Zur Rechtsscheinhaftung bei missbräuchlicher Überweisung im Online-Banking
LG Darmstadt 28.8.2014, 28 O 36/14Die Klägerin war Bankkundin der Beklagten. Um ihre Bankgeschäfte per Internet (Online) zu tätigen, nutzte sie das ihr von der Beklagten zur Verfügung gestellte sog. Smart-TAN-plus Verfahren. Dabei werden mit Hilfe eines TAN-Generators die auf der Bildschirmmaske eingegebenen Überweisungsdaten übermittelt, was sich durch eine optische Schnittstelle (Grafik) auf dem PC-Bildschirm des Bankkunden sowie durch Anhalten des TAN-Generators an den PC-Bildschirm und eine damit einhergehende Datenübertragung durch Lichtsignale über die optischen Sensoren des TAN-Generators vollzieht (sog. Flickering). Das Verfahren weist laut Sachverständigen eine hohe Systemsicherheit auf.
Am 12.11.2013 in der Zeit von 16:42 bis 16:46 Uhr und am 27.11.2013 15:52 bis 16:02 Uhr führte der Geschäftsführer der Klägerin mittels des Smart-TAN plus Verfahrens mehrere Überweisungen aus. Er allein war im Besitz der EC-Karte, die er zur Bedienung des TAN-Generators verwendete. Der Computer, von dem aus die Überweisungen vorgenommen wurden, war durch einen aktuellen Virenschutz und eine Firewall gesichert, Betriebssystem und Internetbrowser waren auf einem aktuellen Stand. Dennoch erfolgten an diesen Tagen, am 12.11. um 16:37 Uhr und am 27.11.2013 um 15:44 Uhr, zwei Überweisungen an Empfänger in Lettland, die der Klägerin nicht bekannt waren.
Am 29.11.2013 bemerkte die Klägerin die beiden Zahlungsvorgänge erstmals und stellte Strafanzeige. Am gleichen Tag versuchte der Geschäftsführer der Klägerin vergeblich, die Beklagte über eine Notfallhotline zu erreichen. Später forderte die Klägerin die Beklagte zur Rückzahlung der abgebuchten 18.500 € auf. Diese weigerte sich. Im Januar 2014 warnte die Beklagte ihre Kunden auf ihrer Homepage davor, gefälschte E-Mails - in betrügerischer Absicht scheinbar in ihrem Namen - zu öffnen. Diese dienten einzig dazu, die Computer der Bankkunden mit Schadcode ("Trojaner") zu kompromittieren.
Das LG wies die Klage ab.
Die Gründe:
Der Klägerin steht aus dem Girovertrag gegen die Beklagte kein Anspruch aus § 675u S. 2 BGB auf Zahlung zu.
Zwar wurde das bei der Beklagten unterhaltene Geschäftskonto der Klägerin durch die beiden streitgegenständlichen Zahlungsvorgänge belastet. Doch diese Zahlungsvorgänge waren von der Klägerin autorisiert i.S.d. § 675j Abs. 1 BGB. Beim Online-Banking erbringt der Zahlungsdienstleister den Nachweis der Authentifizierung gem. § 675w S. 2 BGB, wenn er belegt, dass Kundenkennung, PIN und TAN überprüft wurden. Diesen Anforderungen hatte die Beklagte durch Vorlage des Nachweis-Protokolls der SEPA-Aufträge vom 12.11. und 27.11.2013 sowie des Protokolls der "SB-Karte-PRK genügt, da aus den Protokollen hervorging, dass die vorgenannten Nachweise überprüft wurden und Grundlage der Transaktionen waren.
Die Klägerin hatte ihr Einverständnis zu den Zahlungsvorgängen zwar nicht selbst erteilt, sondern wurde Opfer eines sog. "Man-in-the-Middle-Angriffs". Ihr war die mittels des Zahlungsauthentifizierungsinstruments PIN und TAN erteilte Zustimmung des "Angreifers" zu den manipulierten Zahlungsvorgängen jedoch nach Rechtsscheingrundsätzen, in diesem Fall der Anscheinsvollmacht, zuzurechnen. Die Ausführungen des Sachverständigen ergaben, dass die Klägerin den "Man-in-the-Middle-Angriff" hätte erkennen und verhindern können. Denn sie hatte die Möglichkeit, durch Kontrolle der auf dem Display des TAN-Generators angezeigten Überweisungsdaten die Manipulation der Zahlungsvorgänge zu erkennen und hätte sodann den Zahlungsvorgang abbrechen können. Dies hatte die Klägerin offenbar aus Unachtsamkeit nicht vorgenommen und damit auch gegen ihre vertragliche Pflicht für das Online-Banking verstoßen.
Die Beklagte war gutgläubig. Denn eine Bank muss weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorganges Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne nähere Anhaltspunkte überwachen. Ohne besondere weitere Anhaltspunkte geben auch Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch ggf. eintretende Kontoüberziehungen einer Bank keinen hinreichenden Anlass, von diesem Grundsatz eine Ausnahme zu machen.
Letztlich konnte die Klägerin auch keinen Schadensersatz von der Beklagten unter dem Gesichtspunkt verlangen, dass sie an der Notfallhotline am 29.11.2013 niemanden erreichen konnte. Zwar folgt aus § 675m Abs. 1 Nr. 3 BGB die Verpflichtung des Zahlungsdienstleisters, sicherzustellen, dass der Zahlungsdienstleistungsnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige nach § 675l S. 2 BGB vorzunehmen. Es fehlte jedoch an der Kausalität einer etwaigen Pflichtverletzung für den streitgegenständlichen Schaden der Klägerin. Denn bereits im Zeitpunkt des Bemerkens der betrügerischen Abbuchungen vom 27.11.2013 durch die Klägerin am 29.11.2013 konnten die mutmaßlichen Manipulierer der ermittelten IP-Adresse nicht mehr zugeordnet werden. Selbst wenn die Klägerin die Beklagte über die Notfallhotline erreicht hätte, wäre des demnach nicht zu einer Namhaftmachung der Manipulierer gekommen.
Linkhinweis:
- Der Volltext ist auf der Homepage Hessenrecht Landesrechtsprechungsdatenbank veröffentlicht.
- Um direkt zum Volltext zu kommen, klicken Sie bitte hier.