Kriminelle Angriffe beim Online-Banking (z. B. Phishing): Wer trägt den Schaden?

BGH zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking

Einer Umfrage von Bitkom Research zufolge nutzten 2015 rund 40 Millionen Bankkunden in Deutschland das Online-Banking. Obgleich diese Form des modernen Bankings zahlreiche Vorteile bietet, ist sie trotz umfassender Sicherungssysteme sehr anfällig für Hacking- oder Phishing-Angriffe. Für die Rechtswissenschaft stellt sich somit immer häufiger die Frage, wie mit Zahlungsaufträgen umzugehen ist, wenn nicht sicher feststellbar ist, wer die Zahlung tatsächlich in Auftrag gegeben hat.

Der XI. Zivilsenat des Bundesgerichtshofs (BGH) hat sich kürzlich mit der Frage der Beweislast bei derartigen streitigen Zahlungsaufträgen auseinandergesetzt. In seinem Urteil vom 26. Januar 2016 – XI ZR 91/14 – entschied der BGH, dass die Grundsätze des Anscheinsbeweises grundsätzlich auch im Online-Banking gelten, wenn der Zahlungsauftrag unter Einsatz von PIN und TAN erfolgte. Die §§ 675 l, 675 v und 675 w BGB stehen dieser Annahme nicht entgegen.

Wie funktioniert Online-Banking?

Online-Banking ermöglicht es Bankkunden, Überweisungen und Umbuchungen zu tätigen oder Kontostände abzufragen – ganz bequem von zuhause oder unterwegs. Dafür gibt es entweder die Möglichkeit des browserbasierten Bankings, also online über die Website der Bank. Als Alternative bieten einige Banken auch das clientbasierte Banking an, welches offline über ein spezielles Bankingprogramm funktioniert.

Um die Autorisierung zur Tätigung von Zahlungsaufträgen sicherzustellen, haben sich in Deutschland mehrere Verfahren etabliert, allen voran das PIN/TAN-Verfahren, um das es auch im vorliegenden Urteil gehen wird.

Was bedeutet Phishing?

Zwar stellen die Banken umfassende Sicherheitsmechanismen zur Verfügung, um einen Angriff auf den Online-Zahlungsverkehr zu vermeiden, allerdings kommt es doch auch immer wieder zu Hacking-, Phishing- oder Pharmingangriffen.

Das BGH-Urteil thematisiert das sogenannte Phishing, worunter Versuche zu verstehen sind, mit gefälschten Webseiten oder E-Mails an persönliche Daten eines Internet-Benutzers zu gelangen. Ziel ist meistens eine Kontoplünderung. Typisch für Phishing-Webseiten ist die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle. Der Benutzer wird aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für das Online-Banking einzugeben. Ähnlich funktionieren Phishing-Versuche über E-Mails. Dritte geben sich als vertrauenswürdige Personen aus und fordern den Empfänger auf, geheime Zugangsdaten preiszugeben. Unbefugte Dritte können dann mit den entwendeten Zugangsdaten Zahlungsaufträge abgeben.

Für den Bankkunden ergibt sich das Problem, dass die Aufträge allesamt unter seinem Namen getätigt wurden und er somit zunächst nicht nachweisen kann, selbst gar nicht verantwortlich für die Zahlungsaufträge zu sein. Für die Rechtsprechung stellt sich die Frage, wer in solchen Fällen die Beweislast trägt? Muss der Kunde beweisen, dass ein unberechtigter Dritter die Zahlungsaufträge ausgeben hat, obwohl das Konto ja mit dem PIN/TAN-Verfahren gesichert ist? Oder liegt die Beweislast bei der Bank?

Was ist der Anscheinsbeweis?

Der Anscheinsbeweis ist eine Beweiserleichterung, mit der aus bestimmten Tatsachen auf andere Tatsachen geschlossen werden kann. Zwischen diesen muss ein typischer Geschehensablauf vorliegen. Die beweisbelastete Partei muss dann nur die Tatsache darlegen, aus der sich der übliche Vorgang ableiten lässt, während die Gegenpartei darlegen kann, dass konkrete Tatsachen einen atypischen Geschehensablauf ergeben können. Letztere muss aber nicht beweisen können, dass die Schlussfolgerungen der andern Partei falsch ist.

Am Beispiel eines Diebstahls einer EC-Karte ergibt sich folgendes: Wird vom unbefugten Dritten Geld abgehoben, wird zugunsten der Bank vermutet, dass die EC-Karte und die PIN unsorgfältig aufbewahrt wurden. Ist das gerade nicht der Fall, muss der Bankkunde einen Beweis für einen atypischen Verlauf darlegen.

Worum geht es in § 675 l, § 675 v und § 675 w BGB?

Laut § 675 l BGB ist der Zahlungsdienstnutzer, also bspw. der Bankkunde, verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die Zugangsdaten vor unbefugtem Zugriff zu schützen und etwaigen Gebrauch durch Nichtautorisierte sofort dem Zahlungsdienstleister, hier der Bank, zu melden.

Aus § 675 v Abs. 2 BGB ergibt sich, dass der Kunde der Bank unter Umständen zum Ersatz des Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist.

Ist eine (Nicht-)Autorisierung eines Zahlungsauftrags strittig, muss laut § 675 w BGB die Bank nachweisen, dass eine Authentifizierung erfolgt ist. Allein die Aufzeichnung der Nutzung oder der Authentifizierung reicht nicht notwendigerweise aus, um eine Autorisierung nachzuweisen.

Wer also einen Zugang zum Online-Banking erhält, muss die Zugangsdaten (z. B. PIN) sorgfältig schützen und aufbewahren, ansonsten könnte die Bank Schadensersatz einfordern. Die Bank wiederum muss die erfolgte Authentifizierung nachweisen.

Worum geht es im Fall des BGH?

Die Beklagte unterhielt bei der Klägerin ein Geschäftsgirokonto, mit dem sie seit 2011 am Online-Banking teilnahm. Die Beklagte erhielt dafür eine PIN und nutzte das smsTAN-Verfahren. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden der Beklagten fehlerhaft Beträge von 47.498,95 € und 191.576,25 € gutgeschrieben. Die Klägerin veranlasste entsprechende Stornierungen. Am gleichen Tag wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am nächsten Werktag mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten. Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen.

Was entschied der BGH?

Der BGH verweist zunächst auf § 675 w BGB und verlangt von der Bank den Nachweis, dass die Authentifizierung erfolgte. Obwohl die Bank diesen Nachweis erbrachte, genügt dieser allein jedoch nicht unbedingt, um die Autorisierung durch den Kunden zu beweisen. Dafür aber kann sich die Bank laut BGH auf einen Anscheinsbeweis berufen. Dem steht der Wortlaut des § 675 w BGB nicht entgegen.

Voraussetzung für die Anwendung des Anscheinsbeweises ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.

Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.

Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.

Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB*** scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.

Wer wir sind:

Die Rechtsanwaltskanzlei Benedikt- Jansen ist auf Bank-und Kapitalmarktrecht spezialisiert.  Herr Rechtsanwalt Benedikt-Jansen ist seit 13 Jahren Vertrauensanwalt der Schutzgemeinschaft für Bankkunden e. V., einem staatlich anerkannten Verbraucherschutzverband zur Bekämpfung unredlicher Finanzdienstleister (z. B. aus de dem Bankensektor, Kapitalanlagesektor, Versicherungen, etc.). Die Schutzgemeinschaft für Bankkunden hat seit dem Jahre 2004 zehntausende Fälle rechtsmissbräuchlicher Vertragspraktiken (insbesondere unwirksame Vertragsklauseln) erfolgreich  bekämpft.  Seit 2010 ist Herr Benedikt Jansen Fachanwalt für Bank-und Kapitalmarktrecht. Er verfügt über einen außergewöhnlich umfangreichen Schatz an Erfahrungen auf dem Gebiet des bankenrechtlichen Verbraucherschutzes.

Für weitere Informationen oder Fragen steht er und sein Team Ihnen auf seiner Homepage zur Verfügung.