Mißbrauch beim Online-Banking – und der Anscheinsbeweis

Bei dem Nach­weis der Auto­ri­sie­rung eines Zah­lungs­vor­gangs mit­tels eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ist nach § 675w Satz 3 BGB Vor­aus­set­zung einer Anwen­dung der Grund­sät­ze des es, dass auf Grund­la­ge aktu­el­ler Erkennt­nis­se die all­ge­mei­ne prak­ti­sche Unüber­wind­bar­keit des ein­ge­setz­ten Siche­rungs­ver­fah­rens sowie des­sen ord­nungs­ge­mä­ße Anwen­dung und feh­ler­freie Funk­ti­on im kon­kre­ten Ein­zel­fall fest­ste­hen.

Der Zah­lungs­dienst­nut­zer muss zur Erschüt­te­rung eines für die Auto­ri­sie­rung eines Zah­lungs­auf­trags spre­chen­den es kei­nen kon­kre­ten und erfolg­rei­chen Angriff gegen das Authen­ti­fi­zie­rungs­in­stru­ment vor­tra­gen und bewei­sen, son­dern kann sich auch auf außer­halb des Sicher­heits­sys­tems des Zah­lungs­dienst­leis­ters lie­gen­de Umstän­de stüt­zen, die für einen nicht auto­ri­sier­ten Zah­lungs­vor­gang spre­chen.

Es gibt kei­nen einen recht­fer­ti­gen­den Erfah­rungs­satz, dass bei einem Miss­brauch des s, wenn die Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments kor­rekt auf­ge­zeich­net wor­den und die Prü­fung der Authen­ti­fi­zie­rung beansdungs­frei geblie­ben ist, eine kon­kre­te grob fahr­läs­si­ge Pflicht­ver­let­zung des Zah­lungs­dienst­nut­zers nach § 675v Abs. 2 BGB vor­liegt.

Ein Auf­wen­dungs­er­satz­an­spruch der Bank gegen die Bank­kun­din nach § 675c Abs. 1, § 675 i.V.m. § 670 BGB auf Zah­lung des nach Kün­di­gung des Geschäfts­gi­ro­ver­tra­ges vor­han­de­nen Soll­sal­dos setzt den von der Bank zu erbrin­gen­den Nach­weis einer Zustim­mung des Zah­lers (Auto­ri­sie­rung) zu der strei­ti­gen Über­wei­sung nach § 675j Abs. 1 Satz 1 BGB vor­aus. Gemäß § 675j Abs. 1 Satz 3 BGB ist die Art und Wei­se der Zustim­mung zwi­schen dem Zah­ler und dem Zah­lungs­dienst­leis­ter zu ver­ein­ba­ren. Dabei kann nach § 675j Abs. 1 Satz 4 BGB fest­ge­legt wer­den, dass die Zustim­mung mit­tels eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments im Sin­ne des § 1 Abs. 5 ZAG erteilt wer­den kann. Danach haben vor­lie­gend die Par­tei­en für die Auto­ri­sie­rung im die Nut­zung des von der Bank­kun­din ange­bo­te­nen sms-Ver­fah­rens ver­ein­bart, bei dem ein Zah­lungs­vor­gang durch die Ein­ga­be von PIN und auto­ri­siert wird, wobei die mit­tels einer SMS-Nach­richt an eine ver­ein­bar­te Mobil­funk­num­mer des Bank­kun­den gesen­det wird.

In dem hier vom Bun­des­ge­richts­hof ent­schie­de­nen Streit­fall hat die Bank den Nach­weis der Authen­ti­fi­zie­rung des strei­ti­gen Zah­lungs­vor­gangs sowie von des­sen ord­nungs­ge­mä­ßer Ver­bu­chung, Auf­zeich­nung und Stö­rungs­frei­heit geführt:

Ist wie hier die Auto­ri­sie­rung eines Zah­lungs­vor­gangs strei­tig, hat der Zah­lungs­dienst­leis­ter nach § 675w Satz 1 BGB zunächst die Authen­ti­fi­zie­rung sowie die ord­nungs­ge­mä­ße Auf­zeich­nung, Ver­bu­chung und stö­rungs­freie, kei­ne Auf­fäl­lig­kei­ten auf­wei­sen­de tech­ni­sche Abwick­lung des Zah­lungs­vor­gangs nach­zu­wei­sen. Eine Authen­ti­fi­zie­rung ist nach § 675w Satz 2 BGB erfolgt, wenn der Zah­lungs­dienst­leis­ter die Nut­zung des ver­ein­bar­ten Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments, ein­schließ­lich sei­ner per­so­na­li­sier­ten Sicher­heits­merk­ma­le, mit­hil­fe eines Ver­fah­rens über­prüft hat. Sind die­se Vor­aus­set­zun­gen nicht erfüllt, ist der Nach­weis einer Auto­ri­sie­rung mit­hil­fe des betrof­fe­nen Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments geschei­tert 1.

Im vor­lie­gen­den Fall hat­te das Gericht die erfolg­rei­che Über­prü­fung der strei­ti­gen Über­wei­sung durch die Bank­kun­din anhand des vor­ge­leg­ten Trans­ak­ti­ons­pro­to­kolls und damit den Nach­weis der Authen­ti­fi­zie­rung die­ses Zah­lungs­vor­gangs sowie den Nach­weis der Ver­bu­chung, Auf­zeich­nung und Stö­rungs­frei­heit fest­ge­stellt.

Nach § 675w Satz 3 Nr. 1 BGB reicht die Authen­ti­fi­zie­rung und die Auf­zeich­nung der Nut­zung des Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ein­schließ­lich der per­so­na­li­sier­ten Sicher­heits­merk­ma­le aber nicht not­wen­di­ger­wei­se aus, den dem Zah­lungs­dienst­leis­ter hier der Bank oblie­gen­den Nach­weis einer Auto­ri­sie­rung des Zah­lungs­vor­gangs zu füh­ren.

Ein Zah­lungs­dienst­leis­ter kann sich statt des­sen gegen­über dem Zah­ler unter bestimm­ten Vor­aus­set­zun­gen zum Nach­weis der strit­ti­gen Auto­ri­sie­rung auf einen Beweis des ers­ten Anscheins beru­fen, der aller­dings bei Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments den beson­de­ren Anfor­de­run­gen des § 675w Satz 3 BGB genü­gen muss. Danach ist Vor­aus­set­zung eines es bei Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ein Sicher­heits­sys­tem, das all­ge­mein prak­tisch nicht zu über­win­den war, im kon­kre­ten Ein­zel­fall ord­nungs­ge­mäß ange­wen­det wor­den ist und feh­ler­frei funk­tio­niert hat.

In Recht­spre­chung und Lite­ra­tur ist strei­tig, ob die Beweis­re­geln in § 675w Satz 3 BGB, mit dem Art. 59 Abs. 2 der Richt­li­nie 2007/​64/​EG über Zah­lungs­diens­te im Bin­nen­markt (Zah­lungs­dienst­e­richt­li­nie) umge­setzt wor­den ist, einer Anwen­dung der Grund­sät­ze des es zuguns­ten des Zah­lungs­dienst­leis­ters gestützt auf die Auf­zeich­nung der Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ent­ge­gen­ste­hen.

Eine Mei­nung in der Lite­ra­tur 2, der sich ver­ein­zelt Gerich­te ange­schlos­sen haben 3, geht davon aus, § 675w Satz 3 BGB ver­bie­te im Zah­lungs­dienst­e­recht bei Ein­satz eines Authen­ti­fi­zie­rungs­in­stru­ments die Anwen­dung des es, da das dadurch ent­ste­hen­de Regel-Aus­nah­me-Ver­hält­nis Sinn und Zweck des § 675w Satz 3 BGB wider­spre­che.

Dem­ge­gen­über nimmt die h.M. an, § 675w Satz 3 BGB hin­de­re eine Anwen­dung des es im Zah­lungs­dienst­e­recht grund­sätz­lich nicht 4. Der Wort­laut des § 675w Satz 3 BGB ver­bie­te mit der For­mu­lie­rung „allein nicht not­wen­di­ger­wei­se” ledig­lich zwin­gen­de Beweis­re­geln, nicht aber wider­leg­ba­re Beweis­erleich­te­run­gen wie den .

Der Bun­des­ge­richts­hof ent­schei­det die­sen Streit anknüp­fend an die h.M. dahin, dass § 675w Satz 3 BGB einer Anwen­dung des es nicht ent­ge­gen­steht, son­dern viel­mehr beson­de­re Anfor­de­run­gen an des­sen Aus­ge­stal­tung stellt.

Die Grund­sät­ze des es ste­hen nicht in Wider­spruch zum Wort­laut des § 675w Satz 3 BGB, da die­ser erst dann berührt wäre, wenn die Auf­zeich­nung der Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ein­schließ­lich der Authen­ti­fi­zie­rung durch den Zah­lungs­dienst­leis­ter den vol­len Beweis für die in § 675w Satz 3 Nr. 1 bis Nr. 3 BGB genann­ten Tat­sa­chen erbrin­gen wür­de. Die Grund­sät­ze des es begrün­den hin­ge­gen weder eine zwin­gen­de Beweis­re­gel noch eine Beweis­ver­mu­tung und auch kei­ne Beweis­last­um­kehr zulas­ten einer Par­tei 5. Ein wird viel­mehr bereits dadurch erschüt­tert, dass der Pro­zess­geg­ner aty­pi­sche Umstän­de des Ein­zel­fal­les dar­legt und im Fal­le des Bestrei­tens Tat­sa­chen nach­weist, die die ernst­haf­te, eben­falls in Betracht kom­men­de Mög­lich­keit einer ande­ren Ursa­che nahe­le­gen 6.

Dies wird durch die Ent­ste­hungs­ge­schich­te der Vor­schrift gestützt. Der Zusatz „nicht not­wen­di­ger­wei­se” ist in den Ent­wurf der Zah­lungs­dienst­e­richt­li­nie erst spä­ter ein­ge­fügt wor­den 7, um klar­zu­stel­len, dass eine umfas­sen­de Beweis­wür­di­gung nach den Grund­sät­zen des natio­na­len Pro­zess­rechts mög­lich blei­ben soll 8. Des­we­gen geht auch die Regie­rungs­be­grün­dung zum Ent­wurf des § 675w Satz 3 BGB davon aus, dass die natio­na­len Beweis­grund­sät­ze und damit auch die­je­ni­gen über den wei­ter­hin zuläs­sig blei­ben 9.

Der in § 675w Satz 3 BGB fest­ge­leg­ten Beweis­re­gel ist aber auch bei Anwen­dung des es prak­ti­sche Gel­tung zu ver­schaf­fen. § 675w Satz 3 BGB begrenzt den Beweis­wert einer schlich­ten Doku­men­ta­ti­on des tech­ni­schen Authen­ti­fi­zie­rungs­vor­gangs, um den Zah­lungs­dienst­nut­zer, der weder den Authen­ti­fi­zie­rungs­vor­gang tech­nisch gestal­ten noch des­sen kor­rek­te Funk­ti­on im Ein­zel­fall über­bli­cken kann, nicht über § 675v Abs. 1 BGB hin­aus mit den Risi­ken eines Miss­brauchs tech­ni­scher Authen­ti­fi­zie­rungs­in­stru­men­te zu belas­ten. Des­we­gen dür­fen im Zah­lungs­dienst­e­recht beim Ein­satz tech­ni­scher Authen­ti­fi­zie­rungs­in­stru­men­te die Grund­sät­ze des es nicht so gehand­habt wer­den, dass sie bei Vor­lie­gen allein der in § 675w Satz 3 BGB genann­ten tech­ni­schen Merk­ma­le aus prak­ti­scher Sicht einer Beweis­last­um­kehr gleich­kom­men 10.

Für eine Anwen­dung der Grund­sät­ze des es im Zah­lungs­dienst­e­recht bei dem Nach­weis einer Auto­ri­sie­rung durch ein ver­ein­bar­tes Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ment reicht danach allein die kor­rek­te Auf­zeich­nung der Nut­zung die­ses Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments nicht aus. Viel­mehr müs­sen des­sen all­ge­mei­ne prak­ti­sche Sicher­heit und die Ein­hal­tung des Sicher­heits­ver­fah­rens im kon­kre­ten Ein­zel­fall fest­ste­hen. Zudem bedarf die Erschüt­te­rung des es nicht zwin­gend der Behaup­tung und ggf. des Nach­wei­ses tech­ni­scher Feh­ler des doku­men­tier­ten Authen­ti­fi­zie­rungs­ver­fah­rens.

Der für eine Auto­ri­sie­rung durch den Zah­lungs­dienst­nut­zer darf nicht ohne Rück­sicht auf das tech­ni­sche Schutz­ni­veau des ver­wen­de­ten Sicher­heits­sys­tems allein an die ord­nungs­ge­mäß auf­ge­zeich­ne­te Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ein­schließ­lich sei­ner per­so­na­li­sier­ten Sicher­heits­merk­ma­le anknüp­fen 11. Die kor­rek­te Auf­zeich­nung der Nut­zung eines nicht aus­rei­chend siche­ren Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments kann näm­lich für sich kei­ne Beweis­erleich­te­rung für den Zah­lungs­dienst­leis­ter recht­fer­ti­gen, da andern­falls der Zah­lungs­dienst­nut­zer ent­ge­gen der Wer­tung des § 675w Satz 3 Nr. 1 BGB das Risi­ko von Defi­zi­ten des von ihm nicht zu ver­ant­wor­ten­den Authen­ti­fi­zie­rungs­vor­gangs tra­gen wür­de. Viel­mehr ist ein all­ge­mein prak­tisch nicht zu über­win­den­des und im kon­kre­ten Ein­zel­fall ord­nungs­ge­mäß ange­wen­de­tes und feh­ler­frei funk­tio­nie­ren­des Sicher­heits­sys­tem Vor­aus­set­zung für die Anwen­dung der Grund­sät­ze des es.

Dar­über hin­aus darf vom Zah­lungs­dienst­nut­zer zur Erschüt­te­rung des es nicht Vor­trag und ggf. Nach­weis ver­langt wer­den, auf wel­che Wei­se die Schutz­vor­keh­run­gen des Authen­ti­fi­zie­rungs­ver­fah­rens über­wun­den wor­den oder wes­halb sie wir­kungs­los geblie­ben sind. Das käme in der prak­ti­schen Wir­kung eben­falls einer gegen § 675w Satz 3 BGB ver­sto­ßen­den unwi­der­leg­li­chen Beweis­last­um­kehr gleich 12, da der Zah­lungs­dienst­nut­zer im All­ge­mei­nen über kei­ne Kennt­nis­se zu dem ein­ge­setz­ten Siche­rungs­sys­tem und des­sen Beach­tung im Ein­zel­fall ver­fü­gen wird. Viel­mehr kann zur Erschüt­te­rung des es die Dar­le­gung und ggf. der Nach­weis aller und damit auch außer­halb des tech­ni­schen Zah­lungs­vor­gangs lie­gen­der Tat­sa­chen genü­gen, die die ernst­haf­te Mög­lich­keit eines Miss­brauchs nahe­le­gen 13.

Nach die­sen Maß­stä­ben hat in dem hier vom Bun­des­ge­richts­hof ent­schie­de­nen Fall das Beru­fungs­ge­richt sowohl die Vor­aus­set­zun­gen für eine Anwen­dung der Grund­sät­ze des es im ver­kannt und des­we­gen erfor­der­li­che Fest­stel­lun­gen nicht getrof­fen als auch rechts­feh­ler­haft die Anfor­de­run­gen an ein Erschüt­tern des von ihm ange­nom­me­nen es durch die Bank­kun­din als Zah­lungs­dienst­nut­zer über­spannt.

Die Fra­ge, ob im Ein­zel­fall die Grund­sät­ze eines es anzu­wen­den sind, unter­liegt der Prü­fung durch das Revi­si­ons­ge­richt 14.

Dabei ist eine Anwen­dung der Grund­sät­ze eines es im nicht all­ge­mein aus­ge­schlos­sen. Die all­seits bekann­te Gefahr des Aus­spä­hens und Ver­fäl­schens von Daten, die über das Inter­net über­mit­telt wer­den, steht einer gesi­cher­ten Lebens­er­fah­rung zur Ver­läss­lich­keit einer Online-Auto­ri­sie­rung näm­lich dann nicht ent­ge­gen, wenn auf Grund­la­ge aktu­el­ler Erkennt­nis­se die all­ge­mei­ne prak­ti­sche Unüber­wind­bar­keit eines kon­kret ein­ge­setz­ten Siche­rungs­ver­fah­rens und des­sen Beach­tung im kon­kre­ten Ein­zel­fall fest­ste­hen.

Ob der Beweis des ers­ten Anscheins für die Auto­ri­sie­rung eines Zah­lungs­vor­gangs im all­ge­mein oder für bestimm­te Authen­ti­fi­zie­rungs­ver­fah­ren aus­ge­schlos­sen ist, ist in Lite­ra­tur und Recht­spre­chung umstrit­ten 15.

Der Bun­des­ge­richts­hof ent­schei­det die­se Streit­fra­ge dahin, dass die Anwen­dung des es für eine Auto­ri­sie­rung durch den Zah­ler im unter den oben genann­ten Vor­aus­set­zun­gen recht­lich zuläs­sig und nicht gene­rell aus­ge­schlos­sen ist.

Gegen­wär­tig wer­den näm­lich Authen­ti­fi­zie­rungs­ver­fah­ren im dann noch all­ge­mein als prak­tisch unüber­wind­bar ange­se­hen, wenn die­se von einer Kom­pro­mit­tie­rung der ein­ge­setz­ten Gerä­te nicht berührt wer­den, ein Zugriff Unbe­rech­tig­ter auf den Über­tra­gungs­weg aus­ge­schlos­sen ist, die dyna­mi­sche an den kon­kre­ten Zah­lungs­vor­gang gebun­den ist und das Ver­fah­ren dem Zah­lungs­dienst­nut­zer vor einer Frei­ga­be die Über­prü­fung des voll­stän­di­gen, unver­fälsch­ten Zah­lungs­auf­trags ermög­licht 16. Bis­lang sind noch kei­ne prak­tisch erfolg­rei­chen Angrif­fe auf ein der­art aus­ge­stal­te­tes Sys­tem in der Öffent­lich­keit bekannt gewor­den. Eine die Anwen­dung des es recht­fer­ti­gen­de Typik muss somit nicht von vorn­her­ein an der all­ge­mei­nen Unsi­cher­heit einer Daten­über­tra­gung über das Inter­net schei­tern.

Es ist aller­dings rechts­feh­ler­haft, ohne Prü­fung der prak­ti­schen Unüber­wind­bar­keit des ein­ge­setz­ten Siche­rungs­sys­tems einen Erfah­rungs­satz anzu­neh­men, nach Nut­zung der zutref­fen­den PIN und sms für einen Zah­lungs­auf­trag im spre­che der Anschein für des­sen Auto­ri­sie­rung durch den Kon­to­in­ha­ber. Hier­durch wür­de zu Unrecht von dem Zah­lungs­dienst­nut­zer Dar­le­gung und ggf. Nach­weis dafür ver­langt, dass die Nut­zung des Authen­ti­fi­zie­rungs­in­stru­ments durch Unbe­rech­tig­te tech­nisch mög­lich gewe­sen sei.

Der Beweis des ers­ten Anscheins erfor­dert die Fest­stel­lung eines all­ge­mei­nen Erfah­rungs­sat­zes als einer aus all­ge­mei­nen Umstän­den gezo­ge­nen tat­säch­li­chen Schluss­fol­ge­rung, die auf den vor­lie­gen­den kon­kre­ten Sach­ver­halt ange­wen­det wer­den kann 17. Die­ser Sach­ver­halt, der grund­sätz­lich von der beweis­be­las­te­ten Par­tei dar­zu­le­gen und zu bewei­sen ist 18, muss einer Typik ent­spre­chen, also nach der all­ge­mei­nen Lebens­er­fah­rung auf eine bestimm­te Ursa­che oder auf einen bestimm­ten Ablauf als maß­geb­lich für den Ein­tritt eines bestimm­ten Erfol­ges hin­wei­sen 19.

Vor­aus­set­zun­gen eines es, der für die Auto­ri­sie­rung des Zah­lungs­vor­gangs durch den Zah­lungs­dienst­nut­zer im spricht, sind danach wie oben dar­ge­stellt nicht nur die in § 675w Satz 1 BGB genann­ten Umstän­de, die ledig­lich die Doku­men­ta­ti­on des Authen­ti­fi­zie­rungs­vor­gangs betref­fen, son­dern es bedarf zusätz­lich der Fest­stel­lung eines all­ge­mein prak­tisch nicht zu über­win­den­den, im kon­kre­ten Ein­zel­fall ord­nungs­ge­mäß ange­wen­de­ten und feh­ler­frei funk­tio­nie­ren­den Sicher­heits­sys­tems.

Inso­weit ist die Annah­me rechts­feh­ler­haft, bereits die kor­rek­te Auf­zeich­nung im Trans­ak­ti­ons­pro­to­koll begrün­de den „Anschein einer ord­nungs­ge­mä­ßen Nut­zung des ”.

Funk­ti­ons­wei­se und all­ge­mei­ne prak­ti­sche Unüber­wind­bar­keit des hier ver­wen­de­ten sms-Ver­fah­rens sind weder substiiert dar­ge­legt noch sind dazu Bewei­se erho­ben wor­den. Die iso­lier­te Fest­stel­lung, die für einen Zah­lungs­vor­gang erfor­der­li­che sei an die bei der Bank hin­ter­leg­te Ruf­num­mer der SIM-Kar­te des Geschäfts­füh­rers der Bank­kun­din über­mit­telt und mit die­ser sei die Über­wei­sung frei­ge­ge­ben wor­den, lie­fert kei­ne Infor­ma­ti­on zum Sicher­heits­ni­veau des kon­kret ein­ge­setz­ten Ver­fah­rens.

Wei­ter fehlt die not­wen­di­ge Klä­rung, ob das von dem Zah­lungs­dienst­leis­ter kon­kret genutz­te Sicher­heits­sys­tem im Zeit­punkt der Vor­nah­me des strit­ti­gen Zah­lungs­vor­gan­ges ein aus­rei­chen­des Sicher­heits­ni­veau für die Anwen­dung des es gebo­ten hat 20. Die­se Prü­fung muss auf Grund­la­ge des neu­es­ten Sds der Erfah­rung erfol­gen 21. Gera­de im , in dem Siche­rungs­sys­te­me und Angriffs­sze­na­ri­en lau­fen­den und kurz­fris­ti­gen Ände­run­gen unter­wor­fen sind, rei­chen älte­rer Recht­spre­chung zugrun­de lie­gen­de Erkennt­nis­se oder Ansich­ten von Stim­men in der Lite­ra­tur nicht aus. Viel­mehr wird regel­mä­ßig Anlass bestehen, das ein­ge­setz­te Siche­rungs­sys­tem und den kon­kre­ten tech­ni­schen Ablauf, die dem strei­ti­gen Zah­lungs­vor­gang zugrun­de lagen, einer die aktu­el­len Erkennt­nis­se aus­wer­ten­den sach­ver­stän­di­gen Begut­ach­tung zu unter­zie­hen, um den neu­es­ten Sd der Erfah­rung zu erfas­sen 22.

Da zu dem hier ein­ge­setz­ten sms-Ver­fah­ren zahl­rei­che bekannt gewor­de­ne erfolg­rei­che Atta­cken die Fra­ge auf­wer­fen, ob es all­ge­mein als prak­tisch unüber­wind­bar gel­ten und damit einen für die Auto­ri­sie­rung der Zah­lung durch den Zah­lungs­dienst­nut­zer bei Ver­wen­dung der rich­ti­gen PIN und recht­fer­ti­gen kann, hät­te das Beru­fungs­ge­richt hier­zu Fest­stel­lun­gen tref­fen müs­sen. So sind zum ein­ge­setz­te Com­pu­ter zugleich mit dem zum Emp­fang der ein­ge­setz­ten Smart­pho­ne infi­ziert wor­den 23, sodass Zah­lungs­vor­gän­ge in Echt­zeit mani­pu­liert wer­den konn­ten 24. Wei­ter waren mit­tels eines Tro­ja­ners durch­ge­führ­te sog. Man-In-The-Midd­le/­Man-In-The-Brow­ser-Atta­cken erfolg­reich 25. Danach ist auf­grund öffent­lich zugäng­li­cher Quel­len frag­lich, ob das sms-Ver­fah­ren all­ge­mein einen Sicher­heitssdard auf­weist, der die Anwen­dung der Regeln des es recht­fer­tigt.

Sodann ist zu klä­ren, ob mög­li­che Sicher­heits­de­fi­zi­te des sms-Ver­fah­rens des­sen Ein­ord­nung als all­ge­mein prak­tisch unüber­wind­bar bereits im Zeit­punkt der strei­ti­gen Auto­ri­sie­rung hin­der­ten. Denn inzwi­schen bekannt gewor­de­ne Schwä­chen des sms-Ver­fah­rens, die jedoch im Zeit­punkt der Ertei­lung des hier strei­ti­gen Zah­lungs­auf­trags noch nicht bekannt oder prak­tisch nicht nutz­bar waren, kön­nen einer Anwen­dung der Grund­sät­ze des es nicht ent­ge­gen­ste­hen.

Unab­hän­gig davon war vor einer Anwen­dung der Grund­sät­ze des es die Ein­hal­tung des Sicher­heits­ni­veaus des sms-Ver­fah­rens im -Sys­tem der Bank bei Ertei­lung des kon­kre­ten Zah­lungs­auf­trags zu über­prü­fen.

Dazu besd im vor­lie­gen­den Fall beson­de­rer Anlass, da unstrei­tig wegen einer EDV-Umstel­lung bei der Bank über län­ge­re Zeit erheb­li­che Soft­ware­pro­ble­me auch im auf­tra­ten, die etwa zu unbe­rech­tig­ten Gut­schrif­ten in sechs­stel­li­ger Höhe führ­ten. Davon war auch das Geschäfts­gi­ro­kon­to der Bank­kun­din betrof­fen. Eine die Anwen­dung des es recht­fer­ti­gen­de Typi­zi­tät setzt mit­hin vor­lie­gend die kon­kre­te Dar­le­gung und ggf. den Nach­weis vor­aus, dass sich sol­che Pro­ble­me nicht auf das Sicher­heits­sys­tem des sms-Ver­fah­rens aus­ge­wirkt haben.

In die­sem Zusam­men­hang ist auch die Annah­me rechts­feh­ler­haft, dass Vor­aus­set­zung einer Beweis­auf­nah­me über die Sicher­heit des ein­ge­setz­ten Authen­ti­fi­zie­rungs­sys­tems substiier­ter Vor­trag der Bank­kun­din als Zah­lungs­dienst­nut­zer zu kon­kre­ten Defi­zi­ten im Sicher­heits­sys­tem des s der Bank sei. Da grund­sätz­lich die beweis­be­las­te­te Par­tei die Dar­le­gungs- und Beweis­last auch für die Tat­sa­chen trägt, die der Anwen­dung eines es zugrun­de lie­gen 18, hat viel­mehr der Zah­lungs­dienst­leis­ter hier die Bank die kon­kre­te Aus­ge­stal­tung des von ihm ein­ge­setz­ten Authen­ti­fi­zie­rungs­sys­tems und des­sen Sicher­heits­ni­veau dar­zu­le­gen und im Fal­le des Bestrei­tens zu bewei­sen. Hier­durch wer­den die Anfor­de­run­gen an ein Erschüt­tern des von ihm ange­nom­me­nen es über­spannt.

Ein ist erschüt­tert, wenn der Beweis­geg­ner Tat­sa­chen dar­legt und gege­be­nen­falls zur vol­len Über­zeu­gung des Gerichts beweist 26, die die ernst­haf­te, eben­falls in Betracht kom­men­de Mög­lich­keit einer ande­ren Ursa­che nahe­le­gen 6. Danach muss der Zah­lungs­dienst­nut­zer zur Erschüt­te­rung des es kei­nen kon­kre­ten und erfolg­rei­chen Angriff gegen das Authen­ti­fi­zie­rungs­in­stru­ment bewei­sen, son­dern nur sol­che Umstän­de, die gegen die Auto­ri­sie­rung durch ihn und für ein miss­bräuch­li­ches Ein­grei­fen eines Drit­ten spre­chen. Die­se Anfor­de­run­gen kann der Zah­ler auch dadurch erfül­len, dass er außer­halb des Sicher­heits­sys­tems des Zah­lungs­dienst­leis­ters lie­gen­de Indi­zi­en, die für einen nicht auto­ri­sier­ten Zah­lungs­vor­gang spre­chen, substiiert dar­legt und bei Bestrei­ten nach­weist.

Im vor­lie­gen­den Fall hat die Bank­kun­din zu sol­chen, zur Erschüt­te­rung des es geeig­ne­ten Umstän­den hin­rei­chend vor­ge­tra­gen.

Sie hat behaup­tet und unter Beweis gestellt, dass der Geschäfts­füh­rer der Bank­kun­din den Über­wei­sungs­emp­fän­ger nicht ken­ne und er die­sem auch kei­ne schrift­li­che Zah­lungs­an­wei­sung erteilt habe. Sofern eine sol­che mit sei­ner Unter­schrift vor­lie­gen soll­te, sei die Unter­schrift gefälscht. Wei­ter sei er zum Zeit­punkt der Über­wei­sung in Urlaub gewe­sen und habe kei­ne Mög­lich­keit gehabt, Buchun­gen im Wege des s vor­zu­neh­men. Das Mobil­te­le­fon, in dem sich die SIM-Kar­te zu der bei der Bank für das sms-Ver­fah­ren hin­ter­leg­ten Tele­fon­num­mer befun­den habe, habe sich im Gewahr­sam eines Mit­ar­bei­ters befun­den, der eben­falls kei­nen erteilt habe. Die sei zwar über SMS auf dem Mobil­te­le­fon ein­ge­gan­gen, der Mit­ar­bei­ter habe die­se SMS aber für Spam gehal­ten und „weg­ge­drückt” sowie die nicht ver­wen­det.

Trä­fe die­se Sach­dar­stel­lung zu, hät­te der Geschäfts­füh­rer der Bank­kun­din im Zeit­punkt der Ertei­lung eines s kei­nen Zugriff auf die erfor­der­li­che gehabt und der als Zeu­ge benann­te Mit­ar­bei­ter hät­te man­gels PIN kei­nen Zah­lungs­auf­trag ertei­len kön­nen sowie die nicht genutzt. Zudem wäre der Zah­lungs­emp­fän­ger dem Geschäfts­füh­rer der Bank­kun­din unbe­kannt gewe­sen. Könn­te die Bank­kun­din die­se Behaup­tun­gen zur Über­zeu­gung der Tat­sa­chen­ge­rich­te nach­wei­sen, wäre ein ersicht­lich erschüt­tert. Die Anträ­ge auf Ver­neh­mung des Mit­ar­bei­ters Ma. und wei­te­rer Zeu­gen sowie ggf. auf Anhö­rung des Geschäfts­füh­rers der Bank­kun­din durf­ten des­we­gen nicht zurück­ge­wie­sen wer­den. Das gilt auch für die Ver­neh­mung des Streit­hel­fers, die was vom Beru­fungs­ge­richt über­se­hen wor­den ist bereits in der Kla­ge­er­wi­de­rung bean­tragt wor­den ist.

Dabei muss­te die Bank­kun­din als Vor­aus­set­zung einer Erhe­bung die­ser Bewei­se nicht dar­le­gen, dass das von der Bank­kun­din ein­ge­setz­te Mobil­te­le­fon mit einem Schad­pro­gramm infi­ziert gewe­sen ist, nicht von sich aus einen Com­pu­ter­ex­per­ten mit der Unter­su­chung des Mobil­te­le­fons beauf­tra­gen und auch nicht erklä­ren, auf wel­che Wei­se ein unbe­fug­ter Drit­ter an die Zugangs­da­ten gelangt ist. Die Erschüt­te­rung eines es ver­langt näm­lich nicht die Auf­klä­rung des unsi­che­ren Gesche­hens­ab­laufs, son­dern ledig­lich den Nach­weis der ernst­haf­ten, eben­falls in Betracht kom­men­den Mög­lich­keit einer ande­ren Ursa­che.

Die Über­wei­sung des strei­ti­gen Betrags vom Kon­to der Bank­kun­din auf das Kon­to eines Drit­ten wirkt nicht nach den Grund­sät­zen der Anscheins­voll­macht oder eines Han­delns unter frem­dem Namen zulas­ten der Bank­kun­din.

In Recht­spre­chung und Lite­ra­tur ist umstrit­ten, ob von Drit­ten unter Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments ein­schließ­lich sei­ner per­so­na­li­sier­ten Sicher­heits­merk­ma­le ver­an­lass­te Zah­lungs­vor­gän­ge dem Zah­ler nach den Grund­sät­zen der Anscheins­voll­macht zuge­rech­net wer­den kön­nen 27.

Der Bun­des­ge­richts­hof hat erheb­li­che Zwei­fel, ob die Grund­sät­ze einer Anscheins­voll­macht bzw. eines Han­delns unter frem­dem Namen im Recht der Zah­lungs­diens­te neben den Spe­zi­al­vor­schrif­ten der § 675j Abs. 1 Satz 4, §§ 675u, 675v BGB ange­wen­det wer­den kön­nen.

Die Auf­fas­sung, ein Kon­to­in­ha­ber müs­se Zah­lungs­auf­trä­ge, die ein Drit­ter unter miss­bräuch­li­cher Ver­wen­dung eines Authen­ti­fi­zie­rungs­in­stru­ments erteilt hat, nach die­sen Rechts­schein­grund­sät­zen gegen sich gel­ten las­sen, wenn ihm das Han­deln des Nicht­be­rech­tig­ten bekannt war oder er es hät­te erken­nen kön­nen 28, ist mit den nach § 675e Abs. 1 BGB im Grund­satz abschlie­ßen­den 29 Rege­lun­gen in § 675j Abs. 1 Satz 4, § 675u Satz 1 BGB nicht zu ver­ein­ba­ren 30. Denn nach dem zwi­schen Bank und Kun­de geschlos­se­nen Ver­trag ist bei Nut­zung eines per­so­na­li­sier­ten Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments, das ohne­hin nach § 675l BGB geheim zu hal­ten ist, eine Bevoll­mäch­ti­gung Drit­ter aus­nahms­los aus­ge­schlos­sen. Das Han­deln eines Drit­ten bei der förm­li­chen Authen­ti­fi­zie­rung nach § 675j Abs. 1 Satz 4 BGB mit den per­so­na­li­sier­ten Sicher­heits­merk­ma­len des Kon­to­in­ha­bers ist damit unwirk­sam und kann auch dann einen Zah­lungs­auf­trag mit­tels des betref­fen­den Authen­ti­fi­zie­rungs­ver­fah­rens nicht auto­ri­sie­ren, wenn die per­sön­li­chen Sicher­heits­merk­ma­le vom Drit­ten mit Zustim­mung des Kon­to­in­ha­bers ein­ge­setzt wor­den sein soll­ten. Zudem ist der in § 675v Abs. 2 BGB fest­ge­leg­te Grund­satz, dass der Kon­to­in­ha­ber für einen nicht auto­ri­sier­ten Zah­lungs­vor­gang nur bei Vor­satz oder gro­ber Fahr­läs­sig­keit ein­zu­ste­hen hat, berührt, wenn dane­ben des­sen Haf­tung nach den Regeln eines Han­delns unter frem­dem Namen auch für ein­fa­che Fahr­läs­sig­keit in Betracht käme 31.

Soll ein ent­spre­chend Bevoll­mäch­tig­ter das Recht erhal­ten, für den Kon­to­in­ha­ber mit einem Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ment Zah­lungs­vor­gän­ge zu auto­ri­sie­ren, muss ihm ein eige­nes per­so­na­li­sier­tes Authen­ti­fi­zie­rungs­in­stru­ment ein­schließ­lich geson­der­ter per­so­na­li­sier­ter Sicher­heits­merk­ma­le zuge­wie­sen wer­den.

Dies bedarf im vor­lie­gen­den Fall jedoch kei­ner abschlie­ßen­den Ent­schei­dung, da die Vor­aus­set­zun­gen einer Anscheins­voll­macht oder eines Han­delns unter frem­dem Namen bei der hier zu unter­stel­len­den miss­bräuch­li­chen Nut­zung von PIN und im nicht vor­lie­gen.

Eine Anscheins­voll­macht setzt vor­aus, dass der Ver­tre­te­ne das Han­deln des Schein­ver­tre­ters nicht kennt, er es aber bei pflicht­ge­mä­ßer Sorg­falt hät­te erken­nen und ver­hin­dern kön­nen, und der Geschäfts­part­ner anneh­men durf­te, der Ver­tre­te­ne ken­ne und bil­li­ge das Han­deln des Ver­tre­ters 32. Zudem ist im Grund­satz erfor­der­lich, dass das Ver­hal­ten des Geschäfts­herrn, aus dem der Geschäfts­geg­ner auf die Bevoll­mäch­ti­gung des Drit­ten schließt, von einer gewis­sen Dau­er und Häu­fig­keit ist 32.

Die­se Vor­aus­set­zun­gen sind vor­lie­gend nicht erfüllt. Die Bank hat nach dem hier zugrun­de zu legen­den Sach­ver­halt nicht erkannt, dass ein Drit­ter und nicht der Kun­de gehan­delt hat. Zudem kommt ledig­lich ein ein­ma­li­ger Miss­brauch des s und kein Han­deln von gewis­ser Dau­er und Häu­fig­keit in Betracht.

Die Bank­kun­din haf­tet auch nicht wegen eines Han­delns des unbe­kann­ten Drit­ten unter ihrem Namen in ent­spre­chen­der Anwen­dung der für Anscheins­voll­mach­ten gel­ten­den Grund­sät­ze.

Erweckt das ver­deck­te Han­deln unter frem­dem Namen bei dem Geschäfts­part­ner den Ein­druck, tat­säch­lich wer­de die Erklä­rung vom Namens­trä­ger abge­ge­ben, und wird dadurch eine fal­sche Vor­stel­lung von der Iden­ti­tät des Han­deln­den her­vor­ge­ru­fen, kön­nen die Grund­sät­ze der Anscheins­voll­macht ent­spre­chend anzu­wen­den sein 33. Dies kann auch für Geschäf­te gel­ten, die ver­gleich­bar der vor­lie­gen­den Kon­stel­la­ti­on über das Inter­net abge­wi­ckelt wer­den 34.

Der Geschäfts­herr wird aber auch in die­sem Fall nur ver­pflich­tet, wenn er das Han­deln des Schein­ver­tre­ters bei pflicht­ge­mä­ßer Sorg­falt hät­te erken­nen und ver­hin­dern kön­nen und die­ses Han­deln von einer gewis­sen Dau­er und Häu­fig­keit war 35. Bei­de Vor­aus­set­zun­gen sind nicht erfüllt, wenn ledig­lich ein ein­ma­li­ger miss­bräuch­li­cher Kon­to­zu­griff in Betracht kommt, der ent­spre­chend dem auch hier zugrun­de zu legen­den Sach­ver­halt von dem Zah­lungs­dienst­nut­zer erst im Nach­hin­ein erkannt wur­de.

Ein Anspruch der Bank besteht auch nicht nach § 675v Abs. 2 BGB als Scha­dens­er­satz­an­spruch.

Tat­sa­chen, die eine betrü­ge­ri­sche Absicht oder ein grob fahr­läs­si­ges Ver­hal­ten der Bank­kun­din bele­gen wür­den, sind von der Bank nicht vor­ge­tra­gen; und vom Beru­fungs­ge­richt nicht fest­ge­stellt wor­den.

Es gibt auch kei­nen Erfah­rungs­satz, wonach bei einem Miss­brauch des s bereits die kor­rek­te Auf­zeich­nung der Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments und die beansdungs­freie Prü­fung der Authen­ti­fi­zie­rung für eine grob fahr­läs­si­ge Pflicht­ver­let­zung des Zah­lungs­dienst­nut­zers spre­chen, sodass sich der Zah­lungs­dienst­leis­ter für den ihm im Rah­men von § 675v Abs. 2 BGB oblie­gen­den Nach­weis auch nicht auf den Beweis des ers­ten Anscheins stüt­zen kann.

In Lite­ra­tur und Recht­spre­chung ist umstrit­ten, ob bei miss­bräuch­li­cher Ver­wen­dung von PIN und durch einen Drit­ten im ein für eine grob fahr­läs­si­ge Pflicht­ver­let­zung des Zah­lers in Anspruch genom­men wer­den kann 36.

Der Bun­des­ge­richts­hof ent­schei­det die­sen Streit dahin­ge­hend, dass bei miss­bräuch­li­cher Ver­wen­dung von PIN und im allein die Auf­zeich­nung der Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments und die Prü­fung der Authen­ti­fi­zie­rung im Sin­ne von § 675w Satz 3 Nr. 4 BGB die Anwen­dung der Grund­sät­ze des es für eine grob fahr­läs­si­ge Pflicht­ver­let­zung des Zah­lers nicht recht­fer­ti­gen. Auch ein auf alter­na­ti­ver Grund­la­ge, der Zah­lungs­dienst­nut­zer habe ent­we­der den Zah­lungs­vor­gang auto­ri­siert oder aber grob fahr­läs­sig gegen sei­ne Pflich­ten aus § 675l BGB ver­sto­ßen, kommt des­we­gen nicht in Betracht.

Gro­be Fahr­läs­sig­keit erfor­dert einen in objek­ti­ver Hin­sicht schwe­ren und in sub­jek­ti­ver Hin­sicht schlecht­hin unent­schuld­ba­ren Ver­stoß gegen die Anfor­de­run­gen der kon­kret erfor­der­li­chen Sorg­falt 37. Selbst ein objek­tiv gro­ber Pflich­ten­ver­stoß recht­fer­tigt für sich noch kei­nen zwin­gen­den Schluss auf ein ent­spre­chend gestei­ger­tes per­so­na­les Ver­schul­den 38.

Es gibt kei­ne die Grund­sät­ze des es stüt­zen­de Erfah­rungs­sät­ze, dass bei Auf­zeich­nung der feh­ler­frei­en Nut­zung eines Authen­ti­fi­zie­rungs­in­stru­ments ein Miss­brauch des s auf einer sol­chen sub­jek­tiv unent­schuld­ba­ren Ver­let­zung von Sorg­falts­pflich­ten in beson­ders schwe­rem Maße durch den Zah­lungs­dienst­nut­zer beru­hen wür­de oder dass in einem sol­chen Fall jeden­falls ein tat­säch­li­ches Ver­hal­ten des Zah­lungs­dienst­nut­zers belegt wäre, das als grob fahr­läs­sig bewer­tet wer­den könn­te.

Die Regeln des es sind auf den Nach­weis der sub­jek­ti­ven Vor­aus­set­zun­gen gro­ber Fahr­läs­sig­keit grund­sätz­lich dann nicht anwend­bar, wenn es sich wie hier um ein indi­vi­du­el­les Ver­sa­gen han­delt 39. Die­ser Grund­satz gilt auch, wenn der Miss­brauch des s auf einem Umsd aus der Sphä­re des Zah­lungs­dienst­nut­zers beruht. Denn ein objek­tiv gro­ber Pflich­ten­ver­stoß recht­fer­tigt für sich allein noch nicht den Schluss auf ein gestei­ger­tes per­so­na­les Fehl­ver­hal­ten, selbst wenn die­ses in ver­gleich­ba­ren Fäl­len häu­fig vor­lie­gen soll­te 40.

Die Regeln des es kön­nen aber auch nicht zum Nach­weis der objek­ti­ven Vor­aus­set­zun­gen gro­ber Fahr­läs­sig­keit des Zah­lungs­dienst­nut­zers im her­an­ge­zo­gen wer­den. Zwar ist der zum Nach­weis gro­ber Fahr­läs­sig­keit grund­sätz­lich zuläs­sig, wenn damit ledig­lich die Annah­me eines bestimm­ten tat­säch­li­chen Ver­hal­tens gestützt wer­den soll und die­ses erst in einem wei­te­ren Schritt recht­lich als grob fahr­läs­sig bewer­tet wird 41.

Im Fal­le eines Miss­brauchs des s gibt es aber kei­ne Erfah­rungs­sät­ze, die auf ein bestimm­tes typi­sches Fehl­ver­hal­ten des Zah­lungs­dienst­nut­zers hin­wei­sen wür­den. Die Viel­zahl von Authen­ti­fi­zie­rungs­ver­fah­ren, die sich zum Teil erheb­lich im Siche­rungs­kon­zept und in des­sen Aus­ge­stal­tung unter­schei­den 42, kön­nen jeweils auf unter­schied­li­che Wei­se ange­grif­fen wer­den, wozu wie­der­um ver­schie­de­ne Pflicht­ver­let­zun­gen des Zah­lungs­dienst­nut­zers bei­tra­gen kön­nen, sodass anders als bei Nut­zung von Zah­lungs­kar­ten an Geld­au­to­ma­ten 43 ein Miss­brauch des s nicht auf ein bestimm­tes Ver­hal­ten des Zah­lungs­dienst­nut­zers hin­weist, das sodann als grob fahr­läs­sig ein­ge­ord­net wer­den könn­te.

Einer Vor­la­ge an den Euro­päi­schen Gerichts­hof zur Klä­rung der Fra­ge, ob eine Anwen­dung der Regeln des es bei Ein­satz eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments mit der Zah­lungs­dienst­e­richt­li­nie zu ver­ein­ba­ren ist, bedarf es nicht, da nach den oben dar­ge­stell­ten Grund­sät­zen der im in Über­ein­stim­mung mit Art. 59 Abs. 2 der Zah­lungs­dienst­e­richt­li­nie nicht aus­schließ­lich an die genann­te Doku­men­ta­ti­on der Nut­zung des Authen­ti­fi­zie­rungs­ver­fah­rens anknüpft und zudem kei­ne zwin­gen­de Beweis­re­gel zur Fol­ge hat. Im Übri­gen obliegt die Beweis­wür­di­gung, zu der auch die Grund­sät­ze des es gehö­ren, nach Erwä­gungs­grund 33 der Zah­lungs­dienst­e­richt­li­nie den Gerich­ten nach natio­na­lem Recht.

Das Gericht wird daher, wenn es die Grund­sät­ze des es anwen­den will, ggf. nach Ergän­zung des Vor­trags der Bank zum ver­wen­de­ten Sicher­heits­sys­tem mit sach­ver­stän­di­ger Hil­fe fest­zu­stel­len haben, ob die­ses nach heu­ti­gem Kennt­nissd im Zeit­punkt der Auto­ri­sie­rung des strei­ti­gen Zah­lungs­vor­gangs im All­ge­mei­nen prak­tisch unüber­wind­bar war und die­ses Sicher­heits­ni­veau auch im vor­lie­gen­den Fall bei Vor­nah­me der strit­ti­gen Über­wei­sung trotz der tech­ni­schen Schwie­rig­kei­ten im EDV-Sys­tem der Bank gewahrt wor­den ist.

Soll­te das Ergeb­nis die­ser Beweis­erhe­bung nach Auf­fas­sung des Beru­fungs­ge­richts eine Anwen­dung des es für die Auto­ri­sie­rung der Über­wei­sung durch die Bank­kun­din recht­fer­ti­gen, wer­den die von der Bank­kun­din zu des­sen Erschüt­te­rung ange­bo­te­nen Bewei­se zu erhe­ben sein. Dabei kann nach den Grund­sät­zen der sekun­dä­ren Dar­le­gungs­last der Zah­lungs­dienst­leis­ter hier die Bank im Rah­men des Zumut­ba­ren 44 gehal­ten sein, das ver­wen­de­te Sicher­heits­sys­tem und even­tu­ell bestehen­de wei­te­re Sicher­heits­vor­keh­run­gen dar­zu­stel­len, soweit dies nicht bereits im Rah­men der Begrün­dung des es gesche­hen ist. Dadurch soll der Zah­ler in die Lage ver­setzt wer­den, Beweis für von ihm ver­mu­te­te kon­kre­te Sicher­heits­män­gel antre­ten zu kön­nen 45. Der Zah­lungs­dienst­leis­ter wird wei­ter auf Grund­la­ge des Giro­ver­trags in sei­nem Besitz befind­li­che tech­ni­sche Auf­zeich­nun­gen, die die strei­ti­gen sowie im sel­ben Zeit­raum aus­ge­führ­te Zah­lungs­vor­gän­ge betref­fen oder hier­über Auf­schluss geben kön­nen, bis zur Klä­rung der Ange­le­gen­heit auf­zu­he­ben und sie dem Zah­ler gege­be­nen­falls zugäng­lich zu machen haben 46.

Dem steht ein all­ge­mei­nes Inter­es­se der Kre­dit­wirt­schaft an der Geheim­hal­tung von Siche­rungs­sys­te­men nicht ent­ge­gen. Einem im kon­kre­ten Ein­zel­fall bestehen­den berech­tig­ten Geheim­hal­tungs­in­ter­es­se des betrof­fe­nen Kre­dit­in­sti­tuts an den tech­ni­schen Grund­la­gen des von ihm ein­ge­setz­ten Siche­rungs­sys­tems kann in einem gericht­li­chen Ver­fah­ren dadurch Rech­nung getra­gen wer­den, dass nach § 172 Nr. 2 GVG die Öffent­lich­keit aus­ge­schlos­sen wird und nach § 174 Abs. 3 GVG die Ver­fah­rens­be­tei­lig­ten zur Ver­schwie­gen­heit ver­pflich­tet wer­den 47.

Statt­des­sen bzw. bei einem Schei­tern eines es kann der Zah­lungs­dienst­leis­ter hier die Bank eine Auto­ri­sie­rung des Zah­lungs­auf­trags durch den Zah­ler im Wege des Voll­be­wei­ses nach­wei­sen. Inso­weit hat die Bank auch Beweis ange­bo­ten. In die­sem Fall wird der Zah­lungs­dienst­nut­zer nach den Grund­sät­zen der sekun­dä­ren Dar­le­gungs­last zu allen ihm bekann­ten Umstän­den, die den strei­ti­gen Zah­lungs­vor­gang und des­sen Auto­ri­sie­rung betref­fen, ins­be­son­de­re zu den Sicher­heits­vor­keh­run­gen auf dem für das genutz­ten Rech­ner und dem Mobil­te­le­fon sowie zur Notie­rung, Spei­che­rung oder Wei­ter­ga­be der PIN substiiert vor­zu­tra­gen haben.

Bun­des­ge­richts­hof, Urteil vom 26. Janu­ar 2016 – XI ZR 91/​14

  1. Palandt/​Sprau, BGB, 75. Aufl., § 675w Rn. 2; Münch­Komm-BGB/­Cas­per, 6. Aufl., § 675w Rn. 4; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn. 72 f.; Staudinger/​Omlor, BGB, Neubearb.2012, § 675w Rn. 4 f.; Nob­be in Ellenberger/​Findeisen/​Nobbe, Kom­men­tar zum Zah­lungs­ver­kehrs­recht, 2. Aufl., § 675w BGB Rn. 16[]
  2. Franck/​Massari, WM 2009, 1117, 1126; Jung­mann in Jahr­buch jun­ger Zivil­rechts­wis­sen­schaft­ler Bd.2007, 2008, S. 329, 356; Schei­ben­gru­ber, BKR 2010, 15, 21; kri­tisch auch: Erman/​Graf von West­pha­len, BGB, 14. Aufl., § 675w Rn. 16 ff.[]
  3. z.B. AG Ber­lin-Mit­te, NJW-RR 2010, 407, 408[]
  4. OLG Düs­sel­dorf, ZIP 2012, 2244, 2245; OLG Dres­den, ZIP 2014, 766, 768; Beesch in Dau­ner-Lie­b/Lan­gen, BGB, 2. Aufl., § 675w Rn. 37; Bee­sch/Wil­lers­hau­sen­PR-BKR 9/​2012 Anm. 1; Bun­te, ABG-Ban­ken und Son­der­be­din­gun­gen, 4. Aufl., 4. Teil Rn. 31; Münch­Komm-BGB/­Cas­per, 6. Aufl., § 675w Rn. 13; Her­res­thal in Langenbucher/​Bliesener/​Spindler, Bank­rechts-Kom­men­tar, 2013, § 675w Rn. 13; Hof­mann, BKR 2014, 105, 112; Lohmann/​Koch, WM 2008, 57, 63; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts­Hand­buch, 4. Aufl., § 55 Rn. 80; Meckel, juris­PR-BKR 2/​2010 Anm. 1; Nob­be, WM 2011, 961, 968; ders. in Ellenberger/​Findeisen/​Nobbe, Kom­men­tar zum Zah­lungs­ver­kehrs­recht, 2. Aufl., § 675w Rn. 27; Staudinger/​Omlor, BGB, Neubearb.2012, § 675w Rn. 7; Schma­len­bach in Bamberger/​Roth, BGB, 3. Aufl., § 675w Rn. 12; Palandt/​Sprau, BGB, 75. Aufl., § 675w Rn. 4; Wer­ner in Kümpel/​Wittig, Bank- und Kapi­tal­markt­recht, 4. Aufl., Rn.07.774[]
  5. st. Rspr. BGH, z.B. Urtei­le vom 05.02.1987 – I ZR 210/​84, BGHZ 100, 31, 34; und vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 319[]
  6. BGH, Urtei­le vom 03.07.1990 – VI ZR 239/​89, NJW 1991, 230, 231 mwN; und vom 17.01.1995 – X ZR 82/​93, VersR 1995, 723, 724[][]
  7. Münch­Komm-BGB/­Cas­per, 6. Aufl., § 675w Rn. 12; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn. 80; sie­he auch Burgard, WM 2006, 2065, 2069[]
  8. Erwä­gungs­grund 33 der Zah­lungs­dienst­e­richt­li­nie[]
  9. BT-Drs. 16/​11643, S. 115[]
  10. vgl. Hof­mann, BKR 2014, 105, 112; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn. 81; sie­he auch Staudinger/​Omlor, BGB, Neubearb.2012, Vor­be­mer­kun­gen zu §§ 675c 676c Rn.203 aE[]
  11. vgl. Staudinger/​Omlor, BGB, Neubearb.2012, Vor­be­mer­kun­gen zu §§ 675c 676c Rn.203 aE; sie­he dazu auch Schin­kels in Gebauer/​Wiedmann, Zivil­recht unter euro­päi­schem Ein­fluss, 2. Aufl., Kap. 16 Rn. 56[]
  12. vgl. Erfurth, WM 2006, 2198, 2206[]
  13. vgl. dazu BGH, Urtei­le vom 03.07.1990 – VI ZR 239/​89, NJW 1991, 230, 231 mwN; und vom 17.01.1995 – X ZR 82/​93, VersR 1995, 723, 724[]
  14. BGH, Urtei­le vom 05.02.1987 – I ZR 210/​84, BGHZ 100, 31, 33; vom 17.02.1988 IVa ZR 277/​86, NJW-RR 1988, 789, 790; vom 06.03.1991 – IV ZR 82/​90, VersR 1991, 460; vom 23.01.1997 – I ZR 29/​94, WM 1997, 1493, 1496; und vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 313[]
  15. []
  16. sie­he Hoeren/​Kairies, ZBB 2015, 35, 36 f. und WM 2015, 549, 552 zum chip-Ver­fah­ren; vgl. dazu auch Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn.19, 85[]
  17. BGH, Urtei­le vom 04.10.1983 – VI ZR 98/​82, VersR 1984, 40; und vom 06.03.1991 – IV ZR 82/​90, VersR 1991, 460, 461[]
  18. BGH, Urteil vom 14.09.2005 – VIII ZR 369/​04, NJW 2006, 300 Rn. 11[][]
  19. BGH, Urtei­le vom 27.05.1957 – II ZR 132/​56, BGHZ 24, 308, 312; vom 05.02.1987 – I ZR 210/​84, BGHZ 100, 31, 33; vom 06.03.1991 – IV ZR 82/​90, VersR 1991, 460, 461; vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 313; und vom 14.09.2005 – VIII ZR 369/​04, NJW 2006, 300 Rn. 9 f.[]
  20. vgl. dazu BGH, Urtei­le vom 14.11.2006 – XI ZR 294/​05, BGHZ 170, 18 Rn. 31; und vom 29.11.2011 – XI ZR 370/​10, WM 2012, 164 Rn. 37; BGH, Beschluss vom 06.07.2010 – XI ZR 224/​09, WM 2011, 924 Rn. 12[]
  21. vgl. dazu Lau­men in Baumgärtel/​Laumen/​Prütting, Hand­buch der Beweis­last, 3. Aufl., Kap. 17 Rn. 26[]
  22. vgl. dazu auch BGH, Beschluss vom 06.07.2010 – XI ZR 224/​09, WM 2011, 924 Rn. 12 und BGH, Urteil vom 29.11.2011 – XI ZR 370/​10, WM 2012, 164 Rn. 37[]
  23. vgl. Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, Pres­se­mel­dung vom 04.03.2011, Neue Schad­soft­ware liest -Num­mern mit[]
  24. sie­he Bun­des­kri­mi­nal­amt, Bun­des­la­ge­be­richt 2013 – Cybercrime, S. 8[]
  25. Bun­des­kri­mi­nal­amt, Bun­des­la­ge­be­richt 2014 Cybercrime, S. 7 f. und Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, Die Lage der IT-Sicher­heit in Deutsch­land 2014, S. 30; sie­he dazu auch Köb­rich, VuR 2015, 9, 10; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn. 85, 87; Nob­be in Ellenberger/​Findeisen/​Nobbe, Kom­men­tar zum Zah­lungs­ver­kehrs­recht, 2. Aufl., § 675w Rn. 53; Staudinger/​Omlor, BGB, Neubearb.2012, § 675w Rn. 10[]
  26. BGH, Urteil vom 18.12 1952 – VI ZR 54/​52, BGHZ 8, 239, 240[]
  27. []
  28. vgl. OLG Schles­wig-Hol­stein, CR 2011, 52; KG Ber­lin, WM 2012, 493, 494; LG Darm­stadt, ZIP 2014, 1972, 1974 f.; Fischer/​Klanten/​Koch, Bank­recht, 4. Aufl., Rn. 10.475 f.; Münch­Komm-HGB/Häu­ser/Ha­ert­lein, 3. Aufl., Bd. 6, Bank­kar­ten­ver­fah­ren, Rn. E 37; Her­res­thal in Langenbucher/​Bliesener/​Spindler, Bank­rechts-Kom­men­tar, 2013, § 675u Rn. 7[]
  29. vgl. auch BGH, Urteil vom 16.06.2015 – XI ZR 243/​13, WM 2015, 1631 Rn. 23[]
  30. Linar­d­a­tos, BKR 2015, 96, 98; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn. 68; sie­he auch Münch­Komm-BGB/­Schu­bert, 7. Aufl., § 167 Rn. 126 und Stö­ber JR 2012, 225, 231[]
  31. Linar­d­a­tos, BKR 2015, 96, 98; Köb­rich, VuR 2015, 9, 12; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn. 68; vgl. auch Stö­ber, JR 2012, 225, 231[]
  32. st. Rspr., vgl. BGH, Urtei­le vom 10.01.2007 – VIII ZR 380/​04, NJW 2007, 987 Rn. 25; vom 16.03.2006 – III ZR 152/​05, BGHZ 166, 369 Rn. 17; und vom 11.05.2011 – VIII ZR 289/​09, BGHZ 189, 346 Rn. 16 jeweils mwN[][]
  33. vgl. BGH, Urteil vom 03.03.1966 – II ZR 18/​64, BGHZ 45, 193, 195 f.; und vom 11.05.2011 – VIII ZR 289/​09, BGHZ 189, 346 Rn. 12[]
  34. vgl. BGH, Urteil vom 11.05.2011, aaO Rn. 12; Palandt/​Ellenberger, BGB, 75. Aufl., § 172 Rn. 18[]
  35. vgl. BGH, Urteil vom 11.05.2011 – VIII ZR 289/​09, BGHZ 189, 346 Rn. 16[]
  36. []
  37. BGH, Urtei­le vom 30.01.2001 – VI ZR 49/​00, NJW 2001, 2092, 2093; vom 11.07.2007 XII ZR 197/​05, NJW 2007, 2988 Rn. 15; und vom 10.10.2013 – III ZR 345/​12, BGHZ 198, 265 Rn. 26 mwN[]
  38. BGH, Urtei­le vom 30.01.2001 – VI ZR 49/​00, NJW 2001, 2092, 2093; und vom 10.10.2013 – III ZR 345/​12, BGHZ 198, 265 Rn. 28[]
  39. vgl. BGH, Urtei­le vom 21.04.1970 – VI ZR 226/​68, VersR 1970, 568; vom 07.05.1974 – VI ZR 138/​72, VersR 1974, 853; vom 29.01.2003 – IV ZR 173/​01, NJW 2003, 1118, 1119; und vom 21.03.2007 – I ZR 166/​04, NJW-RR 2007, 1630 Rn.20; Bacher in Beck­OK ZPO, Sd: 1.09.2015, § 284 ZPO Rn. 96; Staudinger/​Georg Cas­pers, BGB, Neubearb.2014, § 276 Rn. 97; Palandt/​Grüneberg, BGB, 75. Aufl., § 277 Rn. 7; Lei­pold in Stein/​Jonas, ZPO, 22. Aufl., § 286 Rn. 142; Saenger/​Saenger, ZPO, 6. Aufl., § 286 Rn. 43[]
  40. vgl. dazu BGH, Urtei­le vom 12.01.1988, – VI ZR 158/​87, NJW 1988, 1265, 1266; und vom 30.01.2001 – VI ZR 49/​00, NJW 2001, 2092, 2093[]
  41. vgl. BGH, Urteil vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 319[]
  42. vgl. Hoeren/​Kairies, ZBB 2015, 35; Mai­hold in Schimansky/​Bunte/​Lwowski, Bank­rechts-Hand­buch, 4. Aufl., § 55 Rn. 7 ff.[]
  43. BGH, Urtei­le vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 317 f.; und vom 29.11.2011 – XI ZR 370/​10, WM 2012, 164 Rn. 16; BGH, Beschluss vom 06.07.2010 – XI ZR 224/​09, WM 2010, 924 Rn. 10[]
  44. BGH, Urteil vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 320[]
  45. vgl. BGH, Urtei­le vom 15.05.2003 – III ZR 7/​02 15; und vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 320[]
  46. BGH, Urteil vom 05.10.2004 – XI ZR 210/​03, BGHZ 160, 308, 320 mwN[]
  47. vgl. dazu BGH, Urteil vom 09.12 2015 – IV ZR 272/​15 9 ff.[]