Miß­brauch im Online-Ban­king – und der Anscheins­be­weis zuguns­ten der Bank

§ 675w Satz 3 BGB ver­bie­tet nicht die Anwen­dung der Grund­sät­ze des Anscheins­be­wei­ses im Online-Ban­king bei Ertei­lung eines Zah­lungs­auf­trags unter Ein­satz der zutref­fen­den PIN und TAN nicht ver­bie­tet. Es muss aber geklärt sein, dass das ein­ge­setz­te Siche­rungs­sys­tem im Zeit­punkt der Vor­nah­me des strit­ti­gen Zah­lungs­vor­gangs im All­ge­mei­nen prak­tisch unüber­wind­bar war und im kon­kre­ten Ein­zel­fall ord­nungs­ge­mäß ange­wen­det wor­den ist und feh­ler­frei funk­tio­niert hat. Bei einer miss­bräuch­li­chen Nut­zung des Online-Ban­kings spricht kein Beweis des ers­ten Anscheins für ein grob fahr­läs­si­ges Ver­hal­ten des Kon­to­in­ha­bers.

Miß­brauch im Online-Ban­king – und der Anscheins­be­weis zuguns­ten der Bank

In dem hier vom Bun­des­ge­richts­hof ent­schie­de­nen Fall unter­hielt die beklag­te Bank­kun­din, eine GmbH, bei der kla­gen­den Spar­kas­se u.a. ein Geschäfts­gi­ro­kon­to, mit dem sie seit März 2011 am Online-Ban­king teil­nahm. Der Geschäfts­füh­rer der GmbH erhielt dazu eine per­sön­li­che Iden­ti­fi­ka­ti­ons­num­mer (PIN), mit der er u.a. auf das Geschäfts­gi­ro­kon­to zugrei­fen konn­te. Zur Frei­ga­be ein­zel­ner Zah­lungs­vor­gän­ge wur­de das smsTAN-Ver­fah­ren – die Über­mitt­lung der Trans­ak­ti­ons­num­mer durch SMS – über eine Mobil­funk­num­mer des Geschäfts­füh­rers der GmbH ver­ein­bart. Nach­dem es zu Stö­run­gen im Online-Ban­king-Sys­tem der Spar­kas­se gekom­men war, wur­den am 15.07.2011 aus nicht geklär­ten Umstän­den dem Geschäfts­kon­to der GmbH feh­ler­haft Beträ­ge von 47.498, 95 € und 191.576, 25 € gut­ge­schrie­ben. Die Spar­kas­se ver­an­lass­te am 15. und 17.07.2011 ent­spre­chen­de Stor­nie­run­gen, die auf­grund des Wochen­en­des erst am Mon­tag, dem 18.07.2011, aus­ge­führt wur­den. Am Frei­tag, dem 15.07.2011, um 23:29 Uhr wur­de unter Ver­wen­dung der zutref­fen­den PIN und einer gül­ti­gen smsTAN eine Über­wei­sung von 235.000 € vom Kon­to der GmbH zuguns­ten eines Rechts­an­walts in das Online-Ban­king-Sys­tem der Spar­kas­se ein­ge­ge­ben. Die Über­wei­sung wur­de am Mon­tag­mor­gen, dem 18.07.2011, mit dem ers­ten Buchungs­lauf aus­ge­führt. Da zeit­gleich die feh­ler­haf­ten Gut­schrif­ten berich­tigt wur­den, ergab sich ein Soll­be­trag auf dem Geschäfts­kon­to der GmbH.

Nach­dem die Spar­kas­se die GmbH erfolg­los zum Aus­gleich des Kon­tos auf­ge­for­dert hat­te, kün­dig­te sie die Geschäfts­be­zie­hung frist­los und for­dert mit der vor­lie­gen­den Kla­ge den Schluss­sal­do von 236.422, 14 € nebst Zin­sen.

Mit die­ser Zah­lungs­kla­ge hat­te die Spar­kas­se sowohl erst­in­stanz­lich vor dem Land­ge­richt Lübeck 1 wie auch in der Beru­fungs­in­stanz vor dem Schles­wig-Hol­stei­ni­schen Ober­lan­des­ge­richt 2 Erfolg. Der Bun­des­ge­richts­hof hat nun jedoch auf die Revi­si­on der GmbH das Beru­fungs­ur­teil auf­ge­ho­ben und die Sache zur erneu­ten Ver­hand­lung und Ent­schei­dung an das Ober­lan­des­ge­richt in Schles­wig zurück­ver­wie­sen:

Ist die Zustim­mung (Auto­ri­sie­rung) des Kon­to­in­ha­bers zu einem Zah­lungs­vor­gang strit­tig, hat das aus­füh­ren­de Kre­dit­in­sti­tut (Zah­lungs­dienst­leis­ter) bei Ver­wen­dung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments (hier das Online-Ban­king-Ver­fah­ren) nach § 675w Satz 2 BGB nach­zu­wei­sen, dass die­ses ein­schließ­lich sei­ner per­so­na­li­sier­ten Sicher­heits­merk­ma­le (hier: PIN und smsTAN) genutzt und dies mit­hil­fe eines Ver­fah­rens über­prüft wor­den ist. Die­sen Nach­weis hat­te die kla­gen­de Spar­kas­se vor­lie­gend nach den den Bun­des­ge­richts­hof bin­den­den Fest­stel­lun­gen des Schles­wig-Hol­stei­ni­schen Ober­lan­des­ge­richts geführt.

Dies genügt aber nach § 675w Satz 3 BGB "nicht not­wen­di­ger­wei­se", um den dem Zah­lungs­dienst­leis­ter oblie­gen­den Beweis der Auto­ri­sie­rung des Zah­lungs­vor­gan­ges durch den Zah­lungs­dienst­nut­zer (hier: Kon­to­in­ha­be­rin) zu füh­ren. Das schließt nicht aus, dass sich der Zah­lungs­dienst­leis­ter auf einen Anscheins­be­weis beru­fen kann. Dem Wort­laut des § 675w Satz 3 BGB ist näm­lich genügt, da die Grund­sät­ze des Anscheins­be­wei­ses weder eine zwin­gen­de Beweis­re­gel noch eine Beweis­ver­mu­tung begrün­den.

Vor­aus­set­zung für die Anwen­dung der Grund­sät­ze des Anscheins­be­wei­ses auf die Auto­ri­sie­rung eines Zah­lungs­vor­gangs bei Ver­wen­dung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ist aber die all­ge­mei­ne prak­ti­sche Sicher­heit des ein­ge­setz­ten Authen­ti­fi­zie­rungs­ver­fah­rens und des­sen Ein­hal­tung im kon­kre­ten Ein­zel­fall. Zudem bedarf die Erschüt­te­rung des Anscheins­be­wei­ses nicht zwin­gend der Behaup­tung und ggf. des Nach­wei­ses tech­ni­scher Feh­ler des doku­men­tier­ten Authen­ti­fi­zie­rungs­ver­fah­rens durch den Kon­to­in­ha­ber.

Trotz all­ge­mein bekannt gewor­de­ner, erfolg­rei­cher Angrif­fe auf Sicher­heits­sys­te­me des Online-Ban­kings fehlt nach Auf­fas­sung des Bun­des­ge­richts­hofs nicht in jedem Fall eine Grund­la­ge für die Anwen­dung des Anscheins­be­wei­ses, da ent­spre­chen­de Erkennt­nis­se nicht zu allen im Online-Ban­king genutz­ten Authen­ti­fi­zie­rungs­ver­fah­ren vor­lie­gen.

Die­se Vor­aus­set­zun­gen hat das Beru­fungs­ge­richt ver­kannt und die not­wen­di­gen Fest­stel­lun­gen zur prak­ti­schen Unüber­wind­bar­keit des kon­kret ein­ge­setz­ten Siche­rungs­sys­tems sowie zu den zur Erschüt­te­rung eines even­tu­ell ein­grei­fen­den Anscheins­be­wei­ses vor­ge­tra­ge­nen Umstän­den nicht getrof­fen, wes­halb das Beru­fungs­ur­teil auf­zu­he­ben war.

Das Urteil des Schles­wig-Hol­stei­ni­schen Ober­lan­des­ge­richt stell­te sich im hier ent­schie­de­nen Fall auch nicht aus ande­ren Grün­den als zutref­fend dar:

Die Grund­sät­ze der Anscheins­voll­macht fin­den zulas­ten der GmbH kei­ne Anwen­dung. Es fehlt jeden­falls an einer Erkenn­bar­keit des Han­delns des ver­meint­li­chen Ver­tre­ters durch den Zah­lungs­dienst­leis­ter sowie bei einem ein­ma­li­gen Miss­brauchs­fall im Online-Ban­king an der erfor­der­li­chen Dau­er und Häu­fig­keit des Han­delns des Schein­ver­tre­ters.

Auch ein Anscheins­be­weis für eine grob fahr­läs­si­ge Ver­let­zung einer Pflicht aus § 675l BGB durch die GmbH und damit ein Anspruch der Spar­kas­se aus § 675v Abs. 2 BGB schei­den auf Grund­la­ge der bis­he­ri­gen Fest­stel­lun­gen aus. Im Fal­le des Miss­brauchs des Online-Ban­kings besteht ange­sichts der zahl­rei­chen Authen­ti­fi­zie­rungs­ver­fah­ren, Siche­rungs­kon­zep­te, Angrif­fe und dar­an anknüp­fen­der denk­ba­rer Pflicht­ver­let­zun­gen des Nut­zers kein Erfah­rungs­satz, der auf ein bestimm­tes typi­sches Fehl­ver­hal­ten des Zah­lungs­dienst­nut­zers hin­weist.

Bun­des­ge­richts­hof, Urteil vom 26. Janu­ar 2016 – – XI ZR 91/​14

  1. LG Lübeck, Urteil vom 07.06.2013 – 3 O 418/​12[]
  2. Schles­wig-Hol­stei­ni­sches OLG, Beschluss vom 22.01.2014 – 5 U 87/​13[]