In letzter Zeit mehren sich Berichte, wonach Kriminelle sich über Phishing-Mails oder andere Angriffsmethoden wie etwa Social Engineering Zugriff auf das Onlinebanking von Bankkunden verschaffen und Beträge in erheblicher Größenordnung transferieren. Besondere mediale Aufmerksamkeit hat dabei jüngst das Urteil des Landgerichts (LG) Heilbronn (6 O 10/23) erfahren. Darin hat sich das Gericht zweifelnd dazu geäußert, ob es den Anforderungen an eine Zwei-Faktor-Authentifizierung genügt, wenn die Apps für das pushTan-Verfahren und das Onlinebanking jeweils auf demselben Smartphone installiert sind. Schenkt man Presseberichten Glauben, soll dieses Urteil die Bankbranche in helle Aufregung versetzt haben. Mitunter ist die plakative Frage aufgeworfen worden, ob das Urteil das Ende des Onlinebankings, wie wir es kennen, eingeläutet haben soll.
Der vorliegende Beitrag bietet einen Überblick über die Haftungsgrundsätze im Falle eines Betrugs beim Onlinebanking. Er setzt sich außerdem kritisch mit dem Urteil des LG Heilbronn auseinander.
Die gesetzliche Risikoverteilung bei nicht autorisierten Zahlungen
Nach den Vorschriften des BGB, die auf den Vorgaben der Richtlinie (EU) 2015/2366 (PSD2-Richtlinie) beruhen, trägt grundsätzlich das Kreditinstitut als Zahlungsdienstleister das Risiko nicht autorisierter Zahlungen. So ist gemäß § 675j Abs. 1 Satz 1 BGB ein Zahlungsvorgang gegenüber dem Kontoinhaber (Zahlungsdienstenutzer) nur dann wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt die Autorisierung, ist das kontoführende Kreditinstitut als Zahlungsdienstleister gemäß § 675u Satz 2 BGB verpflichtet, den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
Bei streitiger Autorisierung: Bank trägt Darlegungs- und Beweislast
Die Bank trägt zudem grundsätzlich die Darlegungs- und Beweislast für die Autorisierung. Ist diese streitig, hat die Bank gemäß § 675w Satz 1 BGB nachzuweisen, dass eine sogenannte Authentifizierung (siehe § 1 Abs. 23 Zahlungsdiensteaufsichtsgesetz – ZAG) erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt worden ist (vgl. § 675w Satz 1 BGB). Dieser Nachweis soll allerdings nach § 675w Satz 3 Nr. 1 BGB „allein nicht notwendigerweise aus[reichen]“, um auch die Autorisierung des Zahlungsvorgangs nachweisen zu können. Die Auslegung dieser Vorschrift bereitet noch immer Schwierigkeiten.
Anscheinsbeweis auch beim Onlinebanking
So war etwa unklar, ob – ebenso wie beim Einsatz von EC- und/oder Kreditkarten (vgl. diesbezüglich zum Anscheinsbeweis BGH, Urteil vom 29.11.2011 – XI ZR 370/10) – auch beim Onlinebanking die Grundsätze des Anscheinsbeweises anwendbar sind. Der Bundesgerichtshof (BGH) hat diese Frage mit Urteil vom 26.01.2016 (XI ZR 91/14) grundsätzlich bejaht. Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises beim Onlinebanking sei jedoch, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen. Die Darlegungs- und Beweislast hierfür trage ebenfalls die Bank (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 23 ff.).
Erschütterung des Anscheinsbeweises
Nach der Rechtsprechung des BGH kann der Kontoinhaber den Anscheinsbeweis erschüttern. Er muss dazu auch keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann er auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und unter Beweis stellt (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14).
Schadensersatzanspruch der Bank bei grob fahrlässiger Pflichtverletzung des Kontoinhabers – § 675v Abs. 3 BGB
Der Umstand, dass die Bank im konkreten Einzelfall den ihr obliegenden Beweis der Autorisierung der streitigen Überweisung durch den Kontoinhaber nicht zu führen vermag, führt noch nicht zu ihrer Haftung. Sofern nämlich der Kontoinhaber den Schaden in betrügerischer Absicht ermöglicht oder durch grob fahrlässige Pflichtverletzung herbeigeführt hat, steht der Bank gemäß § 675v Abs. 3 BGB ein der Höhe nach unbegrenzter Schadensersatzanspruch zu. Diesen Schadensersatzanspruch kann die Bank zur Aufrechnung stellen, beziehungsweise ein solcher Schadensersatzanspruch steht nach § 242 BGB einer Haftung der Bank für nicht autorisierte Zahlungen entgegen.
Allerdings haftet der Kontoinhaber dann nicht, wenn die Bank keine starke Kundenauthentifizierung nach Art. 1 Abs. 24 ZAG verlangt (vgl. § 675v Abs. 4). Beim Onlinebanking ist die Bank bereits aufsichtsrechtlich dazu verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift (vgl. § 55 Abs. 1 Satz 1 Nr. 1 ZAG).
Das Urteil des LG Heilbronn vom 16.05.2023 – 6 O 10/23
Im Urteil vom 16.05.2023 (Az. 6 O 10/23) hatte das Landgericht Heilbronn sich damit zu befassen, ob dem klagenden Kontoinhaber gegenüber seinem Kreditinstitut ein Anspruch auf Erstattung von im Zusammenhang mit betrügerischen Anrufen (Social Engineering beim pushTAN-Verfahren) überwiesenen Beträgen zusteht. Das Landgericht hat die Klage abgewiesen. Es war der Auffassung, der Kunde habe grob fahrlässig seine Pflichten verletzt, so dass der Bank ein Erstattungsanspruch gemäß § 675v Abs. 3 BGB zustehe. Die beklagte Bank hatte im Rahmen des Prozesses den Vortrag des Klägers zugestanden, dass die streitigen Überweisungen nicht von ihm veranlasst worden seien. Mit den Grundsätzen der Darlegungs- und Beweislast sowie den Voraussetzungen eines Anscheinsbeweises hatte sich das Landgericht daher gar nicht auseinanderzusetzen.
Freilich hat das LG Heilbronn in einem Obiter Dictum ausgeführt, „dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstenutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis sehr hohe Wahrscheinlichkeit vermissen lässt, sondern auch das [im konkreten Streitfall] zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt“. Denn, so das Landgericht Heilbronn, die für die (angebliche) Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege werde damit aufgegeben (vgl. LG Heilbronn, Urteil vom 16.05.2023 – 6 O 10/23, juris Rn. 27). Das LG Heilbronn verweist hierzu auf einen Beitrag des ehemaligen Richters am XI. Zivilsenat in einem Bankrechtshandbuch (vgl. Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, Band I, 6. Aufl. 2022, § 33 Rz. 34 f. und 391).
Die Ausführungen des Landgerichts sind leider nicht überzeugend und erheblich unterkomplex (zu Recht kritisch daher Maume, in: BKR 2023, 767 ff.). Das Landgericht übersieht, dass nach Art. 9 Abs. 2 der Delegierten Verordnung (EU) 2018/389 die von Art. 1 Abs. 24 ZAG geforderte Unabhängigkeit der Elemente auch bei Nutzung eines sogenannten Mehrzweckgeräts, wie etwa Tablet oder Smartphone, vorliegen kann. Art. 9 Abs. 2 und Abs. 3 der Delegierten Verordnung (EU) 2018/389 sehen besondere Sicherheitsmaßnahmen vor, um das Risiko, das sich aus der missbräuchlichen Verwendung des Mehrzweckgeräts ergeben würde, zu mindern. Dazu gehört etwa die Nutzung getrennter sicherer Ausführungsumgebungen durch die im Mehrzweckgerät installierte Software (vgl. Art. 9 Abs. 3 lit. a); vgl. hierzu näher Mimberg, in: Schäfer/Omlor/Mimberg, ZAG, 2021, § 1 Rn. 461 ff., 484 ff.; Terlau, in: Casper/Terlau, ZAG, 3. Aufl. 2023. § 1 Rn. 513 ff.). Es ist daher verfehlt, eine starke Kundenauthentifizierung deshalb zu verneinen, weil die Apps auf einem Mehrzweckgerät gespeichert sind. Hinweise auf Studien aus den Jahren 2015 und 2016 sind daher ebenfalls unangebracht. Diese Studien beziehen sich technologisch auf eine Welt von gestern. Demgegenüber geht die herrschende Auffassung in der Welt von heute unter Hinweis auf die europarechtlichen Vorgaben zutreffend davon aus, dass eine starke Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG auch bei Einsatz eines Mehrzweckgeräts bejaht werden kann (vgl. Mimberg, in: Schäfer/Omlor/Mimberg, ZAG, 2021, § 1 Rn. 461 ff., 484 ff.; Terlau, in: Casper/Terlau, ZAG, 3. Aufl. 2023, § 1 Rn. 513 ff.).
Fazit
Das Urteil des Landgerichts Heilbronn bietet ein anschauliches Beispiel dafür, dass bei der Lösung zahlungsverkehrsrechtlicher Fälle die normativen Grundlagen rechtlicher Argumente nicht aus dem Blick geraten sollten. Das Urteil des Landgerichts vermag jedenfalls in seiner Begründung nicht zu überzeugen. Es bleibt abzuwarten, ob sich weitere Gerichte dieser Auffassung anschließen werden. Ein Ende des Onlinebankings, wie wir es kennen, ist derzeit jedenfalls nicht in Sicht.
Autor
Daniel Latta
Luther Rechtsanwaltsgesellschaft mbH, Berlin
Rechtsanwalt, Partner