Im Bereich des kartengebundenen Zahlungsverkehrs ging es wie in den Vorjahren überwiegend um die Frage der Haftung für Schäden aufgrund missbräuchlicher Verwendung abhanden gekommener Zahlungskarten. Fast regelmäßig werden mit der Originalkarte unter korrekter Eingabe der PIN Abhebungen vom Konto vorgenommen. Signifikant viele Antragsteller, denen die Karte abhandengekommen war, verlangten von der Bank die Wiedergutschrift eines unter Verwendung der PIN verfügten Betrags mit der Begründung, die Transaktion sei nicht von ihnen autorisiert worden.
Der Kontoinhaber hat seine Bankkarte mit besonderer Sorgfalt aufzubewahren, um zu verhindern, dass sie abhandenkommt oder missbräuchlich verwendet wird. Außerdem hat der Karteninhaber dafür Sorge zu tragen, dass keine andere Person Kenntnis von der persönlichen Geheimzahl (PIN) erlangt. Die PIN darf insbesondere nicht auf der Karte vermerkt oder in anderer Weise zusammen mit dieser aufbewahrt werden, um die Gefahr missbräuchlicher Verfügungen abzuwehren. Der Streitschlichter gab den Antragstellern recht, wenn der von der Rechtsprechung entwickelte Beweis des ersten Anscheins, dass bei missbräuchlicher Verwendung unter Eingabe der zutreffenden PIN-Nummer entweder der Karteninhaber die Abhebungen selbst vorgenommen hat oder ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte (vergleiche BGH vom 29. November 2011, XI ZR 370/10; BGH vom 5. Oktober 2004, XI ZR 210/03), vom Antragsteller erfolgreich widerlegt werden konnte. Im Fall D 37/22 ist dies dem Antragsteller gelungen, weil die übereinstimmende Schilderung des Sachverhalts auch solche Tatverläufe nicht ausschloss, die gerade kein grob fahrlässiges Verhalten des Bankkunden indiziert:
Die Antragstellerin verlangt von der Antragsgegnerin die Wiedergutschrift von 1.985,00 Euro, die ihrem Konto infolge missbräuchlicher Verfügungen belastet wurden. Begründet wird dies im Wesentlichen wie folgt:
„Am 18. November 2021 bezahlte meine Mandantin ihre Einkäufe bei der Aldi Nord Filiale in Eutin im Industriegebiet mit ihrer Geld-Karte. Im Anschluss begab sie sich in die Edeka-Filiale in der Freischützstraße. Auch hier wollte sie ihre Einkäufe an der Kasse mit der Geld-Karte bezahlen. Sie musste jedoch an der Kasse feststellen, dass man ihr die Geldbörse mit der Karte aus ihrem mitgeführten Rucksack entwendet hatte. Wann der Diebstahl erfolgte, konnte nicht festgestellt werden. Die PIN war jedoch nicht verschriftlicht und wurde nicht in der Geldbörse oder dem Rucksack verwahrt.
Meine Mandantin begab sich unverzüglich zur Filiale der Volksbank in der Königstraße, nachdem sie den Diebstahl bemerkt hatte. Ein Telefonat wurde ihr in der Edeka-Filiale verwehrt.
Es wurde festgestellt, dass vor der Sperre der Karte zwei unautorisierte Kartenverfügungen vorgenommen worden waren, und zwar in Höhe von 1.500 Euro sowie in Höhe von 485.00 Euro.“
Die Bank geht von einem sorgfaltswidrigen Verhalten der Antragstellerin aus und tritt dem Schlichtungsantrag unter anderem wie folgt entgegen:
„Folgende Einkäufe von Frau D. sind auf dem Konto ersichtlich, die Frau D. im Zuge ihrer Einkäufe am 18. November 2021 getätigt hat, und die nicht von ihr beanstandet wurden:
1. Aldi
Betrag: 14,10 Euro um 13:50 Uhr = Zahlung ist in Ordnung laut Frau D.
Basislastschrift mit PIN-Eingabe/keine Fehlversuche bei der PIN-Eingabe2. Rossmann
Betrag: 7,44 Euro um 14:16 Uhr = Zahlung ist in Ordnung laut Frau D.
Basislastschrift ohne PIN-EingabeNach dem Einkauf bei Rossmann muss Frau D. dann zum Edeka Markt gegangen sein, um dort weitere Einkäufe zu erledigen. Hier wurde ihr dann (gemäß Anzeige) ihre Debitkarte gestohlen.
Bereits um 14:29 Uhr (1.500 Euro) und um 14:30 Uhr (485 Euro) wurden an unserem Geldautomaten in der Freischützstraße (ca. 100 Meter Entfernung zum Edeka Markt) die Verfügungen getätigt, bei denen Frau D. schon nicht mehr in Besitz ihrer Karte war.
Dies wirft die Frage auf, wie der oder die Diebe in nur 13 Minuten in Besitz der Geheimzahl für die Verfügungen an unserem Geldautomaten kommen konnte.
Eine Berechnung der Geheimzahl in so kurzer Zeit ist nach derzeitigem Stand der Technik nicht möglich. Also verbleibt nur die Möglichkeit, dass Frau D. ihre Geheimzahl in der Nähe ihrer Debitkarte in ihrer Geldbörse aufbewahrt hat oder dass sie ‚unvorsichtig‘ bei der Eingabe der Geheimzahl beim Einkauf im Aldi-Markt vorgegangen ist.
Bei beiden Verfügungen an unserem Geldausgabeautomaten gab es bei der Eingabe der Geheimzahl keine Fehlversuche.
Eine allgemeine Kartensperre wurde am 18. November um 15:23 erfasst.“
Der zulässige Schlichtungsantrag ist begründet und sollte zur Wiedergutschrift der streitigen Kontobelastungen führen.
Die Voraussetzungen, unter denen eine Eigenhaftung des Kunden (Karteninhabers) vorliegt, sind im gegebenen Fall entgegen der Annahme der Bank nicht erfüllt.
In rechtlicher Hinsicht handelt es sich bei einem missbräuchlichen Karteneinsatz um einen Zahlungsauftrag im Sinne von §§ 675 n folgende BGB. Wenn es insoweit an einem autorisierten Auftrag des Kontoinhabers, hier also der Antragstellerin, fehlt und eine missbräuchliche Verfügung vorliegt, besteht nach § 676 u BGB kein Aufwendungsersatzanspruch zugunsten der Bank im Sinne von §§ 670, 675 Absatz 1 BGB. Die Bank darf das Konto wegen einer solchen Verfügung also grundsätzlich nicht belasten. Auch nach der Darstellung der Bank besteht kein Hinweis auf eine Autorisierung durch die Antragstellerin.
Die Antragstellerin hätte allerdings dann keinen Anspruch auf eine Wiedergutschrift, wenn der Bank ein deckungsgleicher Schadensersatzanspruch wegen Vertragsverletzung im Sinne von § 280 Absatz 1 BGB zustünde, mit dem sie das Konto doch belasten durfte. Eine solche Eigenhaftung von Kunden für die missbräuchliche Verwendung von Karten besteht nach dem Gesetz und gemäß Nummer 7.1 der vertraglichen Sonderbedingungen dann, wenn die Verwendung durch eine grob fahrlässige Verletzung der Sorgfalts- und Mitwirkungspflichten des Karteninhabers im Sinne von § 675 v Absatz 3 Nummer 2 BGB ermöglicht wurde.
Eine grob fahrlässige Sorgfaltswidrigkeit setzt voraus, dass der Kunde dasjenige unbeachtet gelassen hat, was an sich jedem einleuchten muss (BGH, Urteil vom 29. Januar 2003 – IV ZR 173/01 – Neue Juristische Wochenschrift (NJW) 2003, 1118, 1119 mit weiteren Nachweisen). Darlegungs- und beweispflichtig ist insoweit die Bank, weil sie nach § 675 w Satz 4 BGB unterstützende Beweismittel für ein grob fahrlässiges Verschulden aufzeigen muss. Das ist der Bank aber nicht gelungen.
Zugunsten einer Bank kann zwar in den Fällen, in denen – wie auch hier – unter Verwendung der zutreffenden Prüfnummer Umsätze getätigt wurden, der Beweis des ersten Anscheins dafür sprechen, dass entweder der Karteninhaber die Abhebung selbst vorgenommen hat, was hier auch mit der Stellungnahme der Bank nicht eingewendet wird, oder dass ein Dritter von der Geheimnummer nur deswegen Kenntnis erlangen konnte, weil diese gemeinsam mit der Karte verwahrt wurde (vergleiche BGH, Urteil vom 29. November 2011 – XI ZR 370/10, juris; Urteil vom 5. Oktober 2004 – XI ZR 210/03, juris; Beschluss vom 6. Juli 2010 – XI ZR 224/09, juris). In solchen Fällen scheidet eine Gutschrift zugunsten des Kunden aus.
Dieser Anscheinsbeweis kann aber entkräftet werden. Das ist vorliegend auch geschehen. Dies setzt nicht voraus, dass der Karteninhaber darzulegen und zu beweisen hätte, wie der Täter im Einzelnen – ohne eigenes Verschulden des Karteninhabers – vorgehen konnte, denn dies käme systemwidrig einer gegen § 675 w Satz 3 BGB verstoßenden unwiderleglichen Beweislastumkehr gleich (vergleiche BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Entscheidungen des Bundesgerichtshofes in Zivilsachen (BGHZ) 208, 331–357, juris; Erfurth, WM 2006, 2198, 2206). Zur Erschütterung des Anscheinsbeweises reichen vielmehr die Darlegung und gegebenenfalls der Nachweis von Tatsachen aus, die die ernsthafte Möglichkeit eines untypischen alternativen Geschehens im Sinne eines Missbrauchs beinhalten (vergleiche dazu BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, BGHZ 208, 331–357, juris; vergleiche ferner Urteile vom 3. Juli 1990 – VI ZR 239/89, juris; vom 17. Januar 1995 – X ZR 82/93, juris).
Im gegebenen Fall liegt schon deshalb kein typischer Hergang im Sinne eines Anscheinsbeweises im aufgezeigten Sinne vor, weil mehrere Tatvarianten in Betracht kommen, wovon jedenfalls eine nicht per se den Rückschluss auf ein grob fahrlässiges Verhalten zulässt. Dabei ist die Variante der gemeinsamen Aufbewahrung von Karte und PIN zwar nicht schlechthin ausgeschlossen. Es kommt aber auch die Tatalternative eines Ausspähens in Betracht, die nach der Rechtsprechung keineswegs ein jedenfalls sorgfaltswidriges Verhalten im Sinne grober Fahrlässigkeit indiziert. Der nähere zeitliche Zusammenhang zwischen Ausspähen und der Entwendung der Karte (BGH, Urteil vom 5. Oktober 2004 – XI ZR 210/03, BGHZ 160, 308–321, juris) ist hier jedenfalls gewahrt, denn es kam unmittelbar im Vorfeld der Entwendung und zum Missbrauch zu Karteneinsätzen.
Im Falle mehrerer in Betracht kommender Kausalabläufe muss der Anscheinsbeweis scheitern, weil das Vorliegen mehrerer potenzieller Abläufe, für die der Karteninhaber aber nur in einer Variante haften muss, schon keinen typischen Hergang mehr umschreibt, der überhaupt den Anwendungsbereich des Anscheinsbeweises eröffnen könnte. Soweit in der Rechtsprechung gefordert worden ist, dass der Karteninhaber jedenfalls die tatsächlichen Voraussetzungen für das Vorliegen von mehreren Kausalzusammenhängen darlegen müsse (Landgericht (LG) Frankfurt, Urteil vom 26. September 2005 – 2–25 O 614/03, juris), so ergeben sich im vorliegenden Fall keine diesbezüglichen Schwierigkeiten, denn auch nach der Darstellung der Bank kommen beide Varianten in Betracht.
Bei dieser Sachlage kann der Argumentation der Bank nicht gefolgt werden, die letztlich darauf abzielt, gleichsam einen weiteren Anscheinsbeweis zu generieren, und zwar des Inhalts, dass auch ein etwaiges Ausspähen jedenfalls sorgfaltswidrig gewesen wäre. Natürlich kann auch ein Ausspähen vom Karteninhaber auf grob fahrlässige oder sogar vorsätzliche Weise ermöglicht werden. Das bedarf indessen konkreter Feststellung, ohne dass die tatsächlichen Voraussetzungen hierfür im gegebenen Fall feststünden. Wie bereits der BGH in seiner grundlegenden Entscheidung (Urteil vom 5. Oktober 2004 – XI ZR 210/03, BGHZ 160, 308–321, juris) ausgeführt hat, kommt ein Ausspähen durchaus als Alternativgeschehen in Betracht, das gerade nicht in den Bereich grober Fahrlässigkeit fallen muss. Bloßes Argwöhnen, dass die Antragstellerin in diesem Sinne nachlässig vorgegangen sei, rechtfertigt noch nicht den positiven Rückschluss auf ein solchermaßen fahrlässiges Verhalten. Das Vorliegen eines so hohen Verschuldensgrads hängt vielmehr von den Begleitumständen ab, namentlich von der Gestaltung der jeweiligen Örtlichkeit, dem vorhandenen Sichtschutz, der Kundenfrequenz im Kassenbereich oder der Möglichkeit eines versteckten Ausspähens bis hin zum Einsatz optischer oder technischer Hilfsmittel. Die unterschiedlichen Gegebenheiten können dabei auch zur Annahme verschiedener Verschuldensgrade führen, etwa einer nur leichten Fahrlässigkeit (nach der Diktion der Bank eines ‚unvorsichtigen‘ Verhaltens), die sich aber noch nicht haftungsbegründend auswirkt.
Zu all dem sind mir auch anhand der von der Bank unterbreiteten Stellungnahme keine Feststellungen möglich. Konkrete Beweismittel, die den von der Bank gehegten Verdacht eines pflichtwidrigen Verhaltens im Sinne von § 675 w Satz 4 BGB erhärten könnten, liegen nicht vor. Die Bank beschränkt sich letztlich auf eine bloße Mutmaßung, die nicht die konkrete Feststellung eines haftungsbegründenden Sachverhalts zulässt.
Die Bank sollte daher wiedergutschreiben.
Auffallend häufig haben Bankkunden auch in diesem Berichtszeitraum vorgetragen, dass Trickbetrüger sich der persönlichen Zugangsdaten bemächtigten und missbräuchliche Verfügungen über erhebliche Beträge vornahmen. Da bei diesen Fällen eine vom Kunden autorisierte Zahlungsanweisung regelmäßig nicht festgestellt werden kann, hängt der Erfolg dieser Anträge auf Streitschlichtung davon ab, ob es der Bank gelingt, dem Kunden ein grob fahrlässiges Verhalten nachzuweisen.
Im folgenden Schlichtungsvorschlag G 20/22 stellte der Streitschlichter trotz gegebener grob fahrlässiger Verletzung von Pflichten durch den Bankkunden fest, dass der überwiegende Schaden daher rührte, dass die Bank eine wirksame Vereinbarung über eine Erhöhung eines Tageslimits nicht nachgewiesen hat, ohne die der Schaden wesentlich geringer ausgefallen wäre, sodass der Antrag auf Streitbeilegung teilweise begründet war:
Der Antragsteller, ein Steuerberater, verlangt von der Bank die Wiedergutschrift rechtsgrundlos belasteter Beträge, und zwar einmal auf seinem eigenen Konto und zum anderen auf dem Konto eines Mandanten, Herrn F., das er aufgrund notarieller Vollmacht verwaltet. Von seinem Konto sind am 1. Oktober 2021 gegen 12:00 Uhr sechs nicht von ihm autorisierte Überweisungen in Höhe von insgesamt 49.950 Euro ausgeführt worden und vom Konto des Herrn F. eine Überweisung in Höhe von 8.009 Euro, und zwar auf Konten bei einer französischen Bank. Für das Konto des Antragstellers habe man, wie zuletzt vom Antragsteller vorgetragen, ein Tageslimit von 2.500 Euro und für das Konto von Herrn F. ein Tageslimit von 10.000 Euro vereinbart.
Der Antragsteller geht davon aus, auf einen Trick hereingefallen zu sein. Am Freitag, dem 1. Oktober 2021, habe er versucht, die vermeintlich von der Bank durch eine E-Mail angemahnte zeitnahe Umstellung seines Kontos auf das Format „SecureGo Plus“ über eine E-Mail zu veranlassen. Für diesen Vorgang legt er die Kopie einer E-Mail vom 1. Oktober 2021 vor, in der er zum Aktivieren der „SecureGo Plus“ aufgefordert und ihm gleichzeitig mitgeteilt wird, dass die Einweg-TAN per SMS an die angegebene Telefonnummer zugesandt worden sei. Er habe daraufhin den Aktivierungscode und seine PIN eingegeben, aber keine TAN. Dann sei die Verbindung abgebrochen.
Der Antragsteller wendet sich gegen einen Schadensersatzanspruch aus § 675 v Absatz 3 BGB, dessen Voraussetzungen die Bank darzulegen habe. Es habe sich um einen Phishing-Fall gehandelt. Er habe Daten weitergegeben, die er besser nicht weitergeben hätte. Es sei ihm aber nicht bewusst, was er falsch gemacht habe. Die E-Mail habe auf ihn vertrauenswürdig gewirkt und dem Design der Bank entsprochen. Die Angabe einer TAN auf einer täuschend echt gestalteten Homepage sei nicht als grob fahrlässig im Sinne des § 675 v BGB anzusehen, später behauptet er keine TAN angegeben zu haben. Er habe versucht, aufgrund einer E-Mail das SecureGo-Plus-Verfahren einzurichten. Dazu habe er den Aktivierungscode und die PIN eingegeben. Dann sei die Verbindung abgebrochen.
Der Antragsteller verweist darauf, dass der eingetretene Schaden das mit ihm vereinbarte tägliche Umsatzlimit deutlich überstiegen habe, und widerspricht der Behauptung der Bank, dass er das Tageslimit für sein Konto auf 50.000 Euro erhöht habe. Eine entsprechende Mitteilung habe er erst Wochen später erhalten. Die Möglichkeit, das Limit online zu erhöhen, habe früher nicht bestanden. Das Tageslimit vermittele im Übrigen das Gefühl von besonderer Sicherheit. Für das Konto von Herrn F. habe die Möglichkeit, das Limit online zu erhöhen, nicht bestanden.
Die Bank lehnt es ab, den Kontostand zu korrigieren, weil der Antragsteller grob fahrlässig gehandelt habe, denn er habe aufgrund einer Phishing-E-Mail besonders schützenswerte persönliche Zugangsdaten weitergegeben, was dazu geführt habe, dass der Täter das neue Onlinebanking-Verfahren freischalten und die Überweisungen auslösen konnte. Die Weitergabe der sensiblen Daten sei ursächlich für die missbräuchlichen Verfügungen durch die Täter.
Die Beschwerde ist teilweise begründet.
a) Mit Rücksicht auf die fehlende Autorisierung der ausgeführten Überweisungen, mit deren Gegenwert die Bank die Girokonten des Antragstellers und des Herrn F. belastet hat, ist die Bank nach § 675 u Satz 1 und Satz 2 Halbsatz 2 BGB grundsätzlich verpflichtet, die betroffenen Konten wieder auf den Stand zu bringen, auf dem sie sich ohne die Belastung mit den nicht autorisierten Überweisungen befunden hätten (BGHZ 227, 343, Randnummer 12 = WM 2021, 174; BGHZ 216, 184, Randnummer 17 = WM 2017, 2306, Randnummer 17; BGHZ 205, 377, Randnummer 23 = WM 2015, 1631); denn der Bank steht mangels Autorisierung der Überweisungen durch den Antragsteller als Kontoinhaber oder Bevollmächtigter (§ 675 j Absatz 1 BGB) keine Ansprüche auf Aufwendungsersatz zu (§ 675 u Satz 1 BGB; Nummer 10.1 Sonderbedingungen für das Onlinebanking; Nummer 2.3.1 Satz 1 Sonderbedingungen für den Überweisungsverkehr), mit denen sie das Konto des Antragstellers oder des Herrn F. belasten konnte.
b) Eine solche Korrektur der Kontostände durch entsprechende Gutschriften, lässt man das Tageslimit zunächst außer Acht (unten c), wäre allerdings entbehrlich, wenn der Bank nach § 675 v Absatz 3 Nummer 2 BGB und Nummer 10.2.1 Absatz 3 Satz 1 Sonderbedingungen für Onlinebanking ein betragsgleicher, buchungsfähiger Anspruch auf Ersatz ihres Schadens wegen der Ausführung der unautorisierten Auszahlungen zustünde. Die Bank muss dann also nicht zunächst den Berichtigungsanspruch des Kontoinhabers aus § 675 u Satz 2 BGB (oben a) erfüllen, bevor sie einen eigenen Schadensersatzanspruch geltend macht. Besteht ein Schadensersatzanspruch, kann sie eine Gutschrift nach § 675 u Satz 2 BGB in Höhe des Anspruchs gemäß den Grundsätzen von Treu und Glaubens (§ 242 BGB) verweigern (BGHZ 227, 343, Randnummer 25 = WM 2021, 174; LG Essen, WM 2015, 2098, 2099).
Der Antragssteller trägt vor, dass er am 1. Oktober 2021 Opfer einer sogenannten Phishing-Mail geworden sei und dem Betrüger die Zugangsdaten für sein Onlinebanking mitgeteilt habe. Dies bedeutet nach Nummer 10.2.1 Absatz 3 Satz 2 dritter Spiegelstrich der Sonderbedingungen für das Onlinebanking eine grob fährlässige Verletzung der Pflicht zur Geheimhaltung von Authentifizierungselementen nach Nummer 7.2 Absatz 2a) zweiter Spiegelstrich Sonderbedingungen für das Onlinebanking; denn er hat die Daten außerhalb des Onlinebanking in Textform, nämlich per E-Mail, weitergegeben. Beim Onlinebanking richtet die Bank für den Kunden eine Internetadresse ein, über die seine Zahlungsvorgänge abgewickelt werden und auch die Kommunikation mit der Bank stattfindet. Eine Kontaktaufnahme seitens der Bank durch E-Mail, wie sie hier angeblich vorliegt, fällt erkennbar aus dem banküblichen Rahmen. So führt das LG Essen aus, einem durchschnittlichen Verwender der Onlinebanking-Funktionen seiner Bank müsse bekannt sein, dass keine Bank jemals mittels E-Mail sensible Daten von ihm abfragt (LG Essen, WM 2015, 2098, 2000). Der Antragsteller und Herr F. sind deshalb grundsätzlich verpflichtet, den Schaden der Bank aus den unautorisierten Überweisungen in vollem Umfang zu ersetzen (§ 675 v Absatz 3 BGB, Nummer 10.2.1 Absatz 3 Satz 1 Sonderbedingungen für das Onlinebanking).
c) Allerdings beschränkt sich diese Haftung bei Schäden, die innerhalb des vereinbarten Verfügungslimits verursacht worden sind, auf das vereinbarte Verfügungslimit (Nummer 10.2.1 Absatz 5 Sonderbedingungen für das Onlinebanking). Der Antragsteller hat das mit ihm vereinbarte Tageslimit zunächst mit 10.000 Euro angeben und anschließend für sein Konto auf 2.500 Euro korrigiert. Die Behauptung der Bank, das Limit sei, von wem auch immer, auf 50.000 Euro erhöht worden, ist nicht erheblich; denn nach Nummer 1 Absatz 3 Satz 2 der Sonderbedingungen für das Onlinebanking bedarf es für eine Änderung des vereinbarten Verfügungslimits einer gesonderten Vereinbarung des Teilnehmers mit seiner Bank. Dazu hat die Bank nichts vorgetragen. Die unautorisierten Überweisungen sind alle am 1. Oktober 2021 ausgeführt worden, sodass der vom Antragsteller zu ersetzende Schaden sich auf 2.500 Euro beschränkt.
Bei dem Konto von Herrn F. bleibt der Schadensbetrag unterhalb des Limits. Der Stand des Kontos des Antragstellers ist durch eine Gutschrift in Höhe von 47.450 Euro zu korrigieren.