Das AG Frankenthal hat entschieden, dass kein Anscheinsbeweis dafür besteht, dass eine eBay-Auktion durch den Accountinhaber erstellt wurde, wenn Umstände auf eine rechtswidrige Nutzung durch einen Dritten hindeuten.
Die Pressemitteilung des Gerichts: Entscheidung des Monats Oktober
Leitsatz:
Ein Anscheinsbeweis dahingehend, dass eine Ebay-Versteigerung durch den Accountinhaber initiiert wurde, greift jedenfalls dann nicht, wenn sich dem Käufer aufgrund anderer Umstände der Verdacht aufdrängen musste, der Account könnte von Dritten rechtswidrig genutzt worden sein. (Hier: Email mit ungewöhnlichem, zweifelhaften Abwicklungsvorschlag)
Sachverhalt:
Der Beklagte unterhielt einen eBay Account unter dem Namen „m.“. Unter diesem Account und unter der Auktionsnummer # 294163479699 wurde ein Rennrad „Cervelo s5 2019 — RH 56 cm — Gr. L / 1,75-1,85 zum Preise von 2.765,00 € zum Kauf angeboten. Der Kläger macht geltend, er sei zum Zeitpunkt des Auktionsende Höchstbietender gewesen, sodass zwischen den Parteien ein Kaufvertrag zustande gekommen sei. Gleichwohl habe der Beklagte das Fahrrad trotz mehrfacher Aufforderungen nicht ausgeliefert, sondern es vielmehr ab dem 11.5.2021 erneut anderweitig angeboten. Mit der weiteren Behauptung, das Fahrrad habe angesichts der sehr geringen Laufleistung einen Zeitwert von mindestens 4.500 € gehabt, macht der Kläger einen Nichterfüllungsschaden in Höhe von 1.735 € geltend.
Der Beklagte bringt vor, er habe keine entsprechende Auktion gestartet, sodass zwischen den Parteien auch kein Kaufvertrag zustande gekommen sein könne. Sein Account sei von einem unbekannten Dritten gehackt worden. Die eBay GmbH habe ihm mitgeteilt, sein Konto sei bereits am 19.5.2021 (Anmerkung: also nach der oben genannten Versteigerungsaktion) geschlossen worden. Aus dem aufgrund seiner Strafanzeige bei der Staatsanwaltschaft E. unter Aktenzeichen (…) geführten Ermittlungsverfahren ergebe sich, dass der wahre Vertragspartner des Klägers ein Herr J. sei.
Aus den Entscheidungsgründen:
Die Klage ist unbegründet. Das Gericht kann nicht zu seiner Überzeugung feststellen, dass zwischen den Parteien ein Kaufvertrag gem. § 433 BGB zustande gekommen wäre, dessen Erfüllung der Kläger verlangen könnte. Der Kläger blieb hierfür beweisfällig. Andere zugunsten des Klägers streitende Anspruchsgrundlagen sind nicht ersichtlich. Die Beweislast für das Zustandekommen eines Vertrages, aus dem Ansprüche hergeleitet werden sollen, trägt nach den allgemeinen Regeln der Kläger. Beweis dafür, dass der Beklagte selbst das Verkaufsangebot bei eBay eingestellt hatte oder dieses mit dessen Kenntnis und Willen dort von einem Dritten eingestellt wurde, bietet der Kläger nicht an. Zu seinen Gunsten streitet auch nicht deshalb ein Anscheinsbeweis, weil ein eBay-Account des Beklagten verwendet wurde. Es fehlt insoweit bereits an einem typischen Geschehensablauf, weil der Sicherheitsstandard im Internet derzeit nicht ausreichend ist. Für eine Zurechnung reicht es nicht bereits aus, dass der Kontoinhaber evtl. die Zugangsdaten nicht hinreichend vor dem unberechtigten Zugriff des Handelnden geschützt hat. Auch eine von eBay gestellte und von jedem registrierten Nutzer akzeptierte Formularklausel, wonach Mitglieder grundsätzlich für sämtliche Aktivitäten haften, die unter Verwendung ihres Mitgliedskontos vorgenommen werden, begründet keine Haftung des Kontoinhabers gegenüber Auktionsteilnehmern (BGH, Urteil vom 11.05.2011, VIII ZR 289/09, juris; OLG Hamm, Urteil vom 16.11.2006, Az. 28 U 84/06, NJW 2007,611; Neubauer/Steinmetz, Handbuch des Multimediarechts, 2022, Teil 14, Internetauktionen, Rn. 58 f.). Selbst wenn zu Vorstehendem eine andere Auffassung vertreten würde, wäre ein zugunsten des Kläger in Betracht kommender Anscheinsbeweis jedenfalls erschüttert. Der Kläger selbst legt nämlich mit der Anlage zur Anspruchsbegründung auch eine Nachricht vor, die zwar die Absenderkennung des Beklagten trägt, jedoch den Empfänger mit dem fadenscheinigen Zusatz, der Absender der Nachricht habe „auf die letzte Auszahlung über drei Wochen (…) warten müssen“ darum bittet, „nicht direkt an eBay zu zahlen“, sondern eine Telefonnummer „[...]“ anzurufen. Bereits hier drängt sich der Verdacht eines Betrugsversuchs auf. Der Beklagte hat darüber hinaus unter Hinweis auf das Ergebnis des Ermittlungsverfahrens dargelegt, nicht Inhaber der genannten Telefonnummer zu sein.
Der BGH hat sich in dieser Entscheidung mit den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking befasst und entschieden, dass trotzt bestehender Sicherheitsbedenken beim Verwendung von PIN und smsTan ein Anscheinsbeweis zu Gunsten der Bank / Sparkasse bestehen kann. Voraussetzung ist - so der BGH - jedoch, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Der BGH hat die Sache an die Vorinstanz zurückverwiesen.
Die Pressemitteilung des BGH:
Bundesgerichtshof entscheidet zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking
Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB* die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.
Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.
Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.
Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:
Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB "nicht notwendigerweise", um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.
Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.
Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.
Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.
Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.
Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.
Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB** scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.
Vorinstanzen:
Landgericht Lübeck - Urteil vom 7. Juni 2013 - 3 O 418/12
Schleswig-Holsteinisches Oberlandesgericht in Schleswig - Beschluss vom 22. Januar 2014 - 5 U 87/13
Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler
1. den Zahlungsvorgang autorisiert,
2. in betrügerischer Absicht gehandelt,
3. eine oder mehrere Pflichten gemäß § 675l verletzt oder
4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.
Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente
Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.
Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments
(…)
(2) Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung
1. einer oder mehrerer Pflichten gemäß § 675l oder
2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.
Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.
Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking
Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.
Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.
In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.
Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.
Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15
BGH
Urteil vom 12.06.2014 I ZR 50/13
ZPO § 286 Abs. 1
Leitsatz des BGH:
Der Tatrichter hat sich die Überzeugung von der Richtigkeit des vom Anspruchsteller behaupteten Umfangs einer verlorengegangenen Sendung anhand der gesamten Umstände des Einzelfalls zu bilden. Dabei sind nicht nur vorgelegte
Lieferscheine und dazu korrespondierende Rechnungen, sondern alle Umstände, die für oder gegen den vom Kläger vorgetragenen Umfang sprechen - gegebenenfalls nach einer Beweiserhebung - zu berücksichtigen. Eine Beweiserleichterung
aufgrund der Grundsätze zum Anscheinsbeweis kommt ihm insoweit nicht zugute.
BGH, Urteil vom 12. Juni 2014 - I ZR 50/13 - OLG Köln - LG Bonn
Das OLG Bremen hat entschieden, dass kein Anscheinsbeweis dafür besteht, dass ein über ein eBay-Konto abgegebenes Gebot tatsächlich vom Inhaber des eBay-Kontos stammt. Insofern rügt das Gericht die nicht ausreichenden Sicherheitsstandards im Internet. Verkäufern bei eBay dürfte es im Streitfall sehr schwer fallen, nachzuweisen, dass das Gebot tatsächlich vom Kontoinhaber getätigt wurde.
Aus den Entscheidungsgründen:
"Der Kläger hat den Beweis dafür, dass der Beklagte das streitgegenständliche Höchstgebot abgegeben hat, nicht geführt. Einen Beweis dafür, dass der Beklagte das Angebot selbst abgegeben hat, hat der Kläger nicht angeboten. Zutreffend hat das Landgericht ausgeführt, dass die Beweislast für den Vertragsschluss beim Kläger liegt, da er Ansprüche aus diesem Vertrag ableiten will.
[...]
Zutreffend ist das Landgericht auch zu dem Ergebnis gekommen, dass für die Tatsache, dass eine über ein bestimmtes Mitgliedskonto abgegebene Willenserklärung von dem jeweiligen Kontoinhaber abgegeben worden ist, kein Anscheinsbeweis spricht, da es an einem für die Annahme eines Anscheinsbeweises erforderlichen typischen Geschehensablauf fehlt. Der Sicherheitsstandard im Internet ist derzeit nicht ausreichend, um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist (BGH NJW 2011, 2421 ff, 2422 m.w.N.; Hamm, NJW 2007, 611; vgl. auch Klein, MMR 2011, 447 ff., 450)."
Der BGH hat entschieden, dass in Skimming-Fällen kein Anscheinsbeweis zu Lasten der Kunden gilt. Vielmehr muss bei derartigen atypischen Geschehensabläufen die Bank ggf. beweisen, dass die Abhebung unter Einsatz der Originalkarte erfolgte.
Aus der Pressemitteilung des BGH:
"Zwar kann nach der Rechtsprechung des Bundesgerichtshofs (Senatsurteil vom 5. Oktober 2004 – XI ZR 210/03, BGHZ 160, 308, 314 f.; Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 10) in Fällen, in denen an Geldausgabeautomaten unter Verwendung der zutreffenden Geheimzahl Geld abgehoben wurde, der Beweis des ersten Anscheins dafür sprechen, dass entweder der Karteninhaber die Abhebungen selbst vorgenommen hat oder – was hier nach der Feststellung des Berufungsgerichts allein in Betracht kam – dass ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte. Das setzt aber voraus, dass bei der missbräuchlichen Abhebung die Originalkarte eingesetzt worden ist, da bei Abhebung mithilfe einer ohne Kenntnis des Inhabers gefertigten Kartenkopie (z.B. durch Skimming) kein typischer Geschehensablauf dafür spricht, Originalkarte und Geheimzahl seien gemeinsam aufbewahrt worden. Den Einsatz der Originalkarte hat dabei die Schadensersatz begehrende Bank zu beweisen."
Die vollständige Pressemitteilung des BGH finden Sie hier:
