Skip to content

PSD 2: BaFin gewährt Unternehmen zeitlich befristet Erleichterungen bei der Kundenauthentifizierung

Die Pressemitteilung des BaFin

PSD 2: BaFin ermöglicht Erleichterungen bei Kundenauthentifizierung

Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen.

Ab dem 14. September 2019 ist bei Online-Zahlungen eine starke Kundenauthentifizierung notwendig. Diese soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.

Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt, so dass für Verbraucher und andere Zahler im Internet kein Nachteil entsteht.

Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.

Hintergrund zur PSD2
Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14. September 2019 eine Starke Kundenauthentifizierung durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union.

Bei der Starken Kundenauthentifizierung werden zwei voneinander unabhängige Elemente verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).

Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.

(Weitere Informationen zur Starken Kundenauthentifizierung und den Ausnahmen davon finden sich auf der Webseite der BaFin unter https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1806_Starke_Kundenauthentifizierung.html).


OLG Oldenburg: Kunde haftet selbst für Schaden durch Banking-Trojaner wenn Kunde angeblich von Onlinebanking-Seite geforderte Testüberweisung ohne Überprüfung durchführt

OLG Oldenburg
Beschluss vom 21.08.2018
8 U 163/17


Das OLG Oldenburg hat entschieden, dass ein Kunde selbst für den Schaden durch einen Banking-Trojaner haftet, wenn der Kunde angeblich von Onlinebanking-Seite geforderte Testüberweisung ohne Überprüfung durchführt.

Die Pressemitteilung des Gerichts:

Aufgepasst beim Online-Banking

Online-Banking wird immer beliebter. Vom heimischen PC aus die Bankgeschäfte erledigen, spart so manchen Gang zur Bank. Dabei muss man aber auch wachsam – und manchmal misstrauisch – bleiben. Sonst kann es zu bösen Überraschungen kommen, wie in einem vom 8. Zivilsenat des Oberlandesgerichts Oldenburg entschiedenen Fall.

Der klagende Bankkunde hatte sich einen sogenannten Banking-Trojaner eingefangen. Dieser forderte ihn – vermeintlich von der Onlinebanking-Seite der Bank aus – auf, zur Einführung eines neuen Verschlüsselungsalgorithmus eine Testüberweisung vorzunehmen und mit seiner TAN (Transaktionsnummer), die er per Mobiltelefon erhalten habe, zu bestätigen. In der Überweisungsmaske stand in den Feldern „Name“, „IBAN“ und „Betrag“ jeweils das Wort „Muster“. Der Kläger bestätigte diese vermeintliche Testüberweisung mit der ihm übersandten TAN. Tatsächlich erfolgte dann aber eine echte Überweisung auf ein polnisches Konto. Über 8.000,- Euro waren „weg“.

Der Kläger verlangte diesen Betrag von der Bank zurück. – Ohne Erfolg. Der Kläger habe grob fahrlässig gegen die Geschäftsbedingungen der Bank verstoßen, so der Senat. Da sei nämlich vorgesehen, dass der Kunde bei der Übermittlung seiner TAN die Überweisungsdaten, die in der SMS erneut mitgeteilt werden, noch einmal kontrollieren müsse. Dies hatte der Kläger nicht getan. Er hatte lediglich auf die TAN geachtet und diese in die Computermaske eingetippt. Anderenfalls, so die Richter, hätte es ihm auffallen müssen, dass er eine Überweisung zu einer polnischen IBAN freigebe. Der Kunde müsse vor jeder TAN-Eingabe den auf dem Mobiltelefon angezeigten Überweisungsbetrag und die dort ebenfalls genannte Ziel-IBAN überprüfen. Dies nicht zu tun, sei grob fahrlässig. Der Kläger hätte im Übrigen bereits aufgrund der völlig unüblichen Aufforderung zu einer Testüberweisung misstrauisch werden müssen. Hinzu komme, dass die Bank auf ihrer Log-In-Seite vor derartigen Betrügereien gewarnt und darauf hingewiesen habe, dass sie niemals zu „Testüberweisungen“ auffordere. Vor diesem Hintergrund sei der Kunde selbst für den Verlust seines Geldes verantwortlich.

Die Entscheidung ist rechtskräftig.

Oberlandesgericht Oldenburg, Az. 8 U 163/17, Hinweisbeschluss vom 28.06.2018, Beschluss vom 21.08.2018.


BGH: Jede smsTAN kostet 0,10 EURO - Weite Preisklausel für smsTAN in Sparkassen-AGB unzulässig und unwirksam

BGH
Urteil vom 25. Juli 2017
XI ZR 260/15


Der BGH hat entschieden, dass die Klausel "Jede smsTAN kostet 0,10 EURO" in den Sparkassen-AGB unzulässig und damit unwirksam ist. Der BGH rügt, dass die Gebühr auch dann anfällt, wenn die smsTAN nur versendet aber vom Kunden nicht verwendet wird. Dies ist - so der BGH - jedoch unzulässig. Grundsätzlich ist es jedoch zulässig, für smsTAN, die auch verwendet werden, ein Entgelt verlangt wird.

Bundesgerichtshof entscheidet über eine Preisklausel für sogenannte smsTAN

Der u. a. für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die vorformulierte Klausel "Jede smsTAN kostet 0,10 € (unabhängig vom Kontomodell)" in Bezug auf Verträge über Zahlungsdienste zwischen einem Kreditinstitut und Verbrauchern unwirksam ist.

Sachverhalt:

Der Kläger, ein Verbraucherschutzverband, wendet sich mit der Unterlassungsklage nach § 1 UKlaG gegen eine von der beklagten Sparkasse verwendete Preisklausel für smsTAN. Der Kläger behauptet, die Beklagte verwende in ihrem Preisverzeichnis eine Klausel mit folgendem Wortlaut: "Jede smsTAN kostet 0,10 € (unabhängig vom Kontomodell)". Er ist der Ansicht, diese Klausel verstoße gegen § 307 BGB, und nimmt die Beklagte darauf in Anspruch, deren Verwendung gegenüber Privatkunden zu unterlassen. Die Beklagte stellt nicht in Abrede, eine Preisklausel für smsTAN zu verwenden, bestreitet aber, dass diese den vom Kläger behaupteten Wortlaut hat.

Prozessverlauf:

Die Klage ist in beiden Vorinstanzen erfolglos geblieben. Das Oberlandesgericht hat eine Preisklausel mit dem vom Kläger behaupteten Wortlaut als nicht der AGB-Kontrolle unterliegende sogenannte Preishauptabrede eingeordnet und deshalb Feststellungen dazu, ob die Beklagte die beanstandete Klausel mit dem behaupteten Wortlaut in ihrem Preisverzeichnis tatsächlich verwendet, für entbehrlich erachtet. Der Bundesgerichtshof hat aufgrund der zugelassenen Revision des Klägers das Urteil des Oberlandesgerichts aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat die Unterlassungsklage für zulässig erachtet. Bei Klagen nach § 1 UKlaG muss der Klageantrag die beanstandeten Bestimmungen der Allgemeinen Geschäftsbedingungen im Wortlaut enthalten, anderenfalls ist die Klage unzulässig. Ist streitig, ob eine vom Kläger beanstandete Klausel in dieser Fassung vom Beklagten tatsächlich verwendet wird, reicht es für die Zulässigkeit der Klage aus, wenn unter Angabe des zugrundeliegenden Lebenssachverhalts die Verwendung der bestimmten Klausel behauptet und deren konkreter Wortlaut im Klageantrag wörtlich wiedergegeben wird; ob die beanstandete Klausel in dieser Fassung tatsächlich Verwendung findet, ist demgegenüber eine Frage der Begründetheit der Klage. Den hiernach bestehenden Zulässigkeitsvoraussetzungen genügt vorliegend das Klagevorbringen.

Entgegen der Auffassung des Berufungsgerichts unterliegt die beanstandete Klausel - deren Verwendung mit dem vom Kläger behaupteten Wortlaut durch die Beklagte mangels entgegen stehender Feststellungen im Revisionsverfahren zu unterstellen war - gemäß § 307 Abs. 3 BGB der Inhaltskontrolle nach § 307 Abs. 1 und Abs. 2 BGB, weil sie eine von Rechtsvorschriften abweichende Regelung enthält.

Die Klausel ist aufgrund ihres einschränkungslosen Wortlauts ("Jede smsTAN…") so auszulegen, dass sie ein Entgelt in Höhe von 0,10 € für jede TAN vorsieht, die per SMS an den Kunden versendet wird, ohne dass es darauf ankommt, ob diese im Zusammenhang mit der Erteilung eines Zahlungsauftrages eingesetzt wird. Die Beklagte beansprucht danach etwa für jede TAN ein Entgelt, die zwar per SMS an den Kunden übersendet, von ihm aber z. B. auf Grund eines begründeten "Phishing"-Verdachts oder wegen der Überschreitung ihrer zeitlichen Geltungsdauer nicht verwendet wird. Ferner fällt nach der Klausel ein Entgelt auch dann an, wenn die TAN zwar zur Erteilung eines Zahlungsauftrags eingesetzt werden soll, dieser aber der Beklagten wegen einer technischen Fehlfunktion gar nicht zugeht.

Mit dieser ausnahmslosen Bepreisung von "smsTAN" weicht die Klausel von § 675f Abs. 4 Satz 1 BGB** ab. Danach kann ein Zahlungsdienstleister zwar für die Erbringung eines Zahlungsdienstes das vereinbarte Zahlungsentgelt verlangen. Zu den Zahlungsdiensten, für die ein Entgelt erhoben werden kann, gehört auch die Ausgabe von Zahlungsauthentifizierungsmitteln, wie es das Online-Banking mittels PIN und TAN darstellt. In diesem Rahmen kann die Ausgabe einer per SMS übersendeten TAN aber nur dann als Bestandteil der Hauptleistung mit einem Entgelt nach § 675f Abs. 4 Satz 1 BGB bepreist werden, wenn sie auch tatsächlich der Erteilung eines Zahlungsauftrages dient und damit als Teil des Zahlungsauthentifizierungsinstruments "Online-Banking mittels PIN und TAN" fungiert, weil von der Beklagten nur in diesem Fall ein entgeltpflichtiger Zahlungsdienst erbracht wird.

Der danach eröffneten Inhaltskontrolle hält die Klausel nicht stand. Sie weicht entgegen dem Gebot des § 675e Abs. 1 BGB*** zum Nachteil des Zahlungsdienstnutzers von den Vorgaben des § 675f Abs. 4 Satz 1 BGB ab.

Das Berufungsgericht wird nunmehr die bislang unterbliebenen Feststellungen dazu nachzuholen haben, ob die Beklagte die vom Kläger beanstandete Klausel "Jede smsTAN kostet 0,10 € (unabhängig vom Kontomodell)" tatsächlich verwendet.

Vorinstanzen:

LG Frankfurt am Main – Urteil vom 17. Januar 2013 – 5 O 168/12

OLG Frankfurt am Main – Urteil vom 29. Mai 2015 – 10 U 35/13

§ 307 BGB Inhaltskontrolle

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder

2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.

(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen kön-nen nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.

§ 675f BGB Zahlungsdienstevertrag



(4) Der Zahlungsdienstnutzer ist verpflichtet, dem Zahlungsdienstleister das für die Erbringung eines Zahlungsdienstes vereinbarte Entgelt zu entrichten. Für die Erfüllung von Nebenpflichten nach diesem Untertitel hat der Zahlungsdienstleister nur dann einen Anspruch auf ein Entgelt, sofern dies zugelassen und zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart worden ist; dieses Entgelt muss angemessen und an den tatsächlichen Kosten des Zahlungsdienstleisters ausgerichtet sein.



§ 675e Abweichende Vereinbarungen

(1) Soweit nichts anderes bestimmt ist, darf von den Vorschriften dieses Untertitels nicht zum Nachteil des Zahlungsdienstnutzers abgewichen werden.

BGH: Zu den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking - Anscheinsbeweis bei PIN und smsTAN möglich

BGH
Urteil vom 26.01.2016
XI ZR 91/14


Der BGH hat sich in dieser Entscheidung mit den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking befasst und entschieden, dass trotzt bestehender Sicherheitsbedenken beim Verwendung von PIN und smsTan ein Anscheinsbeweis zu Gunsten der Bank / Sparkasse bestehen kann. Voraussetzung ist - so der BGH - jedoch, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Der BGH hat die Sache an die Vorinstanz zurückverwiesen.

Die Pressemitteilung des BGH:

Bundesgerichtshof entscheidet zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking

Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB* die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.

Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.

Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:

Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB "nicht notwendigerweise", um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.

Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.

Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.

Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.

Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB** scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.

Vorinstanzen:

Landgericht Lübeck - Urteil vom 7. Juni 2013 - 3 O 418/12

Schleswig-Holsteinisches Oberlandesgericht in Schleswig - Beschluss vom 22. Januar 2014 - 5 U 87/13

Karlsruhe, den 26. Januar 2016

§ 675w BGB

Nachweis der Authentifizierung

Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

1. den Zahlungsvorgang autorisiert,

2. in betrügerischer Absicht gehandelt,

3. eine oder mehrere Pflichten gemäß § 675l verletzt oder

4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.

** § 675l BGB

Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente

Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.

*** § 675v BGB

Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments

(…)

(2) Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung

1. einer oder mehrerer Pflichten gemäß § 675l oder

2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.

(...)

LG Oldenburg: Bank muss Kunden Schadensersatz für Phishing-Attacke beim Online-Banking ersetzen - Kein Anscheinsbeweis bei mTan-Verfahren

LG Oldenburg
Urteil vom 15.01.2016
8 O 1454/15


Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.

Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking

Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.

Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.

In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.

Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.

Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15


LG Darmstadt: Kontoinhaber haftet für manipulierte Online-Überweisung mit Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen

LG Darmstadt
Urteil vom 28.08.2014
28 O 36/14


Das LG Darmstadt hat entschieden, dass der Kontoinhaber für eine manipulierte Online-Überweisung mit dem Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen haftet. Das Verfahren sei - so das Gericht dem Sachverständigengutachten folgende - ausreichend sicher.

"Dies ergibt sich zur Überzeugung des Gerichts aus den nachvollziehbaren Ausführungen des Sachverständigen, der Folgendes feststellte:

Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.

Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.

Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen."


Den Volltext der Entscheidung finden Sie hier:

BGH-Urteil zur Haftung des Bankkunden bei Pharming- und Phishing-Angriffen beim Online-Banking liegt im Volltext vor

BGH
Urteil vom 24.04.2012
XI ZR 96/11
BGB § 276 Cc


Die Entscheidung des BGH zur Haftung des Bankkunden bei Pharming- und Phishing-Angriffen beim Online-Banking liegt im Volltext vor. Wir hatten bereits über die Entscheidung berichtet.

Leitsatz des BGH:
Ein Bankkunde, der im Online-Banking Opfer eines Pharming-Angriffs wird, handelt
fahrlässig, wenn er beim Log-In-Vorgang trotz ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingibt.

BGH, Urteil vom 24. April 2012 - XI ZR 96/11 - LG Düsseldorf - AG Düsseldorf

Den Volltext der Entscheidung finden Sie hier:

BGH: Bankkunden können gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften

BGH
Urteil vom 24.04.2012
XI ZR 96/11

Der BGH hat entschieden, dass Bankkunden gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften können. Im vorliegenden Fall war ein Schaden vom 5.000 EURO entstanden, nachdem ein Bankkunde auf einer gefälschten Online-Banking-Seite seine Daten nebst TAN-Nummern eingegeben hatte.

Aus der Pressemitteilung des BGH:

"Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist."


Die Pressemitteilung des BGH finden Sie hier: "BGH: Bankkunden können gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften" vollständig lesen