Bankkonto gehackt – nicht autorisierte Überweisung: Immer noch, auch wenn die Online-Banking-Systeme zunehmend verbessert werden, gibt es erfolgreiche Angriffe und damit verbundene Schäden. Inzwischen gilt mit der Rechtsprechung, dass wenn unbefugte Dritte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking genutzt haben, die Beweislast dafür, dass der Kunde das Abhandenkommen der PIN zu vertreten hat, bei der Bank liegt.
Insbesondere gibt es keinen Beweis des ersten Anscheins, den sich der Kunde entgegen halten lassen muss – allerdings muss der Kunde zu den seinerseits getroffenen Sicherheitsvorkehrungen vortragen (können) in einem Prozess. Im Folgenden finden Sie einige Hinweise zur Haftung der bank bei Angriffsszenarien.
Bankkonto gehackt: Wer haftet?
Mit den zunehmenden Angriffen auf Bankkonten hat der Gesetzgeber reagiert und unter anderem die §§675v, 675u BGB geschaffen, mit denen ein Kontoinhaber erst einmal grundsätzlich nicht haftet wenn umautorisierte Überweisungen stattfinden, wobei §675u BGB erst einmal die Haftung des Dienstleisters klarstellt, diese dann aber in §675v BGB etwas relativiert:
- §675u BGB: Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
- §675v BGB: Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.
- Wichtig ist Absatz 3 im §675v BGB, mit dem bei grob fahrlässiger Pflichtverletzung eine volle Haftung des Kontoinhabers eintritt:
- Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler in betrügerischer Absicht gehandelt hat oder den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung (…)
Um eben diese Fragen drehen sich im Kern die gerichtlichen Entscheidungen zur Frage, wer bei einem leergeräumten Bankkonto bei umautorisierten Überweisungen haftet – insbesondere um die Fragen, ob möglicherweise ein Anscheinsbeweis für eine Autorisierung existiert und dann dazu, wann eine grobe Pflichtverletzung des Kunden bei einer nicht autorisierten Überweisung anzunehmen ist.
Nicht autorisierte Überweisung: Zurückhaltung beim Anscheinsbeweis
Der Bundesgerichtshof (XI ZR 91/14) hatte bereit zurückhaltend festgestellt, dass im Bereich des SMSTAN-Verfahrens kein Anscheinsbeweis quasi „blind“ heran zu ziehen ist. Denn Voraussetzungen eines Anscheinsbeweises, der für die Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer im Online-Banking spricht, sind mit dem BGH nicht nur die in § 675w Satz 1 BGB genannten Umstände, die lediglich die Dokumentation des Authentifizierungsvorgangs betreffen, sondern es bedarf zusätzlich der Feststellung eines allgemein praktisch nicht zu überwindenden, im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems.
Dabei machte der BGH deutlich, dass grundsätzlich Vorsicht im Bereich des Online-Banking gelten sollte bei Instanzgerichten:
Weiter fehlt die notwendige Klärung, ob das von dem Zahlungsdienstleister konkret genutzte Sicherheitssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorganges ein ausreichendes Sicherheitsniveau für die Anwendung des Anscheinsbeweises geboten hat (vgl. dazu Senatsurteile vom 14. November 2006 – XI ZR 294/05, BGHZ 170, 18 Rn. 31 und vom 29. November 2011 – XI ZR 370/10, WM 2012, 164 Rn. 37; Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 12). Diese Prüfung muss auf Grundlage des neuesten Stands der Erfahrung erfolgen (vgl. dazu Laumen in Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 3. Aufl., Kap. 17 Rn. 26). Gerade im Online-Banking, in dem Sicherungssysteme und Angriffsszenarien laufenden und kurzfristigen Änderungen unterworfen sind, reichen älterer Rechtsprechung zugrunde liegende Erkenntnisse oder Ansichten von Stimmen in der Literatur nicht aus. Vielmehr wird regelmäßig Anlass bestehen, das eingesetzte Sicherungssystem und den konkreten technischen Ablauf, die dem streitigen Zahlungsvorgang zugrunde lagen, einer die aktuellen Erkenntnisse auswertenden sachverständigen Begutachtung zu unterziehen, um den neuesten Stand der Erfahrung zu erfassen (vgl. dazu auch Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 12 und Senatsurteil vom 29. November 2011 – XI ZR 370/10, WM 2012, 164 Rn. 37).
LG Düsseldorf: Beweislast bei der Bank
Auch das Landgericht Düsseldorf, 6 O 72/17, hat entschieden, dass wenn im Falle eines Angriffs eine nichtautorisierte Überweisung durch die Bank durchgeführt wird, der Kunde sich die Überweisung nicht unter Rechtsscheingesichtspunkten zurechnen lassen muss und der Anspruch nicht nach § 676c Nr. 1 BGB ausgeschlossen ist. Zwar ist der Anspruch aus § 675u Satz 2 BGB bei Belastung eines Zahlungskontos grundsätzlich auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet:
Der Zahler hat jedoch dann einen Anspruch auf Auszahlung des zu Unrecht belasteten Betrages, wenn die Kontobeziehung inzwischen unter Ausgleich des Saldos aufgelöst worden ist oder das Konto auch ohne Rückbuchung einen Habensaldo aufweist oder eine nicht ausgeschöpfte Kreditlinie besteht (vgl. OLG Frankfurt, Urteil vom 11. Mai 2017, 1 U 224/15, zitiert nach juris, m.w.N.). Nachdem die Beklagte den Zahlungsantrag der Klägerin nicht entgegengetreten ist, ist davon auszugehen, dass die Voraussetzungen eines Auszahlungsanspruchs der Klägerin gegeben sind. (…) Die Beklagte trägt für das Vorliegend der Autorisierung die Beweislast. Dies ergibt sich zwar richtigerweise nicht aus § 675w BGB, da dieser nach richtlinienkonformer Auslegung wohl nur Zahlungsvorgänge erfasst, die unter Anwendung eines Zahlungsauthentifizierungsinstruments ausgelöst wurden, was vorliegend nach § 675j BGB nicht gegeben ist. Dennoch bleibt es auch in diesen Fällen bei der allgemeinen Beweislastverteilung, wonach der Kunde die Erteilung des Zahlungsauftrags und der Dienstleister seine Erfüllung und Autorisierung beweisen muss (vgl. Zetzsche/MüKo, BGB, § 675w Rn. 3; Palandt, BGB, 77. Aufl. 2018 , § 675w Rn. 5). Dies gilt auch für den vorliegenden Fall bezüglich der Echtheit der Unterschrift auf einem nur in einem Faxschreiben vorliegenden Überweisungsauftrag (OLG Frankfurt, Urteil vom 24. Mai 2000 – 17 U 225/98, OLG Frankfurt, Urteil vom 11. Mai 2017 – 1 U 224/5). Eine tatsächlich vorliegende Autorisierung, mithin eine Unterzeichnung durch den Zeugen X ist von der Beklagten nicht substantiiert und unter Beweisantritt vorgetragen worden.
Landgericht Düsseldorf, 6 O 72/17
Der Beklagten steht gegen die Klägerin kein Anspruch auf Aufwendungsersatz aus §§ 676c Abs. 1, 670, 670u Satz 1 BGB zu, weil davon auszugehen ist, dass ein nicht autorisierter Zahlungsvorgang vorlag. Im Falle eines nicht autorisierten Zahlungsvorgangs schuldet der Zahlungsdienstleister, weil er die Belastung eines Kontos zu Unrecht vorgenommen hat, gemäß § 675u Satz 2 BGB die unverzügliche Erstattung des Zahlungsbetrages.
Herausgabe der PIN an Anrufer ist grob fahrlässig
Wenig überraschend ist eine Entscheidung des Landgerichts Köln, 21 O 116/19, in der es um die telefonische Weitergabe einer TAN an einen Betrüger ging. Online-Banking AGB sehen grundsätzlich die auferlegte Pflicht vor, dafür Sorge zu tragen, dass keine andere Person Kenntnis von der PIN und den TANs erlangt. Gegen diese Verpflichtung verstößt, wer angeblichen Mitarbeitern am Telefon TANs weitergibt, die es ermöglichen, die dem Angreifer gehörende Mobiltelefonnummer – für die spätere Abfrage von computergenerierten TANs – zu hinterlegen. Das Landgericht führt hierzu aus:
Diese vertragliche Sorgfaltspflicht verletzte der Kläger grob fahrlässig. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (MüKoBGB/Zetsche, 7. Auflage 2017, § 675 v Rn 33), wobei sich aus Erwägungsgrund 33 der ZDRL ergibt, dass die Ausgestaltung des Begriffs nationalem Recht überlassen ist (MüKoBGB/Zetsche, a.a.O.). Nach diesen Grundsätzen stellt sich das Verhalten des Klägers in der Gesamtschau als grob fahrlässig dar, wobei – wie nachfolgend aufgezeigt wird – dahin stehen kann, ob bereits der Umstand, dass der Täter die Zugangsdaten zum Online-Banking (Kennwort und PIN) erlangt hat, auf grober Fahrlässigkeit beruhte.
Dem Kläger hätte bereits auffallen müssen, dass es für ein Kreditinstitut absolut außergewöhnlich ist, dass ein angeblicher Mitarbeiter telefonisch ankündigt, ihm eine TAN zu schicken, um das bisherige Kennwort und die bisherige PIN zu ändern. Bereits dies hätte einem durchschnittlich sorgfältigen Online-Banking-Kunden Anlass zu Misstrauen und ggf. einer Vorsprache bei der Bank gegeben. Noch auffälliger und mit den Usancen im Bankverkehr unvereinbar war es, dass der Mitarbeiter sodann die telefonische Durchgabe der TAN verlangte. Bereits dieser – erste – Verstoß gegen die vertraglich vereinbarte Pflicht, die TAN an Dritte weiterzugeben, erfolgte grob fahrlässig.
Landgericht Köln, 21 O 116/19
Bankkonto gehackt – Fehler beim Provider gehen nicht zu Lasten des Kunden
Eine die Rechtsprechung des BGH aufgreifende und sehr interessante Entscheidung hat das Landgericht Kiel (12 O 562/17) getroffen und festgestellt, dass Probleme im Bereich des Providers nicht zu Lasten des Nutzers gehen. Das Gericht hat insoweit entschieden, dass wenn Unbefugte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking eingesetzt haben, die Bank die Beweislast dafür trägt, dass der Kunde das Abhandenkommen der PIN zu vertreten habe. Der Beweis des ersten Anscheins spricht an dieser Stelle nicht gegen den Kunden. Der Kunde muss aber im Wege der sekundären Darlegungslast zu den seinerseits getroffenen Sicherheitsvorkehrungen vortragen können.
Wenn also etwa der Mobilfunkanbieter des Online-Banking-Nutzers schuldhaft Unbefugten das Abfangen von per SMS versandten Transaktionsnummern ermöglicht, hat der Nutzer dies nicht zu vertreten; und ebenso ist der Nutzer nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden:
Fraglich ist im vorliegenden Fall bereits, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern (so Staudinger/Omlor (2012) § 675c BGB, Rn. 17 m.w.N.). Jedenfalls ist dem Kläger weder sein Mobiltelefon noch seine SIM-Karte verlorengegangen oder gestohlen worden. Der Kläger hat den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Dass die SIM-Karte nicht mehr funktionierte, stellte nach dem eindeutigen Gesetzeswortlaut keinen Verlust und auch keinen Diebstahl dar. Es wäre dem Nutzer eines Mobiltelefons auch unzumutbar, jede Funktionsstörung sämtlichen Anbietern der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.
Soweit die Beklagte die Ansicht vertritt, der Kläger hätte ihr schon die Gefahr einer missbräuchlichen Verwendung anzeigen müssen, trifft dies nicht zu. Vertraglich vereinbart wurde eine derartige Anzeigepflicht nicht, weil die von der Beklagten angeführten Geschäftsbedingungen – wie bereits ausgeführt – nicht nachgewiesenermaßen Vertragsbestandteil geworden sind. Auch gesetzlich besteht keine Pflicht zur Anzeige jeder Gefahr einer missbräuchlichen Verwendung. Der eindeutige Gesetzeswortlaut des § 675l S. 2 BGB a.F. setzt – im Einklang mit Art. 56 RiL 2007/64/EG – ausdrücklich positive „Kenntnis“ des Zahlers vom Verlust oder den weiteren beschriebenen Vorfällen voraus. Im Übrigen ist nicht nachgewiesen, dass der Kläger Kenntnis auch nur von der Gefahr einer missbräuchlichen Verwendung seiner Rufnummer hatte. Dem Kläger ist nicht zu widerlegen, dass er lediglich von einer technischen Störung ausging. (…)
Es ist nicht nachgewiesen, dass der Kläger die Zahlungsvorgänge durch vorsätzliche oder grob fahrlässige Verletzung der Pflicht herbeigeführt habe, alle zumutbaren Vorkehrungen zu treffen, um unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (§ 675l S. 1 BGB a.F.).
Dass der Kläger zumutbare Vorkehrungen zum Schutz von PIN und TAN unterlassen habe, hat die Beklagte nicht nachgewiesen. Es kann offen bleiben, ob der Kläger auf seinem zum Online-Banking genutzten PC zum Schutz vor Schadsoftware ein Virenschutzprogramm installieren, verwenden und auf dem aktuellen Stand halten musste, weil der Kläger unwiderlegt vorträgt, dies getan zu haben. Soweit die Beklagte die Richtigkeit dieses Vortrags bestreitet, verkennt sie, dass ihr der Nachweis einer Pflichtverletzung obliegt und den Kläger insoweit lediglich eine sekundäre Darlegungslast trifft. Die sekundäre Darlegungslast schließt nicht die Verpflichtung zur Vorlage von Belegen oder Nachweisen ein. Im Übrigen bestehen auch Bedenken gegen die Annahme einer Pflicht zur Installation und Verwendung einer besonderen Software zum Schutz vor Schadsoftware, soweit sie nicht bereits Bestandteil marktüblicher Betriebssysteme ist (entgegen Spindler in: Kullmann/Pfister/Stöhr/Spindler, Produzentenhaftung, 02/17, Produktverantwortung und Haftung im IT-Bereich), was die Beklagte nicht geltend macht. Der Bundesgerichtshof hat im Zusammenhang mit WLAN-Routern jedenfalls für private Verwender ausgesprochen, es würde diese unzumutbar belasten und wäre damit unverhältnismäßig, wenn ihnen zur Pflicht gemacht würde, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden (BGH, Urteil vom 12. Mai 2010 – I ZR 121/08 -, BGHZ 185, 330-341, Rn. 23). Der Bundesgerichtshof fordert lediglich die zweckentsprechende Anwendung der im Kaufzeitpunkt marktüblichen Sicherungen, wozu im entschiedenen Fall die Vergabe eines individuellen Passworts zum „Mindeststandard“ der IT-Sicherheit gezählt wurde (a.a.O.). Vom privaten Käufer eines marktüblichen PC, von dem technische Vorkenntnisse nicht unbedingt erwartet werden können, dürfte die Installation und Verwendung von Schutzsoftware danach nur zu fordern sein, soweit diese mitgeliefert wird und ihre Aktivierung bei Inbetriebnahme angeboten wird. Zu höheren Anforderungen an Verbraucher besteht keine Veranlassung, weil die (optionale) Bereitstellung von Sicherheitsvorkehrungen eher von den gewerblichen Herstellern informationstechnischer Geräte geleistet werden kann als von deren Verwendern. Ob für Einzelgewerbetreibende höhere Anforderungen gelten, kann hier offen bleiben. Es gibt auch keinen Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 2 BGB a.F. obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 -, BGHZ 208, 331-357, Rn. 68). Wie oben ausgeführt, ist es nicht ungewöhnlich, dass es ohne Verschulden des Zahlenden zu unautorisierten Transaktionen kommt.
Eine Umkehr der Beweislast ergibt sich nicht daraus, dass die Aufbewahrung der Sicherheitsmerkmale ausschließlich in der Sphäre des Zahlers erfolgt und die Beklagte darauf keinen Einfluss hat.
Links dazu
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.
- BGH unterstreicht die Bedeutung sorgfältiger Beweiswürdigung bei „Aussage gegen Aussage“-Konstellationen - 16. April 2024
- Auswirkung der BTM-Menge auf die Strafzumessung - 16. April 2024
- Gesetzeseinheit in Form der Konsumtion - 16. April 2024