Skip to content

LG Köln: Grobe Fahrlässigkeit des Bankkunden wenn dieser Dritten PIN und TANs für das Online-Banking mitteilt

LG Köln
Urteil vom 10.09.2019
21 O 116/19

Das LG Köln hat entschieden, dass eine grobe Fahrlässigkeit des Bankkunden vorliegt, wenn dieser Dritten PIN und TANs für das Online-Banking mitteilt.

Aus den Entscheidungsgründen:

"Aber auch ein Anspruch des Klägers aus § 675 u Satz 2 BGB besteht nicht, weil die Beklagte diesem Anspruch – der grundsätzlich aufgrund der nicht autorisierten Überweisungen vom 07. bis 09.01.2019 besteht – einen Schadenersatzanspruch nach § 675 v Abs. 3 Nr. 2 BGB entgegenhalten kann. Mit diesem hat sie die Aufrechnung gegen die Klageforderung erklärt.

Der Kläger hat gegen die vertraglichen Sorgfalts- und Mitwirkungspflichten des Nutzers bei der Verwendung des PIN-TAN-Verfahrens, die – unwidersprochen – bereits bei Vertragsschluss zwischen ihm und der Rechtsvorgängerin der Beklagten Vertragsbestandteil waren (Anlage B 4), grob fahrlässig verstoßen (§ 675 v Abs. § Nr. 2 lit. b). Ziffer 9 lit. a) der AGB in der bei Vertragsschluss geltenden Bedingungen für die Nutzung des OnlineBanking-Angebotes der Stadtsparkasse mit PIN und TAN (bzw. Ziffer 7 der Bedingungen für das Online-Banking in der Fassung vom 13.01.2018) auferlegte dem Kläger die Pflicht, dafür Sorge zu tragen, dass keine andere Person Kenntnis von der PIN und den TANs erlangt.

Gegen diese Verpflichtung hat der Kläger verstoßen, indem er – was zumindest nach seinen Angaben im Rahmen seiner persönlichen Anhörung unstreitig ist – dem angeblichen Mitarbeiter der Beklagten L2 diejenige TAN weitergab, die es diesem ermöglichte, seine eigene Mobiltelefonnummer für die spätere Abfrage von computergenerierten TANs zu hinterlegen.

Diese vertragliche Sorgfaltspflicht verletzte der Kläger grob fahrlässig. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (MüKoBGB/Zetsche, 7. Auflage 2017, § 675 v Rn 33), wobei sich aus Erwägungsgrund 33 der ZDRL ergibt, dass die Ausgestaltung des Begriffs nationalem Recht überlassen ist (MüKoBGB/Zetsche, a.a.O.). Nach diesen Grundsätzen stellt sich das Verhalten des Klägers in der Gesamtschau als grob fahrlässig dar, wobei – wie nachfolgend aufgezeigt wird – dahin stehen kann, ob bereits der Umstand, dass der Täter die Zugangsdaten zum Online-Banking (Kennwort und PIN) erlangt hat, auf grober Fahrlässigkeit beruhte.

Dem Kläger hätte bereits auffallen müssen, dass es für ein Kreditinstitut absolut außergewöhnlich ist, dass ein angeblicher Mitarbeiter telefonisch ankündigt, ihm eine TAN zu schicken, um das bisherige Kennwort und die bisherige PIN zu ändern. Bereits dies hätte einem durchschnittlich sorgfältigen Online-Banking-Kunden Anlass zu Misstrauen und ggf. einer Vorsprache bei der Bank gegeben. Noch auffälliger und mit den Usancen im Bankverkehr unvereinbar war es, dass der Mitarbeiter sodann die telefonische Durchgabe der TAN verlangte. Bereits dieser – erste – Verstoß gegen die vertraglich vereinbarte Pflicht, die TAN an Dritte weiterzugeben, erfolgte grob fahrlässig. Jedenfalls aber verstieß der Kläger in nicht nachzuvollziehender Weise gegen die ihm obliegenden Sorgfaltspflichten, indem er Herrn L2 am 24.12.2018 eine weitere TAN durchgab, nachdem dieser angegeben hatte, er wolle nunmehr die EC-Karten des Klägers und seiner Ehefrau gegen Angriffe aus dem Ausland sichern (wobei es schon keinen Sinn ergibt, warum hierfür Einstellungen im Online-Banking-Konto vorgenommen werden mussten). Mit dieser TAN war es dem Täter möglich, eine zweite Telefonnummer für die Übermittlung von TANs zu hinterlegen. Insoweit war es aber zum einen wiederum absolut ungewöhnlich, dass ein angeblicher Mitarbeiter des Kreditinstitutes die telefonische Durchgabe einer TAN verlangte, und zum anderen hat der Kläger selbst eingeräumt, die mit der Hinterlegung der Telefonnummer verbundene, unmissverständliche Warnnachricht der Beklagten schlichtweg nicht gelesen zu haben. Darüber hinaus hat er selbst angegeben, dass er in der Folge weitere Online-Banking-Überweisungen getätigt habe, bei denen er zwischen seiner und der neu hinterlegten Telefonnummer auswählen musste. Spätestens zu diesem Zeitpunkt war ihm sogar bekannt, dass ein weiterer, ihm unbekannter Nutzer von seinem Konto Überweisungen tätigen konnte, zumindest musste sich ihm diese Erkenntnis aufdrängen. Sämtliche, vorstehend aufgeführten und jeder für sich die grobe Fahrlässigkeit begründenden Umstände werden zudem davon umklammert, dass jeglicher (!) Kontakt telefonisch stattfand und es kein einziges Schriftstück der Beklagten betreffend den angeblichen Angriff auf das klägerische Konto gab. Dass es sich bei Herrn L2 um einen psychologisch gut geschulten Täter handelte und der Betrug zulasten des Klägers perfide ausgestaltet war, entlastet ihn angesichts der Vielzahl der vorstehend aufgezählten Umstände, aufgrund deren sich ein Betrugsverdacht aufdrängen musste, und aufgrund der dazwischen liegenden Zeiträume, in denen der Kläger die jeweiligen Vorgänge hätte reflektieren können, nicht. Die Kammer ist nach der durchgeführten Anhörung auch davon überzeugt, dass der Kläger – der bis zum Renteneintritt als Kernphysiker tätig war – von zumindest überdurchschnittlicher Intelligenz ist und daher die Möglichkeit hatte, den Betrug zu seinen Lasten zu erkennen und zu verhindern.

Soweit der Kläger den Vorwurf erhebt, die Beklagte habe keine Sicherheitssysteme gegen „solche Phishing-Angriffe“, erhebt er nach dem Verständnis der Kammer den Einwand des Mitverschuldens betreffend den zur Aufrechnung gestellten Schadenersatzanspruch. Dieser Einwand geht allerdings schon deshalb ins Leere, weil der Kläger nicht Opfer eines Phishing-Angriffs wurde, sondern die schadenauslösende Handlung selbst vorgenommen hat, indem er dem Täter den Zugriff auf die Mobil-TANs ermöglichte (s.o.). Der weitere Vorwurf, die Beklagte habe das Online-Banking-Konto nicht standardmäßig so eingestellt, dass Einzelüberweisungen limitiert seien, geht bereits deshalb ins Leere, weil einerseits eine entsprechende Schadensminderungspflicht nicht erkennbar ist und andererseits der Kläger seit 2002 das Online-Banking nutzt, ohne auch nur die Einrichtung eines Limits angefragt zu haben; dass er nicht gewusst hat, dass ein solches Limit möglich ist, trägt er bereits nicht vor. Ebenso wenig bestand eine Verpflichtung der Beklagten, vor Einzelüberweisungen ins Ausland eine gesonderte Sicherheitsabfrage durchzuführen."


Den Volltext der Entscheidung finden Sie hier:

PSD 2: BaFin gewährt Unternehmen zeitlich befristet Erleichterungen bei der Kundenauthentifizierung

Die Pressemitteilung des BaFin

PSD 2: BaFin ermöglicht Erleichterungen bei Kundenauthentifizierung

Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen.

Ab dem 14. September 2019 ist bei Online-Zahlungen eine starke Kundenauthentifizierung notwendig. Diese soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.

Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt, so dass für Verbraucher und andere Zahler im Internet kein Nachteil entsteht.

Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.

Hintergrund zur PSD2
Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14. September 2019 eine Starke Kundenauthentifizierung durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union.

Bei der Starken Kundenauthentifizierung werden zwei voneinander unabhängige Elemente verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).

Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.

(Weitere Informationen zur Starken Kundenauthentifizierung und den Ausnahmen davon finden sich auf der Webseite der BaFin unter https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1806_Starke_Kundenauthentifizierung.html).


OLG Oldenburg: Kunde haftet selbst für Schaden durch Banking-Trojaner wenn Kunde angeblich von Onlinebanking-Seite geforderte Testüberweisung ohne Überprüfung durchführt

OLG Oldenburg
Beschluss vom 21.08.2018
8 U 163/17


Das OLG Oldenburg hat entschieden, dass ein Kunde selbst für den Schaden durch einen Banking-Trojaner haftet, wenn der Kunde angeblich von Onlinebanking-Seite geforderte Testüberweisung ohne Überprüfung durchführt.

Die Pressemitteilung des Gerichts:

Aufgepasst beim Online-Banking

Online-Banking wird immer beliebter. Vom heimischen PC aus die Bankgeschäfte erledigen, spart so manchen Gang zur Bank. Dabei muss man aber auch wachsam – und manchmal misstrauisch – bleiben. Sonst kann es zu bösen Überraschungen kommen, wie in einem vom 8. Zivilsenat des Oberlandesgerichts Oldenburg entschiedenen Fall.

Der klagende Bankkunde hatte sich einen sogenannten Banking-Trojaner eingefangen. Dieser forderte ihn – vermeintlich von der Onlinebanking-Seite der Bank aus – auf, zur Einführung eines neuen Verschlüsselungsalgorithmus eine Testüberweisung vorzunehmen und mit seiner TAN (Transaktionsnummer), die er per Mobiltelefon erhalten habe, zu bestätigen. In der Überweisungsmaske stand in den Feldern „Name“, „IBAN“ und „Betrag“ jeweils das Wort „Muster“. Der Kläger bestätigte diese vermeintliche Testüberweisung mit der ihm übersandten TAN. Tatsächlich erfolgte dann aber eine echte Überweisung auf ein polnisches Konto. Über 8.000,- Euro waren „weg“.

Der Kläger verlangte diesen Betrag von der Bank zurück. – Ohne Erfolg. Der Kläger habe grob fahrlässig gegen die Geschäftsbedingungen der Bank verstoßen, so der Senat. Da sei nämlich vorgesehen, dass der Kunde bei der Übermittlung seiner TAN die Überweisungsdaten, die in der SMS erneut mitgeteilt werden, noch einmal kontrollieren müsse. Dies hatte der Kläger nicht getan. Er hatte lediglich auf die TAN geachtet und diese in die Computermaske eingetippt. Anderenfalls, so die Richter, hätte es ihm auffallen müssen, dass er eine Überweisung zu einer polnischen IBAN freigebe. Der Kunde müsse vor jeder TAN-Eingabe den auf dem Mobiltelefon angezeigten Überweisungsbetrag und die dort ebenfalls genannte Ziel-IBAN überprüfen. Dies nicht zu tun, sei grob fahrlässig. Der Kläger hätte im Übrigen bereits aufgrund der völlig unüblichen Aufforderung zu einer Testüberweisung misstrauisch werden müssen. Hinzu komme, dass die Bank auf ihrer Log-In-Seite vor derartigen Betrügereien gewarnt und darauf hingewiesen habe, dass sie niemals zu „Testüberweisungen“ auffordere. Vor diesem Hintergrund sei der Kunde selbst für den Verlust seines Geldes verantwortlich.

Die Entscheidung ist rechtskräftig.

Oberlandesgericht Oldenburg, Az. 8 U 163/17, Hinweisbeschluss vom 28.06.2018, Beschluss vom 21.08.2018.


BGH: Jede smsTAN kostet 0,10 EURO - Weite Preisklausel für smsTAN in Sparkassen-AGB unzulässig und unwirksam

BGH
Urteil vom 25. Juli 2017
XI ZR 260/15


Der BGH hat entschieden, dass die Klausel "Jede smsTAN kostet 0,10 EURO" in den Sparkassen-AGB unzulässig und damit unwirksam ist. Der BGH rügt, dass die Gebühr auch dann anfällt, wenn die smsTAN nur versendet aber vom Kunden nicht verwendet wird. Dies ist - so der BGH - jedoch unzulässig. Grundsätzlich ist es jedoch zulässig, für smsTAN, die auch verwendet werden, ein Entgelt verlangt wird.

Bundesgerichtshof entscheidet über eine Preisklausel für sogenannte smsTAN

Der u. a. für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die vorformulierte Klausel "Jede smsTAN kostet 0,10 € (unabhängig vom Kontomodell)" in Bezug auf Verträge über Zahlungsdienste zwischen einem Kreditinstitut und Verbrauchern unwirksam ist.

Sachverhalt:

Der Kläger, ein Verbraucherschutzverband, wendet sich mit der Unterlassungsklage nach § 1 UKlaG gegen eine von der beklagten Sparkasse verwendete Preisklausel für smsTAN. Der Kläger behauptet, die Beklagte verwende in ihrem Preisverzeichnis eine Klausel mit folgendem Wortlaut: "Jede smsTAN kostet 0,10 € (unabhängig vom Kontomodell)". Er ist der Ansicht, diese Klausel verstoße gegen § 307 BGB, und nimmt die Beklagte darauf in Anspruch, deren Verwendung gegenüber Privatkunden zu unterlassen. Die Beklagte stellt nicht in Abrede, eine Preisklausel für smsTAN zu verwenden, bestreitet aber, dass diese den vom Kläger behaupteten Wortlaut hat.

Prozessverlauf:

Die Klage ist in beiden Vorinstanzen erfolglos geblieben. Das Oberlandesgericht hat eine Preisklausel mit dem vom Kläger behaupteten Wortlaut als nicht der AGB-Kontrolle unterliegende sogenannte Preishauptabrede eingeordnet und deshalb Feststellungen dazu, ob die Beklagte die beanstandete Klausel mit dem behaupteten Wortlaut in ihrem Preisverzeichnis tatsächlich verwendet, für entbehrlich erachtet. Der Bundesgerichtshof hat aufgrund der zugelassenen Revision des Klägers das Urteil des Oberlandesgerichts aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat die Unterlassungsklage für zulässig erachtet. Bei Klagen nach § 1 UKlaG muss der Klageantrag die beanstandeten Bestimmungen der Allgemeinen Geschäftsbedingungen im Wortlaut enthalten, anderenfalls ist die Klage unzulässig. Ist streitig, ob eine vom Kläger beanstandete Klausel in dieser Fassung vom Beklagten tatsächlich verwendet wird, reicht es für die Zulässigkeit der Klage aus, wenn unter Angabe des zugrundeliegenden Lebenssachverhalts die Verwendung der bestimmten Klausel behauptet und deren konkreter Wortlaut im Klageantrag wörtlich wiedergegeben wird; ob die beanstandete Klausel in dieser Fassung tatsächlich Verwendung findet, ist demgegenüber eine Frage der Begründetheit der Klage. Den hiernach bestehenden Zulässigkeitsvoraussetzungen genügt vorliegend das Klagevorbringen.

Entgegen der Auffassung des Berufungsgerichts unterliegt die beanstandete Klausel - deren Verwendung mit dem vom Kläger behaupteten Wortlaut durch die Beklagte mangels entgegen stehender Feststellungen im Revisionsverfahren zu unterstellen war - gemäß § 307 Abs. 3 BGB der Inhaltskontrolle nach § 307 Abs. 1 und Abs. 2 BGB, weil sie eine von Rechtsvorschriften abweichende Regelung enthält.

Die Klausel ist aufgrund ihres einschränkungslosen Wortlauts ("Jede smsTAN…") so auszulegen, dass sie ein Entgelt in Höhe von 0,10 € für jede TAN vorsieht, die per SMS an den Kunden versendet wird, ohne dass es darauf ankommt, ob diese im Zusammenhang mit der Erteilung eines Zahlungsauftrages eingesetzt wird. Die Beklagte beansprucht danach etwa für jede TAN ein Entgelt, die zwar per SMS an den Kunden übersendet, von ihm aber z. B. auf Grund eines begründeten "Phishing"-Verdachts oder wegen der Überschreitung ihrer zeitlichen Geltungsdauer nicht verwendet wird. Ferner fällt nach der Klausel ein Entgelt auch dann an, wenn die TAN zwar zur Erteilung eines Zahlungsauftrags eingesetzt werden soll, dieser aber der Beklagten wegen einer technischen Fehlfunktion gar nicht zugeht.

Mit dieser ausnahmslosen Bepreisung von "smsTAN" weicht die Klausel von § 675f Abs. 4 Satz 1 BGB** ab. Danach kann ein Zahlungsdienstleister zwar für die Erbringung eines Zahlungsdienstes das vereinbarte Zahlungsentgelt verlangen. Zu den Zahlungsdiensten, für die ein Entgelt erhoben werden kann, gehört auch die Ausgabe von Zahlungsauthentifizierungsmitteln, wie es das Online-Banking mittels PIN und TAN darstellt. In diesem Rahmen kann die Ausgabe einer per SMS übersendeten TAN aber nur dann als Bestandteil der Hauptleistung mit einem Entgelt nach § 675f Abs. 4 Satz 1 BGB bepreist werden, wenn sie auch tatsächlich der Erteilung eines Zahlungsauftrages dient und damit als Teil des Zahlungsauthentifizierungsinstruments "Online-Banking mittels PIN und TAN" fungiert, weil von der Beklagten nur in diesem Fall ein entgeltpflichtiger Zahlungsdienst erbracht wird.

Der danach eröffneten Inhaltskontrolle hält die Klausel nicht stand. Sie weicht entgegen dem Gebot des § 675e Abs. 1 BGB*** zum Nachteil des Zahlungsdienstnutzers von den Vorgaben des § 675f Abs. 4 Satz 1 BGB ab.

Das Berufungsgericht wird nunmehr die bislang unterbliebenen Feststellungen dazu nachzuholen haben, ob die Beklagte die vom Kläger beanstandete Klausel "Jede smsTAN kostet 0,10 € (unabhängig vom Kontomodell)" tatsächlich verwendet.

Vorinstanzen:

LG Frankfurt am Main – Urteil vom 17. Januar 2013 – 5 O 168/12

OLG Frankfurt am Main – Urteil vom 29. Mai 2015 – 10 U 35/13

§ 307 BGB Inhaltskontrolle

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder

2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.

(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen kön-nen nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.

§ 675f BGB Zahlungsdienstevertrag



(4) Der Zahlungsdienstnutzer ist verpflichtet, dem Zahlungsdienstleister das für die Erbringung eines Zahlungsdienstes vereinbarte Entgelt zu entrichten. Für die Erfüllung von Nebenpflichten nach diesem Untertitel hat der Zahlungsdienstleister nur dann einen Anspruch auf ein Entgelt, sofern dies zugelassen und zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart worden ist; dieses Entgelt muss angemessen und an den tatsächlichen Kosten des Zahlungsdienstleisters ausgerichtet sein.



§ 675e Abweichende Vereinbarungen

(1) Soweit nichts anderes bestimmt ist, darf von den Vorschriften dieses Untertitels nicht zum Nachteil des Zahlungsdienstnutzers abgewichen werden.

BGH: Zu den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking - Anscheinsbeweis bei PIN und smsTAN möglich

BGH
Urteil vom 26.01.2016
XI ZR 91/14


Der BGH hat sich in dieser Entscheidung mit den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking befasst und entschieden, dass trotzt bestehender Sicherheitsbedenken beim Verwendung von PIN und smsTan ein Anscheinsbeweis zu Gunsten der Bank / Sparkasse bestehen kann. Voraussetzung ist - so der BGH - jedoch, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Der BGH hat die Sache an die Vorinstanz zurückverwiesen.

Die Pressemitteilung des BGH:

Bundesgerichtshof entscheidet zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking

Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB* die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.

Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.

Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:

Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB "nicht notwendigerweise", um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.

Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.

Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.

Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.

Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB** scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.

Vorinstanzen:

Landgericht Lübeck - Urteil vom 7. Juni 2013 - 3 O 418/12

Schleswig-Holsteinisches Oberlandesgericht in Schleswig - Beschluss vom 22. Januar 2014 - 5 U 87/13

Karlsruhe, den 26. Januar 2016

§ 675w BGB

Nachweis der Authentifizierung

Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

1. den Zahlungsvorgang autorisiert,

2. in betrügerischer Absicht gehandelt,

3. eine oder mehrere Pflichten gemäß § 675l verletzt oder

4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.

** § 675l BGB

Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente

Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.

*** § 675v BGB

Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments

(…)

(2) Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung

1. einer oder mehrerer Pflichten gemäß § 675l oder

2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.

(...)

LG Oldenburg: Bank muss Kunden Schadensersatz für Phishing-Attacke beim Online-Banking ersetzen - Kein Anscheinsbeweis bei mTan-Verfahren

LG Oldenburg
Urteil vom 15.01.2016
8 O 1454/15


Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.

Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking

Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.

Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.

In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.

Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.

Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15


LG Darmstadt: Kontoinhaber haftet für manipulierte Online-Überweisung mit Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen

LG Darmstadt
Urteil vom 28.08.2014
28 O 36/14


Das LG Darmstadt hat entschieden, dass der Kontoinhaber für eine manipulierte Online-Überweisung mit dem Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen haftet. Das Verfahren sei - so das Gericht dem Sachverständigengutachten folgende - ausreichend sicher.

"Dies ergibt sich zur Überzeugung des Gerichts aus den nachvollziehbaren Ausführungen des Sachverständigen, der Folgendes feststellte:

Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.

Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.

Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen."


Den Volltext der Entscheidung finden Sie hier:

BGH-Urteil zur Haftung des Bankkunden bei Pharming- und Phishing-Angriffen beim Online-Banking liegt im Volltext vor

BGH
Urteil vom 24.04.2012
XI ZR 96/11
BGB § 276 Cc


Die Entscheidung des BGH zur Haftung des Bankkunden bei Pharming- und Phishing-Angriffen beim Online-Banking liegt im Volltext vor. Wir hatten bereits über die Entscheidung berichtet.

Leitsatz des BGH:
Ein Bankkunde, der im Online-Banking Opfer eines Pharming-Angriffs wird, handelt
fahrlässig, wenn er beim Log-In-Vorgang trotz ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingibt.

BGH, Urteil vom 24. April 2012 - XI ZR 96/11 - LG Düsseldorf - AG Düsseldorf

Den Volltext der Entscheidung finden Sie hier:

BGH: Bankkunden können gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften

BGH
Urteil vom 24.04.2012
XI ZR 96/11

Der BGH hat entschieden, dass Bankkunden gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften können. Im vorliegenden Fall war ein Schaden vom 5.000 EURO entstanden, nachdem ein Bankkunde auf einer gefälschten Online-Banking-Seite seine Daten nebst TAN-Nummern eingegeben hatte.

Aus der Pressemitteilung des BGH:

"Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist."


Die Pressemitteilung des BGH finden Sie hier: "BGH: Bankkunden können gegenüber der Bank für Schäden durch Pharming oder Phishing beim Online-Banking haften" vollständig lesen