Mißbrauch beim Online-Banking — und der Anscheinsbeweis

Bei dem Nach­weis der Autorisierung eines Zahlungsvor­gangs mit­tels eines Zahlungsauthen­tifizierungsin­stru­ments ist nach § 675w Satz 3 BGB Voraus­set­zung ein­er Anwen­dung der Grund­sätze des Anscheins­be­weis­es, dass auf Grund­lage aktueller Erken­nt­nisse die all­ge­meine prak­tis­che Unüber­wind­barkeit des einge­set­zten Sicherungsver­fahrens sowie dessen ord­nungs­gemäße Anwen­dung und fehler­freie Funk­tion im konkreten Einzelfall fest­ste­hen.

Der Zahlungs­di­en­st­nutzer muss zur Erschüt­terung eines für die Autorisierung eines Zahlungsauf­trags sprechen­den Anscheins­be­weis­es keinen konkreten und erfol­gre­ichen Angriff gegen das Authen­tifizierungsin­stru­ment vor­tra­gen und beweisen, son­dern kann sich auch auf außer­halb des Sicher­heitssys­tems des Zahlungs­di­en­stleis­ters liegende Umstände stützen, die für einen nicht autorisierten Zahlungsvor­gang sprechen.

Es gibt keinen einen Anscheins­be­weis recht­fer­ti­gen­den Erfahrungssatz, dass bei einem Miss­brauch des Online-Bank­ings, wenn die Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments kor­rekt aufgeze­ich­net wor­den und die Prü­fung der Authen­tifizierung bean­stan­dungs­frei geblieben ist, eine konkrete grob fahrläs­sige Pflichtver­let­zung des Zahlungs­di­en­st­nutzers nach § 675v Abs. 2 BGB vor­liegt.

Ein Aufwen­dungser­satzanspruch der Bank gegen die Bankkundin nach § 675c Abs. 1, § 675 i.V.m. § 670 BGB auf Zahlung des nach Kündi­gung des Geschäfts­girover­trages vorhan­de­nen Soll­sal­dos set­zt den von der Bank zu erbrin­gen­den Nach­weis ein­er Zus­tim­mung des Zahlers (Autorisierung) zu der stre­it­i­gen Über­weisung nach § 675j Abs. 1 Satz 1 BGB voraus. Gemäß § 675j Abs. 1 Satz 3 BGB ist die Art und Weise der Zus­tim­mung zwis­chen dem Zahler und dem Zahlungs­di­en­stleis­ter zu vere­in­baren. Dabei kann nach § 675j Abs. 1 Satz 4 BGB fest­gelegt wer­den, dass die Zus­tim­mung mit­tels eines Zahlungsauthen­tifizierungsin­stru­ments im Sinne des § 1 Abs. 5 ZAG erteilt wer­den kann. Danach haben vor­liegend die Parteien für die Autorisierung im Online-Bank­ing die Nutzung des von der Bankkundin ange­bote­nen smsTAN-Ver­fahrens vere­in­bart, bei dem ein Zahlungsvor­gang durch die Eingabe von PIN und TAN autorisiert wird, wobei die TAN mit­tels ein­er SMS-Nachricht an eine vere­in­barte Mobil­funknum­mer des Bankkun­den gesendet wird.

In dem hier vom Bun­des­gericht­shof entsch­iede­nen Stre­it­fall hat die Bank den Nach­weis der Authen­tifizierung des stre­it­i­gen Zahlungsvor­gangs sowie von dessen ord­nungs­gemäßer Ver­buchung, Aufze­ich­nung und Störungs­frei­heit geführt:

Ist wie hier die Autorisierung eines Zahlungsvor­gangs stre­it­ig, hat der Zahlungs­di­en­stleis­ter nach § 675w Satz 1 BGB zunächst die Authen­tifizierung sowie die ord­nungs­gemäße Aufze­ich­nung, Ver­buchung und störungs­freie, keine Auf­fäl­ligkeit­en aufweisende tech­nis­che Abwick­lung des Zahlungsvor­gangs nachzuweisen. Eine Authen­tifizierung ist nach § 675w Satz 2 BGB erfol­gt, wenn der Zahlungs­di­en­stleis­ter die Nutzung des vere­in­barten Zahlungsauthen­tifizierungsin­stru­ments, ein­schließlich sein­er per­son­al­isierten Sicher­heitsmerk­male, mith­il­fe eines Ver­fahrens über­prüft hat. Sind diese Voraus­set­zun­gen nicht erfüllt, ist der Nach­weis ein­er Autorisierung mith­il­fe des betrof­fe­nen Zahlungsauthen­tifizierungsin­stru­ments gescheit­ert1.

Im vor­liegen­den Fall hat­te das Gericht die erfol­gre­iche Über­prü­fung der stre­it­i­gen Über­weisung durch die Bankkundin anhand des vorgelegten Transak­tion­spro­tokolls und damit den Nach­weis der Authen­tifizierung dieses Zahlungsvor­gangs sowie den Nach­weis der Ver­buchung, Aufze­ich­nung und Störungs­frei­heit fest­gestellt.

Nach § 675w Satz 3 Nr. 1 BGB reicht die Authen­tifizierung und die Aufze­ich­nung der Nutzung des Zahlungsauthen­tifizierungsin­stru­ments ein­schließlich der per­son­al­isierten Sicher­heitsmerk­male aber nicht notwendi­ger­weise aus, den dem Zahlungs­di­en­stleis­ter hier der Bank obliegen­den Nach­weis ein­er Autorisierung des Zahlungsvor­gangs zu führen.

Ein Zahlungs­di­en­stleis­ter kann sich statt dessen gegenüber dem Zahler unter bes­timmten Voraus­set­zun­gen zum Nach­weis der strit­ti­gen Autorisierung auf einen Beweis des ersten Anscheins berufen, der allerd­ings bei Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments den beson­deren Anforderun­gen des § 675w Satz 3 BGB genü­gen muss. Danach ist Voraus­set­zung eines Anscheins­be­weis­es bei Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments ein Sicher­heitssys­tem, das all­ge­mein prak­tisch nicht zu über­winden war, im konkreten Einzelfall ord­nungs­gemäß angewen­det wor­den ist und fehler­frei funk­tion­iert hat.

In Recht­sprechung und Lit­er­atur ist stre­it­ig, ob die Beweis­regeln in § 675w Satz 3 BGB, mit dem Art. 59 Abs. 2 der Richtlin­ie 2007/64/EG über Zahlungs­di­en­ste im Bin­nen­markt (Zahlungs­di­en­sterichtlin­ie) umge­set­zt wor­den ist, ein­er Anwen­dung der Grund­sätze des Anscheins­be­weis­es zugun­sten des Zahlungs­di­en­stleis­ters gestützt auf die Aufze­ich­nung der Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments ent­ge­gen­ste­hen.

Eine Mei­n­ung in der Lit­er­atur2, der sich vere­inzelt Gerichte angeschlossen haben3, geht davon aus, § 675w Satz 3 BGB ver­bi­ete im Zahlungs­di­en­sterecht bei Ein­satz eines Authen­tifizierungsin­stru­ments die Anwen­dung des Anscheins­be­weis­es, da das dadurch entste­hende Regel-Aus­nahme-Ver­hält­nis Sinn und Zweck des § 675w Satz 3 BGB wider­spreche.

Demge­genüber nimmt die h.M. an, § 675w Satz 3 BGB hin­dere eine Anwen­dung des Anscheins­be­weis­es im Zahlungs­di­en­sterecht grund­sät­zlich nicht4. Der Wort­laut des § 675w Satz 3 BGB ver­bi­ete mit der For­mulierung “allein nicht notwendi­ger­weise” lediglich zwin­gende Beweis­regeln, nicht aber wider­leg­bare Beweiser­le­ichterun­gen wie den Anscheins­be­weis.

Der Bun­des­gericht­shof entschei­det diesen Stre­it anknüpfend an die h.M. dahin, dass § 675w Satz 3 BGB ein­er Anwen­dung des Anscheins­be­weis­es nicht ent­ge­gen­ste­ht, son­dern vielmehr beson­dere Anforderun­gen an dessen Aus­gestal­tung stellt.

Die Grund­sätze des Anscheins­be­weis­es ste­hen nicht in Wider­spruch zum Wort­laut des § 675w Satz 3 BGB, da dieser erst dann berührt wäre, wenn die Aufze­ich­nung der Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments ein­schließlich der Authen­tifizierung durch den Zahlungs­di­en­stleis­ter den vollen Beweis für die in § 675w Satz 3 Nr. 1 bis Nr. 3 BGB genan­nten Tat­sachen erbrin­gen würde. Die Grund­sätze des Anscheins­be­weis­es begrün­den hinge­gen wed­er eine zwin­gende Beweis­regel noch eine Beweisver­mu­tung und auch keine Beweis­las­tumkehr zulas­ten ein­er Partei5. Ein Anscheins­be­weis wird vielmehr bere­its dadurch erschüt­tert, dass der Prozess­geg­n­er atyp­is­che Umstände des Einzelfall­es dar­legt und im Falle des Bestre­it­ens Tat­sachen nach­weist, die die ern­sthafte, eben­falls in Betra­cht kom­mende Möglichkeit ein­er anderen Ursache nahele­gen6.

Dies wird durch die Entste­hungs­geschichte der Vorschrift gestützt. Der Zusatz “nicht notwendi­ger­weise” ist in den Entwurf der Zahlungs­di­en­sterichtlin­ie erst später einge­fügt wor­den7, um klarzustellen, dass eine umfassende Beweiswürdi­gung nach den Grund­sätzen des nationalen Prozess­rechts möglich bleiben soll8. Deswe­gen geht auch die Regierungs­be­grün­dung zum Entwurf des § 675w Satz 3 BGB davon aus, dass die nationalen Beweis­grund­sätze und damit auch diejeni­gen über den Anscheins­be­weis weit­er­hin zuläs­sig bleiben9.

Der in § 675w Satz 3 BGB fest­gelegten Beweis­regel ist aber auch bei Anwen­dung des Anscheins­be­weis­es prak­tis­che Gel­tung zu ver­schaf­fen. § 675w Satz 3 BGB begren­zt den Beweiswert ein­er schlicht­en Doku­men­ta­tion des tech­nis­chen Authen­tifizierungsvor­gangs, um den Zahlungs­di­en­st­nutzer, der wed­er den Authen­tifizierungsvor­gang tech­nisch gestal­ten noch dessen kor­rek­te Funk­tion im Einzelfall überblick­en kann, nicht über § 675v Abs. 1 BGB hin­aus mit den Risiken eines Miss­brauchs tech­nis­ch­er Authen­tifizierungsin­stru­mente zu belas­ten. Deswe­gen dür­fen im Zahlungs­di­en­sterecht beim Ein­satz tech­nis­ch­er Authen­tifizierungsin­stru­mente die Grund­sätze des Anscheins­be­weis­es nicht so gehand­habt wer­den, dass sie bei Vor­liegen allein der in § 675w Satz 3 BGB genan­nten tech­nis­chen Merk­male aus prak­tis­ch­er Sicht ein­er Beweis­las­tumkehr gle­ichkom­men10.

Für eine Anwen­dung der Grund­sätze des Anscheins­be­weis­es im Zahlungs­di­en­sterecht bei dem Nach­weis ein­er Autorisierung durch ein vere­in­bartes Zahlungsauthen­tifizierungsin­stru­ment reicht danach allein die kor­rek­te Aufze­ich­nung der Nutzung dieses Zahlungsauthen­tifizierungsin­stru­ments nicht aus. Vielmehr müssen dessen all­ge­meine prak­tis­che Sicher­heit und die Ein­hal­tung des Sicher­heitsver­fahrens im konkreten Einzelfall fest­ste­hen. Zudem bedarf die Erschüt­terung des Anscheins­be­weis­es nicht zwin­gend der Behaup­tung und ggf. des Nach­weis­es tech­nis­ch­er Fehler des doku­men­tierten Authen­tifizierungsver­fahrens.

Der Anscheins­be­weis für eine Autorisierung durch den Zahlungs­di­en­st­nutzer darf nicht ohne Rück­sicht auf das tech­nis­che Schutzniveau des ver­wen­de­ten Sicher­heitssys­tems allein an die ord­nungs­gemäß aufgeze­ich­nete Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments ein­schließlich sein­er per­son­al­isierten Sicher­heitsmerk­male anknüpfen11. Die kor­rek­te Aufze­ich­nung der Nutzung eines nicht aus­re­ichend sicheren Zahlungsauthen­tifizierungsin­stru­ments kann näm­lich für sich keine Beweiser­le­ichterung für den Zahlungs­di­en­stleis­ter recht­fer­ti­gen, da andern­falls der Zahlungs­di­en­st­nutzer ent­ge­gen der Wer­tung des § 675w Satz 3 Nr. 1 BGB das Risiko von Defiziten des von ihm nicht zu ver­ant­wor­tenden Authen­tifizierungsvor­gangs tra­gen würde. Vielmehr ist ein all­ge­mein prak­tisch nicht zu über­winden­des und im konkreten Einzelfall ord­nungs­gemäß angewen­detes und fehler­frei funk­tion­ieren­des Sicher­heitssys­tem Voraus­set­zung für die Anwen­dung der Grund­sätze des Anscheins­be­weis­es.

Darüber hin­aus darf vom Zahlungs­di­en­st­nutzer zur Erschüt­terung des Anscheins­be­weis­es nicht Vor­trag und ggf. Nach­weis ver­langt wer­den, auf welche Weise die Schutzvorkehrun­gen des Authen­tifizierungsver­fahrens über­wun­den wor­den oder weshalb sie wirkungs­los geblieben sind. Das käme in der prak­tis­chen Wirkung eben­falls ein­er gegen § 675w Satz 3 BGB ver­stoßen­den unwider­leglichen Beweis­las­tumkehr gle­ich12, da der Zahlungs­di­en­st­nutzer im All­ge­meinen über keine Ken­nt­nisse zu dem einge­set­zten Sicherungssys­tem und dessen Beach­tung im Einzelfall ver­fü­gen wird. Vielmehr kann zur Erschüt­terung des Anscheins­be­weis­es die Dar­legung und ggf. der Nach­weis aller und damit auch außer­halb des tech­nis­chen Zahlungsvor­gangs liegen­der Tat­sachen genü­gen, die die ern­sthafte Möglichkeit eines Miss­brauchs nahele­gen13.

Nach diesen Maßstäben hat in dem hier vom Bun­des­gericht­shof entsch­iede­nen Fall das Beru­fungs­gericht sowohl die Voraus­set­zun­gen für eine Anwen­dung der Grund­sätze des Anscheins­be­weis­es im Online-Bank­ing verkan­nt und deswe­gen erforder­liche Fest­stel­lun­gen nicht getrof­fen als auch rechts­fehler­haft die Anforderun­gen an ein Erschüt­tern des von ihm angenomme­nen Anscheins­be­weis­es durch die Bankkundin als Zahlungs­di­en­st­nutzer überspan­nt.

Die Frage, ob im Einzelfall die Grund­sätze eines Anscheins­be­weis­es anzuwen­den sind, unter­liegt der Prü­fung durch das Revi­sion­s­gericht14.

Dabei ist eine Anwen­dung der Grund­sätze eines Anscheins­be­weis­es im Online-Bank­ing nicht all­ge­mein aus­geschlossen. Die all­seits bekan­nte Gefahr des Ausspähens und Ver­fälschens von Dat­en, die über das Inter­net über­mit­telt wer­den, ste­ht ein­er gesicherten Lebenser­fahrung zur Ver­lässlichkeit ein­er Online-Autorisierung näm­lich dann nicht ent­ge­gen, wenn auf Grund­lage aktueller Erken­nt­nisse die all­ge­meine prak­tis­che Unüber­wind­barkeit eines konkret einge­set­zten Sicherungsver­fahrens und dessen Beach­tung im konkreten Einzelfall fest­ste­hen.

Ob der Beweis des ersten Anscheins für die Autorisierung eines Zahlungsvor­gangs im Online-Bank­ing all­ge­mein oder für bes­timmte Authen­tifizierungsver­fahren aus­geschlossen ist, ist in Lit­er­atur und Recht­sprechung umstrit­ten15.

Der Bun­des­gericht­shof entschei­det diese Stre­it­frage dahin, dass die Anwen­dung des Anscheins­be­weis­es für eine Autorisierung durch den Zahler im Online-Bank­ing unter den oben genan­nten Voraus­set­zun­gen rechtlich zuläs­sig und nicht generell aus­geschlossen ist.

Gegen­wär­tig wer­den näm­lich Authen­tifizierungsver­fahren im Online-Bank­ing dann noch all­ge­mein als prak­tisch unüber­wind­bar ange­se­hen, wenn diese von ein­er Kom­pro­mit­tierung der einge­set­zten Geräte nicht berührt wer­den, ein Zugriff Unberechtigter auf den Über­tra­gungsweg aus­geschlossen ist, die dynamis­che TAN an den konkreten Zahlungsvor­gang gebun­den ist und das Ver­fahren dem Zahlungs­di­en­st­nutzer vor ein­er Freiga­be die Über­prü­fung des voll­ständi­gen, unver­fälscht­en Zahlungsauf­trags ermöglicht16. Bis­lang sind noch keine prak­tisch erfol­gre­ichen Angriffe auf ein der­art aus­gestal­tetes Sys­tem in der Öffentlichkeit bekan­nt gewor­den. Eine die Anwen­dung des Anscheins­be­weis­es recht­fer­ti­gende Typik muss somit nicht von vorn­here­in an der all­ge­meinen Unsicher­heit ein­er Datenüber­tra­gung über das Inter­net scheit­ern.

Es ist allerd­ings rechts­fehler­haft, ohne Prü­fung der prak­tis­chen Unüber­wind­barkeit des einge­set­zten Sicherungssys­tems einen Erfahrungssatz anzunehmen, nach Nutzung der zutr­e­f­fend­en PIN und smsTAN für einen Zahlungsauf­trag im Online-Bank­ing spreche der Anschein für dessen Autorisierung durch den Kon­toin­hab­er. Hier­durch würde zu Unrecht von dem Zahlungs­di­en­st­nutzer Dar­legung und ggf. Nach­weis dafür ver­langt, dass die Nutzung des Authen­tifizierungsin­stru­ments durch Unberechtigte tech­nisch möglich gewe­sen sei.

Der Beweis des ersten Anscheins erfordert die Fest­stel­lung eines all­ge­meinen Erfahrungssatzes als ein­er aus all­ge­meinen Umstän­den gezo­ge­nen tat­säch­lichen Schlussfol­gerung, die auf den vor­liegen­den konkreten Sachver­halt angewen­det wer­den kann17. Dieser Sachver­halt, der grund­sät­zlich von der beweis­be­lasteten Partei darzule­gen und zu beweisen ist18, muss ein­er Typik entsprechen, also nach der all­ge­meinen Lebenser­fahrung auf eine bes­timmte Ursache oder auf einen bes­timmten Ablauf als maßge­blich für den Ein­tritt eines bes­timmten Erfolges hin­weisen19.

Voraus­set­zun­gen eines Anscheins­be­weis­es, der für die Autorisierung des Zahlungsvor­gangs durch den Zahlungs­di­en­st­nutzer im Online-Bank­ing spricht, sind danach wie oben dargestellt nicht nur die in § 675w Satz 1 BGB genan­nten Umstände, die lediglich die Doku­men­ta­tion des Authen­tifizierungsvor­gangs betr­e­f­fen, son­dern es bedarf zusät­zlich der Fest­stel­lung eines all­ge­mein prak­tisch nicht zu über­winden­den, im konkreten Einzelfall ord­nungs­gemäß angewen­de­ten und fehler­frei funk­tion­ieren­den Sicher­heitssys­tems.

Insoweit ist die Annahme rechts­fehler­haft, bere­its die kor­rek­te Aufze­ich­nung im Transak­tion­spro­tokoll begründe den “Anschein ein­er ord­nungs­gemäßen Nutzung des Online-Bank­ing”.

Funk­tion­sweise und all­ge­meine prak­tis­che Unüber­wind­barkeit des hier ver­wen­de­ten smsTAN-Ver­fahrens sind wed­er sub­stan­ti­iert dargelegt noch sind dazu Beweise erhoben wor­den. Die isolierte Fest­stel­lung, die für einen Zahlungsvor­gang erforder­liche TAN sei an die bei der Bank hin­ter­legte Rufnum­mer der SIM-Karte des Geschäfts­führers der Bankkundin über­mit­telt und mit dieser TAN sei die Über­weisung freigegeben wor­den, liefert keine Infor­ma­tion zum Sicher­heit­sniveau des konkret einge­set­zten Ver­fahrens.

Weit­er fehlt die notwendi­ge Klärung, ob das von dem Zahlungs­di­en­stleis­ter konkret genutzte Sicher­heitssys­tem im Zeit­punkt der Vor­nahme des strit­ti­gen Zahlungsvor­ganges ein aus­re­ichen­des Sicher­heit­sniveau für die Anwen­dung des Anscheins­be­weis­es geboten hat20. Diese Prü­fung muss auf Grund­lage des neuesten Stands der Erfahrung erfol­gen21. Ger­ade im Online-Bank­ing, in dem Sicherungssys­teme und Angriff­sszenar­ien laufend­en und kurzfristi­gen Änderun­gen unter­wor­fen sind, reichen älter­er Recht­sprechung zugrunde liegende Erken­nt­nisse oder Ansicht­en von Stim­men in der Lit­er­atur nicht aus. Vielmehr wird regelmäßig Anlass beste­hen, das einge­set­zte Sicherungssys­tem und den konkreten tech­nis­chen Ablauf, die dem stre­it­i­gen Zahlungsvor­gang zugrunde lagen, ein­er die aktuellen Erken­nt­nisse auswer­tenden sachver­ständi­gen Begutach­tung zu unterziehen, um den neuesten Stand der Erfahrung zu erfassen22.

Da zu dem hier einge­set­zten smsTAN-Ver­fahren zahlre­iche bekan­nt gewor­dene erfol­gre­iche Attack­en die Frage aufw­er­fen, ob es all­ge­mein als prak­tisch unüber­wind­bar gel­ten und damit einen Anscheins­be­weis für die Autorisierung der Zahlung durch den Zahlungs­di­en­st­nutzer bei Ver­wen­dung der richti­gen PIN und TAN recht­fer­ti­gen kann, hätte das Beru­fungs­gericht hierzu Fest­stel­lun­gen tre­f­fen müssen. So sind zum Online-Bank­ing einge­set­zte Com­put­er zugle­ich mit dem zum Emp­fang der TAN einge­set­zten Smart­phone infiziert wor­den23, sodass Zahlungsvorgänge in Echtzeit manip­uliert wer­den kon­nten24. Weit­er waren mit­tels eines Tro­jan­ers durchge­führte sog. Man-In-The-Mid­dle/­Man-In-The-Brows­er-Attack­en erfol­gre­ich25. Danach ist auf­grund öffentlich zugänglich­er Quellen fraglich, ob das smsTAN-Ver­fahren all­ge­mein einen Sicher­heits­stan­dard aufweist, der die Anwen­dung der Regeln des Anscheins­be­weis­es recht­fer­tigt.

Sodann ist zu klären, ob mögliche Sicher­heits­de­fizite des smsTAN-Ver­fahrens dessen Einord­nung als all­ge­mein prak­tisch unüber­wind­bar bere­its im Zeit­punkt der stre­it­i­gen Autorisierung hin­derten. Denn inzwis­chen bekan­nt gewor­dene Schwächen des smsTAN-Ver­fahrens, die jedoch im Zeit­punkt der Erteilung des hier stre­it­i­gen Zahlungsauf­trags noch nicht bekan­nt oder prak­tisch nicht nutzbar waren, kön­nen ein­er Anwen­dung der Grund­sätze des Anscheins­be­weis­es nicht ent­ge­gen­ste­hen.

Unab­hängig davon war vor ein­er Anwen­dung der Grund­sätze des Anscheins­be­weis­es die Ein­hal­tung des Sicher­heit­sniveaus des smsTAN-Ver­fahrens im Online-Bank­ing-Sys­tem der Bank bei Erteilung des konkreten Zahlungsauf­trags zu über­prüfen.

Dazu bestand im vor­liegen­den Fall beson­der­er Anlass, da unstre­it­ig wegen ein­er EDV-Umstel­lung bei der Bank über län­gere Zeit erhe­bliche Soft­wareprob­leme auch im Online-Bank­ing auf­trat­en, die etwa zu unberechtigten Gutschriften in sechsstel­liger Höhe führten. Davon war auch das Geschäfts­girokon­to der Bankkundin betrof­fen. Eine die Anwen­dung des Anscheins­be­weis­es recht­fer­ti­gende Typ­iz­ität set­zt mithin vor­liegend die konkrete Dar­legung und ggf. den Nach­weis voraus, dass sich solche Prob­leme nicht auf das Sicher­heitssys­tem des smsTAN-Ver­fahrens aus­gewirkt haben.

In diesem Zusam­men­hang ist auch die Annahme rechts­fehler­haft, dass Voraus­set­zung ein­er Beweisauf­nahme über die Sicher­heit des einge­set­zten Authen­tifizierungssys­tems sub­stan­ti­iert­er Vor­trag der Bankkundin als Zahlungs­di­en­st­nutzer zu konkreten Defiziten im Sicher­heitssys­tem des Online-Bank­ings der Bank sei. Da grund­sät­zlich die beweis­be­lastete Partei die Dar­legungs- und Beweis­last auch für die Tat­sachen trägt, die der Anwen­dung eines Anscheins­be­weis­es zugrunde liegen26, hat vielmehr der Zahlungs­di­en­stleis­ter hier die Bank die konkrete Aus­gestal­tung des von ihm einge­set­zten Authen­tifizierungssys­tems und dessen Sicher­heit­sniveau darzule­gen und im Falle des Bestre­it­ens zu beweisen. Hier­durch wer­den die Anforderun­gen an ein Erschüt­tern des von ihm angenomme­nen Anscheins­be­weis­es überspan­nt.

Ein Anscheins­be­weis ist erschüt­tert, wenn der Beweis­geg­n­er Tat­sachen dar­legt und gegebe­nen­falls zur vollen Überzeu­gung des Gerichts beweist27, die die ern­sthafte, eben­falls in Betra­cht kom­mende Möglichkeit ein­er anderen Ursache nahele­gen28. Danach muss der Zahlungs­di­en­st­nutzer zur Erschüt­terung des Anscheins­be­weis­es keinen konkreten und erfol­gre­ichen Angriff gegen das Authen­tifizierungsin­stru­ment beweisen, son­dern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein miss­bräuch­lich­es Ein­greifen eines Drit­ten sprechen. Diese Anforderun­gen kann der Zahler auch dadurch erfüllen, dass er außer­halb des Sicher­heitssys­tems des Zahlungs­di­en­stleis­ters liegende Indizien, die für einen nicht autorisierten Zahlungsvor­gang sprechen, sub­stan­ti­iert dar­legt und bei Bestre­it­en nach­weist.

Im vor­liegen­den Fall hat die Bankkundin zu solchen, zur Erschüt­terung des Anscheins­be­weis­es geeigneten Umstän­den hin­re­ichend vor­ge­tra­gen.

Sie hat behauptet und unter Beweis gestellt, dass der Geschäfts­führer der Bankkundin den Über­weisungsempfänger nicht kenne und er diesem auch keine schriftliche Zahlungsan­weisung erteilt habe. Sofern eine solche mit sein­er Unter­schrift vor­liegen sollte, sei die Unter­schrift gefälscht. Weit­er sei er zum Zeit­punkt der Über­weisung in Urlaub gewe­sen und habe keine Möglichkeit gehabt, Buchun­gen im Wege des Online-Bank­ings vorzunehmen. Das Mobil­tele­fon, in dem sich die SIM-Karte zu der bei der Bank für das smsTAN-Ver­fahren hin­ter­legten Tele­fon­num­mer befun­den habe, habe sich im Gewahrsam eines Mitar­beit­ers befun­den, der eben­falls keinen Über­weisungsauf­trag erteilt habe. Die TAN sei zwar über SMS auf dem Mobil­tele­fon einge­gan­gen, der Mitar­beit­er habe diese SMS aber für Spam gehal­ten und “wegge­drückt” sowie die TAN nicht ver­wen­det.

Träfe diese Sach­darstel­lung zu, hätte der Geschäfts­führer der Bankkundin im Zeit­punkt der Erteilung eines Über­weisungsauf­trags keinen Zugriff auf die erforder­liche TAN gehabt und der als Zeuge benan­nte Mitar­beit­er hätte man­gels PIN keinen Zahlungsauf­trag erteilen kön­nen sowie die TAN nicht genutzt. Zudem wäre der Zahlungsempfänger dem Geschäfts­führer der Bankkundin unbekan­nt gewe­sen. Kön­nte die Bankkundin diese Behaup­tun­gen zur Überzeu­gung der Tat­sachen­gerichte nach­weisen, wäre ein Anscheins­be­weis ersichtlich erschüt­tert. Die Anträge auf Vernehmung des Mitar­beit­ers Ma. und weit­er­er Zeu­gen sowie ggf. auf Anhörung des Geschäfts­führers der Bankkundin durften deswe­gen nicht zurück­gewiesen wer­den. Das gilt auch für die Vernehmung des Stre­i­thelfers, die was vom Beru­fungs­gericht überse­hen wor­den ist bere­its in der Klageer­widerung beantragt wor­den ist.

Dabei musste die Bankkundin als Voraus­set­zung ein­er Erhe­bung dieser Beweise nicht dar­legen, dass das von der Bankkundin einge­set­zte Mobil­tele­fon mit einem Schad­pro­gramm infiziert gewe­sen ist, nicht von sich aus einen Com­put­er­ex­perten mit der Unter­suchung des Mobil­tele­fons beauf­tra­gen und auch nicht erk­lären, auf welche Weise ein unbefugter Drit­ter an die Zugangs­dat­en gelangt ist. Die Erschüt­terung eines Anscheins­be­weis­es ver­langt näm­lich nicht die Aufk­lärung des unsicheren Geschehens­ablaufs, son­dern lediglich den Nach­weis der ern­sthaften, eben­falls in Betra­cht kom­menden Möglichkeit ein­er anderen Ursache.

Die Über­weisung des stre­it­i­gen Betrags vom Kon­to der Bankkundin auf das Kon­to eines Drit­ten wirkt nicht nach den Grund­sätzen der Anscheinsvoll­macht oder eines Han­delns unter frem­dem Namen zulas­ten der Bankkundin.

In Recht­sprechung und Lit­er­atur ist umstrit­ten, ob von Drit­ten unter Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments ein­schließlich sein­er per­son­al­isierten Sicher­heitsmerk­male ver­an­lasste Zahlungsvorgänge dem Zahler nach den Grund­sätzen der Anscheinsvoll­macht zugerech­net wer­den kön­nen29.

Der Bun­des­gericht­shof hat erhe­bliche Zweifel, ob die Grund­sätze ein­er Anscheinsvoll­macht bzw. eines Han­delns unter frem­dem Namen im Recht der Zahlungs­di­en­ste neben den Spezialvorschriften der § 675j Abs. 1 Satz 4, §§ 675u, 675v BGB angewen­det wer­den kön­nen.

Die Auf­fas­sung, ein Kon­toin­hab­er müsse Zahlungsaufträge, die ein Drit­ter unter miss­bräuch­lich­er Ver­wen­dung eines Authen­tifizierungsin­stru­ments erteilt hat, nach diesen Rechtss­chein­grund­sätzen gegen sich gel­ten lassen, wenn ihm das Han­deln des Nicht­berechtigten bekan­nt war oder er es hätte erken­nen kön­nen30, ist mit den nach § 675e Abs. 1 BGB im Grund­satz abschließen­den31 Regelun­gen in § 675j Abs. 1 Satz 4, § 675u Satz 1 BGB nicht zu vere­in­baren32. Denn nach dem zwis­chen Bank und Kunde geschlosse­nen Ver­trag ist bei Nutzung eines per­son­al­isierten Zahlungsauthen­tifizierungsin­stru­ments, das ohne­hin nach § 675l BGB geheim zu hal­ten ist, eine Bevollmäch­ti­gung Drit­ter aus­nahm­s­los aus­geschlossen. Das Han­deln eines Drit­ten bei der förm­lichen Authen­tifizierung nach § 675j Abs. 1 Satz 4 BGB mit den per­son­al­isierten Sicher­heitsmerk­malen des Kon­toin­hab­ers ist damit unwirk­sam und kann auch dann einen Zahlungsauf­trag mit­tels des betr­e­f­fend­en Authen­tifizierungsver­fahrens nicht autorisieren, wenn die per­sön­lichen Sicher­heitsmerk­male vom Drit­ten mit Zus­tim­mung des Kon­toin­hab­ers einge­set­zt wor­den sein soll­ten. Zudem ist der in § 675v Abs. 2 BGB fest­gelegte Grund­satz, dass der Kon­toin­hab­er für einen nicht autorisierten Zahlungsvor­gang nur bei Vor­satz oder grober Fahrläs­sigkeit einzuste­hen hat, berührt, wenn daneben dessen Haf­tung nach den Regeln eines Han­delns unter frem­dem Namen auch für ein­fache Fahrläs­sigkeit in Betra­cht käme33.

Soll ein entsprechend Bevollmächtigter das Recht erhal­ten, für den Kon­toin­hab­er mit einem Zahlungsauthen­tifizierungsin­stru­ment Zahlungsvorgänge zu autorisieren, muss ihm ein eigenes per­son­al­isiertes Authen­tifizierungsin­stru­ment ein­schließlich geson­dert­er per­son­al­isiert­er Sicher­heitsmerk­male zugewiesen wer­den.

Dies bedarf im vor­liegen­den Fall jedoch kein­er abschließen­den Entschei­dung, da die Voraus­set­zun­gen ein­er Anscheinsvoll­macht oder eines Han­delns unter frem­dem Namen bei der hier zu unter­stel­len­den miss­bräuch­lichen Nutzung von PIN und TAN im Online-Bank­ing nicht vor­liegen.

Eine Anscheinsvoll­macht set­zt voraus, dass der Vertretene das Han­deln des Schein­vertreters nicht ken­nt, er es aber bei pflicht­gemäßer Sorgfalt hätte erken­nen und ver­hin­dern kön­nen, und der Geschäftspart­ner annehmen durfte, der Vertretene kenne und bil­lige das Han­deln des Vertreters34. Zudem ist im Grund­satz erforder­lich, dass das Ver­hal­ten des Geschäft­sher­rn, aus dem der Geschäfts­geg­n­er auf die Bevollmäch­ti­gung des Drit­ten schließt, von ein­er gewis­sen Dauer und Häu­figkeit ist35.

Diese Voraus­set­zun­gen sind vor­liegend nicht erfüllt. Die Bank hat nach dem hier zugrunde zu leg­en­den Sachver­halt nicht erkan­nt, dass ein Drit­ter und nicht der Kunde gehan­delt hat. Zudem kommt lediglich ein ein­ma­liger Miss­brauch des Online-Bank­ings und kein Han­deln von gewiss­er Dauer und Häu­figkeit in Betra­cht.

Die Bankkundin haftet auch nicht wegen eines Han­delns des unbekan­nten Drit­ten unter ihrem Namen in entsprechen­der Anwen­dung der für Anscheinsvoll­macht­en gel­tenden Grund­sätze.

Erweckt das verdeck­te Han­deln unter frem­dem Namen bei dem Geschäftspart­ner den Ein­druck, tat­säch­lich werde die Erk­lärung vom Namen­sträger abgegeben, und wird dadurch eine falsche Vorstel­lung von der Iden­tität des Han­del­nden her­vorgerufen, kön­nen die Grund­sätze der Anscheinsvoll­macht entsprechend anzuwen­den sein36. Dies kann auch für Geschäfte gel­ten, die ver­gle­ich­bar der vor­liegen­den Kon­stel­la­tion über das Inter­net abgewick­elt wer­den37.

Der Geschäft­sherr wird aber auch in diesem Fall nur verpflichtet, wenn er das Han­deln des Schein­vertreters bei pflicht­gemäßer Sorgfalt hätte erken­nen und ver­hin­dern kön­nen und dieses Han­deln von ein­er gewis­sen Dauer und Häu­figkeit war38. Bei­de Voraus­set­zun­gen sind nicht erfüllt, wenn lediglich ein ein­ma­liger miss­bräuch­lich­er Kon­tozu­griff in Betra­cht kommt, der entsprechend dem auch hier zugrunde zu leg­en­den Sachver­halt von dem Zahlungs­di­en­st­nutzer erst im Nach­hinein erkan­nt wurde.

Ein Anspruch der Bank beste­ht auch nicht nach § 675v Abs. 2 BGB als Schadenser­satzanspruch.

Tat­sachen, die eine betrügerische Absicht oder ein grob fahrläs­siges Ver­hal­ten der Bankkundin bele­gen wür­den, sind von der Bank nicht vor­ge­tra­gen; und vom Beru­fungs­gericht nicht fest­gestellt wor­den.

Es gibt auch keinen Erfahrungssatz, wonach bei einem Miss­brauch des Online-Bank­ings bere­its die kor­rek­te Aufze­ich­nung der Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments und die bean­stan­dungs­freie Prü­fung der Authen­tifizierung für eine grob fahrläs­sige Pflichtver­let­zung des Zahlungs­di­en­st­nutzers sprechen, sodass sich der Zahlungs­di­en­stleis­ter für den ihm im Rah­men von § 675v Abs. 2 BGB obliegen­den Nach­weis auch nicht auf den Beweis des ersten Anscheins stützen kann.

In Lit­er­atur und Recht­sprechung ist umstrit­ten, ob bei miss­bräuch­lich­er Ver­wen­dung von PIN und TAN durch einen Drit­ten im Online-Bank­ing ein Anscheins­be­weis für eine grob fahrläs­sige Pflichtver­let­zung des Zahlers in Anspruch genom­men wer­den kann39.

Der Bun­des­gericht­shof entschei­det diesen Stre­it dahinge­hend, dass bei miss­bräuch­lich­er Ver­wen­dung von PIN und TAN im Online-Bank­ing allein die Aufze­ich­nung der Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments und die Prü­fung der Authen­tifizierung im Sinne von § 675w Satz 3 Nr. 4 BGB die Anwen­dung der Grund­sätze des Anscheins­be­weis­es für eine grob fahrläs­sige Pflichtver­let­zung des Zahlers nicht recht­fer­ti­gen. Auch ein Anscheins­be­weis auf alter­na­tiv­er Grund­lage, der Zahlungs­di­en­st­nutzer habe entwed­er den Zahlungsvor­gang autorisiert oder aber grob fahrläs­sig gegen seine Pflicht­en aus § 675l BGB ver­stoßen, kommt deswe­gen nicht in Betra­cht.

Grobe Fahrläs­sigkeit erfordert einen in objek­tiv­er Hin­sicht schw­eren und in sub­jek­tiv­er Hin­sicht schlechthin unentschuld­baren Ver­stoß gegen die Anforderun­gen der konkret erforder­lichen Sorgfalt40. Selb­st ein objek­tiv grober Pflicht­en­ver­stoß recht­fer­tigt für sich noch keinen zwin­gen­den Schluss auf ein entsprechend gesteigertes per­son­ales Ver­schulden41.

Es gibt keine die Grund­sätze des Anscheins­be­weis­es stützende Erfahrungssätze, dass bei Aufze­ich­nung der fehler­freien Nutzung eines Authen­tifizierungsin­stru­ments ein Miss­brauch des Online-Bank­ings auf ein­er solchen sub­jek­tiv unentschuld­baren Ver­let­zung von Sorgfalt­spflicht­en in beson­ders schw­erem Maße durch den Zahlungs­di­en­st­nutzer beruhen würde oder dass in einem solchen Fall jeden­falls ein tat­säch­lich­es Ver­hal­ten des Zahlungs­di­en­st­nutzers belegt wäre, das als grob fahrläs­sig bew­ertet wer­den kön­nte.

Die Regeln des Anscheins­be­weis­es sind auf den Nach­weis der sub­jek­tiv­en Voraus­set­zun­gen grober Fahrläs­sigkeit grund­sät­zlich dann nicht anwend­bar, wenn es sich wie hier um ein indi­vidu­elles Ver­sagen han­delt42. Dieser Grund­satz gilt auch, wenn der Miss­brauch des Online-Bank­ings auf einem Umstand aus der Sphäre des Zahlungs­di­en­st­nutzers beruht. Denn ein objek­tiv grober Pflicht­en­ver­stoß recht­fer­tigt für sich allein noch nicht den Schluss auf ein gesteigertes per­son­ales Fehlver­hal­ten, selb­st wenn dieses in ver­gle­ich­baren Fällen häu­fig vor­liegen sollte43.

Die Regeln des Anscheins­be­weis­es kön­nen aber auch nicht zum Nach­weis der objek­tiv­en Voraus­set­zun­gen grober Fahrläs­sigkeit des Zahlungs­di­en­st­nutzers im Online-Bank­ing herange­zo­gen wer­den. Zwar ist der Anscheins­be­weis zum Nach­weis grober Fahrläs­sigkeit grund­sät­zlich zuläs­sig, wenn damit lediglich die Annahme eines bes­timmten tat­säch­lichen Ver­hal­tens gestützt wer­den soll und dieses erst in einem weit­eren Schritt rechtlich als grob fahrläs­sig bew­ertet wird44.

Im Falle eines Miss­brauchs des Online-Bank­ings gibt es aber keine Erfahrungssätze, die auf ein bes­timmtes typ­is­ches Fehlver­hal­ten des Zahlungs­di­en­st­nutzers hin­weisen wür­den. Die Vielzahl von Authen­tifizierungsver­fahren, die sich zum Teil erhe­blich im Sicherungskonzept und in dessen Aus­gestal­tung unter­schei­den45, kön­nen jew­eils auf unter­schiedliche Weise ange­grif­f­en wer­den, wozu wiederum ver­schiedene Pflichtver­let­zun­gen des Zahlungs­di­en­st­nutzers beitra­gen kön­nen, sodass anders als bei Nutzung von Zahlungskarten an Gel­dau­to­mat­en46 ein Miss­brauch des Online-Bank­ings nicht auf ein bes­timmtes Ver­hal­ten des Zahlungs­di­en­st­nutzers hin­weist, das sodann als grob fahrläs­sig ein­ge­ord­net wer­den kön­nte.

Ein­er Vor­lage an den Europäis­chen Gericht­shof zur Klärung der Frage, ob eine Anwen­dung der Regeln des Anscheins­be­weis­es bei Ein­satz eines Zahlungsauthen­tifizierungsin­stru­ments mit der Zahlungs­di­en­sterichtlin­ie zu vere­in­baren ist, bedarf es nicht, da nach den oben dargestell­ten Grund­sätzen der Anscheins­be­weis im Online-Bank­ing in Übere­in­stim­mung mit Art. 59 Abs. 2 der Zahlungs­di­en­sterichtlin­ie nicht auss­chließlich an die genan­nte Doku­men­ta­tion der Nutzung des Authen­tifizierungsver­fahrens anknüpft und zudem keine zwin­gende Beweis­regel zur Folge hat. Im Übri­gen obliegt die Beweiswürdi­gung, zu der auch die Grund­sätze des Anscheins­be­weis­es gehören, nach Erwä­gungs­grund 33 der Zahlungs­di­en­sterichtlin­ie den Gericht­en nach nationalem Recht.

Das Gericht wird daher, wenn es die Grund­sätze des Anscheins­be­weis­es anwen­den will, ggf. nach Ergänzung des Vor­trags der Bank zum ver­wen­de­ten Sicher­heitssys­tem mit sachver­ständi­ger Hil­fe festzustellen haben, ob dieses nach heutigem Ken­nt­nis­stand im Zeit­punkt der Autorisierung des stre­it­i­gen Zahlungsvor­gangs im All­ge­meinen prak­tisch unüber­wind­bar war und dieses Sicher­heit­sniveau auch im vor­liegen­den Fall bei Vor­nahme der strit­ti­gen Über­weisung trotz der tech­nis­chen Schwierigkeit­en im EDV-Sys­tem der Bank gewahrt wor­den ist.

Sollte das Ergeb­nis dieser Beweis­er­he­bung nach Auf­fas­sung des Beru­fungs­gerichts eine Anwen­dung des Anscheins­be­weis­es für die Autorisierung der Über­weisung durch die Bankkundin recht­fer­ti­gen, wer­den die von der Bankkundin zu dessen Erschüt­terung ange­bote­nen Beweise zu erheben sein. Dabei kann nach den Grund­sätzen der sekundären Dar­legungslast der Zahlungs­di­en­stleis­ter hier die Bank im Rah­men des Zumut­baren47 gehal­ten sein, das ver­wen­dete Sicher­heitssys­tem und eventuell beste­hende weit­ere Sicher­heitsvorkehrun­gen darzustellen, soweit dies nicht bere­its im Rah­men der Begrün­dung des Anscheins­be­weis­es geschehen ist. Dadurch soll der Zahler in die Lage ver­set­zt wer­den, Beweis für von ihm ver­mutete konkrete Sicher­heitsmän­gel antreten zu kön­nen48. Der Zahlungs­di­en­stleis­ter wird weit­er auf Grund­lage des Girover­trags in seinem Besitz befind­liche tech­nis­che Aufze­ich­nun­gen, die die stre­it­i­gen sowie im sel­ben Zeitraum aus­ge­führte Zahlungsvorgänge betr­e­f­fen oder hierüber Auf­schluss geben kön­nen, bis zur Klärung der Angele­gen­heit aufzuheben und sie dem Zahler gegebe­nen­falls zugänglich zu machen haben49.

Dem ste­ht ein all­ge­meines Inter­esse der Kred­itwirtschaft an der Geheimhal­tung von Sicherungssys­te­men nicht ent­ge­gen. Einem im konkreten Einzelfall beste­hen­den berechtigten Geheimhal­tungsin­ter­esse des betrof­fe­nen Kred­itin­sti­tuts an den tech­nis­chen Grund­la­gen des von ihm einge­set­zten Sicherungssys­tems kann in einem gerichtlichen Ver­fahren dadurch Rech­nung getra­gen wer­den, dass nach § 172 Nr. 2 GVG die Öffentlichkeit aus­geschlossen wird und nach § 174 Abs. 3 GVG die Ver­fahrens­beteiligten zur Ver­schwiegen­heit verpflichtet wer­den50.

Stattdessen bzw. bei einem Scheit­ern eines Anscheins­be­weis­es kann der Zahlungs­di­en­stleis­ter hier die Bank eine Autorisierung des Zahlungsauf­trags durch den Zahler im Wege des Voll­be­weis­es nach­weisen. Insoweit hat die Bank auch Beweis ange­boten. In diesem Fall wird der Zahlungs­di­en­st­nutzer nach den Grund­sätzen der sekundären Dar­legungslast zu allen ihm bekan­nten Umstän­den, die den stre­it­i­gen Zahlungsvor­gang und dessen Autorisierung betr­e­f­fen, ins­beson­dere zu den Sicher­heitsvorkehrun­gen auf dem für das Online-Bank­ing genutzten Rech­n­er und dem Mobil­tele­fon sowie zur Notierung, Spe­icherung oder Weit­er­gabe der PIN sub­stan­ti­iert vorzu­tra­gen haben.

Bun­des­gericht­shof, Urteil vom 26. Jan­u­ar 2016 — XI ZR 91/14

  1. Palandt/Sprau, BGB, 75. Aufl., § 675w Rn. 2; MünchKomm-BGB/­Casper, 6. Aufl., § 675w Rn. 4; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 72 f.; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 4 f.; Nobbe in Ellenberger/Findeisen/Nobbe, Kom­men­tar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w BGB Rn. 16 []
  2. Franck/Massari, WM 2009, 1117, 1126; Jung­mann in Jahrbuch junger Zivil­rechtswis­senschaftler Bd.2007, 2008, S. 329, 356; Scheiben­gru­ber, BKR 2010, 15, 21; kri­tisch auch: Erman/Graf von West­phalen, BGB, 14. Aufl., § 675w Rn. 16 ff. []
  3. z.B. AG Berlin-Mitte, NJW-RR 2010, 407, 408 []
  4. OLG Düs­sel­dorf, ZIP 2012, 2244, 2245; OLG Dres­den, ZIP 2014, 766, 768; Beesch in Dauner-Lieb/Lan­gen, BGB, 2. Aufl., § 675w Rn. 37; Beesch/Willer­shausen­PR-BKR 9/2012 Anm. 1; Bunte, ABG-Banken und Son­derbe­din­gun­gen, 4. Aufl., 4. Teil Rn. 31; MünchKomm-BGB/­Casper, 6. Aufl., § 675w Rn. 13; Her­resthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kom­men­tar, 2013, § 675w Rn. 13; Hof­mann, BKR 2014, 105, 112; Lohmann/Koch, WM 2008, 57, 63; Mai­hold in Schimansky/Bunte/Lwowski, Bankrecht­sHand­buch, 4. Aufl., § 55 Rn. 80; Meck­el, jurisPR-BKR 2/2010 Anm. 1; Nobbe, WM 2011, 961, 968; ders. in Ellenberger/Findeisen/Nobbe, Kom­men­tar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 27; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 7; Schmalen­bach in Bamberger/Roth, BGB, 3. Aufl., § 675w Rn. 12; Palandt/Sprau, BGB, 75. Aufl., § 675w Rn. 4; Wern­er in Kümpel/Wittig, Bank- und Kap­i­tal­mark­trecht, 4. Aufl., Rn.07.774 []
  5. st. Rspr. BGH, z.B. Urteile vom 05.02.1987 — I ZR 210/84, BGHZ 100, 31, 34; und vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 319 []
  6. BGH, Urteile vom 03.07.1990 — VI ZR 239/89, NJW 1991, 230, 231 mwN; und vom 17.01.1995 — X ZR 82/93, Ver­sR 1995, 723, 724 []
  7. MünchKomm-BGB/­Casper, 6. Aufl., § 675w Rn. 12; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 80; siehe auch Bur­gard, WM 2006, 2065, 2069 []
  8. Erwä­gungs­grund 33 der Zahlungs­di­en­sterichtlin­ie []
  9. BT-Drs. 16/11643, S. 115 []
  10. vgl. Hof­mann, BKR 2014, 105, 112; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 81; siehe auch Staudinger/Omlor, BGB, Neubearb.2012, Vorbe­merkun­gen zu §§ 675c 676c Rn.203 aE []
  11. vgl. Staudinger/Omlor, BGB, Neubearb.2012, Vorbe­merkun­gen zu §§ 675c 676c Rn.203 aE; siehe dazu auch Schinkels in Gebauer/Wiedmann, Zivil­recht unter europäis­chem Ein­fluss, 2. Aufl., Kap. 16 Rn. 56 []
  12. vgl. Erfurth, WM 2006, 2198, 2206 []
  13. vgl. dazu BGH, Urteile vom 03.07.1990 — VI ZR 239/89, NJW 1991, 230, 231 mwN; und vom 17.01.1995 — X ZR 82/93, Ver­sR 1995, 723, 724 []
  14. BGH, Urteile vom 05.02.1987 — I ZR 210/84, BGHZ 100, 31, 33; vom 17.02.1988 IVa ZR 277/86, NJW-RR 1988, 789, 790; vom 06.03.1991 — IV ZR 82/90, Ver­sR 1991, 460; vom 23.01.1997 — I ZR 29/94, WM 1997, 1493, 1496; und vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 313 []
  15. einen Anscheins­be­weis wohl generell verneinend: Casper/Pfeiffle, WM 2009, 2343, 2348; Kind/Werner, CR 2006, 353, 359; Erman/Graf von West­phalen, BGB, 14. Aufl., § 675w Rn. 21; Wies­g­ickl, WM 2000, 1039, 1047; einen Anscheins­be­weis bei Nutzung des ein­fachen PIN/­TAN-Ver­fahrens ablehnend: AG Wies­loch, WM 2008, 1648, 1650; AG Krefeld, MMR 2013, 164, 165; Bunte, ABG-Banken und Son­derbe­din­gun­gen, 4. Aufl., 4. Teil Rn. 26; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Erfurth, WM 2006, 2198, 2205; Nobbe in Ellenberger/Findeisen/Nobbe, Kom­men­tar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 51; Spindler in Festschrift Nobbe, 2009, S. 215, 232; auch für das iTAN-Ver­fahren zweifel­nd MünchKomm-BGB/­Casper, 6. Aufl., § 675w Rn.20; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 10; einen Anscheins­be­weis bei Nutzung des mTAN(=smsTAN)Verfahrens beja­hend: LG Köln, WM 2014, 2372 f.; Borges in Derleder/Knops/Bamberger, Hand­buch zum deutschen und europäis­chen Bankrecht, 2. Aufl., Rn. 157; ders., BKR 2009, 85; MünchKomm-BGB/­Casper, 6. Aufl., § 675w Rn.20; einen Anscheins­be­weis bei Ver­wen­dung des ein­fachen PIN/TAN- oder iTAN-Ver­fahrens ablehnend, jedoch für das mTAN, Sm@rtTAN plus- und Sm@rtTAN optic-Ver­fahren beja­hend: Köbrich, VuR 2015, 9, 12; einen Anscheins­be­weis nur für opti­mierte eTAN bzw. chip­TAN-Ver­fahren annehmend Hoeren/Kairies, ZBB 2015, 35, 37; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 85, 87; generell für das Ein­greifen eines Anscheins­be­weis­es bei Nutzung der richti­gen PIN und TAN unab­hängig vom konkret ver­wen­de­ten Sys­tem: Bock in Neumann/Bock, Zahlungsverkehr im Inter­net, 2004, Rn. 180; Borges, NJW 2005, 3313, 3317; van Gelder in Festschrift Nobbe, 2009, S. 55, 67; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 111; Karp­er, DuD 2006, 215, 218; Weber, Recht des Zahlungsverkehrs, 4. Aufl., S. 304; Wern­er, MMR 1998, 232, 235; Wern­er in Kümpel/Wittig, Bank- und Kap­i­tal­mark­trecht, 4. Aufl., Rn.07.774 []
  16. siehe Hoeren/Kairies, ZBB 2015, 35, 36 f. und WM 2015, 549, 552 zum chip­TAN-Ver­fahren; vgl. dazu auch Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn.19, 85 []
  17. BGH, Urteile vom 04.10.1983 — VI ZR 98/82, Ver­sR 1984, 40; und vom 06.03.1991 — IV ZR 82/90, Ver­sR 1991, 460, 461 []
  18. BGH, Urteil vom 14.09.2005 — VIII ZR 369/04, NJW 2006, 300 Rn. 11 []
  19. BGH, Urteile vom 27.05.1957 — II ZR 132/56, BGHZ 24, 308, 312; vom 05.02.1987 — I ZR 210/84, BGHZ 100, 31, 33; vom 06.03.1991 — IV ZR 82/90, Ver­sR 1991, 460, 461; vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 313; und vom 14.09.2005 — VIII ZR 369/04, NJW 2006, 300 Rn. 9 f. []
  20. vgl. dazu BGH, Urteile vom 14.11.2006 — XI ZR 294/05, BGHZ 170, 18 Rn. 31; und vom 29.11.2011 — XI ZR 370/10, WM 2012, 164 Rn. 37; BGH, Beschluss vom 06.07.2010 — XI ZR 224/09, WM 2011, 924 Rn. 12 []
  21. vgl. dazu Lau­men in Baumgärtel/Laumen/Prütting, Hand­buch der Beweis­last, 3. Aufl., Kap. 17 Rn. 26 []
  22. vgl. dazu auch BGH, Beschluss vom 06.07.2010 — XI ZR 224/09, WM 2011, 924 Rn. 12 und BGH, Urteil vom 29.11.2011 — XI ZR 370/10, WM 2012, 164 Rn. 37 []
  23. vgl. Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik, Pressemel­dung vom 04.03.2011, Neue Schad­soft­ware liest mTAN-Num­mern mit []
  24. siehe Bun­deskrim­i­nalamt, Bun­deslage­bericht 2013 — Cyber­crime, S. 8 []
  25. Bun­deskrim­i­nalamt, Bun­deslage­bericht 2014 Cyber­crime, S. 7 f. und Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik, Die Lage der IT-Sicher­heit in Deutsch­land 2014, S. 30; siehe dazu auch Köbrich, VuR 2015, 9, 10; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 85, 87; Nobbe in Ellenberger/Findeisen/Nobbe, Kom­men­tar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 53; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 10 []
  26. BGH, Urteil vom 14.09.2005 — VIII ZR 369/04, NJW 2006, 300 Rn. 11 []
  27. BGH, Urteil vom 18.12 1952 — VI ZR 54/52, BGHZ 8, 239, 240 []
  28. BGH, Urteile vom 03.07.1990 — VI ZR 239/89, NJW 1991, 230, 231 mwN; und vom 17.01.1995 — X ZR 82/93, Ver­sR 1995, 723, 724 []
  29. für eine generelle Anwend­barkeit der Grund­sätze der Anscheinsvoll­macht: Göß­mann in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 3. Aufl., § 55 Rn. 26; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 102 ff.; eine Anscheinsvoll­macht im Falle eines Maninthe-Mid­dle-Angriffs bei Ver­wen­dung des Smart-TAN­plus-Ver­fahrens beja­hend: LG Darm­stadt, ZIP 2014, 1972, 1974; die Anwend­barkeit von Rechtss­chein­grund­sätzen ablehnend: KG, WM 2011, 493, 494; LG Berlin, Urteil vom 11.08.2009 37 O 4/09 15; Borges, NJW 2005, 3313, 3314; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Köbrich, VuR 2015, 9, 12; Linardatos, BKR 2015, 96, 98; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 68; Omlor, ZfRV 2013, 80, 86; Spindler in Festschrift Nobbe, 2009, S. 215, 218 ff.; Erman/Graf von West­phalen, BGB, 14. Aufl., § 675w Rn. 22 []
  30. vgl. OLG Schleswig-Hol­stein, CR 2011, 52; KG Berlin, WM 2012, 493, 494; LG Darm­stadt, ZIP 2014, 1972, 1974 f.; Fischer/Klanten/Koch, Bankrecht, 4. Aufl., Rn. 10.475 f.; MünchKomm-HGB/Häuser/Haertlein, 3. Aufl., Bd. 6, Bankkarten­ver­fahren, Rn. E 37; Her­resthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kom­men­tar, 2013, § 675u Rn. 7 []
  31. vgl. auch BGH, Urteil vom 16.06.2015 — XI ZR 243/13, WM 2015, 1631 Rn. 23 []
  32. Linardatos, BKR 2015, 96, 98; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 68; siehe auch MünchKomm-BGB/Schu­bert, 7. Aufl., § 167 Rn. 126 und Stöber JR 2012, 225, 231 []
  33. Linardatos, BKR 2015, 96, 98; Köbrich, VuR 2015, 9, 12; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 68; vgl. auch Stöber, JR 2012, 225, 231 []
  34. st. Rspr., vgl. BGH, Urteile vom 10.01.2007 — VIII ZR 380/04, NJW 2007, 987 Rn. 25; vom 16.03.2006 — III ZR 152/05, BGHZ 166, 369 Rn. 17; und vom 11.05.2011 — VIII ZR 289/09, BGHZ 189, 346 Rn. 16 jew­eils mwN []
  35. st. Rspr., vgl. BGH, Urteile vom 10.01.2007 — VIII ZR 380/04, NJW 2007, 987 Rn. 25; vom 16.03.2006 — III ZR 152/05, BGHZ 166, 369 Rn. 17; und vom 11.05.2011 — VIII ZR 289/09, BGHZ 189, 346 Rn. 16 jew­eils mwN []
  36. vgl. BGH, Urteil vom 03.03.1966 — II ZR 18/64, BGHZ 45, 193, 195 f.; und vom 11.05.2011 — VIII ZR 289/09, BGHZ 189, 346 Rn. 12 []
  37. vgl. BGH, Urteil vom 11.05.2011, aaO Rn. 12; Palandt/Ellenberger, BGB, 75. Aufl., § 172 Rn. 18 []
  38. vgl. BGH, Urteil vom 11.05.2011 — VIII ZR 289/09, BGHZ 189, 346 Rn. 16 []
  39. man­gels Typ­iz­ität einen Anscheins­be­weis generell bezweifel­nd: Erman/Graf von West­phalen, BGB, 14. Aufl., § 675w Rn. 21; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 166; Staudinger/Omlor, BGB, Neubearb.2012, § 675w Rn. 10; Schulte am Hülse/Klabunde, MMR 2010, 84, 87; Spindler in Festschrift Nobbe, 2009, S. 215, 232; einen Anscheins­be­weis für ein­fache Fahrläs­sigkeit beja­hend, für grobe Fahrläs­sigkeit verneinend: Grund­mann, WM 2009, 1157, 1163; kein Anscheins­be­weis für eine grob fahrläs­sige Sorgfalt­spflichtver­let­zung bei Anwen­dung des klas­sis­chen PIN/­TAN-Ver­fahrens: LG Mannheim, WM 2008, 2015; Borges, BKR 2009, 85, 87; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Erfurth, WM 2006, 2198, 2206; Kind/Werner, CR 2006, 353, 359; Nobbe in Ellenberger/Findeisen/Nobbe, Kom­men­tar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 52; Her­resthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kom­men­tar, 2013, § 675w Rn. 15, der jedoch für das iTAN, eTAN- und mTAN-Ver­fahren einen Anscheins­be­weis für grobe Fahrläs­sigkeit annimmt; kein Anscheins­be­weis bei Ver­wen­dung des mTAN-Ver­fahrens: LG Köln, WM 2014, 2372; einen Anscheins­be­weis all­ge­mein beja­hend: Ben­der, WM 2008, 2049, 2058; Bock in Neumann/Bock, Zahlungsverkehr im Inter­net, 2004, Rn. 183; Borges, BKR 2009, 85; van Gelder in Festschrift Nobbe, 2009, S. 55, 67; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 110; Wern­er in Hoeren/Sieber/Holznagel, Hdb. Mul­ti­me­dia-Recht, Teil 13.5, Stand Juli 2013 Rn. 63; Wies­g­ickl, WM 2000, 1039, 1050 []
  40. BGH, Urteile vom 30.01.2001 — VI ZR 49/00, NJW 2001, 2092, 2093; vom 11.07.2007 XII ZR 197/05, NJW 2007, 2988 Rn. 15; und vom 10.10.2013 — III ZR 345/12, BGHZ 198, 265 Rn. 26 mwN []
  41. BGH, Urteile vom 30.01.2001 — VI ZR 49/00, NJW 2001, 2092, 2093; und vom 10.10.2013 — III ZR 345/12, BGHZ 198, 265 Rn. 28 []
  42. vgl. BGH, Urteile vom 21.04.1970 — VI ZR 226/68, Ver­sR 1970, 568; vom 07.05.1974 — VI ZR 138/72, Ver­sR 1974, 853; vom 29.01.2003 — IV ZR 173/01, NJW 2003, 1118, 1119; und vom 21.03.2007 — I ZR 166/04, NJW-RR 2007, 1630 Rn.20; Bach­er in BeckOK ZPO, Stand: 1.09.2015, § 284 ZPO Rn. 96; Staudinger/Georg Caspers, BGB, Neubearb.2014, § 276 Rn. 97; Palandt/Grüneberg, BGB, 75. Aufl., § 277 Rn. 7; Leipold in Stein/Jonas, ZPO, 22. Aufl., § 286 Rn. 142; Saenger/Saenger, ZPO, 6. Aufl., § 286 Rn. 43 []
  43. vgl. dazu BGH, Urteile vom 12.01.1988, — VI ZR 158/87, NJW 1988, 1265, 1266; und vom 30.01.2001 — VI ZR 49/00, NJW 2001, 2092, 2093 []
  44. vgl. BGH, Urteil vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 319 []
  45. vgl. Hoeren/Kairies, ZBB 2015, 35; Mai­hold in Schimansky/Bunte/Lwowski, Bankrechts-Hand­buch, 4. Aufl., § 55 Rn. 7 ff. []
  46. BGH, Urteile vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 317 f.; und vom 29.11.2011 — XI ZR 370/10, WM 2012, 164 Rn. 16; BGH, Beschluss vom 06.07.2010 — XI ZR 224/09, WM 2010, 924 Rn. 10 []
  47. BGH, Urteil vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 320 []
  48. vgl. BGH, Urteile vom 15.05.2003 — III ZR 7/02 15; und vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 320 []
  49. BGH, Urteil vom 05.10.2004 — XI ZR 210/03, BGHZ 160, 308, 320 mwN []
  50. vgl. dazu BGH, Urteil vom 09.12 2015 — IV ZR 272/15 9 ff. []

 

Kontakt  |  Nutzungsbedingungen  |  Datenschutz  |  Impressum
© 2009 - 2020 Praetor Intermedia UG (haftungsbeschränkt)

Do NOT follow this link or you will be banned from the site!