de en
Nexia Ebner Stolz

Aktuelles

Rechtsscheinhaftung bei missbräuchlicher Überweisung im Online-Banking

LG Darmstadt 28.8.2014, 28 O 36/14

Dem Zahlungsdienstleistungsnutzer ist eine manipulierte Autorisierung im Online-Banking bei Nutzung des Smart-TAN-plus Verfahrens nach Rechtsscheingrundsätzen zuzurechnen. Eine Bank muss weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorganges Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne nähere Anhaltspunkte überwachen.

Der Sach­ver­halt:
Die Klä­ge­rin war Bank­kun­din der Beklag­ten. Um ihre Bank­ge­schäfte per Inter­net (Online) zu täti­gen, nutzte sie das ihr von der Beklag­ten zur Ver­fü­gung ges­tellte sog. Smart-TAN-plus Ver­fah­ren. Dabei wer­den mit Hilfe eines TAN-Gene­ra­tors die auf der Bild­schirm­maske ein­ge­ge­be­nen Über­wei­sungs­da­ten über­mit­telt, was sich durch eine opti­sche Schnitt­s­telle (Gra­fik) auf dem PC-Bild­schirm des Bank­kun­den sowie durch Anhal­ten des TAN-Gene­ra­tors an den PC-Bild­schirm und eine damit ein­her­ge­hende Daten­über­tra­gung durch Licht­si­g­nale über die opti­schen Sen­so­ren des TAN-Gene­ra­tors voll­zieht (sog. Fli­cke­ring). Das Ver­fah­ren weist laut Sach­ver­stän­di­gen eine hohe Sys­tem­si­cher­heit auf.

Am 12.11.2013 in der Zeit von 16:42 bis 16:46 Uhr und am 27.11.2013 15:52 bis 16:02 Uhr führte der Geschäfts­füh­rer der Klä­ge­rin mit­tels des Smart-TAN plus Ver­fah­rens meh­rere Über­wei­sun­gen aus. Er allein war im Besitz der EC-Karte, die er zur Bedi­e­nung des TAN-Gene­ra­tors ver­wen­dete. Der Com­pu­ter, von dem aus die Über­wei­sun­gen vor­ge­nom­men wur­den, war durch einen aktu­el­len Viren­schutz und eine Fire­wall gesi­chert, Betriebs­sys­tem und Inter­net­brow­ser waren auf einem aktu­el­len Stand. Den­noch erfolg­ten an die­sen Tagen, am 12.11. um 16:37 Uhr und am 27.11.2013 um 15:44 Uhr, zwei Über­wei­sun­gen an Emp­fän­ger in Lett­land, die der Klä­ge­rin nicht bekannt waren.

Am 29.11.2013 bemerkte die Klä­ge­rin die bei­den Zah­lungs­vor­gänge erst­mals und stellte Straf­an­zeige. Am glei­chen Tag ver­suchte der Geschäfts­füh­rer der Klä­ge­rin ver­geb­lich, die Beklagte über eine Not­fall­hot­line zu errei­chen. Spä­ter for­derte die Klä­ge­rin die Beklagte zur Rück­zah­lung der abge­buch­ten 18.500 € auf. Diese wei­gerte sich. Im Januar 2014 warnte die Beklagte ihre Kun­den auf ihrer Home­page davor, gefälschte E-Mails - in betrü­ge­ri­scher Absicht schein­bar in ihrem Namen - zu öff­nen. Diese dien­ten ein­zig dazu, die Com­pu­ter der Bank­kun­den mit Schad­code ("Tro­ja­ner") zu kom­pro­mit­tie­ren.

Das LG wies die Klage ab.

Die Gründe:
Der Klä­ge­rin steht aus dem Giro­ver­trag gegen die Beklagte kein Anspruch aus § 675u S. 2 BGB auf Zah­lung zu.

Zwar wurde das bei der Beklag­ten unter­hal­tene Geschäfts­konto der Klä­ge­rin durch die bei­den streit­ge­gen­ständ­li­chen Zah­lungs­vor­gänge belas­tet. Doch diese Zah­lungs­vor­gänge waren von der Klä­ge­rin auto­ri­siert i.S.d. § 675j Abs. 1 BGB. Beim Online-Ban­king erbringt der Zah­lungs­di­enst­leis­ter den Nach­weis der Authen­ti­fi­zie­rung gem. § 675w S. 2 BGB, wenn er belegt, dass Kun­den­ken­nung, PIN und TAN über­prüft wur­den. Die­sen Anfor­de­run­gen hatte die Beklagte durch Vor­lage des Nach­weis-Pro­to­kolls der SEPA-Auf­träge vom 12.11. und 27.11.2013 sowie des Pro­to­kolls der "SB-Karte-PRK genügt, da aus den Pro­to­kol­len her­vor­ging, dass die vor­ge­nann­ten Nach­weise über­prüft wur­den und Grund­lage der Trans­ak­tio­nen waren.

Die Klä­ge­rin hatte ihr Ein­ver­ständ­nis zu den Zah­lungs­vor­gän­gen zwar nicht selbst erteilt, son­dern wurde Opfer eines sog. "Man-in-the-Middle-Angriffs". Ihr war die mit­tels des Zah­lung­s­au­then­ti­fi­zie­rungs­in­stru­ments PIN und TAN erteilte Zustim­mung des "Ang­rei­fers" zu den mani­pu­lier­ten Zah­lungs­vor­gän­gen jedoch nach Rechts­schein­grund­sät­zen, in die­sem Fall der Anscheins­voll­macht, zuzu­rech­nen. Die Aus­füh­run­gen des Sach­ver­stän­di­gen erga­ben, dass die Klä­ge­rin den "Man-in-the-Middle-Angriff" hätte erken­nen und ver­hin­dern kön­nen. Denn sie hatte die Mög­lich­keit, durch Kon­trolle der auf dem Dis­play des TAN-Gene­ra­tors ange­zeig­ten Über­wei­sungs­da­ten die Mani­pu­la­tion der Zah­lungs­vor­gänge zu erken­nen und hätte sodann den Zah­lungs­vor­gang abb­re­chen kön­nen. Dies hatte die Klä­ge­rin offen­bar aus Unacht­sam­keit nicht vor­ge­nom­men und damit auch gegen ihre ver­trag­li­che Pflicht für das Online-Ban­king ver­sto­ßen.

Die Beklagte war gut­gläu­big. Denn eine Bank muss weder gene­rell prü­fen, ob die Abwick­lung eines Zah­lungs­ver­kehrs­vor­gan­ges Risi­ken für einen Betei­lig­ten begrün­det, noch Kon­to­be­we­gun­gen all­ge­mein und ohne nähere Anhalts­punkte über­wa­chen. Ohne beson­dere wei­tere Anhalts­punkte geben auch Über­wei­sun­gen mit Aus­lands­be­rüh­rung, der Ein­satz glat­ter Beträge und dadurch ggf. ein­t­re­tende Kon­to­über­zie­hun­gen einer Bank kei­nen hin­rei­chen­den Anlass, von die­sem Grund­satz eine Aus­nahme zu machen.

Letzt­lich konnte die Klä­ge­rin auch kei­nen Scha­dens­er­satz von der Beklag­ten unter dem Gesichts­punkt ver­lan­gen, dass sie an der Not­fall­hot­line am 29.11.2013 nie­man­den errei­chen konnte. Zwar folgt aus § 675m Abs. 1 Nr. 3 BGB die Verpf­lich­tung des Zah­lungs­di­enst­leis­ters, sicher­zu­s­tel­len, dass der Zah­lungs­di­enst­leis­tungs­nut­zer durch geeig­nete Mit­tel jeder­zeit die Mög­lich­keit hat, eine Anzeige nach § 675l S. 2 BGB vor­zu­neh­men. Es fehlte jedoch an der Kau­sa­li­tät einer etwai­gen Pflicht­ver­let­zung für den streit­ge­gen­ständ­li­chen Scha­den der Klä­ge­rin. Denn bereits im Zeit­punkt des Bemer­kens der betrü­ge­ri­schen Abbu­chun­gen vom 27.11.2013 durch die Klä­ge­rin am 29.11.2013 konn­ten die mut­maß­li­chen Mani­pu­lie­rer der ermit­tel­ten IP-Adresse nicht mehr zuge­ord­net wer­den. Selbst wenn die Klä­ge­rin die Beklagte über die Not­fall­hot­line erreicht hätte, wäre des dem­nach nicht zu einer Nam­haft­ma­chung der Mani­pu­lie­rer gekom­men.

Link­hin­weis:

nach oben