de en
Nexia Ebner Stolz

Aktuelles

Rechtsscheinhaftung bei missbräuchlicher Überweisung im Online-Banking

LG Darmstadt 28.8.2014, 28 O 36/14

Dem Zah­lungs­dienst­leis­tungs­nut­zer ist eine ma­ni­pu­lierte Au­to­ri­sie­rung im On­line-Ban­king bei Nut­zung des Smart-TAN-plus Ver­fah­rens nach Rechts­schein­grundsätzen zu­zu­rech­nen. Eine Bank muss we­der ge­ne­rell prüfen, ob die Ab­wick­lung ei­nes Zah­lungs­ver­kehrs­vor­gan­ges Ri­si­ken für einen Be­tei­lig­ten begründet, noch Kon­to­be­we­gun­gen all­ge­mein und ohne nähere An­halts­punkte über­wa­chen.

Der Sach­ver­halt:
Die Kläge­rin war Bank­kun­din der Be­klag­ten. Um ihre Bank­ge­schäfte per In­ter­net (On­line) zu täti­gen, nutzte sie das ihr von der Be­klag­ten zur Verfügung ge­stellte sog. Smart-TAN-plus Ver­fah­ren. Da­bei wer­den mit Hilfe ei­nes TAN-Ge­ne­ra­tors die auf der Bild­schirm­maske ein­ge­ge­be­nen Über­wei­sungs­da­ten über­mit­telt, was sich durch eine op­ti­sche Schnitt­stelle (Gra­fik) auf dem PC-Bild­schirm des Bank­kun­den so­wie durch An­hal­ten des TAN-Ge­ne­ra­tors an den PC-Bild­schirm und eine da­mit ein­her­ge­hende Da­tenüber­tra­gung durch Licht­si­gnale über die op­ti­schen Sen­so­ren des TAN-Ge­ne­ra­tors voll­zieht (sog. Fli­cke­ring). Das Ver­fah­ren weist laut Sach­verständi­gen eine hohe Sys­tem­si­cher­heit auf.

Am 12.11.2013 in der Zeit von 16:42 bis 16:46 Uhr und am 27.11.2013 15:52 bis 16:02 Uhr führte der Ge­schäftsführer der Kläge­rin mit­tels des Smart-TAN plus Ver­fah­rens meh­rere Über­wei­sun­gen aus. Er al­lein war im Be­sitz der EC-Karte, die er zur Be­die­nung des TAN-Ge­ne­ra­tors ver­wen­dete. Der Com­pu­ter, von dem aus die Über­wei­sun­gen vor­ge­nom­men wur­den, war durch einen ak­tu­el­len Vi­ren­schutz und eine Fire­wall ge­si­chert, Be­triebs­sys­tem und In­ter­net­brow­ser wa­ren auf einem ak­tu­el­len Stand. Den­noch er­folg­ten an die­sen Ta­gen, am 12.11. um 16:37 Uhr und am 27.11.2013 um 15:44 Uhr, zwei Über­wei­sun­gen an Empfänger in Lett­land, die der Kläge­rin nicht be­kannt wa­ren.

Am 29.11.2013 be­merkte die Kläge­rin die bei­den Zah­lungs­vorgänge erst­mals und stellte Straf­an­zeige. Am glei­chen Tag ver­suchte der Ge­schäftsführer der Kläge­rin ver­geb­lich, die Be­klagte über eine Not­fall­hot­line zu er­rei­chen. Später for­derte die Kläge­rin die Be­klagte zur Rück­zah­lung der ab­ge­buch­ten 18.500 € auf. Diese wei­gerte sich. Im Ja­nuar 2014 warnte die Be­klagte ihre Kun­den auf ih­rer Home­page da­vor, gefälschte E-Mails - in betrüge­ri­scher Ab­sicht schein­bar in ih­rem Na­men - zu öff­nen. Diese dien­ten ein­zig dazu, die Com­pu­ter der Bank­kun­den mit Schad­code ("Tro­ja­ner") zu kom­pro­mit­tie­ren.

Das LG wies die Klage ab.

Die Gründe:
Der Kläge­rin steht aus dem Gi­ro­ver­trag ge­gen die Be­klagte kein An­spruch aus § 675u S. 2 BGB auf Zah­lung zu.

Zwar wurde das bei der Be­klag­ten un­ter­hal­tene Ge­schäfts­konto der Kläge­rin durch die bei­den streit­ge­genständ­li­chen Zah­lungs­vorgänge be­las­tet. Doch diese Zah­lungs­vorgänge wa­ren von der Kläge­rin au­to­ri­siert i.S.d. § 675j Abs. 1 BGB. Beim On­line-Ban­king er­bringt der Zah­lungs­dienst­leis­ter den Nach­weis der Au­then­ti­fi­zie­rung gem. § 675w S. 2 BGB, wenn er be­legt, dass Kun­den­ken­nung, PIN und TAN überprüft wur­den. Die­sen An­for­de­run­gen hatte die Be­klagte durch Vor­lage des Nach­weis-Pro­to­kolls der SEPA-Aufträge vom 12.11. und 27.11.2013 so­wie des Pro­to­kolls der "SB-Karte-PRK genügt, da aus den Pro­to­kol­len her­vor­ging, dass die vor­ge­nann­ten Nach­weise überprüft wur­den und Grund­lage der Trans­ak­tio­nen wa­ren.

Die Kläge­rin hatte ihr Ein­verständ­nis zu den Zah­lungs­vorgängen zwar nicht selbst er­teilt, son­dern wurde Op­fer ei­nes sog. "Man-in-the-Middle-An­griffs". Ihr war die mit­tels des Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments PIN und TAN er­teilte Zu­stim­mung des "An­grei­fers" zu den ma­ni­pu­lier­ten Zah­lungs­vorgängen je­doch nach Rechts­schein­grundsätzen, in die­sem Fall der An­scheins­voll­macht, zu­zu­rech­nen. Die Ausführun­gen des Sach­verständi­gen er­ga­ben, dass die Kläge­rin den "Man-in-the-Middle-An­griff" hätte er­ken­nen und ver­hin­dern können. Denn sie hatte die Möglich­keit, durch Kon­trolle der auf dem Dis­play des TAN-Ge­ne­ra­tors an­ge­zeig­ten Über­wei­sungs­da­ten die Ma­ni­pu­la­tion der Zah­lungs­vorgänge zu er­ken­nen und hätte so­dann den Zah­lungs­vor­gang ab­bre­chen können. Dies hatte die Kläge­rin of­fen­bar aus Un­acht­sam­keit nicht vor­ge­nom­men und da­mit auch ge­gen ihre ver­trag­li­che Pflicht für das On­line-Ban­king ver­stoßen.

Die Be­klagte war gutgläubig. Denn eine Bank muss we­der ge­ne­rell prüfen, ob die Ab­wick­lung ei­nes Zah­lungs­ver­kehrs­vor­gan­ges Ri­si­ken für einen Be­tei­lig­ten begründet, noch Kon­to­be­we­gun­gen all­ge­mein und ohne nähere An­halts­punkte über­wa­chen. Ohne be­son­dere wei­tere An­halts­punkte ge­ben auch Über­wei­sun­gen mit Aus­lands­berührung, der Ein­satz glat­ter Beträge und da­durch ggf. ein­tre­tende Kontoüber­zie­hun­gen ei­ner Bank kei­nen hin­rei­chen­den An­lass, von die­sem Grund­satz eine Aus­nahme zu ma­chen.

Letzt­lich konnte die Kläge­rin auch kei­nen Scha­dens­er­satz von der Be­klag­ten un­ter dem Ge­sichts­punkt ver­lan­gen, dass sie an der Not­fall­hot­line am 29.11.2013 nie­man­den er­rei­chen konnte. Zwar folgt aus § 675m Abs. 1 Nr. 3 BGB die Ver­pflich­tung des Zah­lungs­dienst­leis­ters, si­cher­zu­stel­len, dass der Zah­lungs­dienst­leis­tungs­nut­zer durch ge­eig­nete Mit­tel je­der­zeit die Möglich­keit hat, eine An­zeige nach § 675l S. 2 BGB vor­zu­neh­men. Es fehlte je­doch an der Kau­sa­lität ei­ner et­wai­gen Pflicht­ver­let­zung für den streit­ge­genständ­li­chen Scha­den der Kläge­rin. Denn be­reits im Zeit­punkt des Be­mer­kens der betrüge­ri­schen Ab­bu­chun­gen vom 27.11.2013 durch die Kläge­rin am 29.11.2013 konn­ten die mutmaßli­chen Ma­ni­pu­lie­rer der er­mit­tel­ten IP-Adresse nicht mehr zu­ge­ord­net wer­den. Selbst wenn die Kläge­rin die Be­klagte über die Not­fall­hot­line er­reicht hätte, wäre des dem­nach nicht zu ei­ner Nam­haft­ma­chung der Ma­ni­pu­lie­rer ge­kom­men.

Link­hin­weis:

nach oben