Missbräuchliche Überweisung: Haftung des Kontoinhabers bei von ihm veranlasster Überweisung mittels Smart-TAN-Plus

Beim LG Darmstadt (28 O 36/14) ging es um eine missbräuchliche Überweisung, also eine Überweisung die ohne den Willen des Kontoinhabers stattgefunden hat. Hierbei kam das Smart-TAN-Plus Verfahren zum Einsatz, bei dem eine TAN im Einzelfall generiert und mit einem bestimmten Gerät angezeigt wird. Im vorliegenden Fall kam es zu zwei Überweisungen in Höhe von gut 18.000 Euro, die der Kontoinhaber nicht veranlasst haben wollte. Das Gericht konnte sich mit der Verantwortlichkeit auseinandersetzen und kam zu dem Ergebnis, dass der Kontoinhaber hierfür einzustehen hat.

Missbrauchsmöglichkeiten beim Smart-TAN-Plus Verfahren

Es wurde ein gerichtliches Gutachten zu Missbrauchsmöglicheiten eingeholt. Hierzu stellt das Gericht fest:

Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht.

Hier gilt: Hinsehen und zwar im doppelten Sinn; Der Sachverständige hat festgestellt, dass auch bei allen denkbaren Szenarien auf dem TAN-Generator die Kontonummer des Empfängers erscheinen muss. Das bedeutet, spätestens beim Blick auf den Generator sieht man den – bis dahin verborgenen – Empfänger!

Haftung nach Rechtsscheingrundsätzen

Es gibt die Möglichkeit einer Anscheinsvollmacht:

Eine Anscheinsvollmacht ist gegeben, wenn der Vertretene (hier: die Klägerin) das Handeln des Scheinvertreters (hier: des „Angreifers“) nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und wenn der Geschäftspartner (hier: die Beklagte) annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters. Bei dem hier vorliegenden, mit einer Identitätstäuschung verbundenen Handeln unter fremdem Namen ist bei Anwendung dieser Grundsätze auf das Verhalten des Namensträgers abzustellen (BGH, Urt. v. 11.05.2011 – VIII ZR 289/09, Rn. 16 – juris; Palandt/Ellenberger, a. a. O., § 172 Rn. 11).

Eben dies nahm das Gericht dann auch an, was soweit auch vertretbar ist – und sogar naheliegend. Das bedeutet, gegenüber der Bank ist eine Anscheinsvollmacht anzunehmen, die eine Haftung der Bank verhindert.

Dennoch: Zweifelhafte Entscheidung

Die Entscheidung des Landgerichts kann dennoch in Zweifel gezogen werden. So liest man nach den zutreffenden Ausführungen folgendes:

Weitere Anspruchsgrundlagen für das Begehren der Klägerin kommen aufgrund der abschließenden Regelung des § 675u BGB nicht in Betracht, § 675z S. 1 BGB.

Nun ist der §675u BGB zwar eine abschliessende Regelung, aber nur innerhalb des aufgezeigten Szenarios – nicht für andere passende Tatbestände, wie etwa §675v BGB. Diesen nicht zu prüfen war ein Fehler des Landgerichts, auch wenn vollkommen offen ist, ob hier ein anderes Ergebnis zu erzielen ist. So sieht §675v BGB vor:

Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen.

Die hier betroffene TAN war ein solches Zahlungsauthentifizierungsinstrument und mit den Feststellungen des Sachverständigen kam diese TAN in die Hände eines Dritten durch einen Angriff, der für den Zahler nicht zu erkennen war. Das vorliegende Szenario fällt unter diese Regelung, so dass eine Begrenzung auf 150 Euro anzudenken ist. Aber: Es gibt im §675v II BGB eine Ausnahmeklausel

Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung
1. einer oder mehrerer Pflichten gemäß § 675l oder
2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments
herbeigeführt hat.

Dabei sieht §675l BGB u.a. vor

Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Und hier ist dann die Diskussion zu führen, dass nach Anzeige der generierten TAN (dies ist der Zeitpunkt „Erhalt eines Zahlungsauthentifizierungsinstruments“) die Kenntnis Dritter zu verhindern ist. Wer hier dogmatisch arbeitet, wird dann sehen, dass die Kenntnis Dritter mit dem Sachverständigen für den Zahler gerade nicht zu erkennen war, somit eben nicht zwingend eine Haftung angenommen werden darf. Die Anzeige der Bankverbindung auf dem Generator hat hiermit auch nichts zu tun – daraus lässt sich schliesslich keine Kenntnisnahme eines Dritten erkennen. Die Diskussion verlagert sich dann vielmehr dahin, ob die Absicherung des Betroffenen Rechners gegeben war und hier nicht alles zumutbare gegen eine Kenntnis vorgenommen wurde.

Ungeklärt ist auch, ob in den AGB der Bank vorgesehen war, dass zwingend die Bankverbindung genau abzugleichen ist – dann ergäbe sich eine Haftung aus §675v I Nr.2 BGB. Dies wäre umso mehr zu prüfen gewesen, als dass die Bank ausweislich des Tatbestandes des Urteils die Aufrechnung wegen eines diesbezüglichen Schadensersatzanspruchs auch noch ausdrücklich erklärt hat.

Fazit: TAN-Generator Ablesen

Meine Ausführungen sollten nicht falsch verstanden werden, ich werde dem LG vor, den §675v BGB gar nicht geprüft zu haben, ich werfe kein falsches Ergebnis vor (dazu besser aber auch kürzer das AG Bonn)! Ich sehe bei der Verwendung von TAN-Generatoren ein ganz erhebliches Risiko für diejenigen, die die angezeigte Bankverbindung nicht nochmals genau prüfen. Daher, gerade bei hohen Summen, immer genau lesen was der Generator anzeigt.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.