Online-Banking – und der (Anscheins-)Nachweis der Authorisierung eines Zahlungsvorgangs

13. April 2016 | Im Brennpunkt, Kapitalanlage- und Bankrecht
Geschätzte Lesezeit: 25 Minuten

Bei dem Nachweis der Autorisierung eines Zahlungsvorgangs mittels eines Zahlungsauthentifizierungsinstruments ist nach § 675w Satz 3 BGB Voraussetzung einer Anwendung der Grundsätze des Anscheinsbeweises, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen.

Der Zahlungsdienstnutzer muss zur Erschütterung eines für die Autorisierung eines Zahlungsauftrags sprechenden Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument vortragen und beweisen, sondern kann sich auch auf außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Umstände stützen, die für einen nicht autorisierten Zahlungsvorgang sprechen.

Es gibt keinen einen Anscheinsbeweis rechtfertigenden Erfahrungssatz, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt.

Ein Aufwendungsersatzanspruch der Bank gegen die Bankkundin nach § 675c Abs. 1, § 675 i.V.m. § 670 BGB auf Zahlung des nach Kündigung des Geschäftsgirovertrages vorhandenen Sollsaldos setzt den von der Bank zu erbringenden Nachweis einer Zustimmung des Zahlers (Autorisierung) zu der streitigen Überweisung nach § 675j Abs. 1 Satz 1 BGB voraus. Gemäß § 675j Abs. 1 Satz 3 BGB ist die Art und Weise der Zustimmung zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren. Dabei kann nach § 675j Abs. 1 Satz 4 BGB festgelegt werden, dass die Zustimmung mittels eines Zahlungsauthentifizierungsinstruments im Sinne des § 1 Abs. 5 ZAG erteilt werden kann. Danach haben vorliegend die Parteien für die Autorisierung im Online-Banking die Nutzung des von der Bankkundin angebotenen smsTAN-Verfahrens vereinbart, bei dem ein Zahlungsvorgang durch die Eingabe von PIN und TAN autorisiert wird, wobei die TAN mittels einer SMS-Nachricht an eine vereinbarte Mobilfunknummer des Bankkunden gesendet wird.

In dem hier vom Bundesgerichtshof entschiedenen Streitfall hat die Bank den Nachweis der Authentifizierung des streitigen Zahlungsvorgangs sowie von dessen ordnungsgemäßer Verbuchung, Aufzeichnung und Störungsfreiheit geführt:

Ist wie hier die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen. Eine Authentifizierung ist nach § 675w Satz 2 BGB erfolgt, wenn der Zahlungsdienstleister die Nutzung des vereinbarten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Sind diese Voraussetzungen nicht erfüllt, ist der Nachweis einer Autorisierung mithilfe des betroffenen Zahlungsauthentifizierungsinstruments gescheitert1.

Im vorliegenden Fall hatte das Gericht die erfolgreiche Überprüfung der streitigen Überweisung durch die Bankkundin anhand des vorgelegten Transaktionsprotokolls und damit den Nachweis der Authentifizierung dieses Zahlungsvorgangs sowie den Nachweis der Verbuchung, Aufzeichnung und Störungsfreiheit festgestellt.

Nach § 675w Satz 3 Nr. 1 BGB reicht die Authentifizierung und die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der personalisierten Sicherheitsmerkmale aber nicht notwendigerweise aus, den dem Zahlungsdienstleister hier der Bank obliegenden Nachweis einer Autorisierung des Zahlungsvorgangs zu führen.

Ein Zahlungsdienstleister kann sich statt dessen gegenüber dem Zahler unter bestimmten Voraussetzungen zum Nachweis der strittigen Autorisierung auf einen Beweis des ersten Anscheins berufen, der allerdings bei Nutzung eines Zahlungsauthentifizierungsinstruments den besonderen Anforderungen des § 675w Satz 3 BGB genügen muss. Danach ist Voraussetzung eines Anscheinsbeweises bei Nutzung eines Zahlungsauthentifizierungsinstruments ein Sicherheitssystem, das allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat.

In Rechtsprechung und Literatur ist streitig, ob die Beweisregeln in § 675w Satz 3 BGB, mit dem Art. 59 Abs. 2 der Richtlinie 2007/64/EG über Zahlungsdienste im Binnenmarkt (Zahlungsdiensterichtlinie) umgesetzt worden ist, einer Anwendung der Grundsätze des Anscheinsbeweises zugunsten des Zahlungsdienstleisters gestützt auf die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments entgegenstehen.

Eine Meinung in der Literatur2, der sich vereinzelt Gerichte angeschlossen haben3, geht davon aus, § 675w Satz 3 BGB verbiete im Zahlungsdiensterecht bei Einsatz eines Authentifizierungsinstruments die Anwendung des Anscheinsbeweises, da das dadurch entstehende Regel-Ausnahme-Verhältnis Sinn und Zweck des § 675w Satz 3 BGB widerspreche.

Demgegenüber nimmt die h.M. an, § 675w Satz 3 BGB hindere eine Anwendung des Anscheinsbeweises im Zahlungsdiensterecht grundsätzlich nicht4. Der Wortlaut des § 675w Satz 3 BGB verbiete mit der Formulierung “allein nicht notwendigerweise” lediglich zwingende Beweisregeln, nicht aber widerlegbare Beweiserleichterungen wie den Anscheinsbeweis.

Der Bundesgerichtshof entscheidet diesen Streit anknüpfend an die h.M. dahin, dass § 675w Satz 3 BGB einer Anwendung des Anscheinsbeweises nicht entgegensteht, sondern vielmehr besondere Anforderungen an dessen Ausgestaltung stellt.

Die Grundsätze des Anscheinsbeweises stehen nicht in Widerspruch zum Wortlaut des § 675w Satz 3 BGB, da dieser erst dann berührt wäre, wenn die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister den vollen Beweis für die in § 675w Satz 3 Nr. 1 bis Nr. 3 BGB genannten Tatsachen erbringen würde. Die Grundsätze des Anscheinsbeweises begründen hingegen weder eine zwingende Beweisregel noch eine Beweisvermutung und auch keine Beweislastumkehr zulasten einer Partei5. Ein Anscheinsbeweis wird vielmehr bereits dadurch erschüttert, dass der Prozessgegner atypische Umstände des Einzelfalles darlegt und im Falle des Bestreitens Tatsachen nachweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen6.

Dies wird durch die Entstehungsgeschichte der Vorschrift gestützt. Der Zusatz “nicht notwendigerweise” ist in den Entwurf der Zahlungsdiensterichtlinie erst später eingefügt worden7, um klarzustellen, dass eine umfassende Beweiswürdigung nach den Grundsätzen des nationalen Prozessrechts möglich bleiben soll8. Deswegen geht auch die Regierungsbegründung zum Entwurf des § 675w Satz 3 BGB davon aus, dass die nationalen Beweisgrundsätze und damit auch diejenigen über den Anscheinsbeweis weiterhin zulässig bleiben9.

Der in § 675w Satz 3 BGB festgelegten Beweisregel ist aber auch bei Anwendung des Anscheinsbeweises praktische Geltung zu verschaffen. § 675w Satz 3 BGB begrenzt den Beweiswert einer schlichten Dokumentation des technischen Authentifizierungsvorgangs, um den Zahlungsdienstnutzer, der weder den Authentifizierungsvorgang technisch gestalten noch dessen korrekte Funktion im Einzelfall überblicken kann, nicht über § 675v Abs. 1 BGB hinaus mit den Risiken eines Missbrauchs technischer Authentifizierungsinstrumente zu belasten. Deswegen dürfen im Zahlungsdiensterecht beim Einsatz technischer Authentifizierungsinstrumente die Grundsätze des Anscheinsbeweises nicht so gehandhabt werden, dass sie bei Vorliegen allein der in § 675w Satz 3 BGB genannten technischen Merkmale aus praktischer Sicht einer Beweislastumkehr gleichkommen10.

Für eine Anwendung der Grundsätze des Anscheinsbeweises im Zahlungsdiensterecht bei dem Nachweis einer Autorisierung durch ein vereinbartes Zahlungsauthentifizierungsinstrument reicht danach allein die korrekte Aufzeichnung der Nutzung dieses Zahlungsauthentifizierungsinstruments nicht aus. Vielmehr müssen dessen allgemeine praktische Sicherheit und die Einhaltung des Sicherheitsverfahrens im konkreten Einzelfall feststehen. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens.

Der Anscheinsbeweis für eine Autorisierung durch den Zahlungsdienstnutzer darf nicht ohne Rücksicht auf das technische Schutzniveau des verwendeten Sicherheitssystems allein an die ordnungsgemäß aufgezeichnete Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale anknüpfen11. Die korrekte Aufzeichnung der Nutzung eines nicht ausreichend sicheren Zahlungsauthentifizierungsinstruments kann nämlich für sich keine Beweiserleichterung für den Zahlungsdienstleister rechtfertigen, da andernfalls der Zahlungsdienstnutzer entgegen der Wertung des § 675w Satz 3 Nr. 1 BGB das Risiko von Defiziten des von ihm nicht zu verantwortenden Authentifizierungsvorgangs tragen würde. Vielmehr ist ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises.

Darüber hinaus darf vom Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises nicht Vortrag und ggf. Nachweis verlangt werden, auf welche Weise die Schutzvorkehrungen des Authentifizierungsverfahrens überwunden worden oder weshalb sie wirkungslos geblieben sind. Das käme in der praktischen Wirkung ebenfalls einer gegen § 675w Satz 3 BGB verstoßenden unwiderleglichen Beweislastumkehr gleich12, da der Zahlungsdienstnutzer im Allgemeinen über keine Kenntnisse zu dem eingesetzten Sicherungssystem und dessen Beachtung im Einzelfall verfügen wird. Vielmehr kann zur Erschütterung des Anscheinsbeweises die Darlegung und ggf. der Nachweis aller und damit auch außerhalb des technischen Zahlungsvorgangs liegender Tatsachen genügen, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen13.

Nach diesen Maßstäben hat in dem hier vom Bundesgerichtshof entschiedenen Fall das Berufungsgericht sowohl die Voraussetzungen für eine Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking verkannt und deswegen erforderliche Feststellungen nicht getroffen als auch rechtsfehlerhaft die Anforderungen an ein Erschüttern des von ihm angenommenen Anscheinsbeweises durch die Bankkundin als Zahlungsdienstnutzer überspannt.

Die Frage, ob im Einzelfall die Grundsätze eines Anscheinsbeweises anzuwenden sind, unterliegt der Prüfung durch das Revisionsgericht14.

Dabei ist eine Anwendung der Grundsätze eines Anscheinsbeweises im Online-Banking nicht allgemein ausgeschlossen. Die allseits bekannte Gefahr des Ausspähens und Verfälschens von Daten, die über das Internet übermittelt werden, steht einer gesicherten Lebenserfahrung zur Verlässlichkeit einer Online-Autorisierung nämlich dann nicht entgegen, wenn auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit eines konkret eingesetzten Sicherungsverfahrens und dessen Beachtung im konkreten Einzelfall feststehen.

Ob der Beweis des ersten Anscheins für die Autorisierung eines Zahlungsvorgangs im Online-Banking allgemein oder für bestimmte Authentifizierungsverfahren ausgeschlossen ist, ist in Literatur und Rechtsprechung umstritten15.

Der Bundesgerichtshof entscheidet diese Streitfrage dahin, dass die Anwendung des Anscheinsbeweises für eine Autorisierung durch den Zahler im Online-Banking unter den oben genannten Voraussetzungen rechtlich zulässig und nicht generell ausgeschlossen ist.

Gegenwärtig werden nämlich Authentifizierungsverfahren im Online-Banking dann noch allgemein als praktisch unüberwindbar angesehen, wenn diese von einer Kompromittierung der eingesetzten Geräte nicht berührt werden, ein Zugriff Unberechtigter auf den Übertragungsweg ausgeschlossen ist, die dynamische TAN an den konkreten Zahlungsvorgang gebunden ist und das Verfahren dem Zahlungsdienstnutzer vor einer Freigabe die Überprüfung des vollständigen, unverfälschten Zahlungsauftrags ermöglicht16. Bislang sind noch keine praktisch erfolgreichen Angriffe auf ein derart ausgestaltetes System in der Öffentlichkeit bekannt geworden. Eine die Anwendung des Anscheinsbeweises rechtfertigende Typik muss somit nicht von vornherein an der allgemeinen Unsicherheit einer Datenübertragung über das Internet scheitern.

Es ist allerdings rechtsfehlerhaft, ohne Prüfung der praktischen Unüberwindbarkeit des eingesetzten Sicherungssystems einen Erfahrungssatz anzunehmen, nach Nutzung der zutreffenden PIN und smsTAN für einen Zahlungsauftrag im Online-Banking spreche der Anschein für dessen Autorisierung durch den Kontoinhaber. Hierdurch würde zu Unrecht von dem Zahlungsdienstnutzer Darlegung und ggf. Nachweis dafür verlangt, dass die Nutzung des Authentifizierungsinstruments durch Unberechtigte technisch möglich gewesen sei.

Der Beweis des ersten Anscheins erfordert die Feststellung eines allgemeinen Erfahrungssatzes als einer aus allgemeinen Umständen gezogenen tatsächlichen Schlussfolgerung, die auf den vorliegenden konkreten Sachverhalt angewendet werden kann17. Dieser Sachverhalt, der grundsätzlich von der beweisbelasteten Partei darzulegen und zu beweisen ist18, muss einer Typik entsprechen, also nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweisen19.

Voraussetzungen eines Anscheinsbeweises, der für die Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer im Online-Banking spricht, sind danach wie oben dargestellt nicht nur die in § 675w Satz 1 BGB genannten Umstände, die lediglich die Dokumentation des Authentifizierungsvorgangs betreffen, sondern es bedarf zusätzlich der Feststellung eines allgemein praktisch nicht zu überwindenden, im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems.

Insoweit ist die Annahme rechtsfehlerhaft, bereits die korrekte Aufzeichnung im Transaktionsprotokoll begründe den “Anschein einer ordnungsgemäßen Nutzung des Online-Banking”.

Funktionsweise und allgemeine praktische Unüberwindbarkeit des hier verwendeten smsTAN-Verfahrens sind weder substantiiert dargelegt noch sind dazu Beweise erhoben worden. Die isolierte Feststellung, die für einen Zahlungsvorgang erforderliche TAN sei an die bei der Bank hinterlegte Rufnummer der SIM-Karte des Geschäftsführers der Bankkundin übermittelt und mit dieser TAN sei die Überweisung freigegeben worden, liefert keine Information zum Sicherheitsniveau des konkret eingesetzten Verfahrens.

Weiter fehlt die notwendige Klärung, ob das von dem Zahlungsdienstleister konkret genutzte Sicherheitssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorganges ein ausreichendes Sicherheitsniveau für die Anwendung des Anscheinsbeweises geboten hat20. Diese Prüfung muss auf Grundlage des neuesten Stands der Erfahrung erfolgen21. Gerade im Online-Banking, in dem Sicherungssysteme und Angriffsszenarien laufenden und kurzfristigen Änderungen unterworfen sind, reichen älterer Rechtsprechung zugrunde liegende Erkenntnisse oder Ansichten von Stimmen in der Literatur nicht aus. Vielmehr wird regelmäßig Anlass bestehen, das eingesetzte Sicherungssystem und den konkreten technischen Ablauf, die dem streitigen Zahlungsvorgang zugrunde lagen, einer die aktuellen Erkenntnisse auswertenden sachverständigen Begutachtung zu unterziehen, um den neuesten Stand der Erfahrung zu erfassen22.

Da zu dem hier eingesetzten smsTAN-Verfahren zahlreiche bekannt gewordene erfolgreiche Attacken die Frage aufwerfen, ob es allgemein als praktisch unüberwindbar gelten und damit einen Anscheinsbeweis für die Autorisierung der Zahlung durch den Zahlungsdienstnutzer bei Verwendung der richtigen PIN und TAN rechtfertigen kann, hätte das Berufungsgericht hierzu Feststellungen treffen müssen. So sind zum Online-Banking eingesetzte Computer zugleich mit dem zum Empfang der TAN eingesetzten Smartphone infiziert worden23, sodass Zahlungsvorgänge in Echtzeit manipuliert werden konnten24. Weiter waren mittels eines Trojaners durchgeführte sog. Man-In-The-Middle/Man-In-The-Browser-Attacken erfolgreich25. Danach ist aufgrund öffentlich zugänglicher Quellen fraglich, ob das smsTAN-Verfahren allgemein einen Sicherheitsstandard aufweist, der die Anwendung der Regeln des Anscheinsbeweises rechtfertigt.

Sodann ist zu klären, ob mögliche Sicherheitsdefizite des smsTAN-Verfahrens dessen Einordnung als allgemein praktisch unüberwindbar bereits im Zeitpunkt der streitigen Autorisierung hinderten. Denn inzwischen bekannt gewordene Schwächen des smsTAN-Verfahrens, die jedoch im Zeitpunkt der Erteilung des hier streitigen Zahlungsauftrags noch nicht bekannt oder praktisch nicht nutzbar waren, können einer Anwendung der Grundsätze des Anscheinsbeweises nicht entgegenstehen.

Unabhängig davon war vor einer Anwendung der Grundsätze des Anscheinsbeweises die Einhaltung des Sicherheitsniveaus des smsTAN-Verfahrens im Online-Banking-System der Bank bei Erteilung des konkreten Zahlungsauftrags zu überprüfen.

Dazu bestand im vorliegenden Fall besonderer Anlass, da unstreitig wegen einer EDV-Umstellung bei der Bank über längere Zeit erhebliche Softwareprobleme auch im Online-Banking auftraten, die etwa zu unberechtigten Gutschriften in sechsstelliger Höhe führten. Davon war auch das Geschäftsgirokonto der Bankkundin betroffen. Eine die Anwendung des Anscheinsbeweises rechtfertigende Typizität setzt mithin vorliegend die konkrete Darlegung und ggf. den Nachweis voraus, dass sich solche Probleme nicht auf das Sicherheitssystem des smsTAN-Verfahrens ausgewirkt haben.

In diesem Zusammenhang ist auch die Annahme rechtsfehlerhaft, dass Voraussetzung einer Beweisaufnahme über die Sicherheit des eingesetzten Authentifizierungssystems substantiierter Vortrag der Bankkundin als Zahlungsdienstnutzer zu konkreten Defiziten im Sicherheitssystem des Online-Bankings der Bank sei. Da grundsätzlich die beweisbelastete Partei die Darlegungs- und Beweislast auch für die Tatsachen trägt, die der Anwendung eines Anscheinsbeweises zugrunde liegen18, hat vielmehr der Zahlungsdienstleister hier die Bank die konkrete Ausgestaltung des von ihm eingesetzten Authentifizierungssystems und dessen Sicherheitsniveau darzulegen und im Falle des Bestreitens zu beweisen. Hierdurch werden die Anforderungen an ein Erschüttern des von ihm angenommenen Anscheinsbeweises überspannt.

Ein Anscheinsbeweis ist erschüttert, wenn der Beweisgegner Tatsachen darlegt und gegebenenfalls zur vollen Überzeugung des Gerichts beweist26, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen6. Danach muss der Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist.

Im vorliegenden Fall hat die Bankkundin zu solchen, zur Erschütterung des Anscheinsbeweises geeigneten Umständen hinreichend vorgetragen.

Sie hat behauptet und unter Beweis gestellt, dass der Geschäftsführer der Bankkundin den Überweisungsempfänger nicht kenne und er diesem auch keine schriftliche Zahlungsanweisung erteilt habe. Sofern eine solche mit seiner Unterschrift vorliegen sollte, sei die Unterschrift gefälscht. Weiter sei er zum Zeitpunkt der Überweisung in Urlaub gewesen und habe keine Möglichkeit gehabt, Buchungen im Wege des Online-Bankings vorzunehmen. Das Mobiltelefon, in dem sich die SIM-Karte zu der bei der Bank für das smsTAN-Verfahren hinterlegten Telefonnummer befunden habe, habe sich im Gewahrsam eines Mitarbeiters befunden, der ebenfalls keinen Überweisungsauftrag erteilt habe. Die TAN sei zwar über SMS auf dem Mobiltelefon eingegangen, der Mitarbeiter habe diese SMS aber für Spam gehalten und “weggedrückt” sowie die TAN nicht verwendet.

Träfe diese Sachdarstellung zu, hätte der Geschäftsführer der Bankkundin im Zeitpunkt der Erteilung eines Überweisungsauftrags keinen Zugriff auf die erforderliche TAN gehabt und der als Zeuge benannte Mitarbeiter hätte mangels PIN keinen Zahlungsauftrag erteilen können sowie die TAN nicht genutzt. Zudem wäre der Zahlungsempfänger dem Geschäftsführer der Bankkundin unbekannt gewesen. Könnte die Bankkundin diese Behauptungen zur Überzeugung der Tatsachengerichte nachweisen, wäre ein Anscheinsbeweis ersichtlich erschüttert. Die Anträge auf Vernehmung des Mitarbeiters Ma. und weiterer Zeugen sowie ggf. auf Anhörung des Geschäftsführers der Bankkundin durften deswegen nicht zurückgewiesen werden. Das gilt auch für die Vernehmung des Streithelfers, die was vom Berufungsgericht übersehen worden ist bereits in der Klageerwiderung beantragt worden ist.

Dabei musste die Bankkundin als Voraussetzung einer Erhebung dieser Beweise nicht darlegen, dass das von der Bankkundin eingesetzte Mobiltelefon mit einem Schadprogramm infiziert gewesen ist, nicht von sich aus einen Computerexperten mit der Untersuchung des Mobiltelefons beauftragen und auch nicht erklären, auf welche Weise ein unbefugter Dritter an die Zugangsdaten gelangt ist. Die Erschütterung eines Anscheinsbeweises verlangt nämlich nicht die Aufklärung des unsicheren Geschehensablaufs, sondern lediglich den Nachweis der ernsthaften, ebenfalls in Betracht kommenden Möglichkeit einer anderen Ursache.

Die Überweisung des streitigen Betrags vom Konto der Bankkundin auf das Konto eines Dritten wirkt nicht nach den Grundsätzen der Anscheinsvollmacht oder eines Handelns unter fremdem Namen zulasten der Bankkundin.

In Rechtsprechung und Literatur ist umstritten, ob von Dritten unter Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale veranlasste Zahlungsvorgänge dem Zahler nach den Grundsätzen der Anscheinsvollmacht zugerechnet werden können27.

Der Bundesgerichtshof hat erhebliche Zweifel, ob die Grundsätze einer Anscheinsvollmacht bzw. eines Handelns unter fremdem Namen im Recht der Zahlungsdienste neben den Spezialvorschriften der § 675j Abs. 1 Satz 4, §§ 675u, 675v BGB angewendet werden können.

Die Auffassung, ein Kontoinhaber müsse Zahlungsaufträge, die ein Dritter unter missbräuchlicher Verwendung eines Authentifizierungsinstruments erteilt hat, nach diesen Rechtsscheingrundsätzen gegen sich gelten lassen, wenn ihm das Handeln des Nichtberechtigten bekannt war oder er es hätte erkennen können28, ist mit den nach § 675e Abs. 1 BGB im Grundsatz abschließenden29 Regelungen in § 675j Abs. 1 Satz 4, § 675u Satz 1 BGB nicht zu vereinbaren30. Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag ist bei Nutzung eines personalisierten Zahlungsauthentifizierungsinstruments, das ohnehin nach § 675l BGB geheim zu halten ist, eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Das Handeln eines Dritten bei der förmlichen Authentifizierung nach § 675j Abs. 1 Satz 4 BGB mit den personalisierten Sicherheitsmerkmalen des Kontoinhabers ist damit unwirksam und kann auch dann einen Zahlungsauftrag mittels des betreffenden Authentifizierungsverfahrens nicht autorisieren, wenn die persönlichen Sicherheitsmerkmale vom Dritten mit Zustimmung des Kontoinhabers eingesetzt worden sein sollten. Zudem ist der in § 675v Abs. 2 BGB festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen hat, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht käme31.

Soll ein entsprechend Bevollmächtigter das Recht erhalten, für den Kontoinhaber mit einem Zahlungsauthentifizierungsinstrument Zahlungsvorgänge zu autorisieren, muss ihm ein eigenes personalisiertes Authentifizierungsinstrument einschließlich gesonderter personalisierter Sicherheitsmerkmale zugewiesen werden.

Dies bedarf im vorliegenden Fall jedoch keiner abschließenden Entscheidung, da die Voraussetzungen einer Anscheinsvollmacht oder eines Handelns unter fremdem Namen bei der hier zu unterstellenden missbräuchlichen Nutzung von PIN und TAN im Online-Banking nicht vorliegen.

Eine Anscheinsvollmacht setzt voraus, dass der Vertretene das Handeln des Scheinvertreters nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und der Geschäftspartner annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters32. Zudem ist im Grundsatz erforderlich, dass das Verhalten des Geschäftsherrn, aus dem der Geschäftsgegner auf die Bevollmächtigung des Dritten schließt, von einer gewissen Dauer und Häufigkeit ist32.

Diese Voraussetzungen sind vorliegend nicht erfüllt. Die Bank hat nach dem hier zugrunde zu legenden Sachverhalt nicht erkannt, dass ein Dritter und nicht der Kunde gehandelt hat. Zudem kommt lediglich ein einmaliger Missbrauch des Online-Bankings und kein Handeln von gewisser Dauer und Häufigkeit in Betracht.

Die Bankkundin haftet auch nicht wegen eines Handelns des unbekannten Dritten unter ihrem Namen in entsprechender Anwendung der für Anscheinsvollmachten geltenden Grundsätze.

Erweckt das verdeckte Handeln unter fremdem Namen bei dem Geschäftspartner den Eindruck, tatsächlich werde die Erklärung vom Namensträger abgegeben, und wird dadurch eine falsche Vorstellung von der Identität des Handelnden hervorgerufen, können die Grundsätze der Anscheinsvollmacht entsprechend anzuwenden sein33. Dies kann auch für Geschäfte gelten, die vergleichbar der vorliegenden Konstellation über das Internet abgewickelt werden34.

Der Geschäftsherr wird aber auch in diesem Fall nur verpflichtet, wenn er das Handeln des Scheinvertreters bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können und dieses Handeln von einer gewissen Dauer und Häufigkeit war35. Beide Voraussetzungen sind nicht erfüllt, wenn lediglich ein einmaliger missbräuchlicher Kontozugriff in Betracht kommt, der entsprechend dem auch hier zugrunde zu legenden Sachverhalt von dem Zahlungsdienstnutzer erst im Nachhinein erkannt wurde.

Ein Anspruch der Bank besteht auch nicht nach § 675v Abs. 2 BGB als Schadensersatzanspruch.

Tatsachen, die eine betrügerische Absicht oder ein grob fahrlässiges Verhalten der Bankkundin belegen würden, sind von der Bank nicht vorgetragen; und vom Berufungsgericht nicht festgestellt worden.

Es gibt auch keinen Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits die korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 2 BGB obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann.

In Literatur und Rechtsprechung ist umstritten, ob bei missbräuchlicher Verwendung von PIN und TAN durch einen Dritten im Online-Banking ein Anscheinsbeweis für eine grob fahrlässige Pflichtverletzung des Zahlers in Anspruch genommen werden kann36.

Der Bundesgerichtshof entscheidet diesen Streit dahingehend, dass bei missbräuchlicher Verwendung von PIN und TAN im Online-Banking allein die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die Prüfung der Authentifizierung im Sinne von § 675w Satz 3 Nr. 4 BGB die Anwendung der Grundsätze des Anscheinsbeweises für eine grob fahrlässige Pflichtverletzung des Zahlers nicht rechtfertigen. Auch ein Anscheinsbeweis auf alternativer Grundlage, der Zahlungsdienstnutzer habe entweder den Zahlungsvorgang autorisiert oder aber grob fahrlässig gegen seine Pflichten aus § 675l BGB verstoßen, kommt deswegen nicht in Betracht.

Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt37. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden38.

Es gibt keine die Grundsätze des Anscheinsbeweises stützende Erfahrungssätze, dass bei Aufzeichnung der fehlerfreien Nutzung eines Authentifizierungsinstruments ein Missbrauch des Online-Bankings auf einer solchen subjektiv unentschuldbaren Verletzung von Sorgfaltspflichten in besonders schwerem Maße durch den Zahlungsdienstnutzer beruhen würde oder dass in einem solchen Fall jedenfalls ein tatsächliches Verhalten des Zahlungsdienstnutzers belegt wäre, das als grob fahrlässig bewertet werden könnte.

Die Regeln des Anscheinsbeweises sind auf den Nachweis der subjektiven Voraussetzungen grober Fahrlässigkeit grundsätzlich dann nicht anwendbar, wenn es sich wie hier um ein individuelles Versagen handelt39. Dieser Grundsatz gilt auch, wenn der Missbrauch des Online-Bankings auf einem Umstand aus der Sphäre des Zahlungsdienstnutzers beruht. Denn ein objektiv grober Pflichtenverstoß rechtfertigt für sich allein noch nicht den Schluss auf ein gesteigertes personales Fehlverhalten, selbst wenn dieses in vergleichbaren Fällen häufig vorliegen sollte40.

Die Regeln des Anscheinsbeweises können aber auch nicht zum Nachweis der objektiven Voraussetzungen grober Fahrlässigkeit des Zahlungsdienstnutzers im Online-Banking herangezogen werden. Zwar ist der Anscheinsbeweis zum Nachweis grober Fahrlässigkeit grundsätzlich zulässig, wenn damit lediglich die Annahme eines bestimmten tatsächlichen Verhaltens gestützt werden soll und dieses erst in einem weiteren Schritt rechtlich als grob fahrlässig bewertet wird41.

Im Falle eines Missbrauchs des Online-Bankings gibt es aber keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen würden. Die Vielzahl von Authentifizierungsverfahren, die sich zum Teil erheblich im Sicherungskonzept und in dessen Ausgestaltung unterscheiden42, können jeweils auf unterschiedliche Weise angegriffen werden, wozu wiederum verschiedene Pflichtverletzungen des Zahlungsdienstnutzers beitragen können, sodass anders als bei Nutzung von Zahlungskarten an Geldautomaten43 ein Missbrauch des Online-Bankings nicht auf ein bestimmtes Verhalten des Zahlungsdienstnutzers hinweist, das sodann als grob fahrlässig eingeordnet werden könnte.

Einer Vorlage an den Europäischen Gerichtshof zur Klärung der Frage, ob eine Anwendung der Regeln des Anscheinsbeweises bei Einsatz eines Zahlungsauthentifizierungsinstruments mit der Zahlungsdiensterichtlinie zu vereinbaren ist, bedarf es nicht, da nach den oben dargestellten Grundsätzen der Anscheinsbeweis im Online-Banking in Übereinstimmung mit Art. 59 Abs. 2 der Zahlungsdiensterichtlinie nicht ausschließlich an die genannte Dokumentation der Nutzung des Authentifizierungsverfahrens anknüpft und zudem keine zwingende Beweisregel zur Folge hat. Im Übrigen obliegt die Beweiswürdigung, zu der auch die Grundsätze des Anscheinsbeweises gehören, nach Erwägungsgrund 33 der Zahlungsdiensterichtlinie den Gerichten nach nationalem Recht.

Das Gericht wird daher, wenn es die Grundsätze des Anscheinsbeweises anwenden will, ggf. nach Ergänzung des Vortrags der Bank zum verwendeten Sicherheitssystem mit sachverständiger Hilfe festzustellen haben, ob dieses nach heutigem Kenntnisstand im Zeitpunkt der Autorisierung des streitigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und dieses Sicherheitsniveau auch im vorliegenden Fall bei Vornahme der strittigen Überweisung trotz der technischen Schwierigkeiten im EDV-System der Bank gewahrt worden ist.

Sollte das Ergebnis dieser Beweiserhebung nach Auffassung des Berufungsgerichts eine Anwendung des Anscheinsbeweises für die Autorisierung der Überweisung durch die Bankkundin rechtfertigen, werden die von der Bankkundin zu dessen Erschütterung angebotenen Beweise zu erheben sein. Dabei kann nach den Grundsätzen der sekundären Darlegungslast der Zahlungsdienstleister hier die Bank im Rahmen des Zumutbaren44 gehalten sein, das verwendete Sicherheitssystem und eventuell bestehende weitere Sicherheitsvorkehrungen darzustellen, soweit dies nicht bereits im Rahmen der Begründung des Anscheinsbeweises geschehen ist. Dadurch soll der Zahler in die Lage versetzt werden, Beweis für von ihm vermutete konkrete Sicherheitsmängel antreten zu können45. Der Zahlungsdienstleister wird weiter auf Grundlage des Girovertrags in seinem Besitz befindliche technische Aufzeichnungen, die die streitigen sowie im selben Zeitraum ausgeführte Zahlungsvorgänge betreffen oder hierüber Aufschluss geben können, bis zur Klärung der Angelegenheit aufzuheben und sie dem Zahler gegebenenfalls zugänglich zu machen haben46.

Dem steht ein allgemeines Interesse der Kreditwirtschaft an der Geheimhaltung von Sicherungssystemen nicht entgegen. Einem im konkreten Einzelfall bestehenden berechtigten Geheimhaltungsinteresse des betroffenen Kreditinstituts an den technischen Grundlagen des von ihm eingesetzten Sicherungssystems kann in einem gerichtlichen Verfahren dadurch Rechnung getragen werden, dass nach § 172 Nr. 2 GVG die Öffentlichkeit ausgeschlossen wird und nach § 174 Abs. 3 GVG die Verfahrensbeteiligten zur Verschwiegenheit verpflichtet werden47.

Stattdessen bzw. bei einem Scheitern eines Anscheinsbeweises kann der Zahlungsdienstleister hier die Bank eine Autorisierung des Zahlungsauftrags durch den Zahler im Wege des Vollbeweises nachweisen. Insoweit hat die Bank auch Beweis angeboten. In diesem Fall wird der Zahlungsdienstnutzer nach den Grundsätzen der sekundären Darlegungslast zu allen ihm bekannten Umständen, die den streitigen Zahlungsvorgang und dessen Autorisierung betreffen, insbesondere zu den Sicherheitsvorkehrungen auf dem für das Online-Banking genutzten Rechner und dem Mobiltelefon sowie zur Notierung, Speicherung oder Weitergabe der PIN substantiiert vorzutragen haben.

Bundesgerichtshof, Urteil vom 26. Januar 2016 – XI ZR 91/14

  1. Palandt/Sprau, BGB, 75. Aufl., § 675w Rn. 2; MünchKomm-BGB/Casper, 6. Aufl., § 675w Rn. 4; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 72 f.; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 4 f.; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w BGB Rn. 16
  2. Franck/Massari, WM 2009, 1117, 1126; Jungmann in Jahrbuch junger Zivilrechtswissenschaftler Bd.2007, 2008, S. 329, 356; Scheibengruber, BKR 2010, 15, 21; kritisch auch: Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 16 ff.
  3. z.B. AG Berlin-Mitte, NJW-RR 2010, 407, 408
  4. OLG Düsseldorf, ZIP 2012, 2244, 2245; OLG Dresden, ZIP 2014, 766, 768; Beesch in Dauner-Lieb/Langen, BGB, 2. Aufl., § 675w Rn. 37; Beesch/WillershausenPR-BKR 9/2012 Anm. 1; Bunte, ABG-Banken und Sonderbedingungen, 4. Aufl., 4. Teil Rn. 31; MünchKomm-BGB/Casper, 6. Aufl., § 675w Rn. 13; Herresthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 2013, § 675w Rn. 13; Hofmann, BKR 2014, 105, 112; Lohmann/Koch, WM 2008, 57, 63; Maihold in Schimansky/Bunte/Lwowski, BankrechtsHandbuch, 4. Aufl., § 55 Rn. 80; Meckel, jurisPR-BKR 2/2010 Anm. 1; Nobbe, WM 2011, 961, 968; ders. in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 27; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 7; Schmalenbach in Bamberger/Roth, BGB, 3. Aufl., § 675w Rn. 12; Palandt/Sprau, BGB, 75. Aufl., § 675w Rn. 4; Werner in Kümpel/Wittig, Bank- und Kapitalmarktrecht, 4. Aufl., Rn.07.774
  5. st. Rspr. BGH, z.B. Urteile vom 05.02.1987 – I ZR 210/84, BGHZ 100, 31, 34; und vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 319
  6. BGH, Urteile vom 03.07.1990 – VI ZR 239/89, NJW 1991, 230, 231 mwN; und vom 17.01.1995 – X ZR 82/93, VersR 1995, 723, 724
  7. MünchKomm-BGB/Casper, 6. Aufl., § 675w Rn. 12; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 80; siehe auch Burgard, WM 2006, 2065, 2069
  8. Erwägungsgrund 33 der Zahlungsdiensterichtlinie
  9. BT-Drs. 16/11643, S. 115
  10. vgl. Hofmann, BKR 2014, 105, 112; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 81; siehe auch Staudinger/Omlor, BGB, Neubearb.2012, Vorbemerkungen zu §§ 675c 676c Rn.203 aE
  11. vgl. Staudinger/Omlor, BGB, Neubearb.2012, Vorbemerkungen zu §§ 675c 676c Rn.203 aE; siehe dazu auch Schinkels in Gebauer/Wiedmann, Zivilrecht unter europäischem Einfluss, 2. Aufl., Kap. 16 Rn. 56
  12. vgl. Erfurth, WM 2006, 2198, 2206
  13. vgl. dazu BGH, Urteile vom 03.07.1990 – VI ZR 239/89, NJW 1991, 230, 231 mwN; und vom 17.01.1995 – X ZR 82/93, VersR 1995, 723, 724
  14. BGH, Urteile vom 05.02.1987 – I ZR 210/84, BGHZ 100, 31, 33; vom 17.02.1988 IVa ZR 277/86, NJW-RR 1988, 789, 790; vom 06.03.1991 – IV ZR 82/90, VersR 1991, 460; vom 23.01.1997 – I ZR 29/94, WM 1997, 1493, 1496; und vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 313
  15. einen Anscheinsbeweis wohl generell verneinend: Casper/Pfeiffle, WM 2009, 2343, 2348; Kind/Werner, CR 2006, 353, 359; Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 21; Wiesgickl, WM 2000, 1039, 1047; einen Anscheinsbeweis bei Nutzung des einfachen PIN/TAN-Verfahrens ablehnend: AG Wiesloch, WM 2008, 1648, 1650; AG Krefeld, MMR 2013, 164, 165; Bunte, ABG-Banken und Sonderbedingungen, 4. Aufl., 4. Teil Rn. 26; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Erfurth, WM 2006, 2198, 2205; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 51; Spindler in Festschrift Nobbe, 2009, S. 215, 232; auch für das iTAN-Verfahren zweifelnd MünchKomm-BGB/Casper, 6. Aufl., § 675w Rn.20; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 10; einen Anscheinsbeweis bei Nutzung des mTAN(=smsTAN)Verfahrens bejahend: LG Köln, WM 2014, 2372 f.; Borges in Derleder/Knops/Bamberger, Handbuch zum deutschen und europäischen Bankrecht, 2. Aufl., Rn. 157; ders., BKR 2009, 85; MünchKomm-BGB/Casper, 6. Aufl., § 675w Rn.20; einen Anscheinsbeweis bei Verwendung des einfachen PIN/TAN- oder iTAN-Verfahrens ablehnend, jedoch für das mTAN, Sm@rtTAN plus- und Sm@rtTAN optic-Verfahren bejahend: Köbrich, VuR 2015, 9, 12; einen Anscheinsbeweis nur für optimierte eTAN bzw. chipTAN-Verfahren annehmend Hoeren/Kairies, ZBB 2015, 35, 37; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 85, 87; generell für das Eingreifen eines Anscheinsbeweises bei Nutzung der richtigen PIN und TAN unabhängig vom konkret verwendeten System: Bock in Neumann/Bock, Zahlungsverkehr im Internet, 2004, Rn. 180; Borges, NJW 2005, 3313, 3317; van Gelder in Festschrift Nobbe, 2009, S. 55, 67; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 111; Karper, DuD 2006, 215, 218; Weber, Recht des Zahlungsverkehrs, 4. Aufl., S. 304; Werner, MMR 1998, 232, 235; Werner in Kümpel/Wittig, Bank- und Kapitalmarktrecht, 4. Aufl., Rn.07.774
  16. siehe Hoeren/Kairies, ZBB 2015, 35, 36 f. und WM 2015, 549, 552 zum chipTAN-Verfahren; vgl. dazu auch Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn.19, 85
  17. BGH, Urteile vom 04.10.1983 – VI ZR 98/82, VersR 1984, 40; und vom 06.03.1991 – IV ZR 82/90, VersR 1991, 460, 461
  18. BGH, Urteil vom 14.09.2005 – VIII ZR 369/04, NJW 2006, 300 Rn. 11
  19. BGH, Urteile vom 27.05.1957 – II ZR 132/56, BGHZ 24, 308, 312; vom 05.02.1987 – I ZR 210/84, BGHZ 100, 31, 33; vom 06.03.1991 – IV ZR 82/90, VersR 1991, 460, 461; vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 313; und vom 14.09.2005 – VIII ZR 369/04, NJW 2006, 300 Rn. 9 f.
  20. vgl. dazu BGH, Urteile vom 14.11.2006 – XI ZR 294/05, BGHZ 170, 18 Rn. 31; und vom 29.11.2011 – XI ZR 370/10, WM 2012, 164 Rn. 37; BGH, Beschluss vom 06.07.2010 – XI ZR 224/09, WM 2011, 924 Rn. 12
  21. vgl. dazu Laumen in Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 3. Aufl., Kap. 17 Rn. 26
  22. vgl. dazu auch BGH, Beschluss vom 06.07.2010 – XI ZR 224/09, WM 2011, 924 Rn. 12 und BGH, Urteil vom 29.11.2011 – XI ZR 370/10, WM 2012, 164 Rn. 37
  23. vgl. Bundesamt für Sicherheit in der Informationstechnik, Pressemeldung vom 04.03.2011, Neue Schadsoftware liest mTAN-Nummern mit
  24. siehe Bundeskriminalamt, Bundeslagebericht 2013 – Cybercrime, S. 8
  25. Bundeskriminalamt, Bundeslagebericht 2014 Cybercrime, S. 7 f. und Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2014, S. 30; siehe dazu auch Köbrich, VuR 2015, 9, 10; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 85, 87; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 53; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 10
  26. BGH, Urteil vom 18.12 1952 – VI ZR 54/52, BGHZ 8, 239, 240
  27. für eine generelle Anwendbarkeit der Grundsätze der Anscheinsvollmacht: Gößmann in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 3. Aufl., § 55 Rn. 26; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 102 ff.; eine Anscheinsvollmacht im Falle eines Maninthe-Middle-Angriffs bei Verwendung des Smart-TANplus-Verfahrens bejahend: LG Darmstadt, ZIP 2014, 1972, 1974; die Anwendbarkeit von Rechtsscheingrundsätzen ablehnend: KG, WM 2011, 493, 494; LG Berlin, Urteil vom 11.08.2009 37 O 4/09 15; Borges, NJW 2005, 3313, 3314; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Köbrich, VuR 2015, 9, 12; Linardatos, BKR 2015, 96, 98; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 68; Omlor, ZfRV 2013, 80, 86; Spindler in Festschrift Nobbe, 2009, S. 215, 218 ff.; Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 22
  28. vgl. OLG Schleswig-Holstein, CR 2011, 52; KG Berlin, WM 2012, 493, 494; LG Darmstadt, ZIP 2014, 1972, 1974 f.; Fischer/Klanten/Koch, Bankrecht, 4. Aufl., Rn. 10.475 f.; MünchKomm-HGB/Häuser/Haertlein, 3. Aufl., Bd. 6, Bankkartenverfahren, Rn. E 37; Herresthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 2013, § 675u Rn. 7
  29. vgl. auch BGH, Urteil vom 16.06.2015 – XI ZR 243/13, WM 2015, 1631 Rn. 23
  30. Linardatos, BKR 2015, 96, 98; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 68; siehe auch MünchKomm-BGB/Schubert, 7. Aufl., § 167 Rn. 126 und Stöber JR 2012, 225, 231
  31. Linardatos, BKR 2015, 96, 98; Köbrich, VuR 2015, 9, 12; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 68; vgl. auch Stöber, JR 2012, 225, 231
  32. st. Rspr., vgl. BGH, Urteile vom 10.01.2007 – VIII ZR 380/04, NJW 2007, 987 Rn. 25; vom 16.03.2006 – III ZR 152/05, BGHZ 166, 369 Rn. 17; und vom 11.05.2011 – VIII ZR 289/09, BGHZ 189, 346 Rn. 16 jeweils mwN
  33. vgl. BGH, Urteil vom 03.03.1966 – II ZR 18/64, BGHZ 45, 193, 195 f.; und vom 11.05.2011 – VIII ZR 289/09, BGHZ 189, 346 Rn. 12
  34. vgl. BGH, Urteil vom 11.05.2011, aaO Rn. 12; Palandt/Ellenberger, BGB, 75. Aufl., § 172 Rn. 18
  35. vgl. BGH, Urteil vom 11.05.2011 – VIII ZR 289/09, BGHZ 189, 346 Rn. 16
  36. mangels Typizität einen Anscheinsbeweis generell bezweifelnd: Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 21; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 166; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 10; Schulte am Hülse/Klabunde, MMR 2010, 84, 87; Spindler in Festschrift Nobbe, 2009, S. 215, 232; einen Anscheinsbeweis für einfache Fahrlässigkeit bejahend, für grobe Fahrlässigkeit verneinend: Grundmann, WM 2009, 1157, 1163; kein Anscheinsbeweis für eine grob fahrlässige Sorgfaltspflichtverletzung bei Anwendung des klassischen PIN/TAN-Verfahrens: LG Mannheim, WM 2008, 2015; Borges, BKR 2009, 85, 87; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Erfurth, WM 2006, 2198, 2206; Kind/Werner, CR 2006, 353, 359; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 52; Herresthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 2013, § 675w Rn. 15, der jedoch für das iTAN, eTAN- und mTAN-Verfahren einen Anscheinsbeweis für grobe Fahrlässigkeit annimmt; kein Anscheinsbeweis bei Verwendung des mTAN-Verfahrens: LG Köln, WM 2014, 2372; einen Anscheinsbeweis allgemein bejahend: Bender, WM 2008, 2049, 2058; Bock in Neumann/Bock, Zahlungsverkehr im Internet, 2004, Rn. 183; Borges, BKR 2009, 85; van Gelder in Festschrift Nobbe, 2009, S. 55, 67; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 110; Werner in Hoeren/Sieber/Holznagel, Hdb. Multimedia-Recht, Teil 13.5, Stand Juli 2013 Rn. 63; Wiesgickl, WM 2000, 1039, 1050
  37. BGH, Urteile vom 30.01.2001 – VI ZR 49/00, NJW 2001, 2092, 2093; vom 11.07.2007 XII ZR 197/05, NJW 2007, 2988 Rn. 15; und vom 10.10.2013 – III ZR 345/12, BGHZ 198, 265 Rn. 26 mwN
  38. BGH, Urteile vom 30.01.2001 – VI ZR 49/00, NJW 2001, 2092, 2093; und vom 10.10.2013 – III ZR 345/12, BGHZ 198, 265 Rn. 28
  39. vgl. BGH, Urteile vom 21.04.1970 – VI ZR 226/68, VersR 1970, 568; vom 07.05.1974 – VI ZR 138/72, VersR 1974, 853; vom 29.01.2003 – IV ZR 173/01, NJW 2003, 1118, 1119; und vom 21.03.2007 – I ZR 166/04, NJW-RR 2007, 1630 Rn.20; Bacher in BeckOK ZPO, Stand: 1.09.2015, § 284 ZPO Rn. 96; Staudinger/Georg Caspers, BGB, Neubearb.2014, § 276 Rn. 97; Palandt/Grüneberg, BGB, 75. Aufl., § 277 Rn. 7; Leipold in Stein/Jonas, ZPO, 22. Aufl., § 286 Rn. 142; Saenger/Saenger, ZPO, 6. Aufl., § 286 Rn. 43
  40. vgl. dazu BGH, Urteile vom 12.01.1988, – VI ZR 158/87, NJW 1988, 1265, 1266; und vom 30.01.2001 – VI ZR 49/00, NJW 2001, 2092, 2093
  41. vgl. BGH, Urteil vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 319
  42. vgl. Hoeren/Kairies, ZBB 2015, 35; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 7 ff.
  43. BGH, Urteile vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 317 f.; und vom 29.11.2011 – XI ZR 370/10, WM 2012, 164 Rn. 16; BGH, Beschluss vom 06.07.2010 – XI ZR 224/09, WM 2010, 924 Rn. 10
  44. BGH, Urteil vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 320
  45. vgl. BGH, Urteile vom 15.05.2003 – III ZR 7/02 15; und vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 320
  46. BGH, Urteil vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 320 mwN
  47. vgl. dazu BGH, Urteil vom 09.12 2015 – IV ZR 272/15 9 ff.

 
Weiterlesen auf der Rechtslupe

Weiterlesen auf der Rechtslupe:

Themenseiten zu diesem Artikel: , , , , ,
Weitere Beiträge aus diesem Rechtsgebiet: Im Brennpunkt | Wirtschaftsrecht | Kapitalanlage- und Bankrecht

 

Hinterlassen Sie einen Kommentar zu diesem Artikel:

 
Zum Seitenanfang
Do NOT follow this link or you will be banned from the site!