Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Missbräuchliche Überweisung: Haftung des Kontoinhabers bei von ihm veranlasster Überweisung mittels Smart-TAN-Plus

Anwaltliche Beratung gewünscht? Vereinbaren Sie einen Termin unter 02404-92100!

Beim LG Darmstadt (28 O 36/14) ging es um eine missbräuchliche Überweisung, also eine Überweisung die ohne den Willen des Kontoinhabers stattgefunden hat. Hierbei kam das Smart-TAN-Plus Verfahren zum Einsatz, bei dem eine TAN im Einzelfall generiert und mit einem bestimmten Gerät angezeigt wird. Im vorliegenden Fall kam es zu zwei Überweisungen in Höhe von gut 18.000 Euro, die der Kontoinhaber nicht veranlasst haben wollte. Das Gericht konnte sich mit der Verantwortlichkeit auseinandersetzen und kam zu dem Ergebnis, dass der Kontoinhaber hierfür einzustehen hat.

Missbrauchsmöglichkeiten beim Smart-TAN-Plus Verfahren

Es wurde ein gerichtliches Gutachten zu Missbrauchsmöglicheiten eingeholt. Hierzu stellt das Gericht fest:

Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht.

Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.

Hier gilt: Hinsehen und zwar im doppelten Sinn; Der Sachverständige hat festgestellt, dass auch bei allen denkbaren Szenarien auf dem TAN-Generator die Kontonummer des Empfängers erscheinen muss. Das bedeutet, spätestens beim Blick auf den Generator sieht man den – bis dahin verborgenen – Empfänger!

Haftung nach Rechtsscheingrundsätzen

Es gibt die Möglichkeit einer Anscheinsvollmacht:

Eine Anscheinsvollmacht ist gegeben, wenn der Vertretene (hier: die Klägerin) das Handeln des Scheinvertreters (hier: des „Angreifers“) nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und wenn der Geschäftspartner (hier: die Beklagte) annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters. Bei dem hier vorliegenden, mit einer Identitätstäuschung verbundenen Handeln unter fremdem Namen ist bei Anwendung dieser Grundsätze auf das Verhalten des Namensträgers abzustellen (BGH, Urt. v. 11.05.2011 – VIII ZR 289/09, Rn. 16 – juris; Palandt/Ellenberger, a. a. O., § 172 Rn. 11).

Eben dies nahm das Gericht dann auch an, was soweit auch vertretbar ist – und sogar naheliegend. Das bedeutet, gegenüber der Bank ist eine Anscheinsvollmacht anzunehmen, die eine Haftung der Bank verhindert.

Dennoch: Zweifelhafte Entscheidung

Die Entscheidung des Landgerichts kann dennoch in Zweifel gezogen werden. So liest man nach den zutreffenden Ausführungen folgendes:

Weitere Anspruchsgrundlagen für das Begehren der Klägerin kommen aufgrund der abschließenden Regelung des § 675u BGB nicht in Betracht, § 675z S. 1 BGB.

Nun ist der §675u BGB zwar eine abschliessende Regelung, aber nur innerhalb des aufgezeigten Szenarios – nicht für andere passende Tatbestände, wie etwa §675v BGB. Diesen nicht zu prüfen war ein Fehler des Landgerichts, auch wenn vollkommen offen ist, ob hier ein anderes Ergebnis zu erzielen ist. So sieht §675v BGB vor:

Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen.

Die hier betroffene TAN war ein solches Zahlungsauthentifizierungsinstrument und mit den Feststellungen des Sachverständigen kam diese TAN in die Hände eines Dritten durch einen Angriff, der für den Zahler nicht zu erkennen war. Das vorliegende Szenario fällt unter diese Regelung, so dass eine Begrenzung auf 150 Euro anzudenken ist. Aber: Es gibt im §675v II BGB eine Ausnahmeklausel

Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung
1. einer oder mehrerer Pflichten gemäß § 675l oder
2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments
herbeigeführt hat.

Dabei sieht §675l BGB u.a. vor

Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Und hier ist dann die Diskussion zu führen, dass nach Anzeige der generierten TAN (dies ist der Zeitpunkt „Erhalt eines Zahlungsauthentifizierungsinstruments“) die Kenntnis Dritter zu verhindern ist. Wer hier dogmatisch arbeitet, wird dann sehen, dass die Kenntnis Dritter mit dem Sachverständigen für den Zahler gerade nicht zu erkennen war, somit eben nicht zwingend eine Haftung angenommen werden darf. Die Anzeige der Bankverbindung auf dem Generator hat hiermit auch nichts zu tun – daraus lässt sich schliesslich keine Kenntnisnahme eines Dritten erkennen. Die Diskussion verlagert sich dann vielmehr dahin, ob die Absicherung des Betroffenen Rechners gegeben war und hier nicht alles zumutbare gegen eine Kenntnis vorgenommen wurde.

Ungeklärt ist auch, ob in den AGB der Bank vorgesehen war, dass zwingend die Bankverbindung genau abzugleichen ist – dann ergäbe sich eine Haftung aus §675v I Nr.2 BGB. Dies wäre umso mehr zu prüfen gewesen, als dass die Bank ausweislich des Tatbestandes des Urteils die Aufrechnung wegen eines diesbezüglichen Schadensersatzanspruchs auch noch ausdrücklich erklärt hat.

Fazit: TAN-Generator Ablesen

Meine Ausführungen sollten nicht falsch verstanden werden, ich werde dem LG vor, den §675v BGB gar nicht geprüft zu haben, ich werfe kein falsches Ergebnis vor (dazu besser aber auch kürzer das AG Bonn)! Ich sehe bei der Verwendung von TAN-Generatoren ein ganz erhebliches Risiko für diejenigen, die die angezeigte Bankverbindung nicht nochmals genau prüfen. Daher, gerade bei hohen Summen, immer genau lesen was der Generator anzeigt.

Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner

Fachanwalt für IT-Recht bei Anwaltskanzlei Ferner
Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, berät Sie im gesamten Strafrecht, Arbeitsrecht, Datenschutzrecht, gewerblichem Rechtsschutz und IT-Recht.

Kontakt zur Anwaltskanzlei Ferner Alsdorf aufnehmen
Rechtsanwalt Jens Ferner

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Kurz-URL:

Veröffentlicht von

Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner

Rechtsanwalt in Alsdorf insbesondere zum: Strafrecht, Verkehrsrecht, Wettbewerbsrecht, IT-Recht samt Urheberrecht & Markenrecht, Vertragsrecht und Arbeitsrecht.

Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, berät Sie in sämtlichen medienrechtlichen und strafrechtlichen Fragen. Hierbei mit Schwerpunkten im Strafrecht, Wettbewerbsrecht, Urheberrecht, Datenschutzrecht, Arbeitsrecht und (IT-)Vertragsrecht samt Softwarerecht und AGB.