(1) Der Zahlungsdienstleister, der ein Zahlungsauthentifizierungsinstrument ausgibt, ist verpflichtet, 1. unbeschadet der Pflichten des Zahlungsdienstnutzers gemäß § 675l sicherzustellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsauthentifizierungsinstruments nur der zur Nutzung berechtigten Person zugänglich sind, 2. die unaufgeforderte Zusendung von Zahlungsauthentifizierungsinstrumenten an den Zahlungsdienstnutzer zu unterlassen, es sei denn, ein bereits an den Zahlungsdienstnutzer ausgegebenes Zahlungsauthentifizierungsinstrument muss ersetzt werden, 3. sicherzustellen, dass der Zahlungsdienstnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige gemäß § 675l Satz 2 vorzunehmen oder die Aufhebung der Sperrung gemäß § 675k Abs. 2 Satz 5 zu verlangen, und 4. jede Nutzung des Zahlungsauthentifizierungsinstruments zu verhindern, sobald eine Anzeige gemäß § 675l Satz 2 erfolgt ist.
Hat der Zahlungsdienstnutzer den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments angezeigt, stellt sein Zahlungsdienstleister ihm auf Anfrage bis mindestens 18 Monate nach dieser Anzeige die Mittel zur Verfügung, mit denen der Zahlungsdienstnutzer beweisen kann, dass eine Anzeige erfolgt ist.
(2) Die Gefahr der Versendung eines Zahlungsauthentifizierungsinstruments und der Versendung personalisierter Sicherheitsmerkmale des Zahlungsauthentifizierungsinstruments an den Zahler trägt der Zahlungsdienstleister.