Project Description
BGH, Urteil vom 26.1.2016 – XI ZR 91/14 – “Wer muss was bei strittigen Zahlungsaufträgen im Online-Banking beweisen?”
Die Beklagte unterhielt bei einer klagenden Sparkasse ein Girokonto. Der Geschäftsführer der Beklagten erhielt eine persönliche Identifikationsnummer (PIN), mit welcher er auf das Girokonto zugreifen konnte. Um einzelne Zahlungsvorgänge auszulösen, musste eine per SMS übermittelte Transaktionsnummer (smsTAN) eingegeben werden. Im Online-Banking-System der Klägerin ist es zu Störungen gekommen. Aus nicht geklärten Umständen wurden dem Geschäftskonto der Beklagten fehlerhaft Beträge in Höhe von EUR 47.498,95 und in Höhe von EUR 191.576,25 gutgeschrieben. Die klagende Sparkasse veranlasste am 15. und 17.07.2011 Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18.07.2011 ausgeführt worden sind. Bereits am Freitag, dem 15.07.2011 um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von EUR 235.000,00 vom Konto der Beklagten auf ein Drittkonto vorgenommen. Die Beklagte bestreitet, die Überweisung getätigt zu haben. Die Überweisung wurde am Montagmorgen des 18.7.2011 ausgeführt. Nachdem zeitgleich auch die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag zulasten der Beklagten, den die Klägerin von ihr verlangt.
In den ersten beiden Instanzen hatte die Zahlungsklage der Sparkasse Erfolg. Der Bundesgerichtshof hebt das Berufungsurteil auf und verweist die Sache mangels Entscheidungsreife zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurück.
Denn ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang umstritten, hat die Bank als Zahlungsdienstleister bei der Verwendung eines Zahlungsauthentifizierungsinstruments (hier nämlich des Online-Banking-Verfahrens) nach § 675 w S. 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (d.h. PIN und smsTAN) tatsächlich genutzt und mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat zwar die klagende Bank geführt. Nach § 675 w S. 3 BGB genügt dies aber nicht notwendigerweise, um der Bank den obliegenden Beweis der Autorisierung durch den Kontoinhaber zu führen. Trotzdem kann sich die Bank auf den so genannten Anscheinsbeweis berufen, da § 675 w S. 3 BGB dies nicht ausschließt. Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises ist aber die allgemeine praktische Sicherheit der Authentisierung und dessen Einhaltung im konkreten Einzelfall. Auch wenn erfolgreiche Angriffe auf Sicherheitssysteme von Online-Banking-Systemen bekannt sind, fehlt keine Grundlage für die Anwendung des Anscheinsbeweises. Der Anscheinsbeweis ist eine Methode der mittelbaren Beweisführung. Aus typischen Geschehensabläufen sind Schlüsse auf bestimmte Erfahrungssätze von zu beweisenden Tatsachen, im vorliegenden Fall die Autorisierung des Zahlungsvorganges, zulässig
Diesen Anscheinsbeweis kann der Kontoinhaber wiederum erschüttern, wobei nicht zwingend die Behauptung und gegebenenfalls der Nachweis technischer Fehler durch den Kontoinhaber notwendig ist. Das Berufungsgericht hat diese Voraussetzungen verkannt und die Feststellungen der Voraussetzungen dieses Anscheinsbeweises sowie der Umstände zu deren Erschütterung nicht getroffen.
Demnach wurde vom Bundesgerichtshof klargestellt, dass die bekannten Sicherheitslücken und erfolgreiche Angriffe auf Online-Systeme den so genannten Anscheinsbeweis zu Gunsten der Bank nicht ausschließen und dass die Erschütterung dieses Anscheinsbeweises nicht den Nachweis technischer Fehler durch den Kontoinhaber bedarf.