Haftung des Kontoinhabers für nicht autorisierte Überweisungen per Online-Banking

Rechtsanwalt Jens Ferner – Strafverteidiger & Fachanwalt für Informationstechnologierecht: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren. Neben einem Schwerpunkt im Strafrecht & IT-Recht wird die zivilrechtliche Bearbeitung geboten im Arbeitsrecht, IT-Recht, Urheberrecht & Markenrecht, Erbrecht & Vertragsrecht. Dabei wird eine umfassende Betreuung von Handwerkern geboten.

Besprechungstermin in Alsdorf vereinbaren: 02404-92100

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

Immer noch, auch wenn die Online-Banking-Systeme zunehmend verbessert werden, gibt es erfolgreiche Angriffe und damit verbundene Schäden. Inzwischen gilt mit der Rechtsprechung, dass wenn unbefugte Dritte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking genutzt haben, die Beweislast dafür, dass der Kunde das Abhandenkommen der PIN zu vertreten hat, bei der Bank liegt. Insbesondere gibt es keinen Beweis des ersten Anscheins, den sich der Kunde entgegen halten lassen muss – allerdings muss der Kunde zu den seinerseits getroffenen Sicherheitsvorkehrungen vortragen (können) in einem Prozess.

Zurückhaltung beim Anscheinsbeweis

Der Bundesgerichtshof (XI ZR 91/14) hatte bereit zurückhaltend festgestellt, dass im Bereich des SMSTAN-Verfahrens kein Anscheinsbeweis quasi „blind“ heran zu ziehen ist. Denn Voraussetzungen eines Anscheinsbeweises, der für die Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer im Online-Banking spricht, sind mit dem BGH nicht nur die in § 675w Satz 1 BGB genannten Umstände, die lediglich die Dokumentation des Authentifizierungsvorgangs betreffen, sondern es bedarf zusätzlich der Feststellung eines allgemein praktisch nicht zu überwindenden, im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems. Dabei machte der BGH deutlich, dass grundsätzlich Vorsicht im Bereich des Online-Banking gelten sollte bei Instanzgerichten:

Weiter fehlt die notwendige Klärung, ob das von dem Zahlungsdienstleister konkret genutzte Sicherheitssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorganges ein ausreichendes Sicherheitsniveau für die Anwendung des Anscheinsbeweises geboten hat (vgl. dazu Senatsurteile vom 14. November 2006 – XI ZR 294/05, BGHZ 170, 18 Rn. 31 und vom 29. November 2011 – XI ZR 370/10, WM 2012, 164 Rn. 37; Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 12). Diese Prüfung muss auf Grundlage des neuesten Stands der Erfahrung erfolgen (vgl. dazu Laumen in Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 3. Aufl., Kap. 17 Rn. 26). Gerade im Online-Banking, in dem Sicherungssysteme und Angriffsszenarien laufenden und kurzfristigen Änderungen unterworfen sind, reichen älterer Rechtsprechung zugrunde liegende Erkenntnisse oder Ansichten von Stimmen in der Literatur nicht aus. Vielmehr wird regelmäßig Anlass bestehen, das eingesetzte Sicherungssystem und den konkreten technischen Ablauf, die dem streitigen Zahlungsvorgang zugrunde lagen, einer die aktuellen Erkenntnisse auswertenden sachverständigen Begutachtung zu unterziehen, um den neuesten Stand der Erfahrung zu erfassen (vgl. dazu auch Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 12 und Senatsurteil vom 29. November 2011 – XI ZR 370/10, WM 2012, 164 Rn. 37).

Probleme mit dem Mobiltelefon

Eine hierzu passende sehr interessante Entscheidung hat das Landgericht Kiel (12 O 562/17) getroffen und festgestellt, dass Probleme im Bereich des Providers nicht zu Lasten des Nutzers gehen. Wenn etwa der Mobilfunkanbieter des Online-Banking-Nutzers schuldhaft Unbefugten das Abfangen von per SMS versandten Transaktionsnummern ermöglicht, hat der Nutzer dies nicht zu vertreten; und ebenso ist der Nutzer nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden:

Fraglich ist im vorliegenden Fall bereits, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern (so Staudinger/Omlor (2012) § 675c BGB, Rn. 17 m.w.N.). Jedenfalls ist dem Kläger weder sein Mobiltelefon noch seine SIM-Karte verlorengegangen oder gestohlen worden. Der Kläger hat den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Dass die SIM-Karte nicht mehr funktionierte, stellte nach dem eindeutigen Gesetzeswortlaut keinen Verlust und auch keinen Diebstahl dar. Es wäre dem Nutzer eines Mobiltelefons auch unzumutbar, jede Funktionsstörung sämtlichen Anbietern der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.

Soweit die Beklagte die Ansicht vertritt, der Kläger hätte ihr schon die Gefahr einer missbräuchlichen Verwendung anzeigen müssen, trifft dies nicht zu. Vertraglich vereinbart wurde eine derartige Anzeigepflicht nicht, weil die von der Beklagten angeführten Geschäftsbedingungen – wie bereits ausgeführt – nicht nachgewiesenermaßen Vertragsbestandteil geworden sind. Auch gesetzlich besteht keine Pflicht zur Anzeige jeder Gefahr einer missbräuchlichen Verwendung. Der eindeutige Gesetzeswortlaut des § 675l S. 2 BGB a.F. setzt – im Einklang mit Art. 56 RiL 2007/64/EG – ausdrücklich positive „Kenntnis“ des Zahlers vom Verlust oder den weiteren beschriebenen Vorfällen voraus. Im Übrigen ist nicht nachgewiesen, dass der Kläger Kenntnis auch nur von der Gefahr einer missbräuchlichen Verwendung seiner Rufnummer hatte. Dem Kläger ist nicht zu widerlegen, dass er lediglich von einer technischen Störung ausging.