24.09.2018

Online-Banking: Haftungsfragen bei nicht autorisierten Überweisungen im smsTAN-Verfahren

Ermöglicht der Mobilfunkanbieter des Online-Banking-Nutzers schuldhaft Unbefugten das Abfangen von per SMS versandten Transaktionsnummern, hat der Nutzer dies nicht zu vertreten. Wer Online-Banking im smsTAN-Verfahren nutzt, ist auch nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden. Das gewerbliche Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, das einzukalkulieren ist.

LG Kiel 22.6.2018, 12 O 562/17
Der Sachverhalt:

Der Kläger ist Einzelkaufmann. Er unterhält bei der beklagten Bank ein Geschäftskonto. Seit 2007 erteilt der Kläger per Online-Banking unter Verwendung eines Anmeldenamens, einer persönlichen Geheimzahl (PIN) und einer Transaktionsnummer (TAN) Anweisungen an die Beklagte. Im Jahr 2011 vereinbarten die Parteien die Verwendung des smsTAN-Verfahrens. Die dazu online einzugebende Transaktionsnummer sendet die Beklagte dem Kläger auf dessen Mobiltelefon per SMS zu.

Am Morgen des 30.8.2017 stellte der Kläger fest, dass sein Mobiltelefon nicht mehr funktionierte. Er meldete dies umgehend dem Mobilfunkanbieter. Am 31.8.2017 wurden unter Verwendung des smsTAN-Verfahrens per Online-Banking zwei unautorisierte Überweisungen vom Konto des Klägers i.H.v. insgesamt 28.170 € an unbekannte Empfänger vorgenommen. Der Kläger bemerkte dies noch am Vormittag desselben Tages und meldete die unautorisierten Überweisungen der Beklagten. Das Geld war jedoch nicht wieder zurückzuerlangen, weil sofort nach Eingang des Geldes bei den Empfängern darüber verfügt worden war. Der Kläger erstattete unverzüglich Strafanzeige. Die Beklagte verweigerte die Rückbuchung der Kontobelastungen.

Der Kläger behauptet, die unautorisierten Überweisungen hätten den mit der Beklagten vereinbarten Verfügungsrahmen überschritten, was die Beklagte zu vertreten habe. Es sei außerdem nicht auszuschließen, dass für die nicht autorisierten Überweisungen eine Sicherheitslücke in den Systemen der Beklagten ursächlich sei. Die Beklagte habe keine ausreichenden Maßnahmen zur Verhütung unerlaubter Zugriffe auf seine personenbezogenen Daten getroffen (§ 13 Abs. 7 TMG). Die Beklagte war der Ansicht, der Kläger habe die nicht autorisierten Zahlungen durch Verstoß gegen seine Geheimhaltungspflicht und durch verspätete Anzeige des Verlusts des Zugriffs auf sein Mobiltelefon bei der Beklagten selbst zu vertreten.

Das LG gab der Klage weitestgehend statt.

Die Gründe:

Gem. § 675u BGB a.F. kann der Kläger von der Beklagten verlangen, sein Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung mit den beiden nicht autorisierten Zahlungsvorgängen am 31.8.2017 i.H.v. 11.270 € und 16.900 € befunden hätte. Dass die Voraussetzungen des § 675u BGB a.F. vorliegen, war nie streitig. Der Beklagten steht gegen den Kläger allerdings kein Schadensersatzanspruch aus § 675v BGB a.F. zu, den sie dem Anspruch aus § 675u BGB a.F. entgegen halten könnte. Denn die nicht autorisierte Zahlungsvorgänge beruhten nicht auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments (§ 675v Abs. 1 S. 1 BGB a.F.).

Der Kläger hatte den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Wenn die SIM-Karte nicht mehr funktionierte, so stellte dies nach dem eindeutigen Wortlaut kein Abhandenkommen dar. Dem Kläger gem. § 278 BGB ein Verschulden des Mobilfunkanbieters wegen Übermittlung der SMS mit den eingesetzten TANs an Unbefugte zuzurechnen, scheiterte schon an § 675m Abs. 2 BGB, der die Gefahr der Versendung personalisierter Sicherheitsmerkmale an den Zahlungsdienstnutzer dem Zahlungsdienstleister zuweist. Die Vorschrift gilt auch für die elektronische Versendung.

Haben Unbefugte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking eingesetzt, so trägt die Bank die Beweislast dafür, dass der Kunde das Abhandenkommen der PIN zu vertreten habe. Der Beweis des ersten Anscheins spricht nicht gegen den Kunden (Anschluss an BGH-Urt. v. 26.1.2016, Az.: XI ZR 91/14). Der Kunde hat jedoch im Wege der sekundären Darlegungslast zu den seinerseits getroffenen Sicherheitsvorkehrungen vorzutragen. Dies hatte der Kläger hier in der mündlichen Verhandlung ausreichend getan. Der Bank ist es zumutbar, das verbleibende Restrisiko der Unaufklärbarkeit der Schadensursache zu tragen. Denn das gewerbliche Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, das einzukalkulieren ist.

Wer Online-Banking im smsTAN-Verfahren als Kunde nutzt, ist letztlich nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden. Es war nicht nachgewiesen, dass der Kläger Kenntnis auch nur von der Gefahr einer missbräuchlichen Verwendung seiner Rufnummer hatte. Dem Kläger konnte auch nicht widerlegt werden, dass er lediglich von einer technischen Störung ausgegangen war. Einen Anspruch auf Verzinsung hat der Kläger nicht. Der Anspruch aus § 675u S. 2 BGB auf Rückgängigmachung der Belastungsbuchung ist nicht verzinslich, weil er keine Geldschuld i.S.d. § 288 BGB darstellt.

Linkhinweis:

Landesrecht Schleswig-Holstein
Zurück