deen
Nexia Ebner Stolz

Haftung bei nicht autorisierten Überweisungen im smsTAN-Verfahren

LG Kiel 22.6.2018, 12 O 562/17

Ermöglicht der Mobilfunkanbieter des Online-Banking-Nutzers schuldhaft Unbefugten das Abfangen von per SMS versandten Transaktionsnummern, hat der Nutzer dies nicht zu vertreten. Wer Online-Banking im smsTAN-Verfahren nutzt, ist auch nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden. Das gewerbliche Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, das einzukalkulieren ist.

Der Sach­ver­halt:

Der Klä­ger ist Ein­zel­kauf­mann. Er unter­hält bei der beklag­ten Bank ein Geschäfts­konto. Seit 2007 erteilt der Klä­ger per Online-Ban­king unter Ver­wen­dung eines Anmel­de­na­mens, einer per­sön­li­chen Geheim­zahl (PIN) und einer Trans­ak­ti­ons­num­mer (TAN) Anwei­sun­gen an die Beklagte. Im Jahr 2011 ver­ein­bar­ten die Par­teien die Ver­wen­dung des sms­TAN-Ver­fah­rens. Die dazu online ein­zu­ge­bende Trans­ak­ti­ons­num­mer sen­det die Beklagte dem Klä­ger auf des­sen Mobil­te­le­fon per SMS zu.

Am Mor­gen des 30.8.2017 stellte der Klä­ger fest, dass sein Mobil­te­le­fon nicht mehr funk­tio­nierte. Er mel­dete dies umge­hend dem Mobil­fun­k­an­bie­ter. Am 31.8.2017 wur­den unter Ver­wen­dung des sms­TAN-Ver­fah­rens per Online-Ban­king zwei unau­to­ri­sierte Über­wei­sun­gen vom Konto des Klä­gers i.H.v. ins­ge­s­amt 28.170 € an unbe­kannte Emp­fän­ger vor­ge­nom­men. Der Klä­ger bemerkte dies noch am Vor­mit­tag des­sel­ben Tages und mel­dete die unau­to­ri­sier­ten Über­wei­sun­gen der Beklag­ten. Das Geld war jedoch nicht wie­der zurück­zu­er­lan­gen, weil sofort nach Ein­gang des Gel­des bei den Emp­fän­gern dar­über ver­fügt wor­den war. Der Klä­ger erstat­tete unver­züg­lich Straf­an­zeige. Die Beklagte ver­wei­gerte die Rück­bu­chung der Kon­to­be­las­tun­gen.

Der Klä­ger behaup­tet, die unau­to­ri­sier­ten Über­wei­sun­gen hät­ten den mit der Beklag­ten ver­ein­bar­ten Ver­fü­g­ungs­rah­men über­schrit­ten, was die Beklagte zu ver­t­re­ten habe. Es sei außer­dem nicht aus­zu­sch­lie­ßen, dass für die nicht auto­ri­sier­ten Über­wei­sun­gen eine Sicher­heits­lü­cke in den Sys­te­men der Beklag­ten ursäch­lich sei. Die Beklagte habe keine aus­rei­chen­den Maß­nah­men zur Ver­hü­tung uner­laub­ter Zugriffe auf seine per­so­nen­be­zo­ge­nen Daten getrof­fen (§ 13 Abs. 7 TMG). Die Beklagte war der Ansicht, der Klä­ger habe die nicht auto­ri­sier­ten Zah­lun­gen durch Ver­stoß gegen seine Geheim­hal­tungspf­licht und durch ver­spä­tete Anzeige des Ver­lusts des Zugriffs auf sein Mobil­te­le­fon bei der Beklag­ten selbst zu ver­t­re­ten.

Das LG gab der Klage wei­test­ge­hend statt.

Die Gründe:

Gem. § 675u BGB a.F. kann der Klä­ger von der Beklag­ten ver­lan­gen, sein Zah­lungs­konto wie­der auf den Stand zu brin­gen, auf dem es sich ohne die Belas­tung mit den bei­den nicht auto­ri­sier­ten Zah­lungs­vor­gän­gen am 31.8.2017 i.H.v. 11.270 € und 16.900 € befun­den hätte. Dass die Vor­aus­set­zun­gen des § 675u BGB a.F. vor­lie­gen, war nie strei­tig. Der Beklag­ten steht gegen den Klä­ger aller­dings kein Scha­dens­er­satz­an­spruch aus § 675v BGB a.F. zu, den sie dem Anspruch aus § 675u BGB a.F. ent­ge­gen hal­ten könnte. Denn die nicht auto­ri­sierte Zah­lungs­vor­gänge beruh­ten nicht auf der Nut­zung eines ver­lo­ren­ge­gan­ge­nen, gestoh­le­nen oder sonst abhan­den gekom­me­nen Zah­lung­s­au­then­ti­fi­zie­rungs­in­stru­ments (§ 675v Abs. 1 S. 1 BGB a.F.).

Der Klä­ger hatte den Besitz an sei­nem Mobil­te­le­fon und der darin befind­li­chen SIM-Karte nicht ver­lo­ren. Wenn die SIM-Karte nicht mehr funk­tio­nierte, so stellte dies nach dem ein­deu­ti­gen Wort­laut kein Abhan­den­kom­men dar. Dem Klä­ger gem. § 278 BGB ein Ver­schul­den des Mobil­fun­k­an­bie­ters wegen Über­mitt­lung der SMS mit den ein­ge­setz­ten TANs an Unbe­fugte zuzu­rech­nen, schei­terte schon an § 675m Abs. 2 BGB, der die Gefahr der Ver­sen­dung per­so­na­li­sier­ter Sicher­heits­merk­male an den Zah­lungs­di­enst­nut­zer dem Zah­lungs­di­enst­leis­ter zuweist. Die Vor­schrift gilt auch für die elek­tro­ni­sche Ver­sen­dung.

Haben Unbe­fugte die kor­rekte PIN zur Ertei­lung eines Zah­lungs­auf­trags per Online-Ban­king ein­ge­setzt, so trägt die Bank die Beweis­last dafür, dass der Kunde das Abhan­den­kom­men der PIN zu ver­t­re­ten habe. Der Beweis des ers­ten Anscheins spricht nicht gegen den Kun­den (Anschluss an BGH-Urt. v. 26.1.2016, Az.: XI ZR 91/14). Der Kunde hat jedoch im Wege der sekun­dä­ren Dar­le­gungs­last zu den sei­ner­seits getrof­fe­nen Sicher­heits­vor­keh­run­gen vor­zu­tra­gen. Dies hatte der Klä­ger hier in der münd­li­chen Ver­hand­lung aus­rei­chend getan. Der Bank ist es zumut­bar, das ver­b­lei­bende Res­t­ri­siko der Unauf­klär­bar­keit der Scha­den­s­ur­sa­che zu tra­gen. Denn das gewerb­li­che Geschäfts­mo­dell des Ange­bots von Zah­lungs­di­ens­ten über das Inter­net ist unt­renn­bar mit einem gewis­sen Ver­lus­t­ri­siko ver­bun­den, das ein­zu­kal­ku­lie­ren ist.

Wer Online-Ban­king im sms­TAN-Ver­fah­ren als Kunde nutzt, ist letzt­lich nicht verpf­lich­tet, eine Stör­ung sei­nes Mobil­te­le­fons der Bank zu mel­den. Es war nicht nach­ge­wie­sen, dass der Klä­ger Kennt­nis auch nur von der Gefahr einer miss­bräuch­li­chen Ver­wen­dung sei­ner Ruf­num­mer hatte. Dem Klä­ger konnte auch nicht wider­legt wer­den, dass er ledig­lich von einer tech­ni­schen Stör­ung aus­ge­gan­gen war. Einen Anspruch auf Ver­zin­s­ung hat der Klä­ger nicht. Der Anspruch aus § 675u S. 2 BGB auf Rück­gän­gig­ma­chung der Belas­tungs­bu­chung ist nicht ver­zins­lich, weil er keine Geld­schuld i.S.d. § 288 BGB dar­s­tellt.

Link­hin­weis:



nach oben