Bundesgerichtshof entscheidet zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking
Urteil vom 26. Januar 2016 – XI ZR 91/14Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat
heute entschieden, dass § 675w Satz 3 BGB* die Anwendung der Grundsätze des
Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter
Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt
sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des
strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im
konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.
Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein
Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der
Geschäftsführer der Beklagten erhielt dazu eine persönliche
Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto
zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag,
dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und
einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten
zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das
Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am
Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da
zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein
Sollbetrag auf dem Geschäftskonto der Beklagten.
Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert
mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie
hatte in beiden Tatsacheninstanzen Erfolg.
Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil
aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das
Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende
Überlegungen maßgeblich:
Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang
strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei
Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner
personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies
mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die
klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt.
Dies genügt aber nach § 675w Satz 3 BGB „nicht notwendigerweise“, um
den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des
Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu
führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen
Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich
genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende
Beweisregel noch eine Beweisvermutung begründen.
Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die
Autorisierung eines Zahlungsvorgangs bei Verwendung eines
Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische
Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung
im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises
nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des
dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.
Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf
Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht
in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da
entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten
Authentifizierungsverfahren vorliegen.
Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen
Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten
Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden
Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das
Berufungsurteil aufzuheben war.
Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als
zutreffend dar.
Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine
Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des
vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem
einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und
Häufigkeit des Handelns des Scheinvertreters.
Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus
§ 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v
Abs. 2 BGB*** scheiden auf Grundlage der bisherigen Feststellungen aus. Im
Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen
Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran
anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der
auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.
Vorinstanzen:
Landgericht Lübeck – Urteil vom 7. Juni 2013 – 3 O 418/12
Schleswig-Holsteinisches Oberlandesgericht in Schleswig – Beschluss vom 22.
Januar 2014 – 5 U 87/13
Karlsruhe, den 26. Januar 2016
* § 675w BGB
Nachweis der Authentifizierung
Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der
Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und
der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch
eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der
Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments,
einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines
Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines
Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der
Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der
Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise
aus, um nachzuweisen, dass der Zahler
1. den Zahlungsvorgang autorisiert,
2. in betrügerischer Absicht gehandelt,
3. eine oder mehrere Pflichten gemäß § 675l verletzt oder
4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die
Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.
** § 675l BGB
Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente
Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines
Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen,
um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.
Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den
Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht
autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich
anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.
*** § 675v BGB
Haftung des Zahlers bei missbräuchlicher Nutzung eines
Zahlungsauthentifizierungsinstruments
(…)
(2) Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten
Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs
entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch
vorsätzliche oder grob fahrlässige Verletzung
1. einer oder mehrerer Pflichten gemäß § 675l oder
2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des
Zahlungsauthentifizierungsinstruments herbeigeführt hat.
(…)
…
Nr. 023/2016 vom 26.01.2016
Quelle: Bundesgerichtshof, Pressestelle