Täter finden immer neue Wege, die Sicherungssystem beim
Onlinebanking zu umgehen. Bisher musste zunächst der Kunde den Anschein
technischer Sicherheit im Schadensfall widerlegen. Der BGH (Urteil vom 26.
Januar 2016; Aktenzeichen XI ZR 91/14) hat diesen für die Banken wirkenden
sog. „Anscheinsbeweis“ technischer Sicherheit in diesem Urteil eingeschränkt
und damit den Opferschutz gestärkt.Wenn beim
Online-Banking Geld vom Konto verschwindet, ohne das der Kontoinhaber sich
einer Schuld bewusst ist, hat er ein Problem. Da sich in seinem Besitz die PIN
befindet und die Verfügung scheinbar auch nur möglich ist, wenn er eine TAN
erhalten und eingesetzt hat, wird unterstellt, dass er die Verfügung auch
getätigt bzw. „autorisiert“ haben muss (Anscheinsbeweis). Bisher musste der
Kunde als erstens einen Geschehensablauf darstellen, der die Möglichkeit
nahelegt, dass Dritte missbräuchlich auf sein Konto zugegriffen haben
(Erschütterung des Anscheinsbeweises). Denn es wurde zugunsten der Bank
unterstellt, dass das PIN/TAN-System sicher ist. Für den technisch nicht sehr
versierten Bankkunden treten bei Schadensfällen so nicht selten akute und
nicht zu überwindende Beweisprobleme auf.
Der BGH hatte folgenden Fall zu entscheiden:
Klägerin war eine Sparkasse. Zunächst war nach Störungen im
Online-Bankingsystem der Sparkasse aus ungeklärten Umständen auf dem Konto der
GmbH ein Geldbetrag von 238.785,20 Euro eingegangen. Bevor die Sparkasse das
Geld zurückbuchen konnte, wurde eine Überweisung mittels der gültiger PIN und
einer TAN veranlasst, mit der 235.000 Euro auf das Konto eines Rechtsanwalts
transferiert wurden. Daraufhin kündigte die Sparkasse das Girokonto und
forderte von der GmbH den Betrag von 235.000,00 Euro zurück.
Nachdem in den Vorinstanzen die Sparkasse Recht bekommen
hatte, gelangte der BGH zu einer anderen Betrachtungsweise (BGH, ).
Zunächst wurde festgestellt, dass der Geschäftsführer der
GmbH über die PIN verfügte und am smsTAN-Verfahren teilnahm. Ob sich die
Sparkasse jedoch auf den Anscheinsbeweis berufen und davon ausgehen könne,
dass der Zahlungsvorgang vom Kontoinhaber oder einem Bevollmächtigten
autorisiert worden sei, könne daraus nicht zwingend abgeleitet werden. Bei
strittigen Online-Überweisungen kommt dem Anscheinsbeweis regelmäßig eine hohe
Bedeutung zu, weil das Geldinstitut einen Überweisungsauftrag als autorisiert
betrachten darf, wenn davon auszugehen ist, dass eine missbräuchliche
Transaktion nur durch grob fahrlässige Verletzung der Sorgfaltspflichten durch
den Kontoinhaber ermöglicht wurde.
Doch mit Blick auf zuweilen
auch erfolgreiche Hacker-Angriffe auf Zahlungssysteme hat der BGH
festgestellt, das der Anscheinsbeweis nur unter bestimmten Voraussetzungen
geführt werden kann. Nur wenn geklärt sei, dass das im konkreten Fall
eingesetzte Autorisierungsverfahren zum Zeitpunkt der strittigen Überweisung
praktisch unüberwindbar sei, könne der Anscheinsbeweis ins Feld geführt
werden.
Weil diese Klärung in den Vorinstanzen nicht durchgeführt
worden ist, hob der BGH das Urteil des OLG Schleswig auf und verwies den Fall
wieder dorthin zurück.
Die Konsequenzen für die künftige Rechtsprechung: Bei
missbräuchlicher Verwendung von Authentifizierungsdaten für Bankgeschäfte muss
in einem ersten Schritt immer festgestellt werden, ob das Transaktionssystem
auch wirklich unüberwindbar ist. Den Nachweis muss die Bank oder Sparkasse
führen. Erst wenn dies positiv feststeht, darf die Bank sich gegenüber dem
Kunden weiter auf den Anscheinsbeweis der technischen Sicherheit berufen.