Nachfolgend ein Beitrag vom 23.09.2016 von Lach, jurisPR-ITR 19/2016 Anm. 3
Orientierungssatz zur Anmerkung
Fehlt es an einer Beziehung zwischen der im Online-Banking-Verfahren (iTAN) eine Zahlung anweisenden Person und dem Zahlungsempfänger und ist der Zahlungsempfänger wegen fahrlässiger Geldwäsche von durch Computerbetrug erhaltenen Zahlungen vorbestraft, ist nicht von einer Autorisierung der Überweisung auszugehen.
A. Problemstellung
Wen trifft beim iTAN-Online-Banking-Verfahren die Darlegungs- und Beweislast dafür, dass ein mit korrekter PIN und iTAN durchgeführter Zahlungsvorgang vom Kontoinhaber nicht autorisiert war?
B. Inhalt und Gegenstand der Entscheidung
Von dem Konto der Klägerin bei der Beklagten zu 1) wurde im Frühjahr 2014 im Wege des iTan-Online-Banking-Verfahrens unter Nutzung der richtigen Anmeldeinformation, PIN und einer validen iTan eine Überweisung auf das Konto des Beklagten zu 2) bei der Beklagten zu 1) ausgeführt. Eine Verbindung zwischen der Klägerin und dem Beklagten zu 2), welche die Überweisung plausibel gemacht hätte, bestand nicht. Der Beklagte zu 2) leitete den erhaltenen Betrag weiter. Die Klägerin behauptete, Opfer eines „Man in the Middle“-Angriffs geworden zu sein. Ohne nähere Details vorzutragen teilte sie mit, dass sich eine Schadsoftware in die Onlineverbindung zwischen der Beklagten zu 1) und der Klägerin eingeschaltet haben müsse. Diese habe wohl die Autorisierungsinformationen der Klägerin aus der von ihr beabsichtigten Überweisung abgefangen und für die Überweisung an den Beklagten zu 2) eingesetzt. Die Überweisung habe sie von einem virengeschützten PC an ihrem Arbeitsplatz durchgeführt. Die Manipulation sei zunächst nicht zu bemerken gewesen. Nach Entdeckung habe sie den Vorfall sofort der Beklagten zu 1) sowie der Polizei zur Kenntnis gebracht. Gegen den Beklagten zu 2) war in einem Parallelfall ein rechtskräftig gewordener Strafbefehl wegen einer Straftat nach § 261 Abs. 1 Satz 2, Abs. 5 StGB ergangen, weil Gelder durch einen Computerbetrug auf sein Konto überwiesen worden waren und er diese weitergeleitet hatte.
Das Amtsgericht gab der Klage gegen das Kreditinstitut statt. Die Beklagte zu 1) habe nicht bewiesen, dass die Klägerin die fragliche Überweisung autorisiert habe. Ob hierfür wegen der Nutzung der richtigen PIN und iTAN ein Anscheinsbeweis greife, ließ das Amtsgericht offen, da es im vorliegenden Fall die Überzeugung gebildet hatte, dass es keine Autorisierung gegeben habe. Dies stützte das Amtsgericht darauf, dass die Klägerin und der Beklagte zu 2) in keinerlei Beziehung zueinander stünden. Zudem seien dem Beklagten zu 2) in einem Parallelfall durch Überweisungen Kontogutschriften zugutegekommen, die aus Computerbetrugstaten stammten.
Die Klage gegen den Beklagten zu 2) wies das Amtsgericht mit der Begründung ab, dass es sich bei der von dem Beklagten zu 2) begangenen fahrlässigen Geldwäsche nicht um ein Schutzgesetz i.S.d. § 823 Abs. 2 BGB handele. Andere Schutzgesetz- oder Rechtsgutsverletzungen seien dem Beklagten zu 2) nicht vorgeworfen worden. Wegen des Vorrangs der Leistungskondiktion zwischen den Beklagten stehe der Klägerin gegen den Beklagten zu 2) auch kein Anspruch aus ungerechtfertigter Bereicherung zu; ohnehin sei dieser entreichert, da er den erhaltenen Betrag weiter überwiesen habe.
C. Kontext der Entscheidung
Kennzeichnend für die gerichtliche Auseinandersetzung in Fällen des Abgreifens von Autorisierungsdaten ist, dass die Täter und die genaue Art der Tatbegehung unklar bleiben. Ansprüche werden daher regelmäßig gegen das den Zahlungsvorgang abwickelnde Kreditinstitut geltend gemacht.
Nach allgemeinen Grundsätzen ist der Bankkunde im Rahmen des § 675u BGB dafür darlegungs- und beweisbelastet, dass ein Anspruch besteht. Für das Vorliegen der Autorisierung trifft allerdings die Bank die Darlegungs- und Beweislast (Casper in: MünchKomm BGB, 6. Aufl. 2012, § 675u Rn. 12). Denn ist streitig, ob der Kunde des Kreditinstituts den streitgegenständlichen Zahlungsvorgang durch Zustimmung oder Genehmigung autorisiert hat, obliegt dem Zahlungsdienstleister gemäß § 675w Satz 1 BGB der Nachweis, dass dieser ein Zahlungsauthentifizierungsinstrument (hier: das Online-Banking-Verfahren mittels iTan) und dessen personalisierte Sicherheitsmerkmale genutzt hat und diese Nutzung durch den Zahlungsdienstleister mithilfe eines Verfahrens überprüft worden ist. Gelingt dieser Nachweis, folgt hieraus allein jedoch nicht, dass das Kreditinstitut die Autorisierung durch den Kunden bewiesen hat, § 675w Satz 3 BGB. Es ist allerdings in die gerichtliche Beweiswürdigung einzustellen. Sofern der Bankkunde keine Indizien vorträgt, die für eine fehlende Autorisierung sprechen, kann dies eine Entscheidung zugunsten des Kreditinstituts tragen (vgl. LG Darmstadt, Urt. v. 18.09.2013 – 7 S 182/12).
Die Annahme eines Anscheinsbeweises dahingehend, dass bei korrekter Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments durch die Bank von einer Autorisierung einer Überweisung durch den Bankkunden ausgegangen werden könne, kommt nach dem Urteil des BGH vom 26.01.2016 (XI ZR 91/14) nur dann in Betracht, wenn das konkret eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar gewesen ist, es im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Das Greifen eines Anscheinsbeweises für das iTAN-Verfahren, welches den Gefahren eines „Man in the Middle“-Angriffs ebenso ausgesetzt ist wie das herkömmliche TAN-Verfahren, weil die konkret vom Kreditinstitut angeforderte iTAN abgefangen und für die missbräuchliche Transaktion zur Scheinlegitimierung verwendet werden kann, wurde in der Literatur bereits zuvor verneint (Omlor in: Staudinger, BGB, 2012, § 675w Rn. 10, m.w.N.) und dürfte die Kriterien des BGH für eine Anwendung des Anscheinsbeweises nicht erfüllen (Schulte am Hülse/Kraus, MMR 2016, 435, 438).
Seit dem Urteil des BGH vom 26.01.2016 (XI ZR 91/14) kann dabei im Bereich des Online-Banking auch nicht von einem Anscheinsbeweis dahingehend ausgegangen werden, dass bei einer korrekten Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und der beanstandungsfreien Prüfung der Authentifizierung von einer grob fahrlässigen Pflichtverletzung des Kunden auszugehen ist. Das Vorliegen entsprechender Erfahrungsgrundsätze hat der BGH verneint, da die Vielzahl von Authentifizierungsverfahren im Online-Banking jeweils auf unterschiedliche Weise Angriffen unterlägen, wozu wiederum verschiedene Pflichtverletzungen des Zahlungsdienstnutzers beitragen könnten. Anders als bei der Nutzung von Zahlungskarten an Geldautomaten weise ein Missbrauch des Online-Bankings daher nicht auf ein bestimmtes Verhalten des Zahlungsdienstnutzers hin, das als grob fahrlässig eingeordnet werden könnte (BGH, Urt. v. 26.01.2016 – XI ZR 91/14).
Sofern ein Anscheinsbeweis anzunehmen ist, kann der Bankkunde diesen erschüttern, wenn er Umstände darlegt und gegebenenfalls beweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen (BGH, Urt. v. 26.01.2016 – XI ZR 91/14). Technische Ausführungen zum Authentifizierungsinstrument verlangt der BGH hierbei nicht, sondern lässt es ausreichen, wenn sonstige Umstände dargelegt werden, die gegen die Autorisierung und für ein missbräuchliches Eingreifen eines Dritten sprechen.
Ausgehend von den durch das zitierte Urteil des BGH aufgestellten Grundsätzen wäre der Beklagten zu 1) im vorliegenden Fall, weil die Klägerin das von ihr angebotene, sicherheitstechnisch überholte iTAN-Verfahren nutzte, ein Anscheinsbeweis nicht zugutegekommen.
D. Auswirkungen für die Praxis
Die Entscheidung zeigt auf, dass es in der Folge des Urteils des BGH vom 26.01.2016 für Zahlungsdienstleister, die am iTAN-Verfahren oder sonstigen sicherheitstechnisch überholten Online-Banking-Autorisierungsverfahren festhalten, aufwendig werden dürfte, sich erfolgsversprechend gegen Ersatzansprüche ihrer Kunden zu verteidigen. Da die Annahme eines Anscheinsbeweises für die Autorisierung der Zahlung bzw. eine grobe Fahrlässigkeit ihres Kunden in diesen Fällen nicht mehr in Betracht kommt, obliegt den Kreditinstituten der Nachweis, dass es sich um reguläre, autorisierte Transaktionen handelt. Selbst wenn der Bankkunde, anders als im vorliegenden Fall, nicht den Gegenbeweis einer fehlenden Autorisierung führen kann, droht eine Beweislastentscheidung gegen die Bank.
