LG Koblenz zum Erstattungsanspruch bei Online-Banking-Betrug
Nicht selten erhalten Online-Banking-Kunden Hinweise ihrer Bank auf aktuelle Betrugsmaschen im Internet. Dabei wird versucht, Kenntnis von den Zugangsdaten der Kontonutzer und damit Zugang zu ihrem Kontoguthaben zu erlangen. Oft sind die Versuche recht plump und leicht erkennbar, einige Maschen zeigen jedoch höhere Kreativität und damit auch ein gesteigertes Gefahrenpotential.
Mit einem Betrugsvorgang, der auf der Skala irgendwo zwischen völlig offensichtlich und gut gemacht, aber dennoch erkennbar rangieren dürfte, hatte sich nun das LG Koblenz zu befassen. Mit Urteil vom 1.6.2022, Az. 3 O 378/21, welches das Gericht zur „Entscheidung des Monats“ gekürt hat, wurde ein Erstattungsanspruch der betroffenen Kundin gegen die Bank abgelehnt. Derartige Konstellationen tauchen zuweilen auch in zivilrechtlichen Klausuren auf und sind damit für fortgeschrittene Studierende und Examenskandidaten überaus relevant. Die ausführlichen Entscheidungsgründe liegen noch nicht vor, hier jedoch bereits ein Überblick über die relevanten Rechtsgrundlagen.
I. Worum es geht
Die Klägerin nutze das Online-Banking-Angebot ihrer Bank. Um online Überweisungen zu tätigen, muss dabei jede einzelne Überweisung durch eine Sicherheitsnummer (TAN) bestätigt werden. Die Sicherheitsnummer erhält die Bankkundin mittels eines TAN-Generators.
Als sich die Klägerin nun eines Tages im Online-Banking einloggte, öffnete sich ein Fenster, dass sie zu einer „Demoüberweisung“ in Höhe von 10.000 € an eine gewissen Herrn Mustermann aufforderte. Hierbei handelte es sich tatsächlich nicht um eine Aufforderung der Bank, vielmehr wurde sie aufgrund eines Virenprogramm auf dem Computer der Klägerin angezeigt. Sie startete den Anmeldevorgang erneut, wurde aber wieder mit der Aufforderung konfrontiert. Dieser kam die Klägerin nun nach – sie gab die selbst generierte TAN-Nummer in das Fenster ein. Diese Nummer wurde durch das Virenprogramm sodann für eine echte Überweisung in Höhe von 9.847,78 € von dem Konto der Klägerin genutzt.
Die Klägerin verlangt von ihrer Bank Erstattung dieses abgebuchten Betrags.
II. Was ist zu prüfen?
Wenn es um Rückabwicklungs- und Erstattungsansprüche in Mehrpersonenverhältnissen im Kontext von Banküberweisungen geht, mag der Klausurkandidat zunächst an eine bereicherungsrechtliche Lösung denken, Stichwort Anweisungsfälle. Vertragliche Ansprüche sind allerdings vorrangig zu prüfen. Solche können vorliegend aus einem Zahlungsdienstevertrag folgen. Es handelt sich um einen Geschäftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, vgl. § 675c Abs. 1 BGB. Dieser Vertragstyp ist in Umsetzung verschiedener europäischer Richtlinien (zur Entwicklung siehe MüKoBGB/Casper, 8. Aufl. 2020, Vorbem. zu §§ 675c – 676c, Rn. 1) in den §§ 675c ff. BGB geregelt. Die sehr spezielle Materie sollte in der Klausur nicht übersehen werden, nicht zuletzt, weil einzelne Normen abschließende Regelungen treffen, siehe § 675z S. 1 BGB.
Giroverträge, auf deren Grundlage das klassische Girokonto geführt wird, sind Zahlungsdiensterahmenverträge i.S.d. § 675f Abs. 2 BGB (BGH NJW 2019, 1451 Rn. 11). Die Vorschriften über Zahlungsdienste sind daher anzuwenden. Fordert der Kontonutzer von seiner Bank nun Erstattung eines abgebuchten Vertrags, wie es in oben geschildertem Fall erfolgt ist, kommt als Anspruchsgrundlage § 675u S. 2 BGB in Betracht. Danach ist der Zahlungsdienstleister (die Bank) gegenüber dem Zahler (dem Kontoinhaber) im Falle eines nicht autorisierten Zahlungsvorgangs verpflichtet, den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
Zur Klärung der Begrifflichkeiten ist ein Blick in die vorangehenden Vorschriften erforderlich. Ein Zahlungsvorgang ist nach § 675f Abs. 4 BGB jede Bereitstellung, Übermittlung oder Abhebung eines Geldbetrags, unabhängig von der zugrunde liegenden Rechtsbeziehung zwischen Zahler und Zahlungsempfänger. Eine Legaldefinition der Autorisierung findet sich in § 675j Abs. 1 BGB: Sie liegt nur vor, wenn der Zahler dem Zahlungsvorgang zugestimmt hat. Nur dann ist der Zahlungsvorgang gegenüber dem Zahler wirksam.
Im Fall des LG Koblenz hat die Klägerin den „Demo-Überweisungsträger“ für eine Überweisung in Höhe von 10.000 € selbst ausgefüllt und ihre TAN-Nummer generiert und angegeben. Es ließe sich daher hinterfragen, ob sie damit nicht die Zustimmung zu dem später erfolgten Zahlungsvorgang erteilt hat und die erste Voraussetzung des § 675u S. 2 BGB – ein nicht autorisierter Zahlungsvorgang – bereits nicht vorliegt. Das ist jedoch eindeutig zu verneinen. Denn: Der eigentliche Zahlungsvorgang fand nicht durch die „Demo-Überweisung“ statt, sondern vielmehr erst danach mittels der von der Klägerin zur Verfügung gestellten Daten. Anschaulich dargestellt wurde die Abgrenzung zwischen autorisierten und nicht autorisierten Zahlungsvorgängen in Betrugsfällen vom LG Karlsruhe, Urt. v. 23.5.2014 – 20 O 23/13. Dort heißt es:
„Dies führt zwar dazu, dass in den Fällen, in denen der Bankkunde infolge einer Täuschung seine personalisierten Sicherheitsmerkmale an den Schädiger bekannt gibt (sog. „Phishing“ bzw. „Pharming“) und dieser eine Überweisung ausführt, ein nicht autorisierter Zahlungsvorgang vorliegt, bei dem der Bankkunde nur bei Vorsatz und grober Fahrlässigkeit haftet (§ 675v Abs. 2 BGB), während der Bankkunde, der täuschungsbedingt die Überweisung selbst vornimmt auch dann haftet, wenn ihm keine Fahrlässigkeit vorzuwerfen ist. Vielmehr muss er in diesen Fällen eine Pflichtverletzung der Bank nachweisen, was ihm in der Regel nicht gelingen wird (vgl. hierzu Zahrte a.a.O.). Die gesetzgeberische Wertung, dass die Bank nach § 675u BGB lediglich das Fälschungsrisiko trägt (vgl. Hopt in Baumbach/Hopt, Handelsgesetzbuch, 36. Aufl., (7) BankGesch, C/50), nicht aber das Risiko eines täuschungsbedingten Irrtums des Berechtigten, ist allerdings hinzunehmen.“
Nimmt der Bankkunde die Überweisung also willentlich selbst vor, aus welchen Motiven auch immer, liegt i.d.R. ein autorisierter Zahlungsvorgang vor, § 675u BGB kommt nicht zur Anwendung. Gelangen Dritte allerdings lediglich an die für die Überweisung notwendigen Daten des Bankkunden und wird die Überweisung durch eben diese Dritten, nicht durch den Bankkunden ausgeführt, fehlt es an einer Zustimmung zu dem konkreten Zahlungsvorgang – er ist nicht autorisiert, § 675u BGB kann Anwendung finden. So liegt es auch hier: Von der eigentlichen Überweisung hat die Klägerin nichts gewusst. Die Anforderungen des Erstattungsanspruchs nach § 675u S. 2 BGB liegen damit vor.
Hinweis: Hätte bereits die Demo-Überweisung zu einer tatsächlichen Abbuchung geführt, müsste der Klausurkandidat sich mit der Wirksamkeit der Willenserklärung im Lichte des Irrglaubens, es werde tatsächlich keine Abbuchung durchgeführt, auseinandersetzen.
Das heißt jedoch nicht, dass die Bank in jedem Fall die Kosten eines sog. Phishing- bzw. Pharming-Angriffs tragen muss. Zwar setzt § 675u S. 2 BGB allein das Vorliegen eines nicht autorisierten Zahlungsvorgangs voraus, um den Erstattungsanspruch gegen die Bank zu begründen und ist damit ausgesprochen weit gefasst. Eine Einschränkung dieser einseitigen Risikoverteilung folgt allerdings aus § 675v BGB, dort insbesondere Abs. 3.
Achtung: Es handelt sich hierbei gesetzestechnisch nicht um eine einschränkende Voraussetzung des Erstattungsanspruchs nach § 675u S. 2 BGB. Vielmehr besteht der Erstattungsanspruch bei nicht autorisierten Zahlungsvorgängen ungeachtet des Verhaltens des Bankkunden. Kommt allerdings nach § 675v BGB wegen vorwerfbaren Verhaltens des Bankkundens ein Schadensersatzanspruch der Bank in Betracht, kann sie mit diesem gegen den Erstattungsanspruch aufrechnen.
Hier kommt ein grob fahrlässiger Verstoß gegen die Sorgfaltspflichten aus § 675l Abs. 1 BGB in Betracht, d.h. ein Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 lit a) i.V.m. § 675l Abs. 1 BGB. § 675l Abs. 1 BGB verpflichtet den Zahlungsdienstnutzer, nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind personalisierte Merkmale, die der Zahlungsdienstleister dem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt – hierzu gehören neben PIN und Passwörtern auch TAN (BeckOK BGB/Schmalenbach, 62. Ed., § 675l BGB Rn. 3), wie sie hier verwendet wurden. Ohne hier allzu sehr ins Detail zu gehen – insoweit sei auf die Kommentarliteratur verwiesen – lässt sich allgemein feststellen: Der Zahlungsdienstnutzer muss die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff durch Dritte schützen; zu diesem Zweck muss er auch bei wahrnehmbaren Abweichungen von regulären Abläufen aufmerksam werden und den Zahlungsvorgang ggf. abbrechen (so MüKoBGB/Jungmann, 8. Aufl. 2020, § 675l Rn. 28).
Die Klägerin hatte im Fall des LG Koblenz bemerkt, dass die Aufforderung zur Demo-Überweisung unüblich war und aus diesem Grund auch versucht, den Anmeldevorgang erneut zu starten. Dann hat sie gleichwohl ihre Zahlungsdaten inkl. TAN eingegeben. Hierzu führt das LG Koblenz in der Zusammenfassung der Entscheidung aus:
„Die Klägerin habe nämlich „in grob fahrlässiger Weise ihre Sorgfaltspflichten verletzt“, als sie die „Demoüberweisung“ mit einer echten Transaktionsnummer durchgeführt habe. Sie habe ganz naheliegende Überlegungen nicht angestellt und nicht beachtet, was jedem hätte einleuchten müssen. Von einem durchschnittlichen Computer-Nutzer könne erwartet werden, dass er die Nutzung des Online-Bankings einstellt, wenn die Umstände sehr zweifelhaft sind und auf ein fragwürdiges Geschehen hindeuten. Das – so führte das Gericht weiter aus – sei hier der Fall gewesen. Es sei nämlich sehr ungewöhnlich, dass eine echte TAN einzugeben sei, obwohl keine reale Überweisung ausgeführt werden solle. Dies habe die Klägerin misstrauisch machen müssen. Auch die in der „Demoüberweisung“ genannte hohe Summe habe Anlass zu besonderer Vorsicht geben müssen.“
Indem sie trotz wahrnehmbarer Abweichungen im Anmeldevorgang diesen nicht abbrach, hat die Klägerin ihre Pflichten aus § 675l Abs. 1 BGB verletzt. Das war für die missbräuchliche Verwendung der Zahlungsdaten auch kausal (haftungsbegründende Kausalität). Wie das Gericht überzeugend ausführt ist aufgrund der konkreten Umstände, insbesondere auch der Höhe der Zahlung, auch von grober Fahrlässigkeit auszugehen. Der haftungsbegründende Tatbestand des § 675v Abs. 3 Nr. 2 lit. a) i.V.m. § 675l Abs. 1 BGB ist daher erfüllt.
Hinweis: Da der Angriff von einem Virenprogramm auf dem Computer der Klägerin ausgeführt wurde, könnte ein Ansatzpunkt für einen Sorgfaltspflichtverstoß auch eine fehlende technische Sicherung des Computers sein (siehe zum Sorgfaltsmaßstab insoweit MüKoBGB/Jungmann, 8. Aufl. 2020, § 675l BGB Rn. 42 ff.). Die Klägerin hat hier allerdings angegeben, ein Virenprogramm genutzt zu haben. Ob das ausreichend war, war im konkreten Fall nicht entscheidend.
Ein Mitverschulden der Bank ist nicht ersichtlich. Der finanzielle Schaden der Bank besteht jedenfalls in Höhe der Erstattungspflicht nach § 675u S. 2 BGB.
Mit erklärter Aufrechnung (§ 389 BGB) ist daher der Erstattungsanspruch der Klägerin aus § 675u S. 2 BGB erloschen. Sie kann keine Erstattung in Höhe des abgebuchten Betrags verlangen.
III. Ausblick
Der Zahlungsdienstevertrag zählt nicht zu den klassischen Vertragstypen, die Studierenden regelmäßig in Klausuren begegnen. Hin und wieder sind die §§ 675c ff. BGB dennoch Prüfungsgegenstand und bieten Prüflingen die Möglichkeit, den sicheren Umgang mit dem Gesetz unter Beweis zu stellen. Genaue Lektüre des Gesetzes in der Prüfungssituation hilft dabei schon sehr – es kann aber sicherlich nicht schaden, sich bereits vorab einmal mit den wichtigsten Regelungen vertraut zu machen.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!