­

BGH stärkt Rechte von Bankkunden im Online-Banking

Viele Jahre geht beim Online-Banking alles gut. Plötzlich verschwindet jedoch viel Geld vom Konto des Bankkunden, weil Kriminelle das bislang sicher geglaubte mTAN-Verfahren gehackt haben. Was gilt, wenn sich die Bank weigert, den Schaden zu regulieren? Nach dem Urteil des Bundesgerichtshofs vom 26.01.2016 (Az.: XI ZR 91/14) haben Bankkunden, von deren Konten ohne ihr Wissen Überweisungen getätigt werden, bessere Chancen ihr Geld zurückzuerhalten.

Sachverhalt

Ein Unternehmen unterhielt bei einer Sparkasse ein Geschäftsgirokonto, für das seit März 2011 das Online-Banking-Verfahren eingerichtet wurde. Die Bank gab hierzu eine persönliche Identifikationsnummer (PIN) heraus, die dem Kontoinhaber jederzeit den Zugriff auf das Konto ermöglichte. Durch Übermittlung einer Transaktionsnummer per SMS über eine Mobilfunknummer konnten einzelne Zahlungsvorgänge freigegeben werden. Im Zuge von Störungen im Online-Banking-System der Bank kam es innerhalb von vier Tagen auf dem Geschäftskonto zu insgesamt 2 unberechtigten Überweisungen. So wurden einem Fitnessstudio zunächst knapp 47.500 Euro und später weitere rund 191.500 Euro überwiesen. Noch bevor der Betrag zurückgebucht werden konnte, transferierte das Fitnessstudio ein Großteil des Betrages auf das Konto eines Rechtsanwaltes. In Höhe der beiden Beträge verlangte der Kunde Schadenersatz von seiner Bank. Mit der Begründung, dass dieser grob fahrlässig gehandelt habe, verweigerte das Geldinstitut jedoch jegliche Zahlung. Schließlich habe der Kunde auf seinem Mobiltelefon Apps gehabt, die aus unsicheren Quellen stammten. Mit dem Hinweis auf die Sicherheit des mTAN-Verfahrens lehnte die Sparkasse die Haftung grundsätzlich ab. Aufgrund dessen erhob der Bankkunde Klage vor dem Lübecker Landgericht.

Klage in allen Instanzen erfolgreich

Sowohl vor dem Landgericht (Az.: 3 O 418/12) wie auch vor dem Oberlandesgericht Schleswig-Holstein (Az.: 5 U 87/13) bekam der Bankkunde Recht. Nach Auffassung der Richter müsse die Bank nachweisen, dass es sich bei den strittigen Zahlungsvorgängen um solche handle, die seitens des Kunden autorisiert wurden. Demzufolge liegt es nicht an diesem, zu beweisen, dass er einer Phishing Attacke zum Opfer gefallen ist und die Überweisungen von unberechtigten Dritten erfolgten. Die Gerichte stellten zudem klar, dass es nicht ausreicht, wenn die Bank die Zahlungsaufträge elektronisch aufzeichne. Weil die Sparkasse mit dieser Entscheidung nicht einverstanden war, legte sie Revision vor dem Bundesgerichtshof (BGH) in Karlsruhe ein.

Anscheinsbeweis setzt Sicherheit des verwendeten Authentifizierungsverfahrens voraus

Doch auch vor dem BGH hatte das Geldinstitut das Nachsehen. Für eine autorisierte Zahlung spreche nach Ansicht der Richter auch kein Anscheinsbeweis, wenn die Legitimation unter Nutzung der dem Bankkunden zur Verfügung gestellten TAN, PIN und Benutzernamen erfolgt. Denn die Grundsätze des Anscheinsbeweises können nach Auffassung des Gerichts nur dann in Betracht kommen, wenn die praktische Sicherheit des verwendeten Authentifizierungsverfahrens und dessen Einhaltung im Einzelfall gewährleistet ist. In diesem Zusammenhang ist der Kunde selbst nicht dazu verpflichtet, technische Fehler am Authentifizierungsverfahren nachzuweisen. In dem hier verhandelten Fall bedeute es jedoch nicht, dass der Anscheinsbeweis nicht in Frage kommen könne. Vielmehr müsse das Berufungsgericht notwendige Feststellungen zur praktischen Unüberwindbarkeit des Systems treffen. Aus diesem Grund verwies der BGH den Fall wieder an das Oberlandesgericht zurück. Auch wenn es sich hierbei um ein Geschäftsgirokonto handelt, dürfte das Urteil erhebliche Auswirkungen auf die Geschäftsbeziehung zwischen Banken und Verbrauchern haben.

­