Haftung bei nicht autorisierten Überweisungen im smsTAN-Verfahren

Der Kläger ist Ein­zel­kauf­mann. Er un­terhält bei der be­klag­ten Bank ein Ge­schäfts­konto. Seit 2007 er­teilt der Kläger per On­line-Ban­king un­ter Ver­wen­dung ei­nes An­mel­de­na­mens, ei­ner persönli­chen Ge­heim­zahl (PIN) und ei­ner Trans­ak­ti­ons­num­mer (TAN) An­wei­sun­gen an die Be­klagte. Im Jahr 2011 ver­ein­bar­ten die Par­teien die Ver­wen­dung des smsTAN-Ver­fah­rens. Die dazu on­line ein­zu­ge­bende Trans­ak­ti­ons­num­mer sen­det die Be­klagte dem Kläger auf des­sen Mo­bil­te­le­fon per SMS zu.

Am Mor­gen des 30.8.2017 stellte der Kläger fest, dass sein Mo­bil­te­le­fon nicht mehr funk­tio­nierte. Er mel­dete dies um­ge­hend dem Mo­bil­funk­an­bie­ter. Am 31.8.2017 wur­den un­ter Ver­wen­dung des smsTAN-Ver­fah­rens per On­line-Ban­king zwei un­auto­ri­sierte Über­wei­sun­gen vom Konto des Klägers i.H.v. ins­ge­samt 28.170 € an un­be­kannte Empfänger vor­ge­nom­men. Der Kläger be­merkte dies noch am Vor­mit­tag des­sel­ben Ta­ges und mel­dete die un­auto­ri­sier­ten Über­wei­sun­gen der Be­klag­ten. Das Geld war je­doch nicht wie­der zurück­zu­er­lan­gen, weil so­fort nach Ein­gang des Gel­des bei den Empfängern darüber verfügt wor­den war. Der Kläger er­stat­tete un­verzüglich Straf­an­zeige. Die Be­klagte ver­wei­gerte die Rück­bu­chung der Kon­to­be­las­tun­gen.

Der Kläger be­haup­tet, die un­auto­ri­sier­ten Über­wei­sun­gen hätten den mit der Be­klag­ten ver­ein­bar­ten Verfügungs­rah­men über­schrit­ten, was die Be­klagte zu ver­tre­ten habe. Es sei außer­dem nicht aus­zu­schließen, dass für die nicht au­to­ri­sier­ten Über­wei­sun­gen eine Si­cher­heitslücke in den Sys­te­men der Be­klag­ten ursäch­lich sei. Die Be­klagte habe keine aus­rei­chen­den Maßnah­men zur Verhütung un­er­laub­ter Zu­griffe auf seine per­so­nen­be­zo­ge­nen Da­ten ge­trof­fen (§ 13 Abs. 7 TMG). Die Be­klagte war der An­sicht, der Kläger habe die nicht au­to­ri­sier­ten Zah­lun­gen durch Ver­stoß ge­gen seine Ge­heim­hal­tungs­pflicht und durch verspätete An­zeige des Ver­lusts des Zu­griffs auf sein Mo­bil­te­le­fon bei der Be­klag­ten selbst zu ver­tre­ten.

Das LG gab der Klage wei­test­ge­hend statt.

Die Gründe:

Gem. § 675u BGB a.F. kann der Kläger von der Be­klag­ten ver­lan­gen, sein Zah­lungs­konto wie­der auf den Stand zu brin­gen, auf dem es sich ohne die Be­las­tung mit den bei­den nicht au­to­ri­sier­ten Zah­lungs­vorgängen am 31.8.2017 i.H.v. 11.270 € und 16.900 € be­fun­den hätte. Dass die Vor­aus­set­zun­gen des § 675u BGB a.F. vor­lie­gen, war nie strei­tig. Der Be­klag­ten steht ge­gen den Kläger al­ler­dings kein Scha­dens­er­satz­an­spruch aus § 675v BGB a.F. zu, den sie dem An­spruch aus § 675u BGB a.F. ent­ge­gen hal­ten könnte. Denn die nicht au­to­ri­sierte Zah­lungs­vorgänge be­ruh­ten nicht auf der Nut­zung ei­nes ver­lo­ren­ge­gan­ge­nen, ge­stoh­le­nen oder sonst ab­han­den ge­kom­me­nen Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments (§ 675v Abs. 1 S. 1 BGB a.F.).

Der Kläger hatte den Be­sitz an sei­nem Mo­bil­te­le­fon und der darin be­find­li­chen SIM-Karte nicht ver­lo­ren. Wenn die SIM-Karte nicht mehr funk­tio­nierte, so stellte dies nach dem ein­deu­ti­gen Wort­laut kein Ab­han­den­kom­men dar. Dem Kläger gem. § 278 BGB ein Ver­schul­den des Mo­bil­funk­an­bie­ters we­gen Über­mitt­lung der SMS mit den ein­ge­setz­ten TANs an Un­be­fugte zu­zu­rech­nen, schei­terte schon an § 675m Abs. 2 BGB, der die Ge­fahr der Ver­sen­dung per­so­na­li­sier­ter Si­cher­heits­merk­male an den Zah­lungs­dienst­nut­zer dem Zah­lungs­dienst­leis­ter zu­weist. Die Vor­schrift gilt auch für die elek­tro­ni­sche Ver­sen­dung.

Ha­ben Un­be­fugte die kor­rekte PIN zur Er­tei­lung ei­nes Zah­lungs­auf­trags per On­line-Ban­king ein­ge­setzt, so trägt die Bank die Be­weis­last dafür, dass der Kunde das Ab­han­den­kom­men der PIN zu ver­tre­ten habe. Der Be­weis des ers­ten An­scheins spricht nicht ge­gen den Kun­den (An­schluss an BGH-Urt. v. 26.1.2016, Az.: XI ZR 91/14). Der Kunde hat je­doch im Wege der se­kundären Dar­le­gungs­last zu den sei­ner­seits ge­trof­fe­nen Si­cher­heits­vor­keh­run­gen vor­zu­tra­gen. Dies hatte der Kläger hier in der münd­li­chen Ver­hand­lung aus­rei­chend ge­tan. Der Bank ist es zu­mut­bar, das ver­blei­bende Rest­ri­siko der Un­aufklärbar­keit der Scha­den­sur­sa­che zu tra­gen. Denn das ge­werb­li­che Ge­schäfts­mo­dell des An­ge­bots von Zah­lungs­diens­ten über das In­ter­net ist un­trenn­bar mit einem ge­wis­sen Ver­lust­ri­siko ver­bun­den, das ein­zu­kal­ku­lie­ren ist.

Wer On­line-Ban­king im smsTAN-Ver­fah­ren als Kunde nutzt, ist letzt­lich nicht ver­pflich­tet, eine Störung sei­nes Mo­bil­te­le­fons der Bank zu mel­den. Es war nicht nach­ge­wie­sen, dass der Kläger Kennt­nis auch nur von der Ge­fahr ei­ner missbräuch­li­chen Ver­wen­dung sei­ner Ruf­num­mer hatte. Dem Kläger konnte auch nicht wi­der­legt wer­den, dass er le­dig­lich von ei­ner tech­ni­schen Störung aus­ge­gan­gen war. Einen An­spruch auf Ver­zin­sung hat der Kläger nicht. Der An­spruch aus § 675u S. 2 BGB auf Rückgängig­ma­chung der Be­las­tungs­bu­chung ist nicht ver­zins­lich, weil er keine Geld­schuld i.S.d. § 288 BGB dar­stellt.

Link­hin­weis:

• Der Voll­text ist auf der Home­page Lan­des­recht Schles­wig-Hol­stein veröff­ent­licht.
• Um di­rekt zum Voll­text zu kom­men, kli­cken Sie bitte hier.