Beweisgrundsätze beim Onlinebanking-Missbrauch

Recht der EDV

Relevanz für Fälle des Onlinebanking-Missbrauchs

Der vom Bundesgerichtshof (BGH) entschiedene Fall betrifft zwar einen etwas „speziellen“ Sachverhalt, in welchem es von Seiten der Bank offensichtlich zu einer Fehlüberweisung gekommen ist und der auf diese Weise Begünstigte per mTAN den betreffenden Betrag weiterüberwiesen hat. Die vom BGH in der Entscheidung aufgestellten Grundsätze sind allerdings sehr relevant in den Fällen des Missbrauchs des Onlinebankings, also wenn Unbekannte Überweisungen vom Konto des Kontoinhabers vornehmen, ohne dass der Kontoinhaber diese Überweisungen wünscht oder billigt. Wie der Kanzlei bekannte (und vertretene) Fälle und auch die Presseberichterstattung zeigen, kommen solche Fälle leider immer mal wieder vor, sowohl bei Einsatz von Authentifizierungsverfahrens wie mTAN (TAN per SMS) als auch SmartTAN (TAN-Generator). Für den Kontoinhaber ist oftmals nicht nachvollziehbar, wie eine solche missbräuchliche Überweisung durchgeführt oder mangels näherer Kenntnisse der Bankensysteme technisch durchführbar ist. Eine Bank argumentiert in der Regel, dass sie lediglich einen für sie gewöhnlichen und nicht weiter auffälligen Zahlungsauftrag des Kontoinhabers erhalten und durchgeführt habe. In einer Auseinandersetzung des Opfers eines Onlinebanking-Missbrauchs mit der Bank sind daher die Beweislastregeln von entscheidender Bedeutung. (RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe).

Folgend die Pressemitteilung des Bundesgerichtshofs im Urteil vom 26. Januar 2016 – XI ZR 91/14:

Entscheidung des Bundesgerichtshofs

Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.

Unregelmäßigkeiten bei Nutzung des Onlinebanking-Kontos

Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.

Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:

Grundsätzliche Beweisregeln bei Zahlungsvorgängen

Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB „nicht notwendigerweise“, um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.

Ausschlaggebend ist die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens

Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.

Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.

Grundsätze der Anscheinsvollmacht und des Anscheinsbeweises sind nicht anwendbar

Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.

Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.

BGH Urteil vom 26. Januar 2016, Az. XI ZR 91/14

Quelle: Pressemitteilung des Bundesgerichtshofs vom 26.01.2016