Im Bereich des kartengebundenen Zahlungsverkehrs ging es wie in den Vorjahren überwiegend um die Frage der Haftung für Schäden aufgrund missbräuchlicher Verwendung abhandengekommener Zahlungskarten. Fast immer werden mit der Originalkarte unter korrekter Eingabe der PIN Abhebungen vom Konto vorgenommen. Signifikant viele Antragsteller, denen die Karte abhandengekommen war, verlangten von der Bank die Wiedergutschrift eines unter Verwendung der PIN verfügten Betrags mit der Begründung, die Transaktion sei nicht von ihnen autorisiert worden.
Der Kontoinhaber hat seine Bankkarte mit besonderer Sorgfalt aufzubewahren, um zu verhindern, dass sie abhandenkommt oder missbräuchlich verwendet wird. Außerdem hat der Karteninhaber dafür Sorge zu tragen, dass keine andere Person Kenntnis von der persönlichen Geheimzahl (PIN) erlangt. Die PIN darf insbesondere nicht auf der Karte vermerkt oder in anderer Weise zusammen mit dieser aufbewahrt werden, um die Gefahr missbräuchlicher Verfügungen abzuwenden. Der Streitschlichter gab den Antragstellern recht, wenn der von der Rechtsprechung entwickelte Beweis des ersten Anscheins, dass bei missbräuchlicher Verwendung unter Eingabe der zutreffenden PIN entweder der Karteninhaber die Abhebungen selbst vorgenommen hat oder ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte (vergleiche Bundesgerichtshof (BGH) vom 29. November 2011, XI ZR 370/10; BGH vom 5. Oktober 2004, XI ZR 210/03), vom Antragsteller erfolgreich widerlegt werden konnte. Es wird auf die Berichterstattung der Vorjahre verwiesen, um unnötige Wiederholungen zu vermeiden.
Auffallend häufig – auch in diesem Berichtszeitraum – haben Bankkunden vorgetragen, dass Trickbetrüger sich der persönlichen Zugangsdaten bemächtigten und missbräuchliche Verfügungen über erhebliche Beträge vornahmen. Da bei diesen Fällen eine vom Kunden autorisierte Zahlungsanweisung regelmäßig nicht festgestellt werden kann, hängt der Erfolg dieser Anträge auf Streitschlichtung davon ab, ob es der Bank gelingt, dem Kunden ein grob fahrlässiges Verhalten nachzuweisen.
Im nachfolgend zitierten Schlichtungsverfahren Verfahren W 27/24 wurde seitens der Bank im Zusammenhang mit der Umstellung des TAN-Verfahrens hin zu einem Push-TAN-Verfahren eine TAN generiert. Die Eingabe der TAN und die Beantwortung einer Sicherheitsfrage kann dem Antragsteller zwar vorgeworfen werden, ein Vorwurf grober Fahrlässigkeit hat der Streitschlichter allerdings deswegen nicht bejaht, weil sowohl die Sicherheitsfrage als auch die übersandte TAN keinen für den Antragsteller erkennbaren Bezug zu einer bestimmten Transaktion hatte, sodass die Bank mangels grober Fahrlässigkeit den abgebuchten Betrag wieder gutschreiben muss:
Schlichtungsvorschlag von Werner Borzutzki-Pasing vom 5. Juni 2024 im Verfahren W 27/24
I.
Die Antragstellerin ist Opfer einer Phishing-Attacke geworden. Sie verlangt von der Antragsgegnerin die Wiedergutschrift von 1.932,49 Euro und hat das unter anderem wie folgt begründet:„Am 14. April 2023 10:47 Uhr stellte ich eine Verkaufsanzeige auf eBay-Kleinanzeigen online: ‚Avril Lavigne Konzertkarte für 55 Euro‘.
Schnell meldeten sich einige Interessenten, ich antwortete dem ersten Interessenten ‚Nathalie Koch‘, diese wollte über das Sofortkaufbezahlsystem von eBay-Kleinanzeigen bezahlen.
Kurz darauf sah ich schon eine E-Mail in meinem Postfach, ich folgte den Anweisungen auf der Seite des Bezahlabwicklungsanbieters. Ich registrierte mich auf der Plattform inklusive Absicherung mittels Sicherheitsfrage und Abschlussverifikation mittels Codes, der mir per SMS zugeschickt wurde, um 10:57 Uhr.
Es ging ein Fenster auf, dass das Geld gutgeschrieben wird.
Als ich nicht zum Versandetikett weitergeleitet wurde, versuchte ich, über ein Chatfenster auf der Seite nach Hilfe zu suchen, aber es antwortete niemand. Ich habe zusätzlich versucht, über eBay-Kleinanzeigen eine Hotline zur Hilfe zu erreichen, leider vergebens.
Um 12:09 Uhr kam es mir komisch vor und ich rief die Raiffeisenbank xxx an und bat um Sperrung meiner Karte und Banking.
Die Kollegin am Telefon, versicherte mir, es sei alles gut, es sei nicht zu sehen, dass etwas passiert sei, ich bekomme per Post neue Zugangsdaten zugeschickt. Und soll dann anrufen, um mich zu verifizieren, damit sie meinen Account mit den neuen Daten freischalten. Ich betone hiermit nochmals, dass ich, noch bevor irgendwelche Transaktionen zu sehen waren, meine Karte sperren ließ, dies bestätigte mir auch die Mitarbeiterin am Telefon.
Erst um 12:29 Uhr erhielt ich von eBay-Kleinanzeigen ein E-Mail, die mich vor dem Kontakt ‚Natalie Koch‘ warnen sollte.
Am 19. April vormittags erhielt ich per Post meine neuen Anmeldedaten und rief sofort bei der Bank an, damit diese die Anmeldung freigeben. Hier war auch eine zusätzliche manuelle Freigabe durch einen ihrer Mitarbeiter notwendig.
Anschließend stellte ich drei Geldbuchungen fest: 828,21 Euro, 828,21 Euro und 276,07 Euro auf UND*BIG_DATA_CODING_ST KAZ ALMATY in US-Dollar (900 Dollar, 900 Dollar und 300 Dollar). […]
Nach erneutem Hinterherrufen am 3. Juli 2023 erhielt ich am 4. Juli 2023 einen Rückruf, in dem mir mitgeteilt wurde, dass eine ausländische Handynummer befugt war, die Buchungen zu tätigen. Bis zu diesem Tag wusste ich gar nicht, dass eine ausländische Nummer verifiziert gewesen sein soll, noch hat mir das jemand mitgeteilt.
Da sie laut System durch Abfrage der Sicherheitsfrage und Eingabe einer sechsstelligen TAN dazu befähigt war, ist das Geld somit weg.
Ich antwortete darauf, dass ich gar nicht im Banking war und auch keine ausländische Nummer verifiziert habe, auch diese Nummer nicht kenne oder so etwas veranlasst habe. Sie meinte, laut System wurde eine TAN an mein Handy geschickt. Anfangs konnte ich mich nach der langen Zeit nicht mehr daran erinnern und sah im Handy nach und tatsächlich war da diese Nachricht von einer deutschen Handynummer. Ich sagte ihr, die bekam ich von der eBay-Kleinanzeigen-Payment-Plattform zur Verifikation. Sie meinte, dass diese von der Raiffeisenbank ist (Nachweis im Anhang).
Dies geht nicht hervor, da diese von einer mir unbekannten Nummer versendet wurde, ohne genauen Inhalt wofür, weswegen ich am 14. April 2023 ohne Zweifel der Meinung war, diese kam von der Payment-Plattform. Sie hat Rücksprache mit einem Kollegen gehalten, der meinte die versendenden Handynummern wechseln immer wieder. Ich fragte sie, woher ich denn das wissen solle, dass der Absender die Raiffeisenbank ist, wenn es nicht aus dem Text hervorgeht oder dem Absender. Andere Firmen versenden auch per Firmenname (Microsoft, Klarna, Telekom, um nur ein paar Beispiele zu nennen) und auch von der VR-SecureGo-App, kenne ich es, dass angegeben wird, an wen oder für was die TAN ist, bevor sie freigegeben wird.“
Die Bank ist dem Schlichtungsantrag entgegengetreten:
„Durch die Eingabe der TAN und Beantwortung der Sicherheitsfrage durch die Karteninhaberin wurde der Umstellung des bisherigen TAN-Verfahrens auf das Push-TAN-Verfahren zugestimmt und so einem Dritten (Betrüger) missbräuchlicher Zugriff auf diese Kreditkarte und damit verbundene Zahlungen ermöglicht. Die SMS mit der dazu nötigen TAN wurde an die Handynummer von Frau W. verschickt und die von ihr vergebene Sicherheitsfrage beantwortet. Diese beiden Sicherheitsmerkmale sind ausschließlich der Karteninhaberin bekannt. Durch die Umstellung war es dem Täter möglich, die Buchung zu automatisieren.
Die SMS wird nicht durch uns, sondern durch das Verifizierungsverfahren 3D Secure versandt, es ist hier nicht möglich den Namen der Bank anzeigen zu lassen. Der nachfolgende Anhang zeigt einen Ausschnitt aus der 3D-Secure-Übersicht der Kundin, in der die Umstellung ersichtlich ist.“
Die Antragstellerin hält daran fest, dass der Verwendungszweck von SMS und TAN für sie nicht erkennbar gewesen sei.
II.
Der Schlichtungsantrag ist begründet und sollte antragsgemäß zur Wiedergutschrift führen.1. Wenn es an autorisierten Verfügungen des Kontoinhabers fehlt, hat die Bank nach § 675u BGB gegenüber einem Bankkunden grundsätzlich keinen Aufwendungsersatzanspruch für getätigte Transaktionen.
Maßgeblich sind die Voraussetzungen aus § 675j Absatz 1 BGB. Entscheidend ist die Autorisierung des Zahlers im Hinblick auf die von der Bank konkret veranlasste Belastungsbuchung auf dem Konto (vergleiche Graf von Westphalen in: Erman, BGB, 16. Auflage 2020, § 675u BGB, Randnummer 2 mit weiteren Nachweisen).
Die Antragstellerin hat die fraglichen Transaktionen nach Darstellung beider Parteien nicht autorisiert.
2. Bei fehlender Autorisierung kann ein Anspruch auf Wiedergutschrift ausgeschlossen sein, wenn der Bank ein deckungsgleicher Schadensersatzanspruch wegen Vertragsverletzung zusteht (§ 280 Absatz 1 BGB). Das ist hier aber nicht feststellbar.
Eine Haftung von Bankkunden für entstandene Schäden besteht namentlich dann, wenn ein Missbrauch auf eine grob fahrlässige Verletzung der Sorgfalts- und Mitwirkungspflichten des Kunden im Sinne von § 675v Absatz 3 BGB beruht.
a) Ein solcher Fall liegt zum einen dann vor, wenn der Schaden durch eine vorsätzliche oder grob fahrlässige Verletzung gegen die Pflichten aus § 675l Absatz 1 BGB verursacht wurde. Das würde im gegebenen Zusammenhang voraussetzen, dass personalisierte Sicherheitsmerkmale nicht hinreichend vor unbefugtem Zugriff geschützt wurden. Ein relevanter Verstoß gegen die Vertragsbedingungen kann auch darin liegen, dass bei starker Authentifizierung Wissens- und Besitzelemente sorgfaltswidrig preisgegeben werden.
c) Ob eine grob fahrlässige Pflichtverletzung vorliegt, richtet sich nach einem strengen Maßstab. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt, indem etwa ganz naheliegende Überlegungen nicht angestellt oder beiseitegeschoben werden und dasjenige unbeachtet bleibt, was jedem einleuchten müsste (BGH, Urteil vom 18. November 2004 – VI ZR 141/13).
d) Die Bank hat nach § 675w Satz 4 BGB unterstützende Beweismittel für eine schuldhafte Pflichtwidrigkeit des Kunden vorzulegen (vergleiche Grüneberg/Grüneberg § 675u Randnummer 5; § 675w Randnummer 3 folgende). Sie muss also auch im Rahmen der Schlichtung aufzeigen, dass die Antragstellerin durch bestimmte Handlungen in einem bestimmten Zusammenhang schuldhaft sorgfaltswidrig gehandelt hat.
Im Mittelpunkt der anzustellenden Erwägungen steht die Grundannahme, dass es ganz maßgeblich auf die Sicherheit des bankseitig eingesetzten technischen Systems ankommt (BeckOK/Schmalenbach § 675w Randnummer 7 folgende; Staudinger/Omlor § 675w Randnummer 8). Unklarheiten in Bezug auf die Zuverlässigkeit dieses Systems können nicht durch Annahmen ersetzt werden, die zu Lasten von Bankkunden gehen. Daher verlangt auch der BGH den Nachweis durch unterstützende Beweismittel dafür, dass auf der Grundlage aktueller Erkenntnisse die praktische Unüberwindbarkeit des konkret eingesetzten Sicherungsverfahrens und dessen Beachtung im jeweiligen Einzelfall feststeht (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Entscheidungen des Bundesgerichtshofes in Zivilsachen (BGHZ) 208, 331357, juris; Linardatos, Neue Juristische Wochenschrift (NJW) 2017, 2145, 2150).
3. Der Sachverhalt lässt nicht die Feststellung grober Fahrlässigkeit zu.
Die Antragstellerin bestreitet, dass der tatsächliche Ablauf beziehungsweise Verwendungszweck für sie erkennbar gewesen sei. Demgegenüber hat die Bank keine Chronologie aufgezeigt und belegt, die etwas anderes erhärten könnte.
Die von der Antragstellerin zugestandene Betätigung eines Links weist allerdings auf ein leichtfertiges Verhalten von ihr hin. Ein grob fahrlässiges Verhalten der Antragstellerin – etwa in dem Sinne, dass sie an einem bestimmten Punkt sehenden Auges einer Phishing-Attacke nachgegeben hätte – stehen insoweit aber durchgreifend in Frage. Der Link hatte noch keinen erkennbaren konkreten Transaktionsbezug, zumal nähere Einzelheiten zur insoweit abgelaufenen Prozedur ohnehin nicht feststellbar sind.
Die Bank lastet der Antragstellerin im Kern an, an der Umstellung auf das Push-TAN-Verfahren sorgfaltswidrig durch Beantwortung der Sicherheitsfrage und durch Verwendung der TAN mitgewirkt zu haben. Insoweit geht es in der Tat um den zentralen Prozess für die Umstellung auf das vom Täter beherrschte Push-TAN-Verfahren.
Die Sicherheitsfrage hatte dabei für sich genommen keinen unmittelbaren Bezug zu einer bestimmten Transaktion. Sie indizierte per se auch keinen unmittelbar drohenden Missbrauch.
Es kommt daher maßgeblich darauf an, ob der Verwendungszweck für die mit einer SMS übermittelte TAN für die Antragstellerin erkennbar war und ob sie veranlasst war, den Vorgang abzubrechen. Die unkontrollierte Verwendung von Transaktionsnummern ist nach der Rechtsprechung in hohem Maße sorgfaltswidrig und kann den Tatbestand grober Fahrlässigkeit erfüllen (BGH, Urteil vom 24. April 2012 – XI ZR 96/11, juris; Oberlandesgericht (OLG) München, Beschluss vom 4. September 2023 – 19 U 1508/23 e, juris, mit vielen weiteren Nachweisen; OLG München, Urteil vom 23. Januar 2012 – 17 U 3527/11, juris).
Die gebotene Kontrolle muss aber auch die reale Möglichkeit eröffnen, drohende Gefahren zu erkennen und abzuwenden. Das wird namentlich dadurch gewährleistet, dass der tatsächliche Verwendungszweck konkret bezeichnet wird. Das ist hier aber nicht geschehen.
Die Antragstellerin hat unwidersprochen aufgezeigt, dass ihr die TAN wie folgt übermittelt wurde:
Aus dieser Mitteilung ging aber nicht, jedenfalls nicht mit der gebotenen Klarheit hervor, welchem Zweck die TAN dienen sollte. Der Begriff „Verwaltung“ ist gänzlich unkonkret und kann praktisch alle bankbezogenen Abläufe meinen. Auch die „Änderung“ von Sicherheitsdaten entbehrt eines klaren Bezugs zu dem, was tatsächlich ablief. Es ging konkret und auch entsprechend der von der Bank verwendeten Terminologie um die Umstellung des zentralen Auftrags- und Authentifizierungsakts durch die Umstellung des TAN-Verfahrens auf das Push-TAN-Verfahren für ein anderes Endgerät.
Demgegenüber ist der Begriff „Sicherheitsdaten“ so ungenau, dass er die Funktion als eindeutiger Hinweis auf den tatsächlichen Ablauf nicht erfüllen konnte. Das gilt umso mehr, als ein klar umrissener Verwendungszweck – etwa im oben formulierten Sinne – unschwer möglich gewesen wäre.
Das Sicherungsverfahren wurde durch dieses Versäumnis erheblich geschwächt. Jedenfalls ist auch unter Würdigung aller Umstände nicht feststellbar, dass die Antragstellerin in einem solchen Grad sorgfaltswidrig handelte, dass ein Verschulden im Sinne grober Fahrlässigkeit gegeben wäre.
Die Bank sollte wiedergutschreiben.
In dem nachfolgend zitierten Schlichtungsverfahren hat der Ombudsmann die Durchführung eines Streitbeilegungsverfahrens abgelehnt, weil streitentscheidende Tatsachen von den Parteien widersprüchlich vorgetragen wurden. Nach der Verfahrensordnung (VerfO) kann in solchen Fällen gemäß § 3 Absatz 2 Buchstabe b) VerfO die Durchführung abgelehnt werden:
Bescheid von Prof. Dr. Franz Häuser vom 11. Oktober 2024 im Verfahren R 40/24
I.
Die Antragstellerin verlangt von der Bank die Wiedergutschrift von 2.200 Euro, mit denen diese ihr Girokonto am 14. Oktober 2022 wegen einer mit ihrem Smartphone veranlassten Sofortüberweisung auf das Konto eines Dritten belastet hat. Die Antragstellerin behauptet, dies sei ohne ihr Verschulden geschehen. Zwei Wochen vor der beanstandeten Abbuchung habe sie sich das letzte Mal eingeloggt. Als sie sich dann am 14. Oktober 2022 über ihren Kontostand informieren wollte, meldete sie sich mit ihrem Anmeldenamen und Passwort an. Dafür habe sie ein Smartphone mit der Volksbank-App und für die Abfrage getrennt davon ein zweites Smartphone für den Zugangscode genutzt. Es öffnete sich dann eine neue Seite, auf der sie ihre IBAN eingeben sollte. Sie sei davon ausgegangen, dass es sich um eine Neugestaltung des Anmeldeprozesses der Bank gehandelt habe. Nach Eingabe der IBAN sei es dann zu spät gewesen, da die Abbuchung bereits realisiert war.Sie habe sich umgehend am 14. Oktober 2022 bei der Hotline gemeldet, die nicht weiterhelfen konnte und eine Bearbeitung des Vorganges am folgenden Montag (17. Oktober 2022) zusagte, also den unberechtigten Zugriff der Bank umgehend angezeigt, das Konto gesperrt/gekündigt und ein neues Konto eingerichtet. Auf ihre Strafanzeige habe die Staatsanwaltschaft Görlitz ein Ermittlungsverfahren gegen Unbekannt eingeleitet, aber am 22. Februar 2023 ohne Ergebnis wieder eingestellt, weil ein Täter nicht ermittelt werden konnte. Die Antragstellerin meint, Opfer einer kriminellen Tat geworden zu sein, was nach ihrer Ansicht bereits auf Sicherheitslücken beim Eröffnen des Kontos im Post-Ident-Verfahren zurückzuführen sei. Dazu beruft sie sich auf die fraglichen Ermittlungen der Staatsanwaltschaft Görlitz in einem Schreiben vom 1. Februar 2024 und bestreitet, dass das Secure-Ident-Verfahren sicher sei.
Die Bank lehnt die von der Antragstellerin geforderte Wiedergutschrift ab, weil es dafür an einer Rechtsgrundlage fehle, und meint, die Antragstellerin sei offenbar Opfer eines Betrugs geworden, der nicht aus von der Bank unterlassenen Handlungen resultiere. Die Antragstellerin habe sowohl die Kundenauthentifizierung als auch den Zahlungsauftrag selbst autorisiert.
Die Bank stellt sodann klar, dass die von der Antragstellerin herangezogenen Ausführungen im Schreiben der Staatsanwaltschaft Görlitz betreffend die Sicherheit des Secure-Ident-Verfahren sich nicht auf das Konto der Antragstellerin bei ihr, sondern auf das Konto der Zahlungsempfängerin bei der Empfängerbank bezogen habe. Die auf ihrer Homepage einsehbaren Sicherheits- und Warnhinweise dienten der Information und dem Schutz der Kundschaft vor typischen Betrugsmaschen und Phishing-Tricks und würden keine Sicherheitslücken beschreiben. Das Online-Banking der Bank sowie die TAN-App (TÜV-geprüfte App vom 14. Dezember 2022) seien sicher. Sodann erläutert die Bank, dass die Vermutung der Antragstellerin über Änderungen oder Neugestaltungen zum Anmeldeprozess für das Online-Banking inklusive App falsch sei, denn solche Maßnahmen würden bei ihr standardgemäß im Vorfeld der Neuerung den Kunden kommuniziert. Solche Änderungen erfolgten nie mit der Aufforderung zur Eingabe der IBAN. Die IBAN werde auch nicht zu Zwecken der Legitimation oder Kundenauthentifizierung verwendet. Vom gewohnten Handling abweichend geforderte Eingaben seien verdächtig und könnten ein Indiz für einen Betrug sein.
Die Bank führt aus, sie habe der Antragstellerin die Zahlung als solche angezeigt, die diese dann freigegeben habe. Die Antragstellerin wendet ein, dass sie nur ihren Kontostand ablesen und keine Zahlung veranlassen wollte. Die Bank weist zur Begründung auf ihre Protokollierung hin, der zu entnehmen sei, dass die Antragstellerin sich am 14. Oktober 2022 um 20:03 Uhr mit korrekten Zugangsdaten im Online-Banking angemeldet und danach den fraglichen Auftrag mittels eigener Freigabe über die SecureGoPlus-App selbst autorisiert habe. Mit der Aufforderung zur Freigabe in der VR-SecureGoPlus-App seien der Antragstellerin die Auftragsart (SEPA-Überweisung), der Betrag (2.200 Euro) und die Empfänger-IBAN vollständig angezeigt worden. Den Auftrag habe die Antragstellerin nachweisbar durch die Eingabe ihres Passworts für die SecureGoPlus-App autorisiert. Dies sei wie bei allen anderen früheren Überweisungen so geschehen, was die Bank mit einem Beispiel erläutert. Die Bank weist weiter darauf hin, es sei durch technische Maßnahmen sichergestellt, dass die SecureGoPlus-App nur mit einem Mobilgerät der Antragstellerin verbunden sei und nicht auf anderen Geräten ausgeführt werden kann. Gemäß der Protokollierung sei die beanstandete Überweisung mit dem Huawei-Handy der Antragstellerin und der gleichen SecureGoPlus-App wie andere Überweisungen freigegeben worden. Die Bank schließt wegen der Gleichheit mit anderen Überweisungen technisch eine Freigabe durch Dritte aus. Die streitige Zahlung sei nur mit den Online-Banking-Zugangsdaten (Anmeldenamen und PIN) der Antragsstellerin möglich. Sie nutze im Rahmen der 2-Faktor-Authentifizierung als Sicherheitsverfahren das TAN-App-Verfahren. Die TAN-App sei absolut sicher, weshalb die betrügerisch gemeldete Verfügung von ihr selbst freigegeben worden sein muss.
Am 14. Oktober 2022 habe die Antragstellerin sich um 20:35 Uhr im Call-Center der Bank gemeldet. Daraufhin sei der Online-Zugang gesperrt worden, was die Antragstellerin bestätigt habe. Da der betrügerische Zahlungsauftrag ausweislich der Protokolle der Bank bereits um 20:06 Uhr ausgelöst wurde, konnte die Sperre des Online-Zugangs die Ausführung der Zahlung nicht verhindern, da diese als Echtzeitüberweisung (Instant Payment) beauftragt und ausgeführt wurde. Gemäß Teilziffer 7 der Sonderbedingungen für die Ausführung von Echtzeit-Überweisungen kann ein einmal erteilter Auftrag vom Kunden nicht mehr widerrufen werden, da der Zahlungsbetrag dem Empfänger innerhalb von wenigen Sekunden zur Verfügung gestellt werden muss. Es liege kein Fehler der Bank vor.
Bei derartigen Betrugshandlugen würden die IP-Daten der entsprechenden Transaktion zusätzlich durch das Rechenzentrum der Bank gesichert und für einen Zeitraum von 30 Tagen – zum Beispiel für Auskunftsersuchen der Staatsanwaltschaft vorgehalten. Nach Ablauf dieser Frist müssen die Daten aufgrund gesetzlicher Bestimmungen gelöscht werden und stehen demnach für Ermittlungszwecke nicht mehr zur Verfügung. Die Bank habe keinen Zugriff auf diese Daten. Ob die gespeicherten Daten von den Ermittlungsbehörden innerhalb der Frist abgerufen werden, wisse die Bank nicht. Jedenfalls wurde kein entsprechendes Auskunftsersuchen gestellt.
Die Bank beanstandet, die Antragstellerin habe die erforderlichen Sorgfaltspflichten zur Prüfung und Freigabe von Transaktionen und Aufträgen gemäß Nummer 7.3 der Sonderbedingungen für das Online-Banking verletzt. Durch die Freigabe ohne vorherige Prüfung und Abgleichung mit den Auftragsdaten habe sie ihre Sorgfaltspflicht zur Prüfung und Freigabe von Transaktion und Auftrag grob fahrlässig verletzt. Der Teilnehmer sei nämlich verpflichtet, die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehene Daten vor der Bestätigung zu prüfen. Einen von ihr nicht erteilten Zahlungsauftrag hätte sie nicht freigeben dürfen. Bei Abweichung sei die Transaktion abzubrechen. Die Sonderbedingungen habe sie mit Abschluss des Vertrags zum Online-Banking anerkannt. Die Antragstellerin habe sowohl die Kundenauthentifizierung als auch den Zahlungsauftrag selbst autorisiert.
II.
Ich lehne die Durchführung des Schichtungsverfahrens gemäß § 3 Absatz 2 b) der Verfahrensordnung (VerfO) ab, weil entscheidende Tatsachen im Schlichtungsverfahren streitig sind und der Klärung etwa durch das Gutachten eines Sachverständigen für Online-Banking (vergleiche § 144 Absatz 1 Zivilprozessordnung (ZPO)) bedürfen, was im Schlichtungsverfahren nicht möglich ist (§ 6 Absatz 5 VerfO).Dies betrifft hier vor allem die Frage, ob die Antragstellerin die von ihr beanstandete Echtzeitüberweisung autorisiert hat (a) und ob der Bank bei fehlender Autorisierung ein Anspruch auf Schadensersatz gegen die Antragstellerin zusteht, weil sie girovertragliche Pflichten grob fahrlässig verletzt hat (b).
a) Wie es im vorliegenden Fall zu der Überweisung der 2.200 Euro vom Konto der Antragstellerin gekommen ist, ist zwischen den Beteiligten streitig. Die Bank schildert plausibel den Ablauf der fraglichen Überweisung vor allem anhand ihrer protokollierten Belegunterlagen. Die Antragstellerin bestreitet hingegen, der Bank einen von ihr autorisierten Zahlungsauftrag erteilt zu haben (§§ 675f Absatz 4 Satz 2, 675j Absatz 1 BGB). Sie habe auf einer neuen Internetseite wunschgemäß (nur) ihre IBAN angegeben. Bei einem von der Antragstellerin nicht autorisierten Zahlungsvorgang, der zur Belastung des Zahlungskontos des Kunden geführt hat, hätte die Bank keinen Anspruch auf Erstattung ihrer Aufwendungen (§ 675u Satz 1 BGB), vielmehr wäre sie nach § 675u Satz 2 Halbsatz 2 BGB verpflichtet, das Zahlungskonto wertstellungsneutral wieder auf den Stand zu bringen, auf dem es sich ohne die fragliche Belastung durch den Zahlungsvorgang befunden hätte (BGHZ 216, 184 Randnummer 17 = Wertpapier-Mitteilungen. Zeitschrift für Wirtschafts- und Bankrecht (WM) 2017, 2306; BGHZ 205, 377 Randnummer 23 = WM 2015, 1631; OLG Dresden, WM 2023, 1638, 1649; OLG Stuttgart, WM 2023, 875, 876; Amtsgericht (AG) München, WM 2023, 1268, 1289; OLG Celle, Zeitschrift für Bank- und Kapitalmarktrecht (BKR) 2021, 114 Randnummer 17; Landgericht (LG) Düsseldorf, BKR 2019, 154 Randnummer 155; OLG Frankfurt BKR 2017, 526 Randnummer 13; Kirchner, BKR 2023, 703, 706).
Für die von der Antragstellerin bestrittene Behauptung der Bank, sie habe die Überweisung selbst im Sinne von § 675j Absatz 1 Satz 1 BGB autorisiert, ist die Bank als Zahlungsdienstleisterin im Verhältnis zur Antragstellerin als Zahler nach § 675w Satz 1 BGB darlegungs- und beweispflichtig (OLG Dresden, WM 2024, 1165, 1166; OLG Dresden, WM 2023, 1639, 1640). Insoweit ist also durch Sachverständigengutachten zu klären, ob und wie es im fraglichen Verfahren zu einer Zustimmung der Antragstellerin zu der tatsächlich ausgeführten Überweisung gekommen sein kann. Nach der Beweiswürdigungsregelung in § 675w Satz 3 Nummer 1 BGB reicht als Nachweis für eine Autorisierung und nach § 675w Satz 3 Nummer 4 BGB für eine grobe Fahrlässigkeit des Kontoinhabers oder für einen Verstoß gegen die Bedingungen für die Nutzung eines Zahlungsinstruments allein die Aufzeichnung der Nutzung des Zahlungsinstruments einschließlich der Authentifizierung durch das Kreditinstitut nicht notwendigerweise aus. Erforderlich ist vielmehr eine Berücksichtigung der Umstände des Einzelfalles im Rahmen der Beweislastverteilung. § 675w Satz 4 BGB verlangt über die Anforderungen des Satzes 1 hinaus als Nachweis die Vorlage weiterer Beweismittel. Auch diese Vorschrift schließt beweiserleichternde Regeln zugunsten der Bank aber nicht aus (Grüneberg/Sprau, § 675w BGB Randnummer 4; zur kritikwürdigen Entstehungsgeschichte vergleiche Linardatos, NJW 2017, 2145, 2150).
Im vorliegenden Fall spricht gegen einen Beweis des ersten Anscheins die Entscheidung des BGH vom 26. Januar 2016 (BGHZ 208, 331 = WM 2016, 691 = NJW 2016, 2014) zum Schadenersatzanspruch wegen des Missbrauchs im Online-Banking (§ 675v Absatz 2 BGB alte Fassung). Der BGH (am angegebenen Ort, Randnummer 75) führt aus, dass es keine Erfahrungssätze gäbe, die auf ein bestimmtes typisches Fehlverhalten des Kontoinhabers hinweisen würden. Die Vielzahl von Authentifizierungsverfahren, die sich zum Teil erheblich im Sicherungskonzept und dessen Ausgestaltung unterschieden, könnten jeweils auf unterschiedliche Weise angegriffen werden, wozu wiederum verschiedene Pflichtverletzungen des Kontoinhabers beitragen könnten.
b) Einem etwaigen Anspruch auf (Wieder-)Gutschrift (§ 675u Satz 2 Halbsatz 2 BGB) kann die Bank mit einem eigenen Schadenersatzanspruch gegen den Antragsteller begegnen (§ 242 BGB), wenn die Belastungen des Kontos durch einen entsprechenden Schadensersatzanspruch abgedeckt wird (BGHZ 227, 343 Randnummer 25 = WM 2021, 174; OLG Frankfurt am Main, WM 2014, 690, 691; OLG Dresden, WM 2024, 1165, 1166; OLG Dresden, WM 2023, 1638, 1640, 1644; OLG Stuttgart, WM 2023, 875, 876; Kirchner, BKR 2023, 703, 705, 708). Belastungsbuchungen haben nämlich nur eine deklaratorische Bedeutung (BGH, WM 2007, 982, 983; Placzek, WM 2017, 1835, 1840).
Dies kann die Bank, wenn die Antragstellerin vorsätzlich oder grob fahrlässig gegen Bedingungen für die Nutzung eines Zahlungsinstruments verstoßen hat (§ 675v Absatz 3 Nummer 2. b) BGB in Verbindung mit Nummer 10.2.1 Absatz 3 und Nummer 7.3 Sonderbedingungen für das Online-Banking). Als Regelbeispiel für grobe Fahrlässigkeit des Teilnehmers im Online-Banking nennt Nummer 10.2.1 Absatz 3 Sonderbedingungen für das Online-Banking, wenn der Teilnehmer seine Sorgfaltspflichten nach Nummer 7.3 verletzt hat.
Dies betrifft die „Prüfung der Auftragdaten mit von der Bank angezeigten Daten“. Die Bank meint, die Antragstellerin habe gegen diese Prüfungspflicht verstoßen. Insofern bestreitet die Antragstellerin, dass die Bank ihr von ihr empfangene Auftragsdaten angezeigt habe, weshalb eine Überprüfung dieser Daten ausscheide. Ein Sachverständiger müsste dazu Stellung nehmen.
Ein Anspruch auf Schadensersatz der Bank gegen die Antragstellerin in fraglicher Höhe kommt nach § 675v Absatz 3 Nummer 2 BGB ferner in Betracht, wenn die Antragstellerin eine Pflicht aus § 675l Absatz 1 BGB, und zwar in Verbindung mit den Sonderbedingungen für das Online-Banking grob fahrlässig verletzt hat. Insoweit beanstandet die Bank, dass die Antragstellerin nach ihrem eigenen Vorbringen unmittelbar vor der Belastung des Kontos ihre IBAN einem Dritten bekannt gegeben habe. Allerdings hat der BGH (Zeitschrift für Wirtschaftsrecht (ZIP) 2022, 2169) entschieden, dass die Kontonummer nicht zu den personalisierten Sicherheitsmerkmalen gehört, also nicht Bezugsobjekt der Sorgfaltspflichten der Zahlungsdienstenutzer ist, weil sie im Rahmen von Zahlungsvorgängen systembedingt offengelegt werden muss (zu Artikel 69 Absatz 2 Richtlinie der EU 2015/2366 über Zahlungsdienste im Binnenmarkt; ebenso Grüneberg/Grüneberg, BGB, 83. Auflage 2024, § 675j Randnummer 7).
c) Zur Vermeidung eines Rechtsstreits schlage ich den Beteiligten vor, sich zur Klärung des Sachverhalts auf einen Sachverständigen in Fragen des Online-Bankings vergleichsweise zu einigen. Dessen Gutachten sollte dazu Stellung nehmen, ob mit Rücksicht auf das praktizierte Online-Verfahren von einer Autorisierung durch die Antragstellerin auszugehen ist oder ob und wie ein unbefugter Dritter an die sensiblen Daten für die Echtzeitüberweisung gelangen konnte, schließlich ob die Antragstellerin nach den Umständen des Falles die Prüfungspflicht nach Nummer 7.3 Sonderbedingungen für das Online-Banking verletzt hat.