Bankkonto gehackt: Haftung des Kontoinhabers für nicht autorisierte Überweisungen?

Beitrag wurde zuletzt aktualisiert:

Bankkonto gehackt – nicht autorisierte Überweisung: Immer noch, auch wenn die Online-Banking-Systeme zunehmend verbessert werden, gibt es erfolgreiche Angriffe und damit verbundene Schäden. Inzwischen gilt mit der Rechtsprechung, dass wenn unbefugte Dritte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking genutzt haben, die Beweislast dafür, dass der Kunde das Abhandenkommen der PIN zu vertreten hat, bei der Bank liegt. Insbesondere gibt es keinen Beweis des ersten Anscheins, den sich der Kunde entgegen halten lassen muss – allerdings muss der Kunde zu den seinerseits getroffenen Sicherheitsvorkehrungen vortragen (können) in einem Prozess.

Fachanwalt für IT-Recht Jens Ferner in Alsdorf, Aachen

Bankkonto gehackt: Wer haftet?

Mit den zunehmenden Angriffen auf Bankkonten hat der Gesetzgeber reagiert und unter anderem die §§675v, 675u BGB geschaffen, mit denen ein Kontoinhaber erst einmal grundsätzlich nicht haftet wenn umautorisierte Überweisungen stattfinden, wobei §675u BGB erst einmal die Haftung des Dienstleisters klarstellt, diese dann aber in §675v BGB etwas relativiert:

  • §675u BGB: Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
  • §675v BGB: Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.
  • Wichtig ist Absatz 3 im §675v BGB, mit dem bei grob fahrlässiger Pflichtverletzung eine volle Haftung des Kontoinhabers eintritt:
  • Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler in betrügerischer Absicht gehandelt hat oder den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung (…)

Um eben diese Fragen drehen sich im Kern die gerichtlichen Entscheidungen zur Frage, wer bei einem leergeräumten Bankkonto bei umautorisierten Überweisungen haftet – insbesondere um die Fragen, ob möglicherweise ein Anscheinsbeweis für eine Autorisierung existiert und dann dazu, wann eine grobe Pflichtverletzung des Kunden bei einer nicht autorisierten Überweisung anzunehmen ist.

Nicht autorisierte Überweisung: Zurückhaltung beim Anscheinsbeweis

Der Bundesgerichtshof (XI ZR 91/14) hatte bereit zurückhaltend festgestellt, dass im Bereich des SMSTAN-Verfahrens kein Anscheinsbeweis quasi “blind” heran zu ziehen ist. Denn Voraussetzungen eines Anscheinsbeweises, der für die Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer im Online-Banking spricht, sind mit dem BGH nicht nur die in § 675w Satz 1 BGB genannten Umstände, die lediglich die Dokumentation des Authentifizierungsvorgangs betreffen, sondern es bedarf zusätzlich der Feststellung eines allgemein praktisch nicht zu überwindenden, im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems.

Dabei machte der BGH deutlich, dass grundsätzlich Vorsicht im Bereich des Online-Banking gelten sollte bei Instanzgerichten:

Weiter fehlt die notwendige Klärung, ob das von dem Zahlungsdienstleister konkret genutzte Sicherheitssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorganges ein ausreichendes Sicherheitsniveau für die Anwendung des Anscheinsbeweises geboten hat (vgl. dazu Senatsurteile vom 14. November 2006 – XI ZR 294/05, BGHZ 170, 18 Rn. 31 und vom 29. November 2011 – XI ZR 370/10, WM 2012, 164 Rn. 37; Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 12). Diese Prüfung muss auf Grundlage des neuesten Stands der Erfahrung erfolgen (vgl. dazu Laumen in Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 3. Aufl., Kap. 17 Rn. 26). Gerade im Online-Banking, in dem Sicherungssysteme und Angriffsszenarien laufenden und kurzfristigen Änderungen unterworfen sind, reichen älterer Rechtsprechung zugrunde liegende Erkenntnisse oder Ansichten von Stimmen in der Literatur nicht aus. Vielmehr wird regelmäßig Anlass bestehen, das eingesetzte Sicherungssystem und den konkreten technischen Ablauf, die dem streitigen Zahlungsvorgang zugrunde lagen, einer die aktuellen Erkenntnisse auswertenden sachverständigen Begutachtung zu unterziehen, um den neuesten Stand der Erfahrung zu erfassen (vgl. dazu auch Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 12 und Senatsurteil vom 29. November 2011 – XI ZR 370/10, WM 2012, 164 Rn. 37).

LG Düsseldorf: Beweislast bei der Bank

Auch das Landgericht Düsseldorf, 6 O 72/17, hat entschieden, dass wenn im Falle eines Angriffs eine nichtautorisierte Überweisung durch die Bank durchgeführt wird, der Kunde sich die Überweisung nicht unter Rechtsscheingesichtspunkten zurechnen lassen muss und der Anspruch nicht nach § 676c Nr. 1 BGB ausgeschlossen ist. Zwar ist der Anspruch aus § 675u Satz 2 BGB bei Belastung eines Zahlungskontos grundsätzlich auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet:

Der Zahler hat jedoch dann einen Anspruch auf Auszahlung des zu Unrecht belasteten Betrages, wenn die Kontobeziehung inzwischen unter Ausgleich des Saldos aufgelöst worden ist oder das Konto auch ohne Rückbuchung einen Habensaldo aufweist oder eine nicht ausgeschöpfte Kreditlinie besteht (vgl. OLG Frankfurt, Urteil vom 11. Mai 2017, 1 U 224/15, zitiert nach juris, m.w.N.). Nachdem die Beklagte den Zahlungsantrag der Klägerin nicht entgegengetreten ist, ist davon auszugehen, dass die Voraussetzungen eines Auszahlungsanspruchs der Klägerin gegeben sind. (…) Die Beklagte trägt für das Vorliegend der Autorisierung die Beweislast. Dies ergibt sich zwar richtigerweise nicht aus § 675w BGB, da dieser nach richtlinienkonformer Auslegung wohl nur Zahlungsvorgänge erfasst, die unter Anwendung eines Zahlungsauthentifizierungsinstruments ausgelöst wurden, was vorliegend nach § 675j BGB nicht gegeben ist. Dennoch bleibt es auch in diesen Fällen bei der allgemeinen Beweislastverteilung, wonach der Kunde die Erteilung des Zahlungsauftrags und der Dienstleister seine Erfüllung und Autorisierung beweisen muss (vgl. Zetzsche/MüKo, BGB, § 675w Rn. 3; Palandt, BGB, 77. Aufl. 2018 , § 675w Rn. 5). Dies gilt auch für den vorliegenden Fall bezüglich der Echtheit der Unterschrift auf einem nur in einem Faxschreiben vorliegenden Überweisungsauftrag (OLG Frankfurt, Urteil vom 24. Mai 2000 – 17 U 225/98, OLG Frankfurt, Urteil vom 11. Mai 2017 – 1 U 224/5). Eine tatsächlich vorliegende Autorisierung, mithin eine Unterzeichnung durch den Zeugen X ist von der Beklagten nicht substantiiert und unter Beweisantritt vorgetragen worden.

Landgericht Düsseldorf, 6 O 72/17

Der Beklagten steht gegen die Klägerin kein Anspruch auf Aufwendungsersatz aus §§ 676c Abs. 1, 670, 670u Satz 1 BGB zu, weil davon auszugehen ist, dass ein nicht autorisierter Zahlungsvorgang vorlag. Im Falle eines nicht autorisierten Zahlungsvorgangs schuldet der Zahlungsdienstleister, weil er die Belastung eines Kontos zu Unrecht vorgenommen hat, gemäß § 675u Satz 2 BGB die unverzügliche Erstattung des Zahlungsbetrages.

Bankkonto gehackt – Fehler beim Provider gehen nicht zu Lasten des Kunden

Eine die Rechtsprechung des BGH aufgreifende und sehr interessante Entscheidung hat das Landgericht Kiel (12 O 562/17) getroffen und festgestellt, dass Probleme im Bereich des Providers nicht zu Lasten des Nutzers gehen. Das Gericht hat insoweit entschieden, dass wenn Unbefugte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking eingesetzt haben, die Bank die Beweislast dafür trägt, dass der Kunde das Abhandenkommen der PIN zu vertreten habe. Der Beweis des ersten Anscheins spricht an dieser Stelle nicht gegen den Kunden. Der Kunde muss aber im Wege der sekundären Darlegungslast zu den seinerseits getroffenen Sicherheitsvorkehrungen vortragen können.

Wenn also etwa der Mobilfunkanbieter des Online-Banking-Nutzers schuldhaft Unbefugten das Abfangen von per SMS versandten Transaktionsnummern ermöglicht, hat der Nutzer dies nicht zu vertreten; und ebenso ist der Nutzer nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden:

Fraglich ist im vorliegenden Fall bereits, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern (so Staudinger/Omlor (2012) § 675c BGB, Rn. 17 m.w.N.). Jedenfalls ist dem Kläger weder sein Mobiltelefon noch seine SIM-Karte verlorengegangen oder gestohlen worden. Der Kläger hat den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Dass die SIM-Karte nicht mehr funktionierte, stellte nach dem eindeutigen Gesetzeswortlaut keinen Verlust und auch keinen Diebstahl dar. Es wäre dem Nutzer eines Mobiltelefons auch unzumutbar, jede Funktionsstörung sämtlichen Anbietern der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.

Soweit die Beklagte die Ansicht vertritt, der Kläger hätte ihr schon die Gefahr einer missbräuchlichen Verwendung anzeigen müssen, trifft dies nicht zu. Vertraglich vereinbart wurde eine derartige Anzeigepflicht nicht, weil die von der Beklagten angeführten Geschäftsbedingungen – wie bereits ausgeführt – nicht nachgewiesenermaßen Vertragsbestandteil geworden sind. Auch gesetzlich besteht keine Pflicht zur Anzeige jeder Gefahr einer missbräuchlichen Verwendung. Der eindeutige Gesetzeswortlaut des § 675l S. 2 BGB a.F. setzt – im Einklang mit Art. 56 RiL 2007/64/EG – ausdrücklich positive „Kenntnis“ des Zahlers vom Verlust oder den weiteren beschriebenen Vorfällen voraus. Im Übrigen ist nicht nachgewiesen, dass der Kläger Kenntnis auch nur von der Gefahr einer missbräuchlichen Verwendung seiner Rufnummer hatte. Dem Kläger ist nicht zu widerlegen, dass er lediglich von einer technischen Störung ausging. (…)

Es ist nicht nachgewiesen, dass der Kläger die Zahlungsvorgänge durch vorsätzliche oder grob fahrlässige Verletzung der Pflicht herbeigeführt habe, alle zumutbaren Vorkehrungen zu treffen, um unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (§ 675l S. 1 BGB a.F.).

Dass der Kläger zumutbare Vorkehrungen zum Schutz von PIN und TAN unterlassen habe, hat die Beklagte nicht nachgewiesen. Es kann offen bleiben, ob der Kläger auf seinem zum Online-Banking genutzten PC zum Schutz vor Schadsoftware ein Virenschutzprogramm installieren, verwenden und auf dem aktuellen Stand halten musste, weil der Kläger unwiderlegt vorträgt, dies getan zu haben. Soweit die Beklagte die Richtigkeit dieses Vortrags bestreitet, verkennt sie, dass ihr der Nachweis einer Pflichtverletzung obliegt und den Kläger insoweit lediglich eine sekundäre Darlegungslast trifft. Die sekundäre Darlegungslast schließt nicht die Verpflichtung zur Vorlage von Belegen oder Nachweisen ein. Im Übrigen bestehen auch Bedenken gegen die Annahme einer Pflicht zur Installation und Verwendung einer besonderen Software zum Schutz vor Schadsoftware, soweit sie nicht bereits Bestandteil marktüblicher Betriebssysteme ist (entgegen Spindler in: Kullmann/Pfister/Stöhr/Spindler, Produzentenhaftung, 02/17, Produktverantwortung und Haftung im IT-Bereich), was die Beklagte nicht geltend macht. Der Bundesgerichtshof hat im Zusammenhang mit WLAN-Routern jedenfalls für private Verwender ausgesprochen, es würde diese unzumutbar belasten und wäre damit unverhältnismäßig, wenn ihnen zur Pflicht gemacht würde, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden (BGH, Urteil vom 12. Mai 2010 – I ZR 121/08 -, BGHZ 185, 330-341, Rn. 23). Der Bundesgerichtshof fordert lediglich die zweckentsprechende Anwendung der im Kaufzeitpunkt marktüblichen Sicherungen, wozu im entschiedenen Fall die Vergabe eines individuellen Passworts zum „Mindeststandard“ der IT-Sicherheit gezählt wurde (a.a.O.). Vom privaten Käufer eines marktüblichen PC, von dem technische Vorkenntnisse nicht unbedingt erwartet werden können, dürfte die Installation und Verwendung von Schutzsoftware danach nur zu fordern sein, soweit diese mitgeliefert wird und ihre Aktivierung bei Inbetriebnahme angeboten wird. Zu höheren Anforderungen an Verbraucher besteht keine Veranlassung, weil die (optionale) Bereitstellung von Sicherheitsvorkehrungen eher von den gewerblichen Herstellern informationstechnischer Geräte geleistet werden kann als von deren Verwendern. Ob für Einzelgewerbetreibende höhere Anforderungen gelten, kann hier offen bleiben. Es gibt auch keinen Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 2 BGB a.F. obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 -, BGHZ 208, 331-357, Rn. 68). Wie oben ausgeführt, ist es nicht ungewöhnlich, dass es ohne Verschulden des Zahlenden zu unautorisierten Transaktionen kommt.

Eine Umkehr der Beweislast ergibt sich nicht daraus, dass die Aufbewahrung der Sicherheitsmerkmale ausschließlich in der Sphäre des Zahlers erfolgt und die Beklagte darauf keinen Einfluss hat.

Links dazu

War der Beitrag hilfreich?

Klicken Sie zur Bewertung: