Du bist hier: > Banking

Schlagwortarchiv für: Banking

Dr. Lena Bleckmann

LG Koblenz zum Erstattungsanspruch bei Online-Banking-Betrug

, , ,

Nicht selten erhalten Online-Banking-Kunden Hinweise ihrer Bank auf aktuelle Betrugsmaschen im Internet. Dabei wird versucht, Kenntnis von den Zugangsdaten der Kontonutzer und damit Zugang zu ihrem Kontoguthaben zu erlangen. Oft sind die Versuche recht plump und leicht erkennbar, einige Maschen zeigen jedoch höhere Kreativität und damit auch ein gesteigertes Gefahrenpotential.

Mit einem Betrugsvorgang, der auf der Skala irgendwo zwischen völlig offensichtlich und gut gemacht, aber dennoch erkennbar rangieren dürfte, hatte sich nun das LG Koblenz zu befassen. Mit Urteil vom 1.6.2022, Az. 3 O 378/21, welches das Gericht zur „Entscheidung des Monats“ gekürt hat, wurde ein Erstattungsanspruch der betroffenen Kundin gegen die Bank abgelehnt. Derartige Konstellationen tauchen zuweilen auch in zivilrechtlichen Klausuren auf und sind damit für fortgeschrittene Studierende und Examenskandidaten überaus relevant. Die ausführlichen Entscheidungsgründe liegen noch nicht vor, hier jedoch bereits ein Überblick über die relevanten Rechtsgrundlagen.

I. Worum es geht

Die Klägerin nutze das Online-Banking-Angebot ihrer Bank. Um online Überweisungen zu tätigen, muss dabei jede einzelne Überweisung durch eine Sicherheitsnummer (TAN) bestätigt werden. Die Sicherheitsnummer erhält die Bankkundin mittels eines TAN-Generators.

Als sich die Klägerin nun eines Tages im Online-Banking einloggte, öffnete sich ein Fenster, dass sie zu einer „Demoüberweisung“ in Höhe von 10.000 € an eine gewissen Herrn Mustermann aufforderte. Hierbei handelte es sich tatsächlich nicht um eine Aufforderung der Bank, vielmehr wurde sie aufgrund eines Virenprogramm auf dem Computer der Klägerin angezeigt. Sie startete den Anmeldevorgang erneut, wurde aber wieder mit der Aufforderung konfrontiert. Dieser kam die Klägerin nun nach – sie gab die selbst generierte TAN-Nummer in das Fenster ein. Diese Nummer wurde durch das Virenprogramm sodann für eine echte Überweisung in Höhe von 9.847,78 € von dem Konto der Klägerin genutzt.

Die Klägerin verlangt von ihrer Bank Erstattung dieses abgebuchten Betrags.

II. Was ist zu prüfen?

Wenn es um Rückabwicklungs- und Erstattungsansprüche in Mehrpersonenverhältnissen im Kontext von Banküberweisungen geht, mag der Klausurkandidat zunächst an eine bereicherungsrechtliche Lösung denken, Stichwort Anweisungsfälle. Vertragliche Ansprüche sind allerdings vorrangig zu prüfen. Solche können vorliegend aus einem Zahlungsdienstevertrag folgen. Es handelt sich um einen Geschäftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, vgl. § 675c Abs. 1 BGB. Dieser Vertragstyp ist in Umsetzung verschiedener europäischer Richtlinien (zur Entwicklung siehe MüKoBGB/Casper, 8. Aufl. 2020, Vorbem. zu §§ 675c – 676c, Rn. 1) in den §§ 675c ff. BGB geregelt. Die sehr spezielle Materie sollte in der Klausur nicht übersehen werden, nicht zuletzt, weil einzelne Normen abschließende Regelungen treffen, siehe § 675z S. 1 BGB.

Giroverträge, auf deren Grundlage das klassische Girokonto geführt wird, sind Zahlungsdiensterahmenverträge i.S.d. § 675f Abs. 2 BGB (BGH NJW 2019, 1451 Rn. 11). Die Vorschriften über Zahlungsdienste sind daher anzuwenden. Fordert der Kontonutzer von seiner Bank nun Erstattung eines abgebuchten Vertrags, wie es in oben geschildertem Fall erfolgt ist, kommt als Anspruchsgrundlage § 675u S. 2 BGB in Betracht. Danach ist der Zahlungsdienstleister (die Bank) gegenüber dem Zahler (dem Kontoinhaber) im Falle eines nicht autorisierten Zahlungsvorgangs verpflichtet, den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Zur Klärung der Begrifflichkeiten ist ein Blick in die vorangehenden Vorschriften erforderlich. Ein Zahlungsvorgang ist nach § 675f Abs. 4 BGB jede Bereitstellung, Übermittlung oder Abhebung eines Geldbetrags, unabhängig von der zugrunde liegenden Rechtsbeziehung zwischen Zahler und Zahlungsempfänger. Eine Legaldefinition der Autorisierung findet sich in § 675j Abs. 1 BGB: Sie liegt nur vor, wenn der Zahler dem Zahlungsvorgang zugestimmt hat. Nur dann ist der Zahlungsvorgang gegenüber dem Zahler wirksam.

Im Fall des LG Koblenz hat die Klägerin den „Demo-Überweisungsträger“ für eine Überweisung in Höhe von 10.000 € selbst ausgefüllt und ihre TAN-Nummer generiert und angegeben. Es ließe sich daher hinterfragen, ob sie damit nicht die Zustimmung zu dem später erfolgten Zahlungsvorgang erteilt hat und die erste Voraussetzung des § 675u S. 2 BGB – ein nicht autorisierter Zahlungsvorgang – bereits nicht vorliegt. Das ist jedoch eindeutig zu verneinen. Denn: Der eigentliche Zahlungsvorgang fand nicht durch die „Demo-Überweisung“ statt, sondern vielmehr erst danach mittels der von der Klägerin zur Verfügung gestellten Daten. Anschaulich dargestellt wurde die Abgrenzung zwischen autorisierten und nicht autorisierten Zahlungsvorgängen in Betrugsfällen vom LG Karlsruhe, Urt. v. 23.5.2014 – 20 O 23/13. Dort heißt es:

„Dies führt zwar dazu, dass in den Fällen, in denen der Bankkunde infolge einer Täuschung seine personalisierten Sicherheitsmerkmale an den Schädiger bekannt gibt (sog. „Phishing“ bzw. „Pharming“) und dieser eine Überweisung ausführt, ein nicht autorisierter Zahlungsvorgang vorliegt, bei dem der Bankkunde nur bei Vorsatz und grober Fahrlässigkeit haftet (§ 675v Abs. 2 BGB), während der Bankkunde, der täuschungsbedingt die Überweisung selbst vornimmt auch dann haftet, wenn ihm keine Fahrlässigkeit vorzuwerfen ist. Vielmehr muss er in diesen Fällen eine Pflichtverletzung der Bank nachweisen, was ihm in der Regel nicht gelingen wird (vgl. hierzu Zahrte a.a.O.). Die gesetzgeberische Wertung, dass die Bank nach § 675u BGB lediglich das Fälschungsrisiko trägt (vgl. Hopt in Baumbach/Hopt, Handelsgesetzbuch, 36. Aufl., (7) BankGesch, C/50), nicht aber das Risiko eines täuschungsbedingten Irrtums des Berechtigten, ist allerdings hinzunehmen.“

Nimmt der Bankkunde die Überweisung also willentlich selbst vor, aus welchen Motiven auch immer, liegt i.d.R. ein autorisierter Zahlungsvorgang vor, § 675u BGB kommt nicht zur Anwendung. Gelangen Dritte allerdings lediglich an die für die Überweisung notwendigen Daten des Bankkunden und wird die Überweisung durch eben diese Dritten, nicht durch den Bankkunden ausgeführt, fehlt es an einer Zustimmung zu dem konkreten Zahlungsvorgang – er ist nicht autorisiert, § 675u BGB kann Anwendung finden. So liegt es auch hier: Von der eigentlichen Überweisung hat die Klägerin nichts gewusst. Die Anforderungen des Erstattungsanspruchs nach § 675u S. 2 BGB liegen damit vor.

Hinweis: Hätte bereits die Demo-Überweisung zu einer tatsächlichen Abbuchung geführt, müsste der Klausurkandidat sich mit der Wirksamkeit der Willenserklärung im Lichte des Irrglaubens, es werde tatsächlich keine Abbuchung durchgeführt, auseinandersetzen.

Das heißt jedoch nicht, dass die Bank in jedem Fall die Kosten eines sog. Phishing- bzw. Pharming-Angriffs tragen muss. Zwar setzt § 675u S. 2 BGB allein das Vorliegen eines nicht autorisierten Zahlungsvorgangs voraus, um den Erstattungsanspruch gegen die Bank zu begründen und ist damit ausgesprochen weit gefasst. Eine Einschränkung dieser einseitigen Risikoverteilung folgt allerdings aus § 675v BGB, dort insbesondere Abs. 3.

Achtung: Es handelt sich hierbei gesetzestechnisch nicht um eine einschränkende Voraussetzung des Erstattungsanspruchs nach § 675u S. 2 BGB. Vielmehr besteht der Erstattungsanspruch bei nicht autorisierten Zahlungsvorgängen ungeachtet des Verhaltens des Bankkunden. Kommt allerdings nach § 675v BGB wegen vorwerfbaren Verhaltens des Bankkundens ein Schadensersatzanspruch der Bank in Betracht, kann sie mit diesem gegen den Erstattungsanspruch aufrechnen.

Hier kommt ein grob fahrlässiger Verstoß gegen die Sorgfaltspflichten aus § 675l Abs. 1 BGB in Betracht, d.h. ein Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 lit a) i.V.m. § 675l Abs. 1 BGB. § 675l Abs. 1 BGB verpflichtet den Zahlungsdienstnutzer, nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind personalisierte Merkmale, die der Zahlungsdienstleister dem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt – hierzu gehören neben PIN und Passwörtern auch TAN (BeckOK BGB/Schmalenbach, 62. Ed., § 675l BGB Rn. 3), wie sie hier verwendet wurden. Ohne hier allzu sehr ins Detail zu gehen – insoweit sei auf die Kommentarliteratur verwiesen – lässt sich allgemein feststellen: Der Zahlungsdienstnutzer muss die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff durch Dritte schützen; zu diesem Zweck muss er auch bei wahrnehmbaren Abweichungen von regulären Abläufen aufmerksam werden und den Zahlungsvorgang ggf. abbrechen (so MüKoBGB/Jungmann, 8. Aufl. 2020, § 675l Rn. 28).

Die Klägerin hatte im Fall des LG Koblenz bemerkt, dass die Aufforderung zur Demo-Überweisung unüblich war und aus diesem Grund auch versucht, den Anmeldevorgang erneut zu starten. Dann hat sie gleichwohl ihre Zahlungsdaten inkl. TAN eingegeben. Hierzu führt das LG Koblenz in der Zusammenfassung der Entscheidung aus:

„Die Klägerin habe nämlich „in grob fahrlässiger Weise ihre Sorgfaltspflichten verletzt“, als sie die „Demoüberweisung“ mit einer echten Transaktionsnummer durchgeführt habe. Sie habe ganz naheliegende Überlegungen nicht angestellt und nicht beachtet, was jedem hätte einleuchten müssen. Von einem durchschnittlichen Computer-Nutzer könne erwartet werden, dass er die Nutzung des Online-Bankings einstellt, wenn die Umstände sehr zweifelhaft sind und auf ein fragwürdiges Geschehen hindeuten. Das – so führte das Gericht weiter aus – sei hier der Fall gewesen. Es sei nämlich sehr ungewöhnlich, dass eine echte TAN einzugeben sei, obwohl keine reale Überweisung ausgeführt werden solle. Dies habe die Klägerin misstrauisch machen müssen. Auch die in der „Demoüberweisung“ genannte hohe Summe habe Anlass zu besonderer Vorsicht geben müssen.“

Indem sie trotz wahrnehmbarer Abweichungen im Anmeldevorgang diesen nicht abbrach, hat die Klägerin ihre Pflichten aus § 675l Abs. 1 BGB verletzt. Das war für die missbräuchliche Verwendung der Zahlungsdaten auch kausal (haftungsbegründende Kausalität). Wie das Gericht überzeugend ausführt ist aufgrund der konkreten Umstände, insbesondere auch der Höhe der Zahlung, auch von grober Fahrlässigkeit auszugehen. Der haftungsbegründende Tatbestand des § 675v Abs. 3 Nr. 2 lit. a) i.V.m. § 675l Abs. 1 BGB ist daher erfüllt.

Hinweis: Da der Angriff von einem Virenprogramm auf dem Computer der Klägerin ausgeführt wurde, könnte ein Ansatzpunkt für einen Sorgfaltspflichtverstoß auch eine fehlende technische Sicherung des Computers sein (siehe zum Sorgfaltsmaßstab insoweit MüKoBGB/Jungmann, 8. Aufl. 2020, § 675l BGB Rn. 42 ff.). Die Klägerin hat hier allerdings angegeben, ein Virenprogramm genutzt zu haben. Ob das ausreichend war, war im konkreten Fall nicht entscheidend.

Ein Mitverschulden der Bank ist nicht ersichtlich. Der finanzielle Schaden der Bank besteht jedenfalls in Höhe der Erstattungspflicht nach § 675u S. 2 BGB.

Mit erklärter Aufrechnung (§ 389 BGB) ist daher der Erstattungsanspruch der Klägerin aus § 675u S. 2 BGB erloschen. Sie kann keine Erstattung in Höhe des abgebuchten Betrags verlangen.

III. Ausblick

Der Zahlungsdienstevertrag zählt nicht zu den klassischen Vertragstypen, die Studierenden regelmäßig in Klausuren begegnen. Hin und wieder sind die §§ 675c ff. BGB dennoch Prüfungsgegenstand und bieten Prüflingen die Möglichkeit, den sicheren Umgang mit dem Gesetz unter Beweis zu stellen. Genaue Lektüre des Gesetzes in der Prüfungssituation hilft dabei schon sehr – es kann aber sicherlich nicht schaden, sich bereits vorab einmal mit den wichtigsten Regelungen vertraut zu machen.

/0 Kommentare/von
werbung

Event: Perspektive Wirtschaftskanzlei 2012

Eine Reihe von Jurastudenten kann sich vorstellen nach dem Studium als Jurist in einer Wirtschaftskanzlei tätig zu werden. Was den Bewerbern regelmäßig fehlt sind Informationen, um zwischen den jeweiligen Angeboten der Arbeitgeber zu differenzieren. Für diejenigen, die konkretere Informationen über diese Berufsperspektive ergründen möchten, bietet sich diese Gelegenheit im Rahmen einer Veranstaltung unserer Partner e-fellows.net.
Das Event trägt den Namen „Perspektive Wirtschaftskanzlei“. Ziel ist es den Teilnehmern in einem zweitägigen Programm, bestehend aus Gruppenworkshops und Einzelgesprächen, die jeweiligen Berufsträger von immerhin neun überregional tätigen Wirtschaftskanzleien näher zu bringen. Es sollen dabei insbesondere die individuellen Einstiegsmöglichkeiten und Karriereoptionen bei den vorgenannten Sozietäten ausgelotet werden. Auch Informationen im Hinblick auf mögliche Referendarstationen können in diesem Rahmen erlangt werden.
Die Veranstaltung richtet sich an Juristen mit der Note „vollbefriedigend“ im staatlichen Teil des Examens und findet am 21./22. September 2012 in Schloss Montabaur statt. Ein Fahrtkostenzuschuss für die Anreise ist vorgesehen.
Bewerbungsschluss ist der 29. Juli 2012. Weitere Informationen und die entsprechenden Online-Anmelde-Formulare findet Ihr hier.

/0 Kommentare/von
Dr. Christoph Werkmeister

BGH zur Haftung von Bankkunden nach Weitergabe von TAN-Nummern

, ,

Der BGH entschied vor Kurzem einen äußerst praxisrelevanten Sachverhalt (Urteil vom 24. April 2012, Az. XI ZR 96/11). Das Gericht stellte fest, unter welchen Voraussetzungen ein Bankkunde beim Online-Banking Schadensersatzansprüche der Bank auslöst, wenn er seine TANs fahrlässig an Phishing-Seiten weitergibt. Der Sachverhalt ist für Klausuren etwas zu exotisch. In mündlichen Prüfungen dürfte der Fall jedoch sicherlich laufen:

Im zugrundeliegenden Fall nimmt der Kläger die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 € auf Rückzahlung dieses Betrages in Anspruch.

Der Kläger unterhält bei der Beklagten ein Girokonto und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:

„Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!“

Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000  € auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29. Januar 2009 Strafanzeige und gab Folgendes zu Protokoll:

„Im Oktober 2008 – das genaue Datum weiß ich nicht mehr – wollte ich ins Online-banking. Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der … Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt.“

Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte.

Die Klage auf Zahlung von 5.000 € nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen.

Die Klage ist unbegründet. Auch wenn der Kläger die Überweisung der 5.000 € nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat.

Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.

Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu Recht verneint. Nach seinen Feststellungen ist die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart (Quelle: Pressemitteilung des BGH).

/0 Kommentare/von