Ende des Onlinebankings, wie wir es kennen?
JOURNEY STUDIO7 – stock.adobe.com

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Ende des Onlinebankings, wie wir es kennen?

Anmerkung zu LG Heilbronn, Urteil vom 16.05.2023 – 6 O 10/23

6. Dezember 2023, von Daniel Latta

Artikel als PDF (Download)

 

In letzter Zeit mehren sich Berichte, wonach Kriminelle sich über Phishing-Mails oder andere Angriffs­methoden wie etwa Social Engineering Zugriff auf das Onlinebanking von Bankkunden verschaffen und ­Beträge in erheblicher Größenordnung trans­ferieren. ­Besondere mediale Aufmerksamkeit hat dabei jüngst das Urteil des Landgerichts (LG) Heilbronn (6 O 10/23) ­erfahren. Darin hat sich das Gericht zweifelnd dazu g­eäußert, ob es den Anforderungen an eine Zwei-­Faktor-Authentifizierung genügt, wenn die Apps für das push­Tan-Verfahren und das Onlinebanking jeweils auf ­demselben Smartphone installiert sind. Schenkt man Presseberichten Glauben, soll dieses Urteil die Bank­branche in helle Aufregung versetzt haben. Mitunter ist die plakative Frage aufgeworfen worden, ob das Urteil das Ende des Onlinebankings, wie wir es kennen, eingeläutet haben soll.
Der vorliegende Beitrag bietet einen Überblick über die Haftungsgrundsätze im Falle eines Betrugs beim Onlinebanking. Er setzt sich außerdem kritisch mit dem Urteil des LG Heilbronn auseinander.

Die gesetzliche Risikoverteilung bei nicht autorisierten Zahlungen

Nach den Vorschriften des BGB, die auf den Vorgaben der Richtlinie (EU) 2015/2366 (PSD2-Richtlinie) beruhen, trägt grundsätzlich das Kreditinstitut als Zahlungsdienstleister das Risiko nicht autorisierter Zahlungen. So ist gemäß § 675j Abs. 1 Satz 1 BGB ein Zahlungsvorgang gegenüber dem Kontoinhaber (Zahlungsdienste­nutzer) nur dann wirksam, wenn er diesem zugestimmt hat ­(Autorisierung). Fehlt die Autorisierung, ist das konto­führende Kreditinstitut als Zahlungsdienstleister gemäß § 675u Satz 2 BGB verpflichtet, den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Bei streitiger Autorisierung: Bank trägt Darlegungs- und Beweislast

Die Bank trägt zudem grundsätzlich die Darlegungs- und Beweislast für die Autorisierung. Ist diese streitig, hat die Bank gemäß § 675w Satz 1 BGB nachzuweisen, dass eine sogenannte Authentifizierung (siehe § 1 Abs. 23 Zahlungsdiensteaufsichtsgesetz – ZAG) erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt worden ist (vgl. § 675w Satz 1 BGB). Dieser Nachweis soll allerdings nach § 675w Satz 3 Nr. 1 BGB „allein nicht notwendigerweise aus[reichen]“, um auch die Autorisierung des Zahlungsvorgangs nachweisen zu können. Die Auslegung dieser Vorschrift bereitet noch immer Schwierigkeiten.

Anscheinsbeweis auch beim Onlinebanking

So war etwa unklar, ob – ebenso wie beim Einsatz von EC- und/oder Kreditkarten (vgl. diesbezüglich zum Anscheinsbeweis BGH, Urteil vom 29.11.2011 – XI ZR 370/10) – auch beim Onlinebanking die Grundsätze des Anscheinsbeweises anwendbar sind. Der Bundesgerichtshof (BGH) hat diese Frage mit Urteil vom 26.01.2016 (XI ZR 91/14) grundsätzlich bejaht. Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises beim Onlinebanking sei jedoch, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen. Die Darlegungs- und Beweislast hierfür trage ebenfalls die Bank (vgl. BGH, ­Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 23 ff.).

Erschütterung des Anscheinsbeweises

Nach der Rechtsprechung des BGH kann der Konto­inhaber den Anscheinsbeweis erschüttern. Er muss dazu auch keinen konkreten und erfolgreichen Angriff gegen das ­Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann er auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und unter Beweis stellt (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14).

Schadensersatzanspruch der Bank bei grob fahrlässiger Pflichtverletzung des Kontoinhabers – § 675v Abs. 3 BGB

Der Umstand, dass die Bank im konkreten Einzelfall den ihr obliegenden Beweis der Autorisierung der streitigen Überweisung durch den Kontoinhaber nicht zu führen vermag, führt noch nicht zu ihrer Haftung. Sofern nämlich der Kontoinhaber den Schaden in betrügerischer ­Absicht ermöglicht oder durch grob fahrlässige Pflichtverletzung herbeigeführt hat, steht der Bank gemäß § 675v Abs. 3 BGB ein der Höhe nach unbegrenzter Schadensersatzanspruch zu. Diesen Schadensersatzanspruch kann die Bank zur Aufrechnung stellen, beziehungsweise ein solcher Schadensersatzanspruch steht nach § 242 BGB ­einer Haftung der Bank für nicht autorisierte Zahlungen entgegen.

Allerdings haftet der Kontoinhaber dann nicht, wenn die Bank keine starke Kundenauthentifizierung nach Art. 1 Abs. 24 ZAG verlangt (vgl. § 675v Abs. 4). Beim ­Onlinebanking ist die Bank bereits aufsichtsrechtlich dazu verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift (vgl. § 55 Abs. 1 Satz 1 Nr. 1 ZAG).

Das Urteil des LG Heilbronn vom 16.05.2023 – 6 O 10/23

Im Urteil vom 16.05.2023 (Az. 6 O 10/23) hatte das Landgericht Heilbronn sich damit zu befassen, ob dem klagenden Kontoinhaber gegenüber seinem Kreditinstitut ein Anspruch auf Erstattung von im Zusammenhang mit betrügerischen Anrufen (Social Engineering beim pushTAN-Verfahren) überwiesenen Beträgen zusteht. Das Landgericht hat die Klage abgewiesen. Es war der Auffassung, der Kunde habe grob fahrlässig seine Pflichten verletzt, so dass der Bank ein Erstattungsanspruch ­gemäß § 675v Abs. 3 BGB zustehe. Die beklagte Bank hatte im Rahmen des Prozesses den Vortrag des Klägers zugestanden, dass die streitigen Überweisungen nicht von ihm veranlasst worden seien. Mit den Grundsätzen der Darlegungs- und Beweislast sowie den Voraussetzungen eines Anscheinsbeweises hatte sich das Landgericht daher gar nicht auseinanderzusetzen.

Freilich hat das LG Heilbronn in einem Obiter Dictum ausgeführt, „dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstenutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis sehr hohe Wahrscheinlichkeit vermissen lässt, sondern auch das [im konkreten Streitfall] zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt“. Denn, so das Landgericht Heilbronn, die für die (angebliche) ­Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege werde damit aufgegeben (vgl. LG Heilbronn, Urteil vom 16.05.2023 – 6 O 10/23, juris Rn. 27). Das LG Heilbronn verweist hierzu auf einen Beitrag des ehemaligen Richters am XI. Zivilsenat in einem Bankrechtshandbuch (vgl. Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, Band I, 6. Aufl. 2022, § 33 Rz. 34 f. und 391).

Die Ausführungen des Landgerichts sind leider nicht überzeugend und erheblich unterkomplex (zu Recht kritisch daher Maume, in: BKR 2023, 767 ff.). Das Land­gericht übersieht, dass nach Art. 9 Abs. 2 der Delegierten Verordnung (EU) 2018/389 die von Art. 1 Abs. 24 ZAG ­geforderte Unabhängigkeit der Elemente auch bei ­Nutzung eines sogenannten Mehrzweckgeräts, wie etwa Tablet oder Smartphone, vorliegen kann. Art. 9 Abs. 2 und Abs. 3 der Delegierten Verordnung (EU) 2018/389 sehen besondere Sicherheitsmaßnahmen vor, um das Risiko, das sich aus der missbräuchlichen Verwendung des Mehrzweckgeräts ergeben würde, zu mindern. Dazu gehört etwa die Nutzung getrennter sicherer Ausführungs­umgebungen durch die im Mehrzweckgerät installierte Software (vgl. Art. 9 Abs. 3 lit. a); vgl. hierzu näher Mimberg, in: Schäfer/Omlor/Mimberg, ZAG, 2021, § 1 Rn. 461 ff., 484 ff.; Terlau, in: Casper/Terlau, ZAG, 3. Aufl. 2023. § 1 Rn. 513 ff.). Es ist daher verfehlt, eine starke Kundenauthentifizierung deshalb zu verneinen, weil die Apps auf einem Mehrzweck­gerät gespeichert sind. Hinweise auf Studien aus den ­Jahren 2015 und 2016 sind ­daher ebenfalls unangebracht. Diese Studien beziehen sich technologisch auf eine Welt von gestern. Demgegenüber geht die herrschende Auffassung in der Welt von heute unter Hinweis auf die europarechtlichen Vorgaben zutreffend davon aus, dass eine starke Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG auch bei Einsatz eines Mehrzweckgeräts bejaht werden kann (vgl. Mimberg, in: Schäfer/Omlor/Mimberg, ZAG, 2021, § 1 Rn. 461 ff., 484 ff.; Terlau, in: Casper/Terlau, ZAG, 3. Aufl. 2023, § 1 Rn. 513 ff.).

Fazit

Das Urteil des Landgerichts Heilbronn bietet ein anschauliches Beispiel dafür, dass bei der Lösung zahlungsverkehrsrechtlicher Fälle die normativen Grundlagen rechtlicher Argumente nicht aus dem Blick geraten sollten. Das Urteil des Landgerichts vermag jedenfalls in seiner Begründung nicht zu überzeugen. Es bleibt abzuwarten, ob sich weitere Gerichte dieser Auffassung anschließen werden. Ein Ende des Onlinebankings, wie wir es kennen, ist derzeit jedenfalls nicht in Sicht.

 

Autor

Daniel Latta Luther Rechtsanwaltsgesellschaft mbH, Berlin Rechtsanwalt, Partner daniel.latta@luther-lawfirm.com www.luther-lawfirm.com

Daniel Latta
Luther Rechtsanwaltsgesellschaft mbH, Berlin
Rechtsanwalt, Partner

daniel.latta@luther-lawfirm.com
www.luther-lawfirm.com

Themen

Aktuelle Beiträge

Europäische Aktiengesellschaft (SE) ohne vorheriges Verhandlungsverfahren möglich
AnwaltSpiegel
Europäische Aktiengesellschaft (SE) ohne vorheriges Verhandlungsverfahren möglich Die aktuelle Entscheidung des EuGH weiterlesen
Ein Jahr Hinweisgeberschutzgesetz
AnwaltSpiegel
Ein Jahr Hinweisgeberschutzgesetz Im Blickpunkt: Erste Praxiserfahrungen weiterlesen
Das Sabbatical
AnwaltSpiegel
Das Sabbatical Chancen und rechtliche Rahmenbedingungen einer Auszeit von der Arbeit weiterlesen
© 2024 Deutscher AnwaltSpiegel