Pressemitteilung Nr. 023/2016 vom 26.01.2016
Urteil vom 26. Januar 2016 – XI ZR 91/14
Der für das Bankrecht zuständige XI. Zivilsenat des
Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB* die Anwendung
der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines
Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es
muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der
Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar
war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und
fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des
Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob
fahrlässiges Verhalten des Kontoinhabers.
Die beklagte GmbH unterhielt bei der klagenden Sparkasse
u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking
teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche
Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen
konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren
(Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des
Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im
Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus
nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge
von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste
am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des
Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag,
dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und
einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten
zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das
Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am
Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da
zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein
Sollbetrag auf dem Geschäftskonto der Beklagten.
Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich
des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und
fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst
Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.
Der XI. Zivilsenat hat auf die Revision der Beklagten das
Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und
Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im
Wesentlichen folgende Überlegungen maßgeblich:
Ist die Zustimmung (Autorisierung) des Kontoinhabers zu
einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut
(Zahlungsdienstleister) bei Verwendung eines
Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach
§ 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner
personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies
mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die
klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt.
Dies genügt aber nach § 675w Satz 3 BGB "nicht notwendigerweise", um
den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des
Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu
führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen
Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich
genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende
Beweisregel noch eine Beweisvermutung begründen.
Voraussetzung für die Anwendung der Grundsätze des
Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung
eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische
Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung
im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises
nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des
dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.
Trotz allgemein bekannt gewordener, erfolgreicher
Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des
Senats nicht in jedem Fall eine Grundlage für die Anwendung des
Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im
Online-Banking genutzten Authentifizierungsverfahren vorliegen.
Diese Voraussetzungen hat das Berufungsgericht verkannt
und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des
konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines
eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht
getroffen, weshalb das Berufungsurteil aufzuheben war.
Das Urteil des Berufungsgerichts stellt sich auch nicht
aus anderen Gründen als zutreffend dar.
Die Grundsätze der Anscheinsvollmacht finden zulasten der
Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des
Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie
bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen
Dauer und Häufigkeit des Handelns des Scheinvertreters.
Auch ein Anscheinsbeweis für eine grob fahrlässige
Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein
Anspruch der Klägerin aus § 675v Abs. 2 BGB*** scheiden auf Grundlage der
bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings
besteht angesichts der zahlreichen Authentifizierungsverfahren,
Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer
Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes
typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.
Vorinstanzen:
Landgericht Lübeck - Urteil vom 7. Juni 2013 - 3 O 418/12
Schleswig-Holsteinisches Oberlandesgericht in Schleswig -
Beschluss vom 22. Januar 2014 - 5 U 87/13
Karlsruhe, den 26. Januar 2016
* § 675w BGB
Nachweis der Authentifizierung
Ist die Autorisierung eines ausgeführten Zahlungsvorgangs
streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine
Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß
aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde.
Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung
eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner
personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat.
Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments
ausgelöst, reicht die Aufzeichnung der Nutzung des
Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung
durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um
nachzuweisen, dass der Zahler
1. den Zahlungsvorgang autorisiert,
2. in betrügerischer Absicht gehandelt,
3. eine oder mehrere Pflichten gemäß § 675l verletzt oder
4. vorsätzlich oder grob fahrlässig gegen eine oder
mehrere Bedingungen für die Ausgabe und Nutzung des
Zahlungsauthentifizierungsinstruments verstoßen hat.
** § 675l BGB
Pflichten des Zahlers in Bezug auf
Zahlungsauthentifizierungsinstrumente
Der Zahler ist verpflichtet, unmittelbar nach Erhalt
eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu
treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu
schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten
Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die
sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments
unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.
*** § 675v BGB
Haftung des Zahlers bei missbräuchlicher Nutzung eines
Zahlungsauthentifizierungsinstruments
(…)
(2) Der Zahler ist seinem Zahlungsdienstleister zum
Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht
autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer
Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige
Verletzung
1. einer oder mehrerer Pflichten gemäß § 675l oder
2. einer oder mehrerer vereinbarter Bedingungen für die
Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt
hat.
(...)
Quelle: Pressestelle des Bundesgerichtshofs