e) Zahlungsverkehr

Im Bereich des kartengebundenen Zahlungsverkehrs ging es wie in den Vorjahren überwiegend um die Frage der Haftung für Schäden aufgrund missbräuchlicher Verwendung abhandengekommener Zahlungskarten. Fast regelmäßig werden mit der Originalkarte unter korrekter Eingabe der PIN Abhebungen vom Konto vorgenommen. Signifikant viele Antragsteller, denen die Karte abhandengekommen war, verlangten von der Bank die Wiedergutschrift eines unter Verwendung der PIN verfügten Betrags mit der Begründung, die Transaktion sei nicht von ihnen autorisiert worden.

Der Kontoinhaber hat seine Bankkarte mit besonderer Sorgfalt aufzubewahren, um zu verhindern, dass sie abhandenkommt oder missbräuchlich verwendet wird. Außerdem hat der Karteninhaber dafür Sorge zu tragen, dass keine andere Person Kenntnis von der persönlichen Geheimzahl (PIN) erlangt. Die PIN darf insbesondere nicht auf der Karte vermerkt oder in anderer Weise zusammen mit dieser aufbewahrt werden, um die Gefahr missbräuchlicher Verfügungen abzuwehren. Der Streitschlichter gab den Antragstellern recht, wenn der von der Rechtsprechung entwickelte Beweis des ersten Anscheins, dass bei missbräuchlicher Verwendung unter Eingabe der zutreffenden PIN-Nummer entweder der Karteninhaber die Abhebungen selbst vorgenommen hat oder ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte (vergleiche Bundesgerichtshof (BGH) vom 29. November 2011, XI ZR 370/10; BGH vom 5. Oktober 2004, XI ZR 210/03), vom Antragsteller erfolgreich widerlegt werden konnte.

Die Beweisregel ist allerdings nur dann anwendbar, wenn andere Ursachen für den Missbrauch nach der Lebenserfahrung ausscheiden. Besteht die Möglichkeit, dass der Kunde bei einer Eingabe der PIN ausgespäht wurde, so kann die Beweisregel nicht angewendet werden und die Bank ist für den Nachweis der groben Sorgfaltspflichtwidrigkeit darlegungspflichtig, wie der folgende Schlichtungsvorschlag G 10/23 zeigt:


I.
Die Antragstellerin unterhält bei der Antragsgegnerin ein Girokonto, für das ihr über die Antragsgegnerin eine Mastercard der DZ BANK ausgestellt ist.

Zu deren Verwendungszweck findet sich in Ziffer 2 der Vertragsbedingungen für Mastercard und Visa Card folgende Regelung:

„2. Verwendungsmöglichkeiten der Karte

2.1 Mit der Karte kann der Karteninhaber während der Gültigkeitsdauer der Karte im In- und als weitere Leistung auch im Ausland im Mastercard- beziehungsweise Visaverbund

  • bei Kartenakzeptanzstellen Waren und Dienstleistungen bargeldlos bezahlen,
  • Gutschriften auf der Karte von Mastercard- beziehungsweise Visa-Karteninhabern weltweit empfangen
  • sofern laut Kartenantrag unterstützt – im Rahmen des Bargeldservice an Geldautomaten sowie an Kassen von Kreditinstituten und bargeldauszahlenden Stellen, dort gegebenenfalls zusätzlich gegen Vorlage eines Ausweispapiers, Bargeld im Rahmen der von der auszuzahlen Stelle festgelegten beziehungsweise der vereinbarten Höchstbeträge beziehen sowie Zahlungen Dritter zu Gunsten der Karte empfangen.“

Nach Ziffer 1.1 der Vertragsbedingungen für Mastercard und Visa-Karten der Antragsgegnerin ist die DZ BANK Herausgeber und Vertragspartner des Karteninhabers, also der Antragstellerin, wobei sie, die DZ BANK, durch die Antragsgegnerin vertreten wird. Der Kunde hat sich jedoch bezüglich sämtlicher Erklärungen und Mitteilungen an die Antragsgegnerin zu halten. Dies gilt insbesondere für etwaige Auseinandersetzungen über Aufwendungsersatzansprüche gemäß Ziffer 7 der Vertragsbedingungen.

7.1 der bereits erwähnten Vertragsbedingungen lautet:

„Der Herausgeber ist gegenüber den Akzeptanzstellen, Geldautomatenbetreibern und Bargeld auszahlenden Stellen verpflichtet, die vom Karteninhaber autorisierten Zahlungsaufträge zu begleichen. Der Herausgeber hat daher einen Aufwendungsersatzanspruch gegenüber dem Karteninhaber in Höhe der von ihm autorisierten Zahlungen sowie der von ihm zu tragenden Entgelte und verkauft diesen Anspruch an die Bank.“

Unter Ziffer 11.1.1 der Vertragsbedingungen findet sich folgende Regelung:

„Für nicht autorisierte Zahlungsvorgänge aus der Nutzung der Karte oder deren Daten haftet der Karteninhaber grundsätzlich nicht. Die Bank hat gegen ihn keinen Anspruch auf Ersatz ihrer Aufwendungen. Wurde der Betrag dem Abrechnungsmonat belastet, bringt die Bank dieses Konto unverzüglich nach Kenntnisnahme des nicht autorisierten Zahlungsvorgangs, auf jeden Fall bis spätestens zum Ende des folgenden Geschäftstags wieder auf den Stand, auf dem es sich ohne die Belastung des nicht autorisierten Zahlungsvorgangs befunden hätte. Dies gilt auch für eventuelle Zinsen aus Verträgen gemäß Ziffer 1.3 und 1.4.“

Zur Haftung des Kunden enthält Ziffer 11.1.2 folgende Regelung:

„Bestehen berechtigte Gründe für den Verdacht eines betrügerischen Verhaltens des Karteninhabers und hat die Bank diesen einer zuständigen Behörde in Textform mitgeteilt, hat die Bank ihre Verpflichtung aus Ziffer 11.1.1 Satz 3 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Hat der Karteninhaber in betrügerischer Absicht gehandelt oder seine Sorgfalts- und Mitwirkungspflichten gemäß Ziffer 6 vorsätzlich oder grob fahrlässig verletzt, ist er der Bank zum Ersatz des gesamten daraus entstehenden Schadens verpflichtet. Für etwaige Schäden, die der Bank durch eine nicht unverzügliche Beanstandung des Karteninhabers am Inhalt der Umsatzinformationen entstehen, haftet der Karteninhaber unbegrenzt. Für Schäden nach der Sperranzeige oder die entstanden sind, weil die Bank keine jederzeitige Sperrmöglichkeit angeboten hat, haftet der Karteninhaber nur, wenn er in betrügerischer Absicht gehandelt hat. Der Karteninhaber ist nicht zum Schadensersatz verpflichtet, wenn die Bank oder der Herausgeber keine starke Kundenauthentifizierung verlangt oder die Akzeptanzstelle oder ihr Zahlungsdienstleister eine starke Kundenauthentifizierung nicht akzeptiert haben.“

Zu den einzuhaltenden Sorgfalts- und Mitwirkungspflichten enthält Ziffer 6 folgende Regelung:

„6.3. Geheimhaltung der PIN:

Der Karteninhaber hat dafür Sorge zu tragen, dass kein anderer Kenntnis von seiner PIN erhält. Diese darf insbesondere nicht auf der Karte vermerkt, bei einer digitalen Karte nicht in demselben mobilen Endgerät gespeichert werden, das zur Nutzung der digitalen Karte verwendet wird, oder in anderer Weise (zum Beispiel nicht als getarnte Telefonnummer) zusammen mit der Karte oder deren Daten aufbewahrt werden. Sofern der Karteninhaber eine digitale Karte nutzt und der Zugriff auf das mobile Endgerät durch ein vom Karteninhaber wählbares Legitimationsmedium abgesichert werden kann (Entsperrfunktion), so darf er zur Absicherung des Zugriffs nicht dieselbe PIN verwenden, die ihm für die Karten mitgeteilt wurde oder die er selbst gewählt hat. Die PIN darf nur verdeckt an Kartenzahlungsterminals oder Geldautomaten eingegeben werden. Eine Übermittlung der PIN per Telefon, E-Mail oder Internetseite ist unzulässig. Jede Person, die die PIN kennt und in den Besitz der Karte kommt, hat die Möglichkeit, missbräuchliche Verfügungen zu tätigen (zum Beispiel Bargeldabhebungen an Geldautomaten). Die Vorgaben zur PIN-Selbstwahl gemäß Ziffer 3.2 sind zu beachten.“

Nach den Angaben der Antragstellerin wurde die Geldbörse mit der Karte am 20. August 2022 in Groningen gestohlen, nachdem um 15:02 Uhr Parkgebühren damit bezahlt worden waren.

Um 17:00 Uhr und 17:45 Uhr hätten die Diebe mit der Karte an einem Geldautomaten insgesamt 600 Euro abgehoben, die sie von der Antragsgegnerin erstattet haben will.

Ein Verschulden ihrerseits liege nicht vor, insbesondere habe sie die PIN nicht mit der Karte verwahrt. Die PIN müsse von den Dieben bei der letzten Eingabe ausgespäht worden sein.

Die Antragsgegnerin lehnt eine Zahlung beziehungsweise Erstattung ab. Sie führt aus, dass die Antragstellerin gegen die vertraglich vereinbarten Sorgfaltsanforderungen verstoßen habe. Die Antragstellerin habe die PIN geheim zu halten. Es sei nur eine verdeckte Eingabe am Kartenzahlungsterminal zulässig. Bei dieser Vorgabe sei ein Ausspähen nicht möglich. Das Verhalten der Antragstellerin sei deshalb als grob fahrlässig zu werten.

Aus Kulanzgründen bietet die Antragsgegnerin eine hälftige Übernahme des Schadens an.

II.
Das Beschwerdebegehren der Antragstellerin ist begründet.

Vorweg ist darauf hinzuweisen, dass die Antragsgegnerin die richtige Ansprechpartnerin (Anspruchsgegnerin) ist.

Vertragspartner hinsichtlich der Nutzung der Mastercard/Visa-Karte ist zwar die DZ BANK und nicht die Antragsgegnerin. Nach den oben dargestellten Vertragsbedingungen ist die Antragsgegnerin zum einen jedoch die Vertreterin und ausschließliche Ansprechpartnerin der Antragstellerin, zum anderen jedoch auch Inhaberin eines eventuellen Aufwendungsersatzanspruchs der DZ BANK, weil diese ihre Forderung an die Antragsgegnerin verkauft (und wohl auch abgetreten) hat (vergleiche Ziffer 7.1 der Vertragsbedingungen). Ein eventueller Aufwendungsersatzanspruch und auch ein eventueller Schadensersatzanspruch aus der Verwendung der Karte stehen damit nicht der DZ BANK, sondern allenfalls der Antragsgegnerin zu.

a) Zwischen der Antragstellerin und der DZ BANK besteht ein Zahlungsdienstevertrag gemäß §§ 675f Bürgerliches Gesetzbuch (BGB) folgende, wobei die Antragsgegnerin durch die Abtretung und die bereits dargestellten Regelungen in den Vertragsbedingungen teilweise in deren Rechtsstellung eingetreten ist. Die Antragstellerin hat gegen die Antragsgegnerin grundsätzlich einen Anspruch auf Gutschrift der Belastungen in Höhe von insgesamt 600 Euro nach § 675u Satz 2 BGB (Ziffer 11.1.1 der Vertragsbedingungen), wenn sie die Zahlungsvorgänge nicht autorisiert hat (§ 675j Absatz 1 BGB).

Die Autorisierung ist eine einseitige, empfangsbedürftige Willenserklärung, wobei für Zugang, Anfechtung und so weiter die allgemeinen Regeln des BGB gelten (Grüneberg-Grüneberg, BGB, 82. Auflage, § 675j Randnummer 3 mit Nachweisen).

Eine solche hat hier unstreitig (auch die Antragsgegnerin geht von einem Betrug aus) nicht stattgefunden, sodass der Antragstellerin grundsätzlich der oben erwähnte Erstattungsanspruch in voller Höhe zusteht.

b) Die Antragstellerin könnte die Wiedergutschrift der Belastungsbeträge nur dann nicht verlangen, wenn der Antragsgegnerin ein entsprechender Schadensersatzanspruch wegen Vertragsverletzung nach § 675v Absatz 3 BGB (Ziffer 11.1.2 der Vertragsbedingungen) zusteht, mit dem sie das Konto der Antragstellerin belasten durfte (§ 242 BGB), wobei sie (die Antragsgegnerin) als Inhaberin des Anspruchs die Voraussetzungen grundsätzlich darzustellen und zu beweisen hat. Hierzu wäre erforderlich, dass die Antragstellerin ihre Verpflichtungen aus § 675l Absatz 1 BGB beziehungsweise 6.3 der Vertragsbedingungen vorsätzlich oder grob fahrlässig verletzt hätte. Das ist aber nicht festzustellen.

Nach § 675l Absatz 1 Satz 1 BGB ist ein Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt des Zahlungsinstruments (Mastercard) alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Diese Verpflichtung wird nach den hier maßgeblichen Vertragsbedingungen in Nummer 6.3 konkretisiert.

Dass die Antragstellerin gegen diese festgelegten Sorgfaltspflichten grob fahrlässig verstoßen hat, steht keineswegs fest. Die genauen Umstände, wie der oder die Täter sich Kenntnis von der PIN verschaffen konnten, sind ungeklärt. Den Nachweis einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung der Antragstellerin hat die Antragsgegnerin jedenfalls nicht geführt.

In solchen Fällen, in denen der tatsächliche Geschehensablauf nicht geklärt ist und auch nicht geklärt werden kann, arbeitet die Rechtsprechung mit Beweisregeln, hier dem sogenannten Anscheinsbeweis. Der Anscheinsbeweis greift bei typischen Geschehensabläufen, also in Fällen, in denen ein bestimmter Tatbestand nach der Lebenserfahrung auf eine bestimmte Ursache für den Eintritt eines bestimmten Erfolgs hinweist.

Hierzu hat der BGH in einer Entscheidung vom

5. Oktober 2004 (Entscheidungen des Bundesgerichtshofs in Zivilsachen (BGHZ) 160, 308 folgende, bestätigt durch Urteil vom 29. November 2011, XI ZR 270/10) folgende Grundsätze aufgestellt:

„1. Wird zeitnah nach dem Diebstahl einer ec-Karte unter Verwendung dieser Karte und Eingabe der richtigen persönlichen Geheimzahl (PIN) an Geldausgabeautomaten Bargeld abgehoben, spricht grundsätzlich der Beweis des ersten Anscheins dafür, dass der Karteninhaber die PIN auf der ec-Karte notiert oder gemeinsam mit dieser verwahrt hat, wenn andere Ursachen für den Missbrauch nach der Lebenserfahrung außer Betracht bleiben.

2. Die Möglichkeit eines Ausspähens der persönlichen Geheimzahl (PIN) durch einen unbekannten Dritten kommt als andere Ursache grundsätzlich nur dann in Betracht, wenn die ec-Karte in einem näheren zeitlichen Zusammenhang mit der Eingabe der PIN durch den Karteninhaber an einem Geldausgabeautomaten oder einem POS-Terminal entwendet worden ist.“

Diese Beweisregel ist im Kern auch auf der Basis der jetzigen Rechtslage noch anwendbar. Der Bundesgerichtshof (BGHZ 208, 331–357 ebenso Oberlandesgericht (OLG) Bremen, Beschluss vom 19. Mai 2021, Aktenzeichen 1 W 4/21) hat für die auf der Grundlage der 1. Zahlungsdiensterichtlinie erlassene Fassung des § 675w Satz 3 BGB entschieden, dass diese Regelung die Anwendung der Grundsätze des Anscheinsbeweises nicht ausschließt und sich zur Begründung auf die Entstehungsgeschichte (Erwägungsgrund 23 der 1. Zahlungsdiensterichtlinie) bezogen.

§ 675w Satz 4 BGB, der den Zahlungsdienstleister verpflichtet unterstützende Beweismittel vorzulegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen, ist zwar erst aufgrund der 2. Zahlungsdiensterichtlinie mit Wirkung ab 13. Januar 2018 in Kraft getreten. An der Anwendbarkeit der Grundsätze des Anscheinsbeweises in Fällen der Bargeldabhebungen an Bankautomaten ändert dies jedoch nichts (Grüneberg-Sprau, BGB, 81. Auflage, § 675w Randnummer 4, 5).

Danach ist Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises, dass die Originalkarte sowie die PIN verwendet wurden. Außerdem muss die Möglichkeit des Ausspähens der PIN ausscheiden. Darlegungs- und beweispflichtig ist die Antragsgegnerin (BGH, Neue Juristische Wochenschrift (NJW) 2012, 1277).

Nach ihren Angaben soll die Originalkarte unter Eingabe der PIN verwendet worden sein. Von der Antragstellerin wird dies nicht bestritten.

Allerdings kann die Antragsgegnerin die Möglichkeit des Ausspähens der PIN nicht ausschließen. Die strittigen Transaktionen wurden zeitnah nach der letzten autorisierten Verwendung der PIN durchgeführt. Damit ist es nicht von der Hand zu weisen, dass die Eingabe der PIN von dritten Personen beobachtet (ausgespäht) wurde und bei den späteren Transaktionen zum Einsatz kam.

Ein Verschulden der Antragstellerin im Zusammenhang mit der Eingabe der PIN kann ich nicht feststellen. Dies wird von der Antragstellerin bestritten. Sie behauptet, die PIN bei der Eingabe abgedeckt zu haben. Insoweit gibt’s auch keinerlei Erfahrungssatz, der einen Anscheinsbeweis zugunsten der Antragsgegnerin begründen würde. Angesichts der heutigen technischen Möglichkeiten ist es keineswegs ausgeschlossen, dass es dritten Personen trotz möglicher und zumutbarer Abdeckung der PIN bei der Eingabe gelungen ist, diese in Erfahrung zu bringen.

Im Ergebnis schlage ich deshalb vor, dass die Antragsgegnerin der Antragstellerin den gesamten Schaden erstattet. Einen Verschuldensnachweis der Antragstellerin dürfte die Antragsgegnerin in einem gerichtlichen Rechtsstreit kaum führen können.


Auffallend häufig auch in diesem Berichtszeitraum haben Bankkunden vorgetragen, dass Trickbetrüger sich der persönlichen Zugangsdaten bemächtigten und missbräuchliche Verfügungen über erhebliche Beträge vornahmen. Da bei diesen Fällen eine vom Kunden autorisierte Zahlungsanweisung regelmäßig nicht festgestellt werden kann, hängt der Erfolg dieser Anträge auf Streitschlichtung davon ab, ob es der Bank gelingt, dem Kunden ein grob fahrlässiges Verhalten nachzuweisen.

Im folgenden Schlichtungsvorschlag W 43/23 hat die Bank das Vorliegen einer groben Fahrlässigkeit lediglich gemutmaßt, nicht jedoch nachgewiesen, sodass der Schlichtungsvorschlag zugunsten des Kunden erging:


I.
Die beiden Antragsteller unterhalten je ein Girokonto bei der Antragsgegnerin, für das die Nutzung im Onlinebanking vereinbart ist. Für die Authentifizierung von Transaktionen wird das SecureGo+-Verfahren verwendet. Nach den Angaben der Antragsgegnerin sind die beiden Konten „miteinander verknüpft“.

Am 9. März 2023 und am 13. März 2023 wurden der Antragstellerin (…) jeweils ohne entsprechende Anforderung Aktivierungscodes für dieses Verfahren zugesandt. Nachdem der Antragstellerin dieser Vorgang bedenklich erschien, bat sie die Antragsgegnerin telefonisch um Beratung. Eine Mitarbeiterin der Antragsgegnerin verwies auf einen wahrscheinlichen Irrtum und empfahl, die Schreiben zu ignorieren.

Am 1. Mai 2023 wurde ein neues Endgerät für die Antragstellerin hinterlegt. Hierfür wurde keiner der beiden vorgenannten Aktivierungscodes verwendet, sondern ein weiterer Aktivierungscode, der der Antragstellerin am 26. April 2023 postalisch übersandt worden ist. Am gleichen Tag wurde für dieses Endgerät die SecureGo+-App installiert. Anschließend wurde das Überweisungslimit erhöht.

Am 2. Mai 2023 wurden vom Konto der Antragstellerin in insgesamt zehn Fällen 11.000,00 Euro auf Drittkonten bei der Antragsgegnerin, die auf unbekannt gebliebene Personen lauteten, überwiesen. Vom Konto des Antragstellers (…) wurden am gleichen Tag insgesamt 5.000,00 Euro auf Drittkonten überwiesen. In entsprechender Höhe wurden die Konten der Antragsteller belastet.

Mit ihrem Schlichtungsantrag verlangen die beiden Antragsteller von der Antragsgegnerin die Wiedergutschrift dieser Belastungsbeträge. Sie beteuern, ihre Zugangsdaten zum Onlinebanking nicht preisgegeben zu haben; sie gehen davon aus, dass der Zugang der Antragstellerin gehackt worden ist. Sie werfen der Antragsgegnerin zudem die Verletzung verschiedener Sorgfaltspflichten vor. Insoweit nehme ich auf das Schreiben der Antragsteller an die Antragsgegnerin vom 4. Juni 2023 Bezug.

Dem tritt die Antragsgegnerin entgegen. Sie macht geltend, dass der unbekannt gebliebene Betrüger Kenntnis von den Zugangsdaten der Antragstellerin vom Onlinebanking gehabt haben müsse. Diese Kenntnis könne er nur von der Antragstellerin selbst erlangt haben. Dies lasse es offenbar erscheinen, dass die Antragstellerin ihrer Verpflichtung, diese Sicherheitsmerkmale unter Verschluss zu halten, nicht nachgekommen sei.

II.
Nach den mir vorliegenden Informationen ist der Anspruch der Antragsteller auf Wiedergutschrift der streitigen Belastungsbeträge begründet.

1. Ausgangspunkt in rechtlicher Hinsicht ist die Vorschrift des § 675u Satz 2 BGB. Zwischen den Parteien besteht jeweils ein Zahlungsdiensterahmenvertrag nach § 675f Absatz 2 BGB, auf den die §§ 675f BGB folgende anzuwenden sind. Nach der genannten Vorschrift hat der Zahlungsdienstleister (das ist die Bank) im Falle eines nicht autorisierten Zahlungsvorgangs – auch die hier erfolgten Überweisungen stellen jeweils einen solchen Zahlungsvorgang dar – keinen Anspruch gegen den Bankkunden auf Erstattung seiner Aufwendungen. Er ist vielmehr verpflichtet, dem Kunden den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Zwischen den Parteien ist unstreitig, dass die beiden Antragsteller die hier am 2. Mai 2023 erfolgten Überweisungen auf Drittkonten bei der Antragsgegnerin nicht beauftragt und auch nicht autorisiert haben. Dies begründet ihren Anspruch auf Wiedergutschrift nach der genannten Vorschrift.

2. Diesem Anspruch der Antragsteller steht ein der Antragsgegnerin zustehender und auf § 280 Absatz 1 BGB gestützter Schadensersatzanspruch, mit dem sie das Konto der Antragsteller belasten könnte, nicht entgegen. Dass einer der beiden Antragsteller den hier entstandenen Schaden durch eine grob fahrlässige Verletzung von Pflichten nach § 675l Absatz 1 BGB oder durch einen ebensolchen Verstoß gegen vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat, ergibt sich weder aus dem Vorbringen der Antragsgegnerin noch aus den sonstigen Umständen.

a) Nach § 675l Absatz 1 Satz 1 BGB ist der Zahlungsdienstnutzer – das sind die Antragsteller – verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Diese Verpflichtung wird in den Ziffern 7 und 8 der Sonderbedingungen für das Onlinebanking (…) wiederholt und konkretisiert. Nach Ziffer 7.2 dieser Sonderbedingungen dürfen Wissenselemente, wie zum Beispiel eine PIN, nicht mündlich und nicht außerhalb des Onlinebanking mitgeteilt werden.

b) Dass einer der beiden Antragsteller gegen diese Verpflichtung zur Geheimhaltung der Zugangsdaten zum Onlinebanking grob fahrlässig verstoßen hat, lässt sich nicht feststellen. Beide Antragsteller beteuern, die Zugangsdaten nicht preisgegeben zu haben. Nach Sachlage spricht alles dafür, dass das Endgerät oder der PC der Antragstellerin tatsächlich, möglicherweise unter Verwendung eines Software-Keyloggers, gehackt worden ist. In diesem Sinne hat sich nach dem Vorbringen der Antragsteller auch bereits ein Mitarbeiter der Antragsgegnerin in deren Filiale in (…) geäußert. Dass das Endgerät oder der PC der Antragstellerin gehackt werden konnte, kann den Antragstellern aber nicht als eine grobe Fahrlässigkeit vorgeworfen werden, zumal diese – unstreitig – ein gängiges Antivirenprogramm verwenden.

c) In gleicher Weise lässt sich nicht feststellen, dass einer der beiden Antragsteller in grob fahrlässiger Weise den Aktivierungscode vom 26. April 2023, der für die Registrierung des neuen Endgeräts verwendet worden ist, preisgegeben hat. Aus dem Umstand, dass die beiden Antragsteller diesen Aktivierungscode nicht einmal erwähnen, ist zu schließen, dass dieser ihnen nicht zugegangen ist. Nachdem die Antragstellerin (…) wegen der beiden vorher übersandten Aktivierungscodes bereits die Antragsgegnerin konsultiert hat, ist davon auszugehen, dass die Antragsteller diesen Code zumindest erwähnt hätten, wenn er ihnen zugegangen wäre. Andererseits ist es allgemein bekannt, dass Betrüger in Fällen dieser Art Postsendungen abfangen, um an den Zugangscode zu gelangen. Dafür, dass der unbekannte Betrüger auch vorliegend so vorgegangen ist, spricht der Umstand, dass nach dem – ebenfalls unwidersprochen gebliebenen – Vorbringen der Antragstellerin der Zeit vor dem 2. Mai 2023 eine Vielzahl von Aktivierungscodes angefordert worden ist. Jedenfalls lässt sich auch insoweit kein Verhalten der Antragsteller feststellen, das die Bewertung als „grob fahrlässig“ verdient.

d) Andere Umstände, die ein grob fahrlässiges Verhalten der Antragsteller in Bezug auf die Schadensentstehung begründen würden, sind nicht ersichtlich.

III.
Zur gütlichen Beilegung des Streits sollte die Antragsgegnerin den Antragstellern deshalb die jeweiligen Belastungsbeträge wieder gutschreiben.


Weil sich die Fälle des Missbrauchs von Zugangsdaten zum Onlinebanking signifikant häufen, soll an dieser Stelle ein weiteres Schlichtungsbeispiel (V 5/23) zitiert werden, in dem der Streitschlichter die Bank darüber aufgeklärt hat, dass bei fehlender Autorisierung der streitgegenständlichen Zahlungsvorgänge die Bank die Darlegungslast bezüglich eines eigenen Schadenersatzanspruchs gegen den Kunden wegen Verletzung vertraglicher Sorgfaltspflichten im Zusammenhang mit der Nutzung von Sicherheitsmerkmalen trifft. Somit trägt die Bank das allgemeine Missbrauchsrisiko bei Zahlungsvorgängen:


I.
Der Antragsteller unterhält bei der Antragsgegnerin ein Girokonto. Ihm ist von der Antragsgegnerin eine EC-Karte sowie eine VisaCard zur Verfügung gestellt worden.

Das Konto ist für das Onlinebanking freigeschaltet, wobei zur Freigabe der Transaktionen das Chip-TAN-Verfahren verwendet wird.

Nach den Angaben der Antragsgegnerin wurde für das Konto am 12. Februar 2021 ein Aktivierungscode angefordert, der an die Adresse (…) übermittelt wurde. Am 17. Februar 2023 wurde mit diesem Aktivierungscode das Sicherungsverfahren SecureGo+ auf einem Smartphone aktiviert.

Mit der SecureGo+-App auf diesem Handy wurde am 17. Februar 2023 zunächst das Überweisungslimit auf 25.000 Euro erhöht. Danach erfolgten Überweisungen in Höhe von 2.500 Euro und 14.500 Euro. Außerdem wurde die PIN geändert.

Am 18. Februar 2023 erfolgten auf dem gleichen Weg weitere Überweisungen in Höhe von 3.000 Euro, 1.000 Euro, 1.790 Euro und 430 Euro.

Am 19. Februar 2023 wurde versucht die VisaCard für Apple Pay zu registrieren.

Nachdem zunächst mehrere Lastschriften zurückgegeben worden waren, erfolgten Überweisungen

in Höhe von 3.375 Euro und 5.400 Euro.

Der Antragsteller bestreitet den Aktivierungscode angefordert zu haben. Außerdem führt er aus, dass er keine der Transaktionen autorisiert habe. PIN und Netkey seien sicher verwahrt und dritten Personen nicht zugänglich gemacht worden.

Mit seiner Beschwerde will der Antragsteller offensichtlich erreichen, dass ihm die Antragsgegnerin die gesamte Summe in Höhe von 30.995 Euro (richtig 31.995 Euro) abzüglich bereits beglichener 7.279,06 Euro (= 23.715,94 Euro) erstattet. Außerdem verlangt er 400 Euro an entstandenen Kosten für sein persönliches Erscheinen bei der Antragsgegnerin sowie 200 Euro als Erstattung für mit Lastschriftrückgaben und Mahnungen entstandene Kosten.

Die Antragsgegnerin verweigert eine Erstattung. Zur Begründung führt sie aus, dass der oder die Täter im Macht- und Kenntnisbereich des Antragstellers an dessen Zugangsdaten gekommen sein müssten. Aus diesem Grund könne der Schaden nicht übernommen werden.

II.
Die Beschwerde des Antragstellers ist begründet.

a) Zwischen dem Antragsteller und der Antragsgegnerin besteht ein Zahlungsdienstevertrag gemäß §§ 675f BGB folgende. Er hat grundsätzlich einen Anspruch auf Gutschriften in Höhe von insgesamt 23.715,94 Euro (richtig = 24.715,94) nach § 675u Satz 2 BGB, wenn er die Zahlungsvorgänge nicht autorisiert hat (§ 675j Absatz 1 BGB).

Die Autorisierung ist eine einseitige empfangsbedürftige Willenserklärung, wobei für Zugang, Anfechtung und so weiter die allgemeinen Regeln des BGB gelten (Grüneberg-Grüneberg, BGB, 82. Auflage, § 675j Randnummer 3 mit Nachweisen). Damit bedeutet die Authentifizierung einer Transaktion keineswegs, dass sie vom Kunden auch autorisiert worden ist.

Den Nachweis der Authentifizierung und Autorisierung hat die Antragsgegnerin zu führen (§ 675w BGB).

Nachdem die Antragsgegnerin nicht behauptet, dass der Antragsteller die Transaktionen veranlasst hat beziehungsweise damit einverstanden war, fehlt es an einer Autorisierung, sodass dem Antragsteller grundsätzlich der oben genannte Anspruch auf Erstattung zusteht.

b) Damit stellt sich in der Sache aber die weitere Frage, ob die Antragsgegnerin gemäß § 242 BGB dem Erstattungsanspruch nicht einen Schadensersatzanspruch gemäß § 675v Absatz 3 BGB wegen grob fahrlässiger Pflichtverletzung des Antragstellers im Zusammenhang mit der Nutzung von Sicherheitsmerkmalen für den Onlinezugang entgegensetzen oder damit aufrechnen kann (obwohl die Antragsgegnerin nicht die geringsten Anstalten macht einen solchen Anspruch auch nur ansatzweise zu begründen).

Nach der erwähnten Vorschrift ist der Antragsteller der Antragsgegnerin aber nur dann schadenersatzpflichtig, wenn vorsätzlich oder grob fahrlässig gegen eine oder mehrere vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments verstoßen wurde und dadurch der Schaden entstanden ist, was grundsätzlich von der Antragsgegnerin als Anspruchstellerin darzustellen und zu beweisen ist (das scheint ihr offensichtlich nicht bewusst zu sein).

Die Antragsgegnerin behauptet nicht einmal explizit, dass ihr ein Schadensersatzanspruch gegen den Antragsteller zusteht. Erst recht fehlt es an einer nachvollziehbaren Begründung und Ausführungen dazu, worin das zumindest grob fahrlässige Verhalten des Antragstellers eigentlich bestehen soll.

Selbst an der substantiierten Darstellung der technischen Vorgänge in ihrem Einfluss- und Machtbereich fehlt es. So sind keine Ausführungen dazu zu finden, wie (auf welchem Wege) die Bestellung des Aktivierungscodes erfolgt ist und ob für die Bestellung eine Authentifizierung erforderlich war und gegebenenfalls wie diese erfolgt ist.

Auch findet sich keine Erklärung dazu, weshalb ein Teil der Transaktionen mit der VisaCard anfangs abgelehnt wurde und dann doch Transaktionen durchgeführt wurden.

Im Ergebnis kann das alles jedoch dahingestellt bleiben, weil ich keine konkreten Anhaltspunkte dafür habe, dass der Antragsteller durch ein grob fahrlässiges Verhalten die strittigen Transaktionen ermöglicht hat. Damit fehlt aber auch ein Schadensersatzanspruch der Antragsgegnerin, den sie – wie bereits ausgeführt – darzustellen und zu beweisen hat.

Dabei erlaube ich mir in technischer Hinsicht darauf hinzuweisen, dass der entscheidende Vorgang die Zugriffsmöglichkeit der Täter auf das Onlineportal der Antragsgegnerin und dort den Account des Antragstellers war. Damit verbunden war die Möglichkeit, einen Aktivierungscode für ein Handy anzufordern, wobei ich nicht weiß, ob hierzu auch die Eingabe einer TAN erforderlich war. Sollte dies notwendig gewesen sein, stellt sich die Frage, die nur die Antragsgegnerin beantworten kann, ob und wie dieser Vorgang abgelaufen ist.

Mit der Bestellung des Aktivierungscodes durch die Täter war das Kind praktisch schon in den Brunnen gefallen, weil damit das Handy der Täter als Zugriffsmöglichkeit auf das Konto des Antragstellers legitimiert war und damit die strittigen Transaktionen ohne Kenntnis und Mitwirkung des Antragstellers durchgeführt werden konnten.

Zwar ist der Antragsgegnerin zuzugestehen, dass sie keine eigenen Informationen dazu hat beziehungsweise haben kann, wie der oder die Täter Kenntnis von dem Netkey und der PIN des Antragstellers erhalten haben, wodurch die Bestellung des Aktivierungscodes ermöglicht worden ist. Die Rechtsprechung weist deshalb dem Kunden eine sogenannte Substantiierungslast zu. Er muss also detailliert darstellen, was er eigentlich gemacht hat, wie es zu den strittigen Vorfällen gekommen ist. Hat ein Kunde aber weder auf den Link in einer E-Mail geklickt und auf einer Internetseite seine Daten eingegeben noch Telefongespräche geführt, in denen er Zugangsdaten weitergegeben hat, dann kann es durchaus sein, dass er keine Kenntnis davon hat, wie der oder die Täter die Informationen erhalten haben. Technisch könnte dies beispielsweise in der Form geschehen sein, dass über ein Schadprogramm auf seinem Rechner ein Keylogger installiert worden ist, der die Daten unbemerkt protokolliert und weitergeleitet hat.

Ein grob fahrlässiges Verhalten des Kunden, des Antragstellers, würde dann nicht vorliegen, auch seiner Substantiierungslast hätte er durch seine Angaben entsprochen, weil er nicht weiß, was genau geschehen ist.

Im Ergebnis nützt es der Antragsgegnerin also nichts, dass sie sich pauschal darauf beruft, dass es sich um Vorgänge im Einfluss- und Herrschaftsbereich des Antragstellers gehandelt hat. Das ist zwar richtig, ändert aber nichts daran, dass sie das allgemeine Missbrauchsrisiko von Zahlungsinstrumenten trägt und ihr im Falle einer fehlenden Aufklärbarkeit der Vorgänge kein Schadensersatzanspruch gegen den Kunden zusteht.

Zwar arbeitet die Rechtsprechung in Fällen, in denen der tatsächliche Geschehensablauf nicht geklärt ist und auch nicht geklärt werden kann, mit Beweisregeln, dem sogenannten Anscheinsbeweis. Der Anscheinsbeweis greift bei typischen Geschehensabläufen, also in Fällen, in denen ein bestimmter Tatbestand nach der Lebenserfahrung auf eine bestimmte Ursache für den Eintritt eines bestimmten Erfolgs hinweist.

Für die hier vorliegende Problematik (die Täter haben sich Kenntnis vom Netkey und der PIN verschafft) gibt es aber keinen Anscheinsbeweis, weil es insoweit an typischen Geschehensabläufen fehlt. Es gibt eine Vielzahl von Möglichkeiten, wie sich die Täter die Kenntnis verschafft haben können, ohne dass ein fahrlässiges Verhalten des Kunden vorliegt. Unabhängig davon reicht ein fahrlässiges Verhalten hier nicht aus. Voraussetzung ist vielmehr ein grob fahrlässiges Verhalten. Hierfür lehnt der BGH einen Anscheinsbeweis wegen des insoweit zu beachtenden individuellen Einschlags generell ab.

Im Ergebnis steht damit dem Antragsteller der geltend gemachte Erstattungsanspruch zu, während ich einen Schadensersatzanspruch der Antragsgegnerin nicht feststellen kann. Zur Verhinderung einer gerichtlichen Auseinandersetzung sollte die Antragsgegnerin deshalb dem Antragsteller die verlangten 23.715,94 Euro bezahlen. Für die zusätzlich geforderten 400 Euro beziehungsweise 200 Euro sehe ich allerdings keine Grundlage. Insoweit fehlt es an ausreichend konkreten Ausführungen zu einem tatsächlich entstandenen Schaden.