Das AG München hat entschieden, dass kein Anspruch auf Schadensersatz nach einer Phishing-Attacke im Zusammenhang mit dem Mastercard 3D-Secure-Verfahren besteht, wenn eine Weitergabe der SMS-Tan an Dritte erfolgte.
Die Pressemitteilung des Gerichts: Phishing bei Reisebuchung - Kein Anspruch auf Rückzahlung abgebuchter Kreditkartenbeträge
Der Ehemann der Münchner Klägerin wollte am Samstag, den 06.01.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf einer Homepage „Check24“ die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318,99 € vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 08.01.2024 sind sechs unberechtigte Abbuchungen zu je 318,99 € für Giftcards vom Konto der Klägerin erfolgt, insgesamt 1.953,29 €.
Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät, übersandte die beklagte Bank am 06.01.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 06.01.2024 eingegeben und damit das Secure-Verfahren aktiviert.
Die Münchnerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte.
Die beklagte Bank ging davon aus, dass die Münchnerin die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Münchnerin verklagte die Bank daher vor dem Amtsgericht München auf Rückzahlung der 1.953,29 €.
Das Amtsgericht München wies die Klage mit Urteil vom 08.01.2025 ab. Das Gericht ging zwar davon aus, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadensersatzanspruch der Bank gegen die Klägerin in gleicher Höhe bestehe, mit dem die Bank aufgerechnet habe. Insoweit führte es u.a. aus:
„Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 06.01.2024 um 13:30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin […] versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich […] eine SMS vom 06.01.2024 13:29 Uhr mit dem Inhalt: „[…] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 06.01.2024 13:44 Uhr.“ Der Eingang der SMS um 3:29 Uhr war im eingesehenen Nachrichtenverlauf […] um 13:29 Uhr dokumentiert und wird auch durch das als […] vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.
Die Beklagte hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-Tan erforderlich. […] Das Gericht ist daher davon überzeugt, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war. […]
Das Verhalten der Klägerin bewertet das Gericht als grob fahrlässig. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. […] Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger) die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag […] auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.“
Urteil des Amtsgerichts München vom 08.01.2025
Aktenzeichen: 271 C 16677/24
Das Urteil ist nicht rechtskräftig.
Das AG München hat entschieden, dass kein Erstattungsanspruch gegen die Bank nach Besuch einer Phishing-Seite besteht, wenn der Bankkunde grob fahrlässig gehandelt hat.
Die Pressemitteilung des Gerichts: Phishing bei Kleinanzeigen
Kein Anspruch gegen die Bank auf Ersatz nicht autorisierter Abbuchungen bei grober Fahrlässigkeit
Der Kläger bot Anfang August 2023 über das Portal Kleinanzeigen.de einen Gegenstand zum Verkauf an, woraufhin der Kläger von einem vermeintlichen Kaufinteressenten kontaktiert wurde. Dieser veranlasste den Kläger dazu, seine Kreditkartendaten auf einer Phishing-Seite einzugeben.
Am 02.08.2023 um 15:08 Uhr erhielt der Kläger auf seinem Handy schließlich eine mobileTAN per SMS für die Aktivierung eines neuen Geräts. Dieses Gerät wurde von dem Betrüger bei der beklagten Bank per Banking-App kurz darauf auch registriert.
Am 02.08.2023 um 15:11 Uhr und 21:16 Uhr erfolgten zwei Abbuchungen in Höhe von 2.200 € und 207,25 €. Der Kläger veranlasste sofort eine Kartensperrung und verlangte von der Bank die Rückbuchung der beiden Abbuchungen. Da die Bank dies verweigerte, verklagte der Kläger sie vor dem Amtsgericht München auf Zahlung von 2.407,25 € nebst Zinsen.
Der Kläger behauptete, die mit der SMS erhaltene mobileTAN nicht weitergegeben zu haben und auch sonst nirgendwo eingegeben zu haben.
Das Amtsgericht wies die Klage mit Urteil vom 21.01.2025 ab. Insoweit führte es aus:
„Es liegt zur Überzeugung des Gerichts eine grob fahrlässige Sorgfaltspflichtverletzung [des Klägers] vor. Der Kläger hat in grober Weise die im (Zahlungs-)Verkehr zu fordernde Sorgfalt nicht an den Tag gelegt, indem er seine Kreditkartendaten sowie seine persönlichen Sicherheitsmerkmale an Dritte herausgegeben hat. Jeder auch nur durchschnittlich aufmerksame Marktteilnehmer weiß, dass Kreditkartendaten und persönliche Sicherheitsmerkmale wie SMS-TANs keinen Dritten, insbesondere keinen Kaufinteressenten auf Kleinanzeigen, mitgeteilt werden dürfen. […]
Das Gericht geht davon aus, dass der Kläger auf der Phishing-Seite „sicher bezahlen“ die erhaltene SMS-TAN zur Freigabe eines neuen Endgeräts eingegeben hat. Mit Hilfe dieser TAN konnte der Täter dann ein neues Endgerät registrieren und die streitgegenständlichen Verfügungen ausführen.
Der Kläger war unstreitig auf der Phishing-Seite „sicher bezahlen“ und wurde dort aufgefordert zur Eingabe seiner Kreditkartendetails. Der Kläger hat auch unstreitig am 02.08.2023 um 15:08 Uhr per SMS eine TAN erhalten zur Registrierung eines neuen Endgeräts. Daher sieht das Gericht in dieser Konstellation eine sekundäre Darlegungslast auf der Klägerseite dazu, wie die TAN zeitnah an den Täter gelangt ist, wenn nicht dadurch, dass der Kläger sie auf der Phishing-Seite angegeben hat. […] Der Kläger ist als Verkäufer auf der Plattform [Kleinanzeigen.de] aufgetreten. Warum man als Verkäufer und damit als Person, die Geld erhalten soll, eine (vorgetäuschte) Zwei-Faktor-Freigabe erteilt, erschließt sich dem Gericht nicht. Der Kläger mag ggfs. nicht bewusst die per SMS erhaltene TAN auf der Phishing-Seite eingegeben haben und es mag ihm auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären. […] Es darf von jedem verständigen Nutzer der Bezahlstruktur im Internet erwartet werden, dass er die grundlegende Bedeutung derartiger Freigabecodes versteht.“
Urteil des Amtsgerichts München vom 21.01.2025
Aktenzeichen: 222 C 15098/24
Das Urteil ist rechtskräftig.
Das BAG hat entschieden, dass der Einlieferungsbeleg und der Sendungsstatus "zugestellt" eines Einwurf-Einschreibens nicht genügt, um den Zugang einer Kündigung zu beweisen.
Aus den Entscheidungsgründen: II. Das Landesarbeitsgericht hat zutreffend angenommen, dass die Beklagte für den von der Klägerin bestrittenen Zugang der Kündigung beweisfällig geblieben ist.
1. Nach der ständigen Rechtsprechung des Bundesarbeitsgerichts (vgl. BAG 20. Juni 2024 – 2 AZR 213/23 – Rn. 10 mwN) und des Bundesgerichtshofs (vgl. BGH 6. Oktober 2022 – VII ZR 895/21 – Rn. 16 mwN, BGHZ 234, 316) geht eine verkörperte Willenserklärung unter Abwesenden iSv. § 130 Abs. 1 Satz 1 BGB zu, sobald sie in verkehrsüblicher Weise in die tatsächliche Verfügungsgewalt des Empfängers gelangt ist und für diesen unter gewöhnlichen Verhältnissen die Möglichkeit besteht, von ihr Kenntnis zu nehmen. Zum Bereich des Empfängers gehören von ihm vorgehaltene Empfangseinrichtungen wie ein Briefkasten.
2. Die Beklagte trägt für den ihr günstigen Umstand des Zugangs des Kündigungsschreibens die Darlegungs- und Beweislast (vgl. BAG 22. August 2019 – 2 AZR 111/19 – Rn. 30).
3. Die Beklagte hat für den von ihr behaupteten Einwurf des Kündigungsschreibens am 28. Juli 2022 in den Hausbriefkasten der Klägerin keinen Beweis angeboten, insbesondere keinen Zeugenbeweis der Person, die den Einwurf vorgenommen haben soll.
4. Es besteht auch kein Anscheinsbeweis zugunsten der Beklagten, dass ein Zugang des Kündigungsschreibens vom 26. Juli 2022 bei der Klägerin erfolgt ist.
a) Dabei kann es dahinstehen, ob die Beklagte überhaupt einen ausreichenden Vortrag dazu gehalten hat, dass sie ein an die Klägerin adressiertes Schreiben bei der Deutschen Post AG eingeliefert hat. Insoweit ist insbesondere nicht ersichtlich, ob sich die Beklagte berühmt, einen Fensterbriefumschlag benutzt zu haben, der dieselbe Adresse wie das vermeintlich zugestellte Kündigungsschreiben hat erkennen lassen, oder ob sie einen fensterlosen Umschlag mit der zutreffenden Anschrift der Klägerin versehen hat.
b) Jedenfalls genügt der von der Beklagten im vorliegenden Verfahren vorgelegte Einlieferungsbeleg eines Einwurf-Einschreibens, aus dem neben dem Datum und der Uhrzeit der Einlieferung die jeweilige Postfiliale und die Sendungsnummer ersichtlich sind, zusammen mit einem von der Beklagten im Internet abgefragten Sendungsstatus („Die Sendung wurde am 28.07.2022 zugestellt.“) nicht für einen Beweis des ersten Anscheins, dass das Schreiben der Klägerin tatsächlich zugegangen ist.
aa) Die Frage, ob ein Anscheinsbeweis eingreift, unterliegt der Prüfung durch das Revisionsgericht. Der Beweis des ersten Anscheins greift bei typischen Geschehensabläufen ein, also in Fällen, in denen ein bestimmter Sachverhalt feststeht, der nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolgs hinweist. Dabei bedeutet Typizität nicht, dass die Ursächlichkeit einer Tatsache für den Erfolg bei allen Sachverhalten der Fallgruppe immer vorhanden sein muss; sie muss aber so häufig gegeben sein, dass die Wahrscheinlichkeit, einen solchen Fall vor sich zu haben, sehr groß ist (vgl. BAG 20. Juni 2024 – 2 AZR 213/23 – Rn. 13; BGH 3. Dezember 2024 – VI ZR 18/24 – Rn. 19).
bb) Der Bundesgerichtshof hat angenommen, dass für den Absender eines Einwurf-Einschreibens bei Vorlage des Einlieferungsbelegs zusammen mit einer Reproduktion des Auslieferungsbelegs der Beweis des ersten Anscheins streitet, dass die Sendung durch Einlegen in den Briefkasten bzw. das Postfach zugegangen ist, wenn ein näher beschriebenes Verfahren eingehalten wurde (vgl. BGH 11. Mai 2023 – V ZR 203/22 – Rn. 8; 27. September 2016 – II ZR 299/15 – Rn. 33, BGHZ 212, 104). Der Bundesgerichtshof hatte in seinen Entscheidungen ein Zustellverfahren zu beurteilen, bei dem die Ablieferung der Sendung durch deren Einwurf in den Briefkasten oder das Postfach des Empfängers erfolgt ist. Unmittelbar vor dem Einwurf wurde das sog. „Peel-off-Label“ (Abziehetikett), das zur Identifizierung der Sendung dient, von dem zustellenden Postangestellten abgezogen und auf einen vorbereiteten, auf die eingeworfene Sendung bezogenen Auslieferungsbeleg aufgeklebt. Auf diesem Beleg bestätigte der Postangestellte nach dem Einwurf mit seiner Unterschrift und der Datumsangabe die Zustellung. Bei Einhaltung dieses Verfahrens sei der Schluss gerechtfertigt, dass die eingelieferte Sendung tatsächlich in den Briefkasten des Empfängers gelangt ist (vgl. BGH 27. September 2016 – II ZR 299/15 – aaO).
cc) Der Senat muss nicht entscheiden, ob er dieser Rechtsprechung folgt und bei Einhaltung des vorbezeichneten oder eines anderen, von der Deutschen Post AG angewandten Verfahrens vom Vorliegen eines Anscheinsbeweises für den Zugang der im Einschreiben enthaltenen Willenserklärung ausgeht. Es ist weder von der Beklagten vorgetragen noch vom Landesarbeitsgericht festgestellt, welches Verfahren der Deutschen Post AG für die Zustellung des Einwurf-Einschreibens zur Anwendung gekommen ist. Einer hierauf gestützten Zurückverweisung bedarf es indes nicht. Die Beklagte hat den Auslieferungsbeleg für die von ihr am 26. Juli 2022 eingelieferte Postsendung nicht vorgelegt und ist hierzu wegen des zwischenzeitlich eingetretenen Fristablaufs nicht mehr in der Lage. Die Vorlage des Einlieferungsbelegs eines Einwurf-Einschreibens und die Darstellung seines Sendungsverlaufs begründen ohne die Vorlage einer Reproduktion des Auslieferungsbelegs keinen Anscheinsbeweis für den Zugang beim Empfänger (vgl. ErfK/Müller-Glöge 25. Aufl. BGB § 620 Rn. 54). Es fehlt an Angaben über die Person des den Einwurf bewirkenden Postbediensteten sowie über weitere Einzelheiten der Zustellung.
(1) Die Vorlage des Einlieferungsbelegs begründet keine gegenüber einfachen Briefen – bei denen kein Anscheinsbeweis für den Zugang der Sendung besteht (st. Rspr., vgl. BGH 19. Mai 2022 – V ZB 66/21 – Rn. 10; 21. Januar 2009 – VIII ZR 107/08 – Rn. 11) – signifikant erhöhte Wahrscheinlichkeit für den Zugang der Sendung beim gewollten Empfänger des Einwurf-Einschreibens. Da durch die Absendung eines Schreibens nicht der Nachweis seines Zugangs erbracht werden kann, ist der Einlieferungsbeleg für die Frage des Zugangs ohne Bedeutung (vgl. BGH 27. September 2016 – II ZR 299/15 – Rn. 32, BGHZ 212, 104).
(2) Der Ausdruck des Sendungsstatus, auf dem dieselbe Sendungsnummer wie auf dem Einlieferungsbeleg sowie das Zustelldatum vermerkt sind, bietet ebenfalls keine ausreichende Gewähr für einen Zugang. In diesem Fall lässt sich weder feststellen, wer die Sendung zugestellt hat noch gibt es ausreichende Anhaltspunkte dafür, dass das vom Bundesgerichtshof beschriebene oder das jeweils gültige Verfahren der Deutschen Post AG für die Zustellung der eingelieferten Postsendung tatsächlich eingehalten wurde. Der Sendungsstatus ist kein Ersatz für den Auslieferungsbeleg. Er sagt nichts darüber aus, ob der Zusteller tatsächlich eine besondere Aufmerksamkeit auf die konkrete Zustellung gerichtet hat, die den Schluss rechtfertigen würde, dass die eingelieferte Sendung in den Briefkasten des Empfängers gelangt ist.
(3) Für dieses Ergebnis spricht ferner, dass der von der Beklagten vorgelegte Sendungsstatus weder erkennen lässt, an wen die Zustellung erfolgt sein soll (persönlich an den Empfänger, an eine andere Person in dessen Haushalt oder Einwurf in den Hausbriefkasten), noch zu welcher Uhrzeit, unter welcher Adresse oder zumindest in welchem Zustellbezirk. Würde ein solcher Sendungsstatus, der auch die Person des Zustellers in keiner Weise kenntlich macht, für einen Anscheinsbeweis genügen, hätte der vermeintliche Empfänger der Sendung – anders als bei dem Einwurf eines Schreibens in den Hausbriefkasten durch einen Boten – praktisch keine Möglichkeit, ihn zu erschüttern oder gar einen Gegenbeweis anzutreten. Demgegenüber hatte die Beklagte als Absenderin die Möglichkeit, die Reproduktion eines Auslieferungsbelegs anzufordern. Hierzu bestand innerhalb der von ihr angegebenen Frist von 15 Monaten, in denen die Deutsche Post AG die Kopien speichert, auch genügend Anlass, nachdem die Klägerin bereits erstinstanzlich den Zugang des Kündigungsschreibens bestritten hatte und ausweislich des angefochtenen Berufungsurteils im Urteil des Arbeitsgerichts auf die Entscheidung des Bundesgerichtshofs vom 27. September 2016 (- II ZR 299/15 – Rn. 33, BGHZ 212, 104) Bezug genommen wurde.
(4) Die Ausführungen der Beklagten zum „Vertrauensvorschuss“ eines Sendungsstatus stellen bloße Mutmaßungen und Annahmen dar, die nichts über den konkreten Ablauf des Zustellverfahrens aussagen.
dd) Soweit die Beklagte meint, ein Anscheinsbeweis sei aufgrund von Besonderheiten des Falls wegen „vieler positiver Indizien“ (in Bezug auf die fehlende Glaubwürdigkeit der Angaben der Klägerin) gegeben, zeigt sie damit keinen Rechtsfehler im Berufungsurteil auf. Eine konkrete Verfahrensrüge ist damit nicht verbunden. Im Ergebnis setzt die Beklagte lediglich ihre eigene Bewertung an die Stelle der Bewertung durch das Landesarbeitsgericht.
OLG Rostock
Hinweisbeschluss vom 03.04.2024 7 U 2/24
Das OLG Rostock hat in einem Hinweisbeschluss ausgeführt, dass die Absendung einer E-Mail keinen Anscheinsbeweis für den Zugang der E-Mail begründet.
Aus den Entscheidungsgründen: 2. Auch auf die Grundsätze des kaufmännischen Bestätigungsschreibens kann die Klägerin sich nicht mit Erfolg stützten. Dieser hilfsweise Argumentationsstrang der Klägerin scheitert jedenfalls daran, dass nach Beweislastgrundsätzen nicht von dem beklagtenseits bestrittenen Zugang (§ 130 Abs. 1 Satz 1 BGB) des vermeintlichen Bestätigungsschreibens ausgegangen werden kann. Die Beweislast für den Zugang liegt – darüber besteht im Ausgangspunkt auch zwischen den Parteien Konsens – bei der Klägerin. Dabei kommt der Klägerin die von ihr reklamierte Beweiserleichterung eines Anscheinsbeweises nicht zu Gute. Taugliche Beweisantritte liegen nicht vor.
a) Für die Annahme eines Anscheinsbeweises für den Zugang einer feststehendermaßen abgesandten (einfachen, insbesondere ohne Empfangs- oder Lesebestätigung übermittelten) E-Mail sieht der Senat keine Grundlage. Die von der Klägerin für ihren gegenteiligen Standpunkt zuletzt in der Berufungsbegründung zitierte instanzgerichtliche Entscheidung (AG Frankfurt a. M., Urteil vom 23.10.2008 – 30 C 730/08, BeckRS 2009, 5792), die einen Anscheinsbeweis bejaht hat, ist vereinzelt geblieben und hat sich nicht durchgesetzt. Hierauf hat bereits die Beklagte in der Berufungserwiderung unter Fundstellenangabe zutreffend hingewiesen. Es entspricht in der (insbesondere auch obergerichtlichen) Rechtsprechung sowie im Kommentarschrifttum nahezu einhelliger Auffassung, dass für den Zugang einer (im vorbezeichneten Sinne einfachen) E-Mail allein aufgrund des Feststehenden Absendens, auch in Verbindung mit dem feststehenden Nichterhalt einer Unzustellbarkeitsnachricht auf Seiten des Absenders, kein Anscheinsbeweis streitet (etwa: OLG Hamm, Beschluss vom 10.08.2023 – I-26 W 13/23 [Juris; Tz. 5 ff.]; LAG Berlin-Brandenburg, Urteil vom 24.08.2018 – 2 Sa 403/18 [Juris; Tz. 39]; LAG Köln, Urteil vom 11.01.2022 – 4 Sa 315/21, MDR 2022, 392 [Juris; Tz. 58 f.]; LG Hagen, Beschluss vom 31.03.2023 – 10 O 328/22 [Juris; Tz. 9]; Erman/Arnold, BGB, 17. Aufl. 2023, § 130 Rn. 33; jurisPK-BGB/Reichold, 10. Aufl. 2023 [Stand: 15.05.2023], § 130 Rn. 65; Staudinger/Singer/Benedict, BGB, Neubearbeitung 2021, § 130 Rn. 110; BeckOK IT-Recht/Borges, 13. Edition – 01.05.2021, BGB § 130 Rn. 58; Grüneberg/Ellenberger, BGB, 83. Aufl. 2024, § 130 Rn. 21; BeckOGK BGB/Gomille, Stand: 01.09.2022, § 130 Rn. 135, m.w.N.). Diese Auffassung teilt auch der Senat. Der Zugang mag unter den genannten Voraussetzungen – sofern sie ihrerseits unbestritten oder erwiesen sind und damit prozessual feststehen – „die Regel“ darstellen, ist aber letztlich jedenfalls unter den gegenwärtigen technischen Bedingungen (noch) nicht in einem Maße typisch, dass die Bejahung einer prima-facie-Beweiserleichterung gerechtfertigt wäre.
b) Soweit die Klägerin zum Beweis des E-Mail-Zugangs bei der Beklagten auf eine Vorlage bzw. Offenlegung der gesamten elektronischen Posteingänge der Beklagten im hier interessierenden Zeitraum durch die Beklagte verweist, war und ist diesem Beweisantritt nicht nachzugehen. Nicht anders als in der „analogen“ Welt, in der ein Zugangsnachweis in einem Zivilprozess unstreitig nicht dadurch geführt werden könnte, dass die Briefkästen oder gar Wohn- und Geschäftsräume des vermeintlichen Empfängers umfassend auf den in Rede stehenden Brief „durchforstet“ werden und der Prozessgegner diese Maßnahme zu dulden bzw. an ihr gar aktiv mitzuwirken hätte, kann der Beweis des Zugangs einer E-Mail nicht dadurch erbracht werden, dass der vermeintliche Adressat selbst seinen E-Mail-Account mit dem virtuellen Posteingangskorb und ggf. weiteren Ablageordnern („Gelöschte Elemente“ o.ä.) zu Beweiszwecken gleichsam zur Verfügung stellen müsste (auch nicht indirekt im Rahmen einer sachverständigen Begutachtung; LG Duisburg, Beschluss vom 28.06.2010 – 12 S 67/10, RRa 2011, 25 [Juris; Tz. 10]). Ob für die Beklagte hinsichtlich des in Rede stehenden (E-Mail-) Schreibens eine steuer- oder handelsrechtliche Aufbewahrungspflicht bestanden hätte, spielt insoweit keine Rolle. Unabhängig hiervon bieten für eine entsprechende Beweisführung weder die §§ 371 ff. ZPO noch die §§ 142 ff. ZPO eine Grundlage. Die Klägerin selbst hat auch keine rechtliche Grundlage für ihren Beweisantritt benannt (…).
Das LG Köln hat entschieden, dass eine Sparkasse seinem Kunden nach einem Phishing-Angriff per Call-ID Spoofing gemäß § 675u BGB den Schaden durch nicht autorisierte Zahlungsvorgänge ersetzen muss.
Aus den Entscheidungsgründen; Der Klageantrag zu 1.) ist begründet. Der Kläger hat einen Anspruch gegen die Beklagte, das bei ihr geführte Girokonto des Klägers Nr. N01 auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge in Höhe von insgesamt EUR 9.933,38 am 23.09.2022 befunden hätte.
1. Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
2. Diese Voraussetzungen sind vorliegend erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch den Kläger autorisiert waren. Dies ist bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden sind; eine Stellvertretung für den Kläger ist ausgeschlossen (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, BGHZ 208, 331 Rn. 58 m.w.N.). Dass der Kläger die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert hat, steht nach dem Vortrag der Parteien fest. Während die Beklagte zunächst die Autorisierung jedenfalls konkludent bestritten hat („sofern er die Freigabe einer digitalen Debitkarte nicht wissentlich veranlasst hat“, Bl. 73 d. A.), ging sie zuletzt von „durch den Betrüger vorgenommenen Zahlungen“ (Bl. 157 d. A.) aus. Jedenfalls wäre auch ein einfaches Bestreiten der Beklagten, die nach Maßgabe des § 675w BGB vorrangig im Hinblick auf den Nachweis der Authentifizierung darlegungs- und beweisbelastet ist, nicht geeignet gewesen, um den substantiierten Ausführungen des Klägers entgegenzutreten (vgl. § 138 Abs. 3 ZPO).
Die Beklagte kann dem klägerischen Anspruch auch keinen Schadensersatzanspruch gemäß § 675v BGB nach § 242 BGB entgegenhalten (sog. dolo-agit-Einwendung). Der Beklagten steht unter keinem erdenklichen rechtlichen Gesichtspunkt ein solcher Schadensersatzanspruch zu. Ein solcher Anspruch ergibt sich insbesondere nicht aus § 675v Abs. 3 Nr. 2 BGB.
Nach § 675v Abs. 3 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt hat (§ 675v Abs. 3 Nr. 1 BGB) oder er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB (§ 675v Abs. 3 Nr. 2 a) BGB) oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments nach § 675l Abs. 2 BGB (§ 675v Abs. 3 Nr. 2 b) BGB) herbeigeführt hat.
Im Hinblick auf den allein in Betracht kommenden Anspruch gemäß § 675v Abs. 3 Nr. 2 BGB ist die Beklagte ihrer diesbezüglichen Darlegungs- und Beweislast nicht nachgekommen.
Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (vgl. BGH, Urteil vom 26.01.2016, XI ZR 91/44, Rn. 71 m.w.N.). Dabei kommt dem Zahlungsdienstleister auch kein Anscheinsbeweis zu Gute, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt (BGH, a.a.O. Rn.68).
Schon nach dem Vortrag der Beklagten fehlt es hier allerdings beim Kläger an einer grob fahrlässigen Verletzung der Pflichten eines Zahlungsdienstnutzers. Das Verhalten des Klägers ist danach jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten.
Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand. In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen.
Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“. Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand und auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (vgl. LG Köln, Urteil vom 09.03.2023 - 15 O 267/22). Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle. Der Vorgang und auch der Pflichtenverstoß des Klägers ist daher bereits nicht allein dessen Verantwortungsbereich anzulasten.
Auf die Fragen, ob eine starke Kundenauthentifizierung verlangt wurde (§ 675v Abs. 4 BGB) oder der Beklagten ein Mitverschulden anzulasten ist, kommt es insofern nicht mehr an.
II. Der Klageantrag zu 2.) ist ebenfalls begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten in Höhe von EUR 973,66 nebst Zinsen in Höhe von fünf Prozentpunkten seit dem 23.05.2023.
Der Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten ergibt sich aus §§ 280 Abs. 1, 2, 286 BGB i.V.m. § 675u Satz 3 BGB. Die Beklagte befand sich mit der gemäß § 675u Sätze 2, 3 BGB „unverzüglich“ geschuldeten Erstattung in Verzug (vgl. OLG Celle Hinweisbeschluss v. 17.11.2020 – 3 U 122/20, BeckRS 2020, 33608 Rn. 44 ff.).
Der Zinsanspruch folgt aus §§ 291, 288 Abs. 1 BGB i.V.m. § 187 Abs. 1 BGB analog.
Das OLG Frankfurt hat entschieden, dass kein Erstattungsanspruch gegen die Bank nach einem Phishing-Angriff per SMS besteht, wenn der Kunde grob fahrlässig gehandelt hat (hier; Mehrmalige Bestätigung per PushTAN auf Anforderung eines Anrufers).
Die Pressemitteilung des Gerichts: Phishing-Angriff - Keine Haftung der Bank
Die Bank haftet nicht für einen aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsbetrag.
Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags, bestätigte das Oberlandesgericht Frankfurt am Main mit heute veröffentlichter Entscheidung das klageabweisende Urteil des Landgerichts.
Der Kläger, Rechtsanwalt und Steuerberater in einer internationalen Sozietät, führt bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sog. PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich hat er eingestellt, dass seine Identität über die Gesichtserkennung des Smartphones bestätigt werden muss. Sein Überweisungslimit lag bei 10.000 €.
Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort „Sparkasse“ enthielt. Die im Absender der SMS genannte Telefonnummer hatte die Beklagte in der Vergangenheit bereits verwendet, um den Kläger über vorrübergehende Sperrungen nach Sicherheitsvorfällen zu informieren. Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen und bestätigte auf Anweisung des Anrufers seinen Angaben nach „etwas“ in der PushTAN-App der Beklagten. Am selben Tag wurde das Konto des Klägers mit einer Überweisung i.H.v. 49.999,99 € belastet und als Empfänger eine männliche Person mit Vor- und Nachnamen angegeben.
Mit seiner Klage begehrt der Kläger von der Beklagten die Gutschrift dieses Betrags. Das Landgericht hat die Klage abgewiesen. Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, bestätigte das OLG die landgerichtliche Entscheidung.
Für die Limitänderung fordere die Beklagte eine starke Kundenauthentifizierung mit PIN und PushTAN. Gemäß den Aufzeichnungen der Beklagten sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 € angefordert worden, die per Gesichtserkennung auch erteilt worden sei. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 € angefordert und ebenfalls per Gesichtserkennung erteilt worden.
Damit sei der Vortrag des Klägers, nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine sehr hohe Wahrscheinlichkeit dafür, dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.
Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.
Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. “Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betont das OLG, „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist“.
Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungsdiensteanbieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert. Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als „atypisch“ wahrgenommenen Umgebung freizugeben, erkennen müssen. „Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war.“
Die Entscheidung ist nicht rechtskräftig. Mit der Nichtzulassungsbeschwerde hat der Kläger die Zulassung der Revision beim BGH begehrt.
Oberlandesgericht Frankfurt am Main, Urteil vom 06.12.2023, Az. 3 U 3/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 09.12.2022, Az. 2-25 O 41/22)
Das LG Heilbronn hat entschieden, dass das PushTAN-Verfahren ein erhöhtes Gefährdungspotential aufweist, so dass kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht.
Aus den Entscheidungsgründen: Der Anspruch des Klägers aus § 675u S.2 BGB ist zunächst entstanden.
DievomKlägererklärteKlageänderungnachHinweisdesGerichtsistgem.§264Nr. 2ZPOzulässig.AlsRechtsfolgegewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung,
d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet, nicht unmittelbar auf Zahlung.
Die streitgegenständlichen Überweisungen von den Konten des Klägers waren von diesen auch nicht autorisiert. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).
Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform des telefonischen Abgreifens der TAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).
Der Kläger trägt vor, dass er keine der streitgegenständlichen Überweisungen veranlasste, sondern ein unbekannter Dritter ohne sein Wissen und Wollen mit der vermeintlich für andere Maßnahmen abgefragten TAN-Nummern, entgegen der Erwartung, diese TANs seien für die Rückgängigmachung der erfolgten Überweisungen erforderlich. Dies wird von der Beklagten letztlich zugestanden, so dass es auf die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisungen - welche gemäß § 675w S. 1 BGB bei der Beklagten läge - vorliegend nicht ankommt.
Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt (ähnlich LG Bonn 19.12.2003 - 2 O 472/03, MMR 2004, 179, 180 = CR 2004, 218), sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat (vgl. insoweit Ellenberger/Bunte/Maihold, Bankrechtshandbuch Band 1 6. Aufl. 2022 Rz. 34 f und Rz.391 mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).
2. Der Anspruch des Klägers nach § 625u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB. Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und in der mündlichen Verhandlung nach Hinweis des Gerichts die Aufrechnung ausdrücklich erklärt, § 388 BGB.
Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen den Kläger jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.
Nach § 675l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Der Kläger hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.
Beim Social Engineering wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 - 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 - 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 - XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 - 35, juris).
Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts als grob fahrlässig einzustufen.
So liegt schon ein Verstoß gegen Ziffer 7.1.(2) b 5. Spiegelstrich der vertraglich vereinbarten Sonderbedingungen für das Online-Banking vor: „Besitzelemente, wie z. B. die girocard mit TAN-Generator oder ein mobiles Endgerät, sind vor Missbrauch zu schützen, insbesondere…. – dürfen die Nachweise des Besitzelements (z. B. TAN) nicht außerhalb des Online-Banking mündlich (z. B. per Telefon) oder in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden…“.
Im Ergebnis bestreitet der Kläger die von der Beklagten vorgelegten Protokolle nicht, wonach er insgesamt in einem Zeitraum von 6 Minuten telefonisch mindestens 3 unterschiedlich generierte TAN-Nummern telefonisch weitergegeben hat an eine ihm persönlich nicht bekannte Person, die noch nicht einmal unter einer dem Kläger bekannten Telefonnummer der Beklagten angerufen hat. Dabei leuchtet jedem ein, dass online-banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet. Der Kläger, der eigenen Angaben zufolge schon langjährig Online-Banking bei der Beklagten nutzt, hat selbst auch keinen Fall geschildert, in dem er zuvor von einem Bankmitarbeiter telefonisch im Rahmen des Online-Bankings kontaktiert wurde. Ihm hätte also dieser Umstand besonders auffallen müssen, insbesondere aber auch der Umstand, dass ihm im Gespräch mehrere TAN abverlangt wurden, die er ja jeweils eigenständig kreieren musste. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen. Jedenfalls seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert. Der Kläger musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen (OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, juris). Hinzu kommt der Umstand, dass ausweislich der Anlage B2 dem Kläger bei Mitteilung der generierten TAN deren Verwendungszweck auf dem Smartphone-Display mitangezeigt wurde, also u.a. auch der Überweisungsbetrag und die IBAN des Empfängers. Das Bestreiten des Vortrages der Beklagten durch den Kläger mit Nichtwissen in der Replik dahingehend, ob diese Anzeige auch schon im September 2021 erfolgte, ist prozessual unbeachtlich. Es handelt sich um eine eigene Wahrnehmung des Klägers, der eigenen Angaben zufolge schon jahrelang das Online-Banking der Beklagten und die SecureGo-App nutzt, weshalb ein Bestreiten mit Nichtwissen prozessual unbeachtlich bleibt. Letztlich hat der Kläger in seiner offenen und überzeugenden Schilderung anlässlich seiner Anhörung auch eingeräumt, dass die Angaben aus der Anlage B 2 tatsächlich in der SecureGo-App bei Mitteilung der jeweiligen TAN sichtbar waren. Dann aber ist es nicht mehr nachvollziehbar, bei Anzeige der Überweisungsbeträge und der Empfänger-IBAN bei der übermittelten TAN diese mündlich an einen Dritten telefonisch zu übermitteln im Glauben daran, damit würde eine Überweisung rückgängig gemacht. Das genaue Gegenteil ergibt sich aus der Ansicht in der SecureGo-App. Bei einer Gesamtschau dieser Umstände musste sich dem Kläger daher aufdrängen, dass es sich nicht um einen regulären Vorgang, sondern nur um einen Betrug handeln konnte.
3. Eine Kürzung des Aufrechnungsanspruchs wegen eines Mitverschuldens der Beklagten scheidet aus.
Soweit der Kläger behauptet, in zeitlich engem Zusammenhang zu dem streitgegenständlichen Tatvorgang sei es nach Mitteilung einer Mitarbeiterin zu weiteren Betrugsfällen mit ähnlichem bzw. identischen Tatmuster gekommen sei, was den Verdacht bestärke, dass es ein Sicherheitsleck auf Seiten der Beklagten gegeben habe, bleibt dieser Vortrag in der Sache und der zeitlichen Einordnung (schon vor 24.9.2021, wie lange davor und ab wann der Beklagten in wie vielen Fällen bekannt) ohne Substanz und damit als Behauptung ins Blaue rechtlich ohne Belang.
Auch die Tatsache, dass die TAN-Nummern des Klägers innerhalb von einigen Minuten verwendet wurden, um insgesamt zwei Auszahlungen i.H.v. 4.989,36 € sowie 3.444,36 € vorzunehmen und der doch relativ unübliche Empfängername und die Tatsache, dass dort keinerlei Verwendungszweck angegeben war, rechtfertigt keinen Mitverschuldenseinwand etwa dahingehend, dass die Mitarbeiter der Beklagten zumindest zur telefonischen Kontaktaufnahme mit dem Kläger Veranlassung hätten sehen müssen. Im Zahlungsverkehr bestehen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 - XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.
Das AG Frankenthal hat entschieden, dass kein Anscheinsbeweis dafür besteht, dass eine eBay-Auktion durch den Accountinhaber erstellt wurde, wenn Umstände auf eine rechtswidrige Nutzung durch einen Dritten hindeuten.
Die Pressemitteilung des Gerichts: Entscheidung des Monats Oktober
Leitsatz:
Ein Anscheinsbeweis dahingehend, dass eine Ebay-Versteigerung durch den Accountinhaber initiiert wurde, greift jedenfalls dann nicht, wenn sich dem Käufer aufgrund anderer Umstände der Verdacht aufdrängen musste, der Account könnte von Dritten rechtswidrig genutzt worden sein. (Hier: Email mit ungewöhnlichem, zweifelhaften Abwicklungsvorschlag)
Sachverhalt:
Der Beklagte unterhielt einen eBay Account unter dem Namen „m.“. Unter diesem Account und unter der Auktionsnummer # 294163479699 wurde ein Rennrad „Cervelo s5 2019 — RH 56 cm — Gr. L / 1,75-1,85 zum Preise von 2.765,00 € zum Kauf angeboten. Der Kläger macht geltend, er sei zum Zeitpunkt des Auktionsende Höchstbietender gewesen, sodass zwischen den Parteien ein Kaufvertrag zustande gekommen sei. Gleichwohl habe der Beklagte das Fahrrad trotz mehrfacher Aufforderungen nicht ausgeliefert, sondern es vielmehr ab dem 11.5.2021 erneut anderweitig angeboten. Mit der weiteren Behauptung, das Fahrrad habe angesichts der sehr geringen Laufleistung einen Zeitwert von mindestens 4.500 € gehabt, macht der Kläger einen Nichterfüllungsschaden in Höhe von 1.735 € geltend.
Der Beklagte bringt vor, er habe keine entsprechende Auktion gestartet, sodass zwischen den Parteien auch kein Kaufvertrag zustande gekommen sein könne. Sein Account sei von einem unbekannten Dritten gehackt worden. Die eBay GmbH habe ihm mitgeteilt, sein Konto sei bereits am 19.5.2021 (Anmerkung: also nach der oben genannten Versteigerungsaktion) geschlossen worden. Aus dem aufgrund seiner Strafanzeige bei der Staatsanwaltschaft E. unter Aktenzeichen (…) geführten Ermittlungsverfahren ergebe sich, dass der wahre Vertragspartner des Klägers ein Herr J. sei.
Aus den Entscheidungsgründen:
Die Klage ist unbegründet. Das Gericht kann nicht zu seiner Überzeugung feststellen, dass zwischen den Parteien ein Kaufvertrag gem. § 433 BGB zustande gekommen wäre, dessen Erfüllung der Kläger verlangen könnte. Der Kläger blieb hierfür beweisfällig. Andere zugunsten des Klägers streitende Anspruchsgrundlagen sind nicht ersichtlich. Die Beweislast für das Zustandekommen eines Vertrages, aus dem Ansprüche hergeleitet werden sollen, trägt nach den allgemeinen Regeln der Kläger. Beweis dafür, dass der Beklagte selbst das Verkaufsangebot bei eBay eingestellt hatte oder dieses mit dessen Kenntnis und Willen dort von einem Dritten eingestellt wurde, bietet der Kläger nicht an. Zu seinen Gunsten streitet auch nicht deshalb ein Anscheinsbeweis, weil ein eBay-Account des Beklagten verwendet wurde. Es fehlt insoweit bereits an einem typischen Geschehensablauf, weil der Sicherheitsstandard im Internet derzeit nicht ausreichend ist. Für eine Zurechnung reicht es nicht bereits aus, dass der Kontoinhaber evtl. die Zugangsdaten nicht hinreichend vor dem unberechtigten Zugriff des Handelnden geschützt hat. Auch eine von eBay gestellte und von jedem registrierten Nutzer akzeptierte Formularklausel, wonach Mitglieder grundsätzlich für sämtliche Aktivitäten haften, die unter Verwendung ihres Mitgliedskontos vorgenommen werden, begründet keine Haftung des Kontoinhabers gegenüber Auktionsteilnehmern (BGH, Urteil vom 11.05.2011, VIII ZR 289/09, juris; OLG Hamm, Urteil vom 16.11.2006, Az. 28 U 84/06, NJW 2007,611; Neubauer/Steinmetz, Handbuch des Multimediarechts, 2022, Teil 14, Internetauktionen, Rn. 58 f.). Selbst wenn zu Vorstehendem eine andere Auffassung vertreten würde, wäre ein zugunsten des Kläger in Betracht kommender Anscheinsbeweis jedenfalls erschüttert. Der Kläger selbst legt nämlich mit der Anlage zur Anspruchsbegründung auch eine Nachricht vor, die zwar die Absenderkennung des Beklagten trägt, jedoch den Empfänger mit dem fadenscheinigen Zusatz, der Absender der Nachricht habe „auf die letzte Auszahlung über drei Wochen (…) warten müssen“ darum bittet, „nicht direkt an eBay zu zahlen“, sondern eine Telefonnummer „[...]“ anzurufen. Bereits hier drängt sich der Verdacht eines Betrugsversuchs auf. Der Beklagte hat darüber hinaus unter Hinweis auf das Ergebnis des Ermittlungsverfahrens dargelegt, nicht Inhaber der genannten Telefonnummer zu sein.
Der BGH hat sich in dieser Entscheidung mit den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking befasst und entschieden, dass trotzt bestehender Sicherheitsbedenken beim Verwendung von PIN und smsTan ein Anscheinsbeweis zu Gunsten der Bank / Sparkasse bestehen kann. Voraussetzung ist - so der BGH - jedoch, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Der BGH hat die Sache an die Vorinstanz zurückverwiesen.
Die Pressemitteilung des BGH:
Bundesgerichtshof entscheidet zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking
Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB* die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.
Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.
Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.
Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:
Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB "nicht notwendigerweise", um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.
Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.
Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.
Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.
Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.
Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.
Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB** scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.
Vorinstanzen:
Landgericht Lübeck - Urteil vom 7. Juni 2013 - 3 O 418/12
Schleswig-Holsteinisches Oberlandesgericht in Schleswig - Beschluss vom 22. Januar 2014 - 5 U 87/13
Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler
1. den Zahlungsvorgang autorisiert,
2. in betrügerischer Absicht gehandelt,
3. eine oder mehrere Pflichten gemäß § 675l verletzt oder
4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.
Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente
Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.
Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments
(…)
(2) Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung
1. einer oder mehrerer Pflichten gemäß § 675l oder
2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.
Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.
Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking
Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.
Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.
In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.
Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.
Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15
BGH
Urteil vom 12.06.2014 I ZR 50/13
ZPO § 286 Abs. 1
Leitsatz des BGH:
Der Tatrichter hat sich die Überzeugung von der Richtigkeit des vom Anspruchsteller behaupteten Umfangs einer verlorengegangenen Sendung anhand der gesamten Umstände des Einzelfalls zu bilden. Dabei sind nicht nur vorgelegte
Lieferscheine und dazu korrespondierende Rechnungen, sondern alle Umstände, die für oder gegen den vom Kläger vorgetragenen Umfang sprechen - gegebenenfalls nach einer Beweiserhebung - zu berücksichtigen. Eine Beweiserleichterung
aufgrund der Grundsätze zum Anscheinsbeweis kommt ihm insoweit nicht zugute.
BGH, Urteil vom 12. Juni 2014 - I ZR 50/13 - OLG Köln - LG Bonn
Das OLG Bremen hat entschieden, dass kein Anscheinsbeweis dafür besteht, dass ein über ein eBay-Konto abgegebenes Gebot tatsächlich vom Inhaber des eBay-Kontos stammt. Insofern rügt das Gericht die nicht ausreichenden Sicherheitsstandards im Internet. Verkäufern bei eBay dürfte es im Streitfall sehr schwer fallen, nachzuweisen, dass das Gebot tatsächlich vom Kontoinhaber getätigt wurde.
Aus den Entscheidungsgründen:
"Der Kläger hat den Beweis dafür, dass der Beklagte das streitgegenständliche Höchstgebot abgegeben hat, nicht geführt. Einen Beweis dafür, dass der Beklagte das Angebot selbst abgegeben hat, hat der Kläger nicht angeboten. Zutreffend hat das Landgericht ausgeführt, dass die Beweislast für den Vertragsschluss beim Kläger liegt, da er Ansprüche aus diesem Vertrag ableiten will.
[...]
Zutreffend ist das Landgericht auch zu dem Ergebnis gekommen, dass für die Tatsache, dass eine über ein bestimmtes Mitgliedskonto abgegebene Willenserklärung von dem jeweiligen Kontoinhaber abgegeben worden ist, kein Anscheinsbeweis spricht, da es an einem für die Annahme eines Anscheinsbeweises erforderlichen typischen Geschehensablauf fehlt. Der Sicherheitsstandard im Internet ist derzeit nicht ausreichend, um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist (BGH NJW 2011, 2421 ff, 2422 m.w.N.; Hamm, NJW 2007, 611; vgl. auch Klein, MMR 2011, 447 ff., 450)."
Der BGH hat entschieden, dass in Skimming-Fällen kein Anscheinsbeweis zu Lasten der Kunden gilt. Vielmehr muss bei derartigen atypischen Geschehensabläufen die Bank ggf. beweisen, dass die Abhebung unter Einsatz der Originalkarte erfolgte.
Aus der Pressemitteilung des BGH:
"Zwar kann nach der Rechtsprechung des Bundesgerichtshofs (Senatsurteil vom 5. Oktober 2004 – XI ZR 210/03, BGHZ 160, 308, 314 f.; Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 10) in Fällen, in denen an Geldausgabeautomaten unter Verwendung der zutreffenden Geheimzahl Geld abgehoben wurde, der Beweis des ersten Anscheins dafür sprechen, dass entweder der Karteninhaber die Abhebungen selbst vorgenommen hat oder – was hier nach der Feststellung des Berufungsgerichts allein in Betracht kam – dass ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte. Das setzt aber voraus, dass bei der missbräuchlichen Abhebung die Originalkarte eingesetzt worden ist, da bei Abhebung mithilfe einer ohne Kenntnis des Inhabers gefertigten Kartenkopie (z.B. durch Skimming) kein typischer Geschehensablauf dafür spricht, Originalkarte und Geheimzahl seien gemeinsam aufbewahrt worden. Den Einsatz der Originalkarte hat dabei die Schadensersatz begehrende Bank zu beweisen."
Die vollständige Pressemitteilung des BGH finden Sie hier:
