgår det, at det i tilfælde af bankkortets bortkomst som følge af f.eks. tab eller tyveri af tekniske årsager ikke er muligt at spærre kortet således, at det ikke kan bruges til betalinger af beløb med lav værdi, og at der selv efter spærring af kortet fortsat kan foretages sådanne betalinger på op til 75 EUR i alt, som ikke godtgøres af DenizBank.

–        Det følger af vilkår 19, at bestemmelserne om kortservice i princippet også gælder for betalinger af beløb med lav værdi.

34      Ved processkrift af 9. august 2016 anlagde VKI søgsmål ved Handelsgericht Wien (handelsretten i Wien, Østrig) med påstand om, at DenizBank skulle forbydes at anvende de seks ovennævnte vilkår, idet de var ugyldige. Til sit forsvar gjorde DenizBank gældende, at vilkår 14 var lovligt, og at de forskellige betalingsfunktioner, som kort med NFC-funktionen havde, skulle vurderes særskilt.

35      Ved dom af 28. april 2017 tog retten i første instans de af VKI nedlagte påstande til følge. Retten i første instans fastslog, at vilkår 14 var meget skadeligt, og at NFC-funktionen ikke var omfattet af de undtagelsesbestemmelser, som er fastsat for betalingsinstrumenter til betaling af beløb med lav værdi, idet kortet også kunne bruges til andre betalingsformer, og NFC-funktionen ikke i sig selv kunne betragtes som et betalingsinstrument.

36      Oberlandesgericht Wien (øverste regionale domstol i Wien, Østrig), for hvilken der var iværksat appel, stadfæstede delvist dommen fra retten i første instans ved dom af 20. november 2017. Oberlandesgericht Wien (øverste regionale domstol i Wien) fandt bl.a., at brugen af NFC-funktionen ikke udgjorde anvendelse af et betalingsinstrument, men at det kunne sidestilles med en kreditkorttransaktion foretaget pr. brev eller pr. telefon. I denne forbindelse anførte appelretten, at NFC-funktionen i modsætning til den »elektroniske pung« aktiveres automatisk, og at kort med denne funktion ikke var anonyme, men derimod både personaliserede og sikrede med en kode.

37      VKI og DenizBank iværksatte begge revisionsanke ved den forelæggende ret, Oberster Gerichtshof (øverste domstol, Østrig), til prøvelse af appeldomstolens dom.

38      Den forelæggende ret har for det første anført, at den gentagne gange har fastslået, at betalingstjenesteudbyderens store ændringer i betingelserne i rammeaftalen ikke kan være genstand for kundens stiltiende godkendelse, sådan som det følger af vilkår 14 i de i hovedsagen omhandlede almindelige betingelser. Efter den forelæggende rets opfattelse vil sådanne ændringer være i strid med artikel 52, nr. 6), litra a), og artikel 54, stk. 1, i direktiv 2015/2366, som er gennemført med samme ordlyd i den østrigske retsorden ved Zahlungsdienstegesetz 2018 (lov om betalingstjenester af 2018, BGBl. I, 17/2018), og med det mål om forbrugerbeskyttelse, som fremgår af 63. betragtning til direktivet. Den forelæggende ret er endvidere af den opfattelse, at det nævnte vilkår bør underlægges yderligere kontrol i henhold til direktiv 93/13. Den forelæggende ret har anført, at dens ovenfor angivne retspraksis imidlertid er blevet kritiseret i en del af den østrigske juridiske litteratur, hvori det bl.a. gøres gældende, at virksomhedernes interesser bør afvejes mod forbrugernes interesser, og at forbrugerne endvidere kan drage fordele af denne form for ændringer.

39      Den forelæggende ret er for det andet af den opfattelse, idet den henviser til Domstolens praksis, navnlig præmis 33 og 35 i dom af 9. april 2014, T-Mobile Austria (C-616/11, EU:C:2014:242), at iværksættelsen af en betalingsordre ved brug af NFC-funktionen på et bankkort, som er forbundet med en bestemt bankkonto, kan anses for at være et ikke-personaliseret »sæt af procedurer« og dermed et »betalingsinstrument« i den forstand, hvori udtrykket er anvendt i dette direktivs artikel 4, nr. 14).

40      Hvis dette er tilfældet, er den forelæggende ret for det tredje i tvivl om, hvorvidt en betaling med NFC-funktionen med et sådant personaliseret kort kan anses for at udgøre »anonym« anvendelse af et betalingsinstrument som omhandlet i artikel 63, stk. 1, litra b), i direktiv 2015/2366, eller om dette kun er tilfældet, når betalingen er blevet gennemført med et kort, som ikke er forbundet med en individualiseret konto, og uden nogen anden form for autentifikation i den forstand, hvori udtrykket er anvendt i direktivets artikel 4, nr. 29) og 30).

41      For det fjerde er den forelæggende ret i det væsentlige i tvivl om, hvorvidt en betalingstjenesteudbyder, der ønsker at gøre brug af den undtagelse, som er fastsat i artikel 63, stk. 1, litra a), i direktiv 2015/2366, skal bevise, at betalingsinstrumentet, henset til den senest tilgængelige teknologi, ikke kan spærres, eller at yderligere anvendelse af betalingsinstrumentet ikke kan forhindres. Den forelæggende ret har udtalt sig til fordel for et bekræftende svar på grund af hensynet til forbrugerbeskyttelse og henset til, at den nævnte udbyder er ansvarlig for sikkerhedsforanstaltninger i henhold til 91. betragtning til direktiv 2015/2366. Den forelæggende ret har præciseret, at DenizBank i det foreliggende tilfælde ikke har bestridt VKI’s argument om, at det var teknisk muligt med en sådan spærring.

42      Under disse omstændigheder har Oberster Gerichtshof (øverste domstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Skal artikel 52, [nr.] 6), litra a), sammenholdt med artikel 54, stk. 1, i direktiv [2015/2366], hvorefter betalingstjenestebrugeren anses for at have godkendt en foreslået ændring af betingelserne i rammeaftalen, medmindre vedkommende over for betalingstjenesteudbyderen har afvist ændringen inden den foreslåede ikrafttrædelsesdato, fortolkes således, at der også i forhold til en forbruger kan aftales en godkendelsesfiktion, der skal gælde fuldstændig ubegrænset for alle tænkelige betingelser i rammeaftalen?

2)      a)      Skal artikel 4, nr. 14), i direktiv [2015/2366] fortolkes således, at NFC-funktionen i et personaliseret, multifunktionelt bankkort, der bruges til betalinger med lav værdi, som den hermed forbundne kundekonto debiteres for, udgør et betalingsinstrument?

b)      Såfremt spørgsmål 2.a) besvares bekræftende:

Skal artikel 63, stk. 1, litra b), i direktiv [2015/2366] om undtagelse for betalingsinstrumenter med lav værdi og elektroniske penge fortolkes således, at en kontaktløs betaling med lav værdi, der gennemføres ved anvendelse af NFC-funktionen i et personaliseret, multifunktionelt bankkort, udgør en anonym anvendelse af betalingsinstrumentet som omhandlet i denne undtagelsesbestemmelse?

3)      Skal artikel 63, stk. 1, litra [a]), i direktiv [2015/2366] fortolkes således, at en betalingstjenesteudbyder kun kan påberåbe sig denne undtagelsesbestemmelse, hvis det kan bevises, at betalingsinstrumentet på grundlag af den objektive, aktuelle tekniske viden ikke kan spærres, eller yderligere anvendelse af betalingsinstrumentet ikke kan forhindres?«

43      Den 26. november 2019 anmodede Domstolen i henhold til sit procesreglements artikel 101 den forelæggende ret om at fremkomme med uddybende oplysninger, idet den opfordrede retten til at angive de nærmere grunde til, at direktiv 2015/2366 og den østrigske lovgivning, som havde gennemført det, skulle anses for at finde anvendelse ratione temporis på tvisten i hovedsagen, selv om VKI havde indgivet sin stævning den 9. august 2016, hvor direktiv 2007/64 fortsat var i kraft, idet det først blev ophævet den 13. januar 2018.

44      I sit svar, som indgik til Domstolens Justitskontor den 24. januar 2020, har den forelæggende ret præciseret, at den skal vurdere lovligheden af de aftalevilkår, som er genstand for tvisten i hovedsagen, i henhold til både de bestemmelser, som var gældende på tidspunktet for sagsanlægget, og de bestemmelser, som gælder efter ophævelsen af direktiv 2007/64, eftersom den sag, der er forelagt for den, vedrører et påbud om, at de pågældende aftalevilkår ikke må anvendes for fremtiden.

 De præjudicielle spørgsmål

 Det første spørgsmål

45      Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 52, nr. 6), litra a), i direktiv 2015/2366, sammenholdt med artikel 54, stk. 1, heri, skal fortolkes således, at en betalingstjenesteudbyder, som har indgået en rammeaftale med en bruger af disse tjenester, kan aftale med denne bruger, at den pågældende formodes at have godkendt en ændring i deres rammeaftale på de betingelser, som er fastsat i disse bestemmelser, herunder når brugeren er forbruger, og uanset hvilke aftalevilkår der måtte være undergivet denne formodning.

46      I henhold til artikel 52, nr. 6), litra a), i direktiv 2015/2366 sikrer medlemsstaterne, at betalingstjenestebrugeren, hvis det er aftalt, meddeles oplysninger om, at vedkommende anses for at have godkendt de ændringer i betingelserne i denne aftale, som er foreslået af udbyderen af disse tjenester i henhold til direktivets artikel 54, stk. 1, medmindre betalingstjenestebrugeren inden den foreslåede ikrafttrædelsesdato for de pågældende ændringer meddeler betalingstjenesteudbyderen, at de ikke kan godkendes.

47      Det skal bemærkes, at formodningen for betalingstjenestebrugerens stiltiende godkendelse, som er blevet aftalt med udbyderen af disse tjenester, således som det følger af disse bestemmelser, kun vedrører »ændringer« i betingelserne i rammeaftalen, dvs. modifikationer, som ikke berører betingelserne i denne rammeaftale i en sådan grad, at udbyderens ændringsforslag reelt indebærer indgåelse af en ny aftale. Det tilkommer den nationale retsinstans, for hvilken der er indbragt en tvist om en sådan stiltiende godkendelse, at efterprøve, om denne sidstnævnte fremgangsmåde er anvendt korrekt.

48      Ordlyden i artikel 52, nr. 6), litra a), i direktiv 2015/2366, sammenholdt med artikel 54, stk. 1, heri, indeholder derimod ingen præciseringer med hensyn til, hvilken egenskab betalingstjenestebrugeren handler i, sådan som dette er omtalt i det første spørgsmål. Når spørgsmålet om, hvorvidt den handlende skal være »forbruger« i den forstand, hvori udtrykket er anvendt i direktivets artikel 4, nr. 20), er et afgørende element, præciseres dette imidlertid udtrykkeligt i direktivets bestemmelser, således som det er tilfældet i bl.a. artikel 38.

49      Det følger heraf, at artikel 52, nr. 6), litra a), i direktiv 2015/2366 både finder anvendelse på betalingstjenestebrugere, som er forbrugere, og dem, som ikke handler i denne egenskab.

50      I øvrigt følger det af ordlyden af den nævnte artikel 52, nr. 6), litra a), sammenholdt med den nævnte artikel 54, stk. 1, andet afsnit, at den førstnævnte bestemmelse alene har til formål at stille krav om forudgående oplysninger og ikke at fastsætte indholdet af de ændringer i en rammeaftale, som kan godkendes stiltiende, idet disse bestemmelser blot anerkender muligheden for sådanne ændringer og indfører fuld gennemsigtighed med hensyn hertil uden at definere ændringernes indhold.

51      Denne analyse finder støtte i en ordlydsfortolkning af artikel 52, nr. 6), litra a), i direktiv 2015/2366, sammenholdt med artikel 54, stk. 1, heri.

52      Artikel 52 med overskriften »Oplysninger og betingelser« og artikel 54 med overskriften »Ændringer i betingelser i rammeaftaler« er således indeholdt i kapitel 3 i direktiv 2015/2366 om betalingstransaktioner, der er omfattet af en rammeaftale, som er omfattet af direktivets afsnit III med overskriften »Åbenhed om betingelserne for og oplysningskravene vedrørende betalingstjenester«. Det følger heraf, at artikel 52 og 54 udelukkende har til formål at regulere de betingelser og oplysninger, som en betalingstjenesteudbyder skal meddele brugeren af sine tjenester, og ikke at definere indholdet af de gensidige forpligtelser, som disse personer kan påtage sig i henhold til en aftale, idet dette indhold er reguleret ved bestemmelserne i direktivets afsnit IV med overskriften »Rettigheder og forpligtelser i forbindelse med udbud og brug af betalingstjenester«.

53      Endvidere fremgår det klart af artikel 42 i direktiv 2015/2366, som ligeledes er indeholdt i direktivets afsnit III med overskriften »Undtagelse fra oplysningskravene i forbindelse med betalingsinstrumenter for små betalinger og elektroniske penge«, at artikel 52 og 54 vedrører oplysninger om betalingstjenester, som skal meddeles af udbyderen heraf, medmindre en undtagelse herfra er blevet aftalt udtrykkeligt.

54      Endvidere præciseres det i direktivets artikel 51, at betalingstjenesteudbyderen skal meddele de oplysninger og betingelser, der er anført i artikel 52, på papir eller et andet varigt medium i god tid inden betalingstjenestebrugeren bliver bundet af en rammeaftale eller et tilbud, således at brugeren kan træffe et valg på et velinformeret grundlag som anført i 54. betragtning til direktivet.

55      Samtlige disse betragtninger er ikke i strid med en formålsfortolkning af artikel 52, nr. 6), litra a), i direktiv 2015/2366, sammenholdt med artikel 54, stk. 1, heri.

56      Som den forelæggende ret og VKI har anført, fremgår det ganske vist af 63. betragtning til direktivet, at »[f]or at sikre en høj grad af forbrugerbeskyttelse bør medlemsstaterne i forbrugernes interesse kunne opretholde eller indføre begrænsninger af eller forbud mod ensidigt at foretage ændringer i betingelserne i en rammeaftale, f.eks. hvis der ikke er en berettiget årsag til ændringer«.

57      Ikke desto mindre følger det af artikel 107 i direktiv 2015/2366, at artikel 52, nr. 6), litra a), og artikel 54, stk. 1, heri tilsigter fuld harmonisering på det område, som disse bestemmelser regulerer, dvs., i lyset af deres ordlyd, vedrørende forudgående oplysninger om stiltiende godkendelse af ændringer i en rammeaftale, når parterne har aftalt dette, og at hverken medlemsstaterne eller betalingstjenesteudbyderne kan fravige bestemmelserne, medmindre disse udbydere tilbyder brugerne af deres tjenester gunstigere vilkår.

58      Henset til 63. betragtning til direktiv 2015/2366 kan direktivets artikel 52, nr. 6), litra a), sammenholdt med artikel 54, stk. 1, derfor ikke fortolkes således, at den fastsætter begrænsninger med hensyn til, om brugeren skal være forbruger, eller den type aftalevilkår, der kan være omfattet af sådanne aftaler om ændringer, som godkendes stiltiende.

59      Samtidig fremgår det af fast retspraksis, at det tilkommer Domstolen inden for rammerne af den samarbejdsprocedure med de nationale retter, der er indført ved artikel 267 TEUF, at give den forelæggende ret et hensigtsmæssigt svar, som sætter den i stand til at afgøre den tvist, der verserer for den. Ud fra dette synspunkt kan Domstolen ud fra samtlige de oplysninger, der er fremlagt af den forelæggende ret, og navnlig af forelæggelsesafgørelsens præmisser, udlede de EU-retlige bestemmelser og principper, som det under hensyntagen til genstanden for tvisten i hovedsagen er nødvendigt at fortolke, også selv om disse bestemmelser ikke udtrykkeligt er omtalt i de præjudicielle spørgsmål, der forelægges Domstolen (jf. bl.a. dom af 19.12.2019, Airbnb Ireland, C-390/18, EU:C:2019:1112, præmis 36, og af 12.3.2020, Caisse d’assurance retraite et de la santé au travail d’Alsace-Moselle, C-769/18, EU:C:2020:203, præmis 39 og 40).

60      I det foreliggende tilfælde har den forelæggende ret i sin forelæggelsesafgørelse med rette påpeget en forbindelse mellem vilkår 14 i de almindelige betingelser, som er genstand for hovedsagen, og hvis ordlyd er gengivet i denne doms præmis 33, og bestemmelserne i direktiv 93/13 om urimelige kontraktvilkår i forbrugeraftaler. Endvidere er den forelæggende ret af den opfattelse, at det omtvistede vilkår i praksis kan føre til ensidigt gennemførte ændringer i en rammeaftale som følge af den formodning for godkendelse, som er fastsat heri, idet betalingstjenestebrugere ikke i tilstrækkeligt omfang vil undersøge de konsekvenser, der kan være forbundet med sådanne vilkår.

61      I denne forbindelse bemærkes, at efterprøvelsen af, om et kontraktvilkår om stiltiende godkendelse af ændringer i en rammeaftale som den i hovedsagen omhandlede er urimeligt, med hensyn til betalingstjenestebrugere, som er »forbrugere« i den forstand, hvori dette udtryk er defineret i artikel 2 i direktiv 93/13, reguleres af bestemmelserne i dette direktiv.

62      Det fremgår således af direktiv 2015/2366, navnlig i lyset af 55. betragtning hertil, at andre EU-retsakter om forbrugerbeskyttelse, herunder bl.a. direktiv 2011/83, fortsat finder anvendelse. Når betalingstjenestebrugeren er forbruger, kan direktiv 2015/2366 derfor finde samtidig anvendelse med direktiv 93/13, som ændret ved direktiv 2011/83, uanset hvilke foranstaltninger medlemsstaterne måtte have truffet med henblik på gennemførelse af sidstnævnte, som på det område, det regulerer, kun foretager en minimal harmonisering og således tillader medlemsstaterne at vedtage eller bevare strengere bestemmelser, der er forenelige med traktaten, for at sikre en mere omfattende beskyttelse af forbrugerne (jf. i denne retning dom af 2.4.2020, Condominio di Milano, via Meda, C-329/19, EU:C:2020:263, præmis 33).

63      Artikel 3, stk. 1, i direktiv 93/13 fastsætter således, hvornår et vilkår i en aftale, som er indgået mellem en forbruger og en erhvervsdrivende, kan anses for at være urimeligt. Direktivets artikel 3, stk. 3, henviser til bilaget til direktivet, som indeholder en vejledende liste over sådanne vilkår, hvorpå, under punkt 1, litra j), er nævnt »[k]ontraktvilkår, hvis formål eller virkning er at tillade den erhvervsdrivende ensidigt at ændre kontraktvilkårene uden gyldig og i aftalen anført grund«. Endvidere bestemmer artikel 6, stk. 1, i direktiv 93/13, at urimelige kontraktvilkår i den forstand, hvori dette udtryk er anvendt i direktivet, i henhold til gældende national lovgivning ikke binder forbrugeren. I direktivets artikel 8 præciseres det, at medlemsstaterne inden for det område, der omfattes af direktivet, kan vedtage eller bevare bestemmelser, som sikrer en mere omfattende beskyttelse af forbrugerne end bestemmelserne i direktivet, for så vidt som disse er forenelige med traktaten.

64      Det tilkommer således den forelæggende ret i henhold til bestemmelserne i direktiv 93/13 og ikke i henhold til artikel 52, nr. 6), litra a), i direktiv 2015/2366, sammenholdt med artikel 54, stk. 1, heri, at undersøge, om det i hovedsagen omhandlede vilkår 14 i de almindelige bestemmelser om stiltiende godkendelse af den rammeaftale, der er indgået med forbrugere, er urimeligt, og i givet fald at drage konsekvenser af vilkårets ugyldighed.

65      I denne henseende bemærkes, at Domstolen med hensyn til standardiserede kontraktvilkår, der muliggør en ensidig tilpasning af aftaler, har fastslået, at disse skal opfylde de krav om god tro, jævnbyrdighed og gennemsigtighed, som er opstillet i direktiv 93/13 (jf. i denne retning dom af 21.3.2013, RWE Vertrieb, C-92/11, EU:C:2013:180, præmis 47).

66      Det første spørgsmål skal følgelig besvares med, at artikel 52, nr. 6), litra a), i direktiv 2015/2366, sammenholdt med artikel 54, stk. 1, heri, skal fortolkes således, at den regulerer, hvilke oplysninger og betingelser der gælder for en betalingstjenesteudbyder, som ønsker at aftale med brugeren af sine tjenester, at der skal gælde en formodning for godkendelse af ændringer ‐ i overensstemmelse med de i disse bestemmelser fastsatte fremgangsmåder ‐ i den rammeaftale, som de har indgået, men at den ikke fastsætter begrænsninger med hensyn til, om brugeren skal være forbruger, eller den type aftalevilkår, der kan være omfattet af en sådan aftale, uden at dette dog berører en eventuel efterprøvelse af, når brugeren er forbruger, om sådanne vilkår er urimelige i henhold til bestemmelserne i direktiv 93/13.

 Det andet spørgsmål, litra a)

67      Med det andet spørgsmål, litra a), ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 4, nr. 14), i direktiv 2015/2366 skal fortolkes således, at NFC-funktionen i et personaliseret, multifunktionelt bankkort, der bruges til at foretage betalinger af lave beløb, som den med kortet forbundne bankkonto debiteres for, udgør et »betalingsinstrument« som defineret i denne bestemmelse.

68      I henhold til artikel 4, nr. 14), i direktiv 2015/2366 forstås der ved begrebet »betalingsinstrument« i dette direktiv »en personaliseret anordning eller personaliserede anordninger og/eller sæt af procedurer, der er aftalt mellem betalingstjenestebrugeren og betalingstjenesteudbyderen, og som bruges for at initiere en betalingsordre«.

69      Af artikel 4, nr. 23), i direktiv 2007/64 fremgik det, at der ved begrebet »betalingsinstrument« i dette direktiv på tilsvarende vis skulle forstås »enhver form for personaliseret instrument og/eller sæt af procedurer, der er aftalt mellem brugeren og udbyderen af betalingstjenester, og som brugeren af betalingstjenester bruger for at initiere en betalingsordre«.

70      I denne forbindelse bemærkes, at Domstolen i præmis 31 i dom af 9. april 2014, T-Mobile Austria (C-616/11, EU:C:2014:242), om fortolkningen af artikel 4, nr. 23), i direktiv 2007/64, indledningsvis anførte, at der var en vis uoverensstemmelse mellem de forskellige sprogversioner af denne bestemmelse, idet adjektivet »personaliseret« alt efter sprogversionen lagde sig til syntagmet »tout dispositif« (»enhver form for […] instrument«) og/eller syntagmet »ensemble de procédures« (»sæt af procedurer«). Dernæst henviste Domstolen i den nævnte doms præmis 32 til fast retspraksis, hvoraf det følger, dels at EU-retlige bestemmelser skal fortolkes og anvendes ensartet i lyset af de versioner, der er udfærdiget på alle EU-sprog, dels at en EU-bestemmelse i tilfælde af uoverensstemmelse mellem de forskellige sprogversioner af denne skal fortolkes på baggrund af den almindelige opbygning af og formålet med den ordning, som den er led i. Endelig fastslog Domstolen i den nævnte doms præmis 33, at for at et betalingsinstrument skal kunne anses for »personaliseret«, skal det give udbyderen af betalingstjenester mulighed for at verificere, at betalingsordren er initieret af en bruger, der har den nødvendige tilladelse.

71      I samme doms præmis 34 og 35 fandt Domstolen således, at det nødvendigvis måtte følge af eksistensen af ikke-personaliserede betalingsinstrumenter som dem, der eksplicit er omfattet af artikel 53 i dette direktiv, som nu er blevet til artikel 63 i direktiv 2015/2366, at begrebet »betalingsinstrument«, som defineret i den nævnte artikel 4, nr. 23), kan omfatte et ikke-personaliseret sæt af procedurer, der er aftalt mellem brugeren og udbyderen af betalingstjenester, og som brugeren bruger for at initiere en betalingsordre.

72      Det er i lyset af denne definition af begrebet »betalingsinstrument« i den forstand, hvori udtrykket er defineret i artikel 4, nr. 23), i direktiv 2007/64, som nu er artikel 4, nr. 14), i direktiv 2015/2366, at det andet spørgsmål, litra a), som den forelæggende ret har rejst i den foreliggende sag, skal besvares.

73      I det foreliggende tilfælde er den forelæggende ret med rette af den opfattelse, at det følger af den retspraksis, som er anført i denne doms præmis 70 og 71, at NFC-funktionen i et personaliseret, multifunktionelt bankkort, der er forbundet med en individuel bankkonto, som det i hovedsagen omhandlede, ikke udgør en »personaliseret anordning«, dvs. det første mulige tilfælde i artikel 4, nr. 14), i direktiv 2015/2366, eftersom anvendelsen af denne funktion ikke i sig selv gør det muligt for betalingstjenesteudbyderen at verificere, at betalingsordren er initieret af en bruger, der har tilladelse hertil, hvilket derimod er tilfældet med kortets øvrige funktioner, idet de kræver angivelse af personaliserede sikkerhedsoplysninger såsom en PIN-kode eller en underskrift.

74      Den forelæggende ret ønsker derfor oplyst, om anvendelsen af NFC-funktionen i sig selv kan udgøre et »sæt af procedurer«, som er ikke-personaliserede, dvs. det andet mulige tilfælde i artikel 4, nr. 14), i direktiv 2015/2366, og dermed et »betalingsinstrument« med henblik på anvendelsen af dette direktiv.

75      Som generaladvokaten har anført i punkt 37-40 i sit forslag til afgørelse, udgør anvendelsen af NFC-funktionen i et personaliseret, multifunktionelt bankkort, der er forbundet med en individuel bankkonto, et ikke-personaliseret sæt af procedurer, der skal være aftalt mellem brugeren og udbyderen af betalingstjenester, og som bruges for at initiere en betalingsordre, hvorfor denne funktion udgør et »betalingsinstrument« som omhandlet i artikel 4, nr. 14), andet mulige tilfælde, i direktiv 2015/2366.

76      Det fremgår således af de sagsakter, som er forelagt for Domstolen, at NFC-funktionen, efter at den er blevet aktiveret af indehaveren af den bankkonto, som et sådant kort er forbundet med, i henhold til den aftale, som betalingstjenesteudbyderen og denne bruger har indgået, kan anvendes af enhver, der er i besiddelse af kortet, til at betale beløb med lav værdi, som debiteres kontoen, op til et samlet maksimumsbeløb, som er fastsat i aftalen, uden at den pågældende skal anvende personaliserede sikkerhedsoplysninger, som tilhører indehaveren af den pågældende bankkonto, med henblik på at foretage »autentifikation« eller »stærk autentifikation« af betalingsordren i den forstand, hvori disse udtryk er defineret i dette direktivs artikel 4, nr. 29)-31).

77      Det skal præciseres, at NFC-funktionen, henset til dens særlige karakter, i juridisk henseende skal holdes adskilt fra de øvrige funktioner, som det pågældende bankkortet har, og som for deres del nødvendiggør anvendelse af personaliserede sikkerhedsoplysninger, navnlig til at betale beløb, som overskrider det loft, som er fastsat for anvendelsen af NFC-funktionen. NFC-funktionen kan derfor isoleret set kvalificeres som et betalingsinstrument i den forstand, hvori udtrykket er anvendt i artikel 4, nr. 14), i direktiv 2015/2366, og være omfattet af direktivets materielle anvendelsesområde.

78      Denne fortolkning kan bidrage til virkeliggørelsen af de mål, som forfølges med direktiv 2015/2366, eftersom den omstændighed, at NFC-funktionen på denne måde er direkte underlagt de krav, som direktivet opstiller, ikke kun fremmer udviklingen af dette nye betalingsmiddel inden for rammerne af en fair konkurrence mellem betalingstjenesteudbydere, men ligeledes beskyttelsen af brugerne af disse tjenester, herunder særligt dem, som er forbrugere, i overensstemmelse med den kurs, der er sat i betragtningerne til direktivet og navnlig ved sjette betragtning.

79      Følgelig skal det andet spørgsmål, litra a), besvares med, at artikel 4, nr. 14), i direktiv 2015/2366 skal fortolkes således, at NFC-funktionen i et personaliseret, multifunktionelt bankkort, der bruges til at foretage betalinger af lave beløb, som den med kortet forbundne bankkonto debiteres for, udgør et »betalingsinstrument« som defineret i denne bestemmelse.

 Det andet spørgsmål, litra b)

80      Med det andet spørgsmål, litra b), ønsker den forelæggende ret oplyst, om artikel 63, stk. 1, litra b), i direktiv 2015/2366 skal fortolkes således, at en kontaktløs betaling af et beløb af lav værdi ved anvendelse af NFC-funktionen i et personaliseret, multifunktionelt bankkort udgør en »anonym« anvendelse af dette betalingsinstrument som omhandlet i denne undtagelsesbestemmelse.

81      I henhold til artikel 63, stk. 1, litra b), i direktiv 2015/2366 om betalingsinstrumenter med lav værdi, således som disse er defineret i det indledende afsnit i det nævnte stykke, kan betalingstjenesteudbyderne aftale med deres betalingstjenestebrugere, at de fraviger de bestemmelser, som er opregnet i dette litra b), når »betalingsinstrumentet anvendes anonymt«, eller når »betalingstjenesteudbyderen af andre grunde, som er særlige for det givne betalingsinstrument, ikke er i stand til at bevise, at betalingstransaktionen var autoriseret«.

82      Domstolen har bemærket, at det fremgik af artikel 53, stk. 1, litra b), i direktiv 2007/64, som nu er blevet til artikel 63, stk. 1, litra b), i direktiv 2015/2366, at visse betalingsinstrumenter anvendes anonymt, i hvilket tilfælde udbyderne af betalingstjenester ikke er forpligtede til at bevise den pågældende betalingstransaktions autentificering i det tilfælde, som er omhandlet i artikel 59 i det førstnævnte direktiv, som nu er blevet til artikel 72 i det sidstnævnte direktiv (dom af 9.4.2014, T-Mobile Austria, C-616/11, EU:C:2014:242, præmis 34).

83      Artikel 63, stk. 1, litra b), i direktiv 2015/2366 giver nærmere bestemt betalingstjenesteudbyderen og brugeren af dennes tjenester mulighed for ved aftale at fravige for det første direktivets artikel 72, som pålægger udbyderen at bevise autentifikation og gennemførelse af betalingstransaktioner, for det andet direktivets artikel 73, som fastsætter princippet om, at betalingstjenesteudbydere har ansvaret for uautoriserede betalingstransaktioner, og for det tredje direktivets artikel 74, stk. 1 og 3, som delvist fraviger dette princip ved at fastsætte, at betaleren kan forpligtes til at dække tab i forbindelse med sådanne transaktioner på op til 50 EUR, inden der er sket underretning til udbyderen om et tabt eller stjålet betalingsinstrument eller uberettiget tilegnelse af et betalingsinstrument.

84      Det skal fremhæves, at artikel 63, stk. 1, litra b), i dette direktiv skal fortolkes strengt, idet der er tale om en undtagelsesbestemmelse.

85      Således som den forelæggende ret og Kommissionen har anført, følger det af ordlyden af artikel 63, stk. 1, litra b), sammenholdt med de heri nævne bestemmelser, at de to tilfælde, hvori der kan gøres undtagelse i henhold til denne bestemmelse, begge karakteriseres ved, at betalingstjenesteudbyderen objektivt set ikke er i stand til at godtgøre, at en betalingstransaktion er blevet korrekt autoriseret, nemlig enten fordi det pågældende betalingsinstrument er blevet anvendt »anonymt«, eller af »andre grunde, som er særlige for [betalingsinstrumentet]«.

86      Hvad angår spørgsmålet om, hvorvidt en betaling, som er gennemført ved hjælp af NFC-funktionen i et personaliseret, multifunktionelt bankkort, udgør »anonym« anvendelse som omhandlet i artikel 63, stk. 1, litra b), i direktiv 2015/2366, skal der i dette tilfælde tages hensyn til et par omstændigheder, som angives i det følgende.

87      For det første betegnes det pågældende kort »personaliseret«, fordi det er forbundet med en bankkonto, der tilhører en bestemt person, dvs. »betaleren« i den forstand, hvori dette udtryk er defineret i direktivets artikel 4, nr. 8), og fordi denne konto debiteres efter en betaling via NFC-funktionen. For det andet kræver anvendelsen af denne betalingsmetode, som kun kan benyttes ved beløb af lav værdi, udelukkende besiddelse af kortet, når kunden har aktiveret den nævnte funktion, og ikke autentifikation ved angivelse af personaliserede sikkerhedsoplysninger såsom en PIN-kode eller en underskrift. Det følger af den sidstnævnte omstændighed, at enhver, som har adgang til det nævnte kort, selv uden kontoindehaverens samtykke kan foretage en sådan betaling op til det tilladte maksimumsbeløb, i tilfælde af tab, tyveri eller uberettiget tilegnelse af kortet.

88      I denne forbindelse skal der sondres mellem den identifikation af den debiterede kontos indehaver, som følger direkte af personaliseringen af det pågældende kort, og den autorisation til at foretage betaling, som denne indehaver eventuelt har givet, hvilken ikke kan bekræftes ved den blotte anvendelse af kortet, når den pågældende betaling er gennemført ved hjælp af NFC-funktionen. Det kan således ikke antages, at indehaveren har givet tilladelse til en sådan betaling, alene på grundlag af fysisk besiddelse af kortet med NFC-funktionen.

89      Brugen af NFC-funktionen til betaling af beløb af lav værdi udgør derfor »anonym« anvendelse som omhandlet i artikel 63, stk. 1, litra b), i dette direktiv, selv om det kort, som har denne funktion, er forbundet med en bestemt kundes bankkonto. I en sådan situation er betalingstjenesteudbyderen objektivt set således ikke i stand til at identificere den person, som har betalt med dette middel, og kan derfor hverken efterprøve eller bevise, at transaktionen var autoriseret af kontoindehaveren.

90      Således som DenizBank har gjort gældende, bestyrkes denne fortolkning af målene med direktiv 2015/2366, som er »at gøre det muligt at udvikle brugervenlige og tilgængelige betalingsmidler for betalinger med lav risiko, såsom kontaktløse betalinger med lav værdi på salgsstedet«, som det fremgår af 96. betragtning til direktivet, og at gøre det »nemmere for nye betalingsmidler at nå ud til et større marked, […] så der sikres en høj grad af forbrugerbeskyttelse i forbindelse med betalingstjenester«, således som det fremgår af 6. betragtning til direktivet. Endvidere fremgår det af 81. betragtning til direktivet, at »[b]etalingsinstrumenter med lav værdi bør være et billigt og brugervenligt alternativ i forbindelse med billige varer og tjenester og [ikke bør] behæftes med en række urimelige krav«, idet det herefter præciseres, at »betalingstjenestebrugerne [bør] have tilstrækkelig beskyttelse«. Det er således ikke blot i betalingstjenesteudbyderens, men ligeledes i dennes kunders interesse at have adgang til innovative, hurtige og let anvendelige betalingsmidler såsom NFC-funktionen, for så vidt som kunderne ønsker dette og nyder tilstrækkelig beskyttelse.

91      Dette fortolkning af artikel 63, stk. 1, litra b), i direktiv 2015/2366 er endvidere i overensstemmelse med direktivets almindelige opbygning, for så vidt som en kunde, der har valgt at gøre brug af et simplificeret betalingsinstrument, hvormed betaling af beløb af lav værdi ikke kræver identifikation af kunden, således som tilfældet er med NFC-funktionen, i lyset af reglerne i dette direktiv skal anses for at have gokendt, at denne eventuelt berøres af virkningerne af de aftalemæssige begrænsninger af betalingsudbyderens ansvar, som denne bestemmelse tillader.

92      Ved at begrænse det beløb, som en kunde potentielt kan tabe, således som det følger af det indledende afsnit i stk. 1, gør EU-lovgiver det således muligt, i overensstemmelse med artiklerne i dette direktiv, sammenholdt med de betragtninger, som er nævnt i denne doms præmis 90, at sikre en balance mellem de fordele og risici, der er forbundet med et sådant instrument, herunder navnlig for de kunder, som er forbrugere.

93      Det andet spørgsmål, litra b), skal derfor besvares med, at artikel 63, stk. 1, litra b), i direktiv 2015/2366 skal fortolkes således, at en kontaktløs betaling med lav værdi, der gennemføres ved anvendelse af NFC-funktionen i et personaliseret, multifunktionelt bankkort, udgør en »anonym« anvendelse af dette betalingsinstrument som omhandlet i denne undtagelsesbestemmelse.

 Det tredje spørgsmål

94      Med det tredje spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 63, stk. 1, litra a), i direktiv 2015/2366 skal fortolkes således, at en betalingstjenesteudbyder, som vil påberåbe sig den undtagelse, der er fastsat i denne bestemmelse, kan nøjes med at hævde, at det er umuligt at spærre det pågældende betalingsinstrument og forhindre yderligere anvendelse heraf, selv om dette ikke kan fastslås på grundlag af den objektivt set foreliggende tekniske viden.

95      I henhold til artikel 63, stk. 1, litra a), i direktiv 2015/2366 om betalingsinstrumenter med lav værdi, således som disse er defineret i det indledende afsnit i det nævnte stykke, kan betalingstjenesteudbyderne aftale med deres betalingstjenestebrugere, at de hver især fritages for visse af deres gensidige forpligtelser, dvs. dem, som følger af de bestemmelser, der er opregnet i dette litra a), hvis det »betalingsinstrument«, der er genstand for den rammeaftale, som parterne har indgået, »ikke kan spærres« eller hvis »yderligere anvendelse af betalingsinstrumentet ikke kan forhindres«.

96      Det fremgår tydeligt af ordlyden af artikel 63, stk. 1, litra a), at den undtagelse, som er fastsat i denne bestemmelse, kun kan finde anvendelse, hvis det på grund af forhold, som er særlige for det pågældende betalingsinstrument, ikke er muligt at blokere dette eller forhindre, at det anvendes yderligere.

97      På samme måde bestemte artikel 53, stk. 1, litra b), i direktiv 2007/64, som svarer til artikel 63, stk. 1, litra a), i direktiv 2015/2366, at den undtagelse, som bestemmelsen fastsatte, fandt anvendelse i de konkrete tilfælde, hvor »betalingsinstrumentet ikke [gjorde] det muligt at spærre brugen heraf eller forhindre dets yderligere anvendelse«.

98      For at blive fritaget for sine forpligtelser kan en betalingstjenesteudbyder, der vil gøre brug af den mulighed, som artikel 63, stk. 1, litra a), i direktiv 2015/2366 giver, derfor ikke nøjes med at angive i rammeaftalen vedrørende betalingsinstrumentet, at den pågældende ikke er i stand til at spærre instrumentet eller forhindre yderligere anvendelse heraf. Udbyderen skal godtgøre ‐ og i tilfælde af en tvist løfte bevisbyrden for ‐ at det af tekniske årsager på ingen måde er muligt at spærre betalingsinstrumentet eller forhindre yderligere anvendelse heraf. Hvis den ret, ved hvilken en sag er anlagt, finder, at det, henset til den objektivt set foreliggende tekniske viden, reelt var muligt at spærre betalingsinstrumentet eller forhindre anvendelsen heraf, men at udbyderen ikke havde søgt denne viden, kan udbyderen ikke gøre brug af undtagelsen i artikel 63, stk. 1, litra a).

99      Denne fortolkning af ordlyden af artikel 63, stk. 1, litra a), i direktiv 2015/2366 finder støtte i såvel en systematisk fortolkning som en formålsbestemt fortolkning af bestemmelsen.

100    For så vidt angår den almindelige opbygning af direktiv 2015/2366 bemærkes, at artikel 63, stk. 1, litra a), heri giver betalingstjenesteudbyderen og brugeren af disse tjenester mulighed for ved aftale at fravige anvendelsen af de forpligtelser, som følger af for det første direktivets artikel 69, stk. 1, litra b), som forpligter brugeren til snarest muligt at underrette udbyderen om tab, tyveri eller uberettiget tilegnelse eller anden uautoriseret brug af det pågældende betalingsinstrument, for det andet direktivets artikel 70, stk. 1, litra c) og d), som pålægger udbyderen at give brugeren mulighed for at foretage denne underretning uden beregning eller at anmode om ophævelse af spærringen af det nævnte betalingsinstrumentet, og for det tredje direktivets artikel 74, stk. 3, som fritager betaleren for at dække økonomiske følger af brug af et tabt, stjålet eller uberettiget tilegnet betalingsinstrument, efter at der er sket underretning som foreskrevet, undtagen hvis betaleren har handlet svigagtigt.

101    Artikel 63, stk. 1, litra a), i direktiv 2015/2366 skal fortolkes strengt, eftersom bestemmelsen indfører en undtagelse til reglerne i de bestemmelser, der er nævnt i den foregående præmis, således at betingelserne for anvendelse af denne undtagelsesbestemmelse ikke kan udformes på en sådan måde, at den bevisbyrde, som skal påhvile den person, der påberåber sig undtagelsen, fjernes, og den pågældende person dermed fritages for de skadelige virkninger, der kan følge af anvendelsen af de nævnte regler.

102    For så vidt angår formålene med direktiv 2015/2366 fremgår det bl.a. af 6., 53. og 63. betragtning hertil, at direktivet tilsigter at beskytte betalingstjenestebrugere og navnlig at give en høj grad af beskyttelse til dem, som er forbrugere (jf. vedrørende direktiv 2007/64 dom af 25.1.2017, BAWAG, C-375/15, EU:C:2017:38, præmis 45, og af 2.4.2020, PrivatBank, C-480/18, EU:C:2020:274, præmis 66).

103    Ifølge ordlyden af 91. betragtning til direktiv 2015/2366 er udbydere af betalingstjenester endvidere ansvarlige for sikkerhedsforanstaltninger, som bør være forholdsmæssigt afpassede efter de risici, der er forbundet med disse tjenester, og navnlig fastlægger udbyderne rammer for at begrænse risici og opretholde effektive procedurer til håndtering af hændelser i overensstemmelse med direktivets artikel 95. Selv om 96. betragtning til direktivet synes at mindske rækkevidden af disse forpligtelser en smule med hensyn til »kontaktløse betalinger med lav værdi på salgsstedet«, berøres princippet om betalingstjenesteudbydernes sikkerhedsmæssige ansvar imidlertid ikke, når det heraf fremgår, at »undtagelserne for anvendelse af sikkerhedskrav [bør] præciseres i de reguleringsmæssige tekniske standarder«, således som dette er fastsat i samme direktivs artikel 98. Artikel 2 og 11 i delegeret forordning 2018/389, sammenholdt med 9. og 11. betragtning hertil, fastsætter således, på hvilke betingelser de nævnte udbydere kan undlade at følge reglen om stærk autentifikation ved sådanne kontaktløse betalinger.

104    Hvis en betalingstjenesteudbyder kunne fritage sig for sit ansvar ved blot at hævde, at det ikke var muligt for den pågældende at spærre betalingsinstrumentet eller forhindre yderligere anvendelse heraf, ville udbyderen, som generaladvokaten har fremhævet i punkt 60 og 61 i forslaget til afgørelse, ved at udbyde et teknisk middelmådigt instrument let kunne påføre betalingstjenestebrugeren de risici, som er forbundet med uautoriserede betalinger. En sådan overførsel af disse risici og de hermed forbundne skadelige virkninger er ikke i overensstemmelse med hverken målet om beskyttelse af betalingstjenestebrugerne, og nærmere bestemt forbrugerne, eller reglen om, at betalingstjenesteudbyderne bærer ansvaret for at træffe passende sikkerhedsforanstaltninger, som begge udgør en del af grundlaget for den ordning, som er indført ved direktiv 2015/2366.

105    Den fortolkning, der herved er anlagt af artikel 63, stk. 1, litra a), i direktiv 2015/2366, kan ikke drages i tvivl ved DenizBanks argument om, at denne analyse vil svække udviklingen af nye forretningsmodeller inden for betalingstjenester vedrørende beløb med lav værdi og gøre indgreb i udbydernes frihed til at udbyde betalingskort med en simpel angivelse af, at dette ikke kan spærres, uanset hvad årsagen måtte være. Denne argumentation strider imod ikke alene bestemmelsens ordlyd, men ligeledes direktivets almindelige opbygning og formålene med den lovgivning, som den nævnte bestemmelse er en del af.

106    De tredje spørgsmål skal derfor besvares med, at artikel 63, stk. 1, litra a), i direktiv 2015/2366 skal fortolkes således, at en betalingstjenesteudbyder, som vil påberåbe sig den undtagelse, der er fastsat i denne bestemmelse, ikke kan nøjes med at hævde, at det er umuligt at spærre det pågældende betalingsinstrument og forhindre yderligere anvendelse heraf, når dette ikke kan fastslås på grundlag af den objektivt set foreliggende tekniske viden.

 Begrænsningen af nærværende doms tidsmæssige virkninger

107    I sit skriftlige indlæg har DenizBank i det væsentlige anmodet Domstolen om at begrænse de tidsmæssige virkninger af sin dom, og nærmere bestemt for det tilfælde, at det fastslås, at NFC-funktionen i et personaliseret, multifunktionelt bankkort, ikke udgør et »betalingsinstrument« i den forstand, hvori dette udtryk er defineret i artikel 4, nr. 14), i direktiv 2015/2366. Til støtte for denne anmodning har DenizBank anført, at dommen vil medføre betydelige økonomiske konsekvenser, og at de berørte virksomheder retmæssigt har kunnet forvente en anden fortolkning.

108    I denne forbindelse bemærkes, at Domstolen ifølge fast retspraksis kun undtagelsesvis i henhold til et almindeligt retssikkerhedsprincip, der er sikret i Unionens retsorden, vil finde anledning til at begrænse borgernes mulighed for at påberåbe sig den således fortolkede bestemmelse med henblik på anfægtelse af tidligere i god tro stiftede retsforhold. For at der kan træffes bestemmelse om en sådan begrænsning, skal to hovedbetingelser være opfyldt, nemlig at de berørte parter skal være i god tro, og at der skal være fare for alvorlige forstyrrelser (jf. bl.a. dom af 10.7.2019, WESTbahn Management, C-210/18, EU:C:2019:586, præmis 45, og af 3.10.2019, Schuch-Ghannadan, C-274/18, EU:C:2019:828, præmis 61 og den deri nævnte retspraksis).

109    Endvidere skal det bemærkes, at DenizBanks anmodning synes at være fremsat alene, såfremt Domstolen skulle besvare det andet spørgsmål, litra a), benægtende, hvilket ikke er tilfældet. Under alle omstændigheder har DenizBank ikke forelagt nogen konkrete eller præcise oplysninger af en sådan art, at de kan begrunde anmodningen, eftersom selskabet blot har påberåbt sig argumenter af almindelig karakter.

110    Der er således ikke grundlag for at begrænse denne doms tidsmæssige virkninger.

 Sagsomkostninger

111    Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

1)      Artikel 52, nr. 6), litra a), i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF, sammenholdt med artikel 54, stk. 1, heri, skal fortolkes således, at den regulerer, hvilke oplysninger og betingelser der gælder for en betalingstjenesteudbyder, som ønsker at aftale med brugeren af sine tjenester, at der skal gælde en formodning for godkendelse af ændringer ‐ i overensstemmelse med de i disse bestemmelser fastsatte fremgangsmåder ‐ i den rammeaftale, som de har indgået, men at den ikke fastsætter begrænsninger med hensyn til, om brugeren skal være forbruger, eller den type aftalevilkår, der kan være omfattet af en sådan aftale, uden at dette dog berører en eventuel efterprøvelse af, når brugeren er forbruger, om sådanne vilkår er urimelige i henhold til bestemmelserne i Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler.

2)      Artikel 4, nr. 14), i direktiv 2015/2366 skal fortolkes således, at funktionen nærfeltskommunikation (Near Field Communication) i et personaliseret, multifunktionelt bankkort, der bruges til at foretage betalinger af lave beløb, som den med kortet forbundne bankkonto debiteres for, udgør et »betalingsinstrument« som defineret i denne bestemmelse.

3)      Artikel 63, stk. 1, litra b), i direktiv 2015/2366 skal fortolkes således, at en kontaktløs betaling med lav værdi, der gennemføres ved anvendelse af funktionen nærfeltskommunikation (Near Field Communication) i et personaliseret, multifunktionelt bankkort, udgør en »anonym« anvendelse af dette betalingsinstrument som omhandlet i denne undtagelsesbestemmelse.

4)      Artikel 63, stk. 1, litra a), i direktiv 2015/2366 skal fortolkes således, at en betalingstjenesteudbyder, som vil påberåbe sig den undtagelse, der er fastsat i denne bestemmelse, ikke kan nøjes med at hævde, at det er umuligt at spærre det pågældende betalingsinstrument og forhindre yderligere anvendelse heraf, når dette ikke kan fastslås på grundlag af den objektivt set foreliggende tekniske viden.

Underskrifter


*      Processprog: tysk.