Im Bereich des kartengebundenen Zahlungsverkehrs ging es wie in den Vorjahren überwiegend um die Frage der Haftung für Schäden aufgrund missbräuchlicher Verwendung abhandengekommener Zahlungskarten. Fast regelmäßig werden mit der Originalkarte unter korrekter Eingabe der PIN Abhebungen vom Konto vorgenommen. Signifikant viele Antragsteller, denen die Karte abhandengekommen war, verlangten von der Bank die Wiedergutschrift eines unter Verwendung der PIN verfügten Betrags mit der Begründung, die Transaktion sei nicht von ihnen autorisiert worden.
Oftmals ergehen die Entscheidungen zulasten der Antragstellenden, wie der folgende Schlichtungsvorschlag B 2/25 zeigt:
Schlichtungsvorschlag
I.
Die Antragstellerin verlangt von der Antragsgegnerin die Wiedergutschrift von 2.509,25 Euro. Sie hat das wie folgt begründet:„[…] Ich bin am 13. Januar 2022 Opfer eines Diebstahls geworden. In der Anlage sende ich Ihnen Kopien des bisherigen Schriftverkehrs. Den Diebstahl hatte ich zur Anzeige gebracht, jedoch konnte die Staatsanwaltschaft den Täter bisher nicht ermitteln.
Beim Diebstahl wurde mir die VR-Bankcard (EC-Karte) entwendet, die sich in meinem Geldbeutel befand. Der Dieb hat mit der Karte in der Folge Abbuchungen im Wert von 2.500 Euro durchgeführt.
Die Polizeibehörde hat mir mitgeteilt, dass die Buchungen, die von den Dieben durchgeführt wurden, von der Karten ausgebenden Bank gutzuschreiben sind, weil diese in Zusammenhang mit einer Straftat erfolgten.
Ich wende mich an Ihre Behörde mit der Bitte um Vermittlung und Schadensregulierung, auch um eine unnötige Zivilklage zu vermeiden […]“
Die Antragstellerin hat gegenüber der Bank geltend gemacht, die PIN immer geheim zu halten und sie aus dem Gedächtnis einzugeben.
Die Bank hat zum Schlichtungsantrag Stellung genommen:
„[…] Vorliegend wurde die Karte von Frau B. am 13. Januar 2022 entwendet. Hierbei wurden an Geldautomaten der Sparkasse Abhebungen getätigt, welche einen Schaden von 2.509,25 Euro bei der Kundin verursachten. Für die Verfügung an den Geldautomaten musste dem Täter die persönliche Geheimzahl (PIN) von Frau B. bekannt gewesen sein. Wir verweisen hierbei auf unsere Allgemeinen Geschäftsbedingungen in Verbindung mit den Sonderbedingungen für die Benutzung der Girocard im Hinblick auf Absatz 7, welcher die Sorgfalts- und Mitwirkungspflichten des Karteninhabers regelt.
Die Verfügungen an den Geldautomaten sind am 13. Januar 2022 um 13:50 Uhr, um 13:51 Uhr sowie um 13:52 Uhr vorgenommen worden. Die Sperrung der Karte erfolgte jedoch erst nach den Verfügungen. Aufgrund dieser Tatsachen haben wir damals und werden wir auch heute eine Erstattung des Betrages in Höhe von 2.509,25 Euro ablehnen […]“
II.
Den Schlichtungsantrag kann ich nicht befürworten.Die Voraussetzungen für einen Anspruch auf Wiedergutschrift der missbräuchlich veranlassten Kontobelastungen kann ich nicht feststellen.
In rechtlicher Hinsicht handelt es sich bei einem missbräuchlichen Karteneinsatz um einen Zahlungsauftrag im Sinne von §§ 675 n folgende BGB. Wenn es insoweit an einem autorisierten Auftrag des Karteninhabers (hier also der der Antragstellerin) fehlt und eine missbräuchliche Verfügung vorliegt, besteht zwar nach § 676 u BGB kein Aufwendungsersatzanspruch zugunsten der Bank im Sinne von §§ 670, 675 Absatz 1 BGB. Die Bank darf das Konto also grundsätzlich nicht wegen einer solchen Verfügung belasten.
Die Antragstellerin hat aber trotzdem keinen Anspruch auf eine Wiedergutschrift, weil der Bank ein deckungsgleicher Schadensersatzanspruch wegen Vertragsverletzung zusteht (§ 280 Absatz 1 BGB), mit dem sie das Konto doch belasten durfte. Eine solche Eigenhaftung von Bankkunden für die missbräuchliche Verwendung von Karten besteht nach dem Gesetz und den vertraglichen Sonderbedingungen dann, wenn die Verwendung durch eine grob fahrlässige Verletzung der Sorgfalts- und Mitwirkungspflichten des Karteninhabers im Sinne von § 675 v Absatz 3 BGB ermöglicht wurde. Davon muss ich hier ausgehen.
Wenn alle Umstände nach der Lebenserfahrung und nach allgemeinem Verständnis typischerweise für einen bestimmten Hergang sprechen, dann entspricht es gesundem Menschenverstand, auch eine entsprechende Schlussfolgerung zu ziehen und keine konstruierten Spekulationen anzustellen. Rechtlich spricht man dann vom Beweis des ersten Anscheins, dass eine bestimmte Tatsache feststeht.
Zugunsten einer Bank spricht in den Fällen, in denen – wie hier – unter Verwendung der zutreffenden Prüfnummer im Rahmen eines Kartenumsatzes mit PIN-Abfrage Umsätze getätigt wurden, der Beweis des ersten Anscheins dafür, dass entweder der Karteninhaber die Abhebung selbst vorgenommen hat (was die Bank nicht einwendet) oder dass ein Dritter von der Geheimnummer nur deswegen Kenntnis erlangen konnte, weil diese gemeinsam mit der Karte verwahrt wurde (vergleiche BGH, Urteil vom 29. November 2011 – XI ZR 370/10, juris; Urteil vom 5. Oktober 2004 – XI ZR 210/03, juris; Beschluss vom 6. Juli 2010 – XI ZR 224/09, juris). In solchen Fällen scheidet eine Gutschrift zugunsten des Bankkunden wegen pflichtwidrigen Verhaltens aus. Das hat die Polizei der Antragstellerin leider nicht mitgeteilt.
Dieser Anscheinsbeweis ist zwar nicht in Stein gemeißelt und kann natürlich entkräftet werden. Das ist hier aber nicht geschehen. Die Antragstellerin muss sich schon der Frage stellen, wie denn dem Täter die Verwendung der PIN möglich sein konnte. Ohne die PIN ist eine Geldabhebung nicht möglich. Insoweit reicht es nicht aus, die gemeinsame Verwahrung von Karte und PIN einfach zu bestreiten, denn das schafft noch nicht die Umstände aus der Welt, die auf einen typischen Ablauf hindeuten. Es muss schon ein ernsthaft in Betracht kommendes Alternativgeschehen aufgezeigt werden, wonach ein pflichtwidriges Verhalten in Frage steht (BGH, Urteil vom 5. Oktober 2004 – XI ZR 210/03, juris). Die Antragstellerin liefert aber letztlich keinerlei plausible Erklärung dafür, wie der Täter die Karte unter Verwendung der richtigen Prüfnummer einsetzen konnte.
Dass dies durch bloßen Zufall (ausprobieren) möglich wurde, liegt fern, denn ein Zufallstreffer ist völlig unwahrscheinlich und scheidet praktisch aus. Es ist schon nicht lebensnah anzunehmen, dass ein Täter auf gut Glück versuchen könnte, beliebige Zahlenreihen auszuprobieren, denn das führt nur zur Sperrung der Karte.
Ein anderes Geschehen, das die Antragstellerin entlasten könnte, wird ebenfalls nicht greifbar. Ein Ausspähen der PIN ist hier nicht feststellbar. Ein etwaiges Ausspähen stellt die Eigenhaftung von Bankkunden ohnehin nicht immer in Frage, etwa wenn es dem Täter leichtfertig ermöglicht wird, die Eingabe der PIN zu beobachten. Ein vom Bankkunden unverschuldetes Ausspähen käme auch nur bei einem engen zeitlichen und örtlichen Zusammenhang mit dem Diebstahl in Betracht (vergleiche dazu BGH, Urteil vom 5. Oktober 2004 – XI ZR 210/03, Entscheidungen des Bundesgerichtshofes in Zivilsachen (BGHZ) 160, 308–321). Dafür ist hier nichts ersichtlich.
Auch im Übrigen fehlt es an jedem Anhaltspunkt dafür, dass dem Täter aus anderen Gründen der Karteneinsatz ohne Kenntnis der Geheimnummer möglich gewesen sein könnte. Ein Auslesen der PIN von der Karte ist nicht möglich. Das dürfte inzwischen allgemein bekannt sein.
Die Antragstellerin sollte daher akzeptieren, dass sie die sehr misslichen Folgen einer dreisten Straftat nicht auf die Bank abwälzen kann. Die Auseinandersetzung sollte beendet werden.
Die Verfahren, in denen Antragstellende vortragen, Trickbetrügern zum Opfer gefallen zu sein, die sich ihrer persönlichen Zugangsdaten bemächtigten und missbräuchliche Verfügungen über erhebliche Beträge vornahmen, nahmen signifikant zu. Da bei diesen Fällen eine vom Kunden autorisierte Zahlungsanweisung regelmäßig nicht festgestellt werden kann, hängt der Erfolg dieser Anträge auf Streitschlichtung davon ab, ob es der Bank gelingt, dem Kunden ein grob fahrlässiges Verhalten nachzuweisen.
Im folgenden Schlichtungsvorschlag B11/25 wird hierzu umfassend ausgeführt:
Schlichtungsvorschlag
I.
Der Antragsteller unterhält ein Girokonto bei der Antragsgegnerin. Es ist für das Onlinebanking freigeschaltet. Für die Authentifizierung der Umsätze wird die SecureGo-plus-App der Antragsgegnerin verwendet.Am 22. Oktober 2024 wurden von dem Konto 25.000 Euro an einen Herrn A. in Frankfurt überwiesen.
Der Antragsteller behauptet, dass er die Überweisung nicht autorisiert habe, und verlangt mit seiner Beschwerde Erstattung des Betrags zuzüglich Verzugszinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 24. Oktober 2024 sowie vorgerichtlicher Anwaltskosten in Höhe von 1.583,89 Euro.
Am 10. Oktober 2024 habe er eine überzeugend gestaltete Phishing-E-Mail von Klarna erhalten. Er habe auf den darin ausgewiesenen Link geklickt und auf der aufgerufenen Zielwebseite seine Daten zur Aktualisierung eines Lastschriftmandats eingegeben, und zwar die Daten, die es den Tätern letztlich ermöglicht hätten, sich in das Onlinebanking einzuloggen.
Am 22. Oktober 2024 habe er schließlich den Anruf eines angeblichen Mitarbeiters der Antragsgegnerin erhalten. Er sei auf verdächtige Bewegungen auf seinem Konto aufmerksam gemacht worden. Man habe ihm mitgeteilt, dass er wahrscheinlich Opfer einer Phishing-E-Mail geworden sei und man sein Konto gehackt und geplündert habe.
Aus Angst um sein Geld habe er die Anweisungen des Anrufers zur Authentifizierung über die SecureGo-plus-App befolgt. In dem Zusammenhang habe er auch akzeptiert, dass die 25.000 Euro auf das Konto des Herrn A. überwiesen werden. Dies sei zum angeblichen Ausgleich der betrügerischen Überweisung erforderlich gewesen.
Ein grob fahrlässiges Verhalten seinerseits vermag er nicht zu erkennen. Zumindest liege ein Mitverschulden der Antragsgegnerin vor.
Die Antragsgegnerin lehnt eine Zahlung ab. Einem eventuellen Anspruch des Antragstellers stehe jedenfalls ein Schadensersatzanspruch der Antragsgegnerin entgegen.
Der Antragsteller habe nach seinen eigenen Angaben zu dem Telefonat über die SecureGo-plus-App zunächst die Erhöhung des Überweisungslimits auf 50.000 Euro und dann die Überweisung von 25.000 Euro an einen A. freigegeben. Nach den Nutzungsbedingungen bestehe auch die Verpflichtung, die bei der Freigabe angezeigten Daten mit dem Auftrag abzugleichen. Bei Abweichungen sei der Vorgang abzubrechen. Gegen diese Verpflichtung habe der Antragsteller verstoßen.
Der Antragsteller habe den Auftrag entweder selbst autorisiert oder die Transaktion sei fremden Personen nur deshalb möglich gewesen, weil der Antragsteller Aufträge über die App freigegeben habe. Damit habe er sowohl sein mobiles Endgerät als auch seine persönlichen Sicherheitsmerkmale grob fahrlässig verwendet.
Auch ein Mitverschulden liege nicht vor. Im Zeitpunkt der Auskunftserteilung sei der Überweisungsbetrag noch auf dem Empfängerkonto ersichtlich gewesen. Tatsächlich habe der Empfänger jedoch bereits an einem Geldautomaten über den Betrag verfügt.
II.
Die Beschwerde des Antragstellers kann ich nicht unterstützen.a) Nach § 675 u Satz 2 BGB hat die Antragsgegnerin in Fällen nicht autorisierter Zahlungsvorgänge keinen Aufwendungsersatzanspruch, sie, die Antragsgegnerin, ist vielmehr verpflichtet, dem Antragsteller eine entsprechende Gutschrift zu erteilen, wenn Abbuchungen erfolgt sind.
Die Autorisierung ist eine einseitige empfangsbedürftige Willenserklärung, wobei für Zugang, Anfechtung und so weiter die allgemeinen Regeln des BGB gelten (Grüneberg-Grüneberg, BGB, 83. Auflage, § 675 j, Randnummer 3 mit Nachweisen).
Sie ist von der Authentifizierung zu unterscheiden, weil die Eingabe von Authentifizierungsmerkmalen auch durch (unberechtigte) Personen geschehen sein kann, deren Verhalten dem Kontoinhaber nicht als Willenserklärung zugerechnet werden darf. Eine Autorisierung liegt in diesen Fällen nicht vor.
Der Antragsteller behauptet, dass er die strittige Verfügung nicht vorgenommen hat, räumt aber die Freigabe der Transaktion über die SecureGo-plus-App ein. Ob dies bereits eine Autorisierung darstellt, kann man durchaus bezweifeln. Die Antragstellerseite führt hierfür durchaus überzeugende Argumente an. Die Frage kann jedoch dahingestellt bleiben.
Selbst wenn man einen Anspruch des Antragstellers aus der oben erwähnten Vorschrift unterstellt, kann sein Gesuch im Ergebnis keinen Erfolg haben.
b) Es stellt sich nämlich die weitere Frage, ob die Antragsgegnerin gemäß § 242 BGB dem Erstattungsanspruch nicht einen Schadensersatzanspruch gemäß § 675 v Absatz 3 Nummer 2 b BGB wegen grob fahrlässiger Pflichtverletzung des Antragstellers im Zusammenhang mit der Nutzung von Sicherheitsmerkmalen entgegensetzen oder damit aufrechnen kann (vergleiche BGH Entscheidungsdatenbank (DB) 2021, 6112–617).
Nach der Vorschrift ist der Antragsteller der Antragsgegnerin nur dann schadenersatzpflichtig, wenn er vorsätzlich oder grob fahrlässig gegen eine oder mehrere vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments verstoßen und dadurch den Schaden verursacht hat, was grundsätzlich von der Antragsgegnerin als Anspruchstellerin darzustellen und zu beweisen ist. Einen Anscheinsbeweis zugunsten der Antragsgegnerin gibt es dabei nicht, auch nicht für ein grob fahrlässiges Verhalten, insbesondere wegen des insoweit zu beachtenden individuellen Einschlags des groben Verschuldens (BGH, Neue Juristische Wochenschrift (NJW) 2016, 2024–2031, Randnummer 67).
Allerdings trifft den Kunden eine Substantiierungslast. Weil es sich bei den strittigen Vorgängen weitgehend um Geschehnisse handelt, die im ausschließlichen Einfluss- und Kenntnisbereich des Antragstellers abgelaufen sind, hat er substantiiert darzustellen, was er genau gemacht hat, weil die Antragsgegnerin andernfalls keine Möglichkeit hat, ihre Darstellung erforderlichenfalls zu widerlegen. Diese Verpflichtung hat der Antragsteller hier vorbildlich erfüllt.
Danach hat der Antragsteller auf den Link in einer E-Mail geklickt und dort die Zugangsdaten zum Internetportal der Antragsgegnerin eingegeben, um Daten für ein Lastschriftmandat zu aktualisieren.
Dieser Vorgang legt ein grob fahrlässiges Verhalten des Antragstellers sehr nahe.
Angesichts der ständigen Warnungen in den Massenmedien und der Hinweise der Banken auf ihren Internetseiten ist es eigentlich schon unverantwortlich, den Link in einer E-Mail zu nutzen, um dort persönliche Daten einzugeben. Über die Frage kann man aber vielleicht noch geteilter Meinung sein. Völlig unverständlich ist mir allerdings, welchen Sinn es haben soll, zur Aktualisierung einer Lastschrift die eigenen Zugangsdaten zum Internetportal der eigenen Bank einzugeben. Der Inhaber der Lastschrift benötigt keinen Zugang zu dem Internetportal. Damit hat der Antragsteller den Tätern die Tür zu seinen Konten weit geöffnet.
Mit diesem Verhalten hat er gegen Ziffer 7.1 der Sonderbedingungen für das Onlinebanking verstoßen, weil er seine Zugangsdaten den Tätern damit praktisch zur Verfügung gestellt hat.
Noch gravierender erscheint mir allerdings der zweite Verstoß. Nach Ziffer 7.3 der Sonderbedingungen war der Antragsteller verpflichtet, die in der SecureGo-plus-App mitgeteilten Auftragsdaten zu überprüfen und die Transaktion gegebenenfalls abzubrechen.
Der Antragsteller räumt selbst ein, dass ihm in der App die Überweisung an den Empfänger in Höhe von 25.000 Euro angezeigt worden ist und er sie freigegeben hat. Warum das? Hierfür finde ich nicht die geringste plausible Erklärung. Auch aus seinem Sachvortrag ergibt sich diese nicht. Wieso soll die Überweisung an eine andere Person zum Ausgleich des Betrugsschadens erforderlich sein?
Das Verhalten des Antragstellers ist auch als besonders schwerer und damit grob fahrlässiger Sorgfaltsverstoß anzusehen, weil einfachste, ganz naheliegende Überlegungen nicht angestellt wurden (Grüneberg-Grüneberg, BGB, 83. Auflage, § 277, Randnummer 5).
Auch ein Mitverschulden der Antragsgegnerin kann ich nicht erkennen (§ 254 BGB). Die Antragsgegnerin räumt ein, dass dem Antragsteller ursprünglich eine unzutreffende Auskunft über den Verbleib der Gelder erteilt worden ist und die Überweisung vielmehr bereits auf dem Empfängerkonto war. Ohne Zustimmung des Empfängers war eine Rückbuchung damit nicht mehr möglich.
Anhaltspunkte dafür, dass die Antragsgegnerin nicht über die gesetzlich vorgeschriebenen oder üblichen technischen Sicherungssysteme verfügt hat, habe ich nicht. Einen 100-prozentigen Schutz gibt es auch durch den Einsatz computertechnischer Sicherungssysteme nicht.
Aufgrund der Häufigkeit der Fälle wird nachfolgend eine weitere Entscheidung, S 21/25, veröffentlicht, in der zur Darlegungslast der Bank bezüglich eines eigenen Schadensersatzanspruchs gegen den Kunden wegen Verletzung vertraglicher Sorgfaltspflichten vorgetragen wird:
Schlichtungsvorschlag
I.
Die Antragstellerin unterhält bei der Antragsgegnerin ein Konto, wofür eine Kreditkarte (Mastercard) der DZ BANK ausgegeben ist. Zur Authentifizierung wird im Rahmen des Mastercard-Identity-Checks per SMS eine TAN auf das Handy der Antragstellerin übermittelt.Nach Ziffer 1.1 der Vertragsbedingungen für Mastercard und Visa Card der Antragsgegnerin ist die DZ BANK Herausgeber und Vertragspartner des Karteninhabers, also der Antragstellerin, wobei sie, die DZ BANK, durch die Antragsgegnerin vertreten wird. Der Kunde hat sich jedoch bezüglich sämtlicher Erklärungen und Mitteilungen an die Antragsgegnerin zu halten. Dies gilt insbesondere für etwaige Auseinandersetzungen über Aufwendungsersatzansprüche gemäß Ziffer 7 der Vertragsbedingungen.
7.1 der bereits erwähnten Vertragsbedingungen lautet:
„Der Herausgeber ist gegenüber den Akzeptanzstellen, Geldautomatenbetreibern und Bargeld auszahlenden Stellen verpflichtet, die vom Karteninhaber autorisierten Zahlungsaufträge zu begleichen. Der Herausgeber hat daher einen Aufwendungsersatzanspruch gegenüber dem Karteninhaber in Höhe der von ihm autorisierten Zahlungen sowie der von ihm zu tragenden Entgelte und verkauft diesen Anspruch an die Bank.“
Unter Ziffer 11.1.1 der Vertragsbedingungen findet sich folgende Regelung:
„Für nicht autorisierte Zahlungsvorgänge aus der Nutzung der Karte oder deren Daten haftet der Karteninhaber grundsätzlich nicht. Die Bank hat gegen ihn keinen Anspruch auf Ersatz ihrer Aufwendungen. Wurde der Betrag dem Abrechnungsmonat belastet, bringt die Bank dieses Konto unverzüglich nach Kenntnisnahme des nicht autorisierten Zahlungsvorgangs, auf jeden Fall bis spätestens zum Ende des folgenden Geschäftstags, wieder auf den Stand, auf dem es sich ohne die Belastung des nicht autorisierten Zahlungsvorgangs befunden hätte. Dies gilt auch für eventuelle Zinsen aus Verträgen gemäß Ziffer 1.3 und 1.4.“
Zur Haftung des Kunden enthält Ziffer 11.1.2 folgende Regelung:
„Bestehen berechtigte Gründe für den Verdacht eines betrügerischen Verhaltens des Karteninhabers und hat die Bank diesen einer zuständigen Behörde in Textform mitgeteilt, hat die Bank ihre Verpflichtung aus Ziffer 11.1.1 Satz 3 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Hat der Karteninhaber in betrügerischer Absicht gehandelt oder seine Sorgfalts- und Mitwirkungspflichten gemäß Ziffer 6 vorsätzlich oder grob fahrlässig verletzt, ist er der Bank zum Ersatz des gesamten daraus entstehenden Schadens verpflichtet. Für etwaige Schäden, die der Bank durch eine nicht unverzügliche Beanstandung des Karteninhabers am Inhalt der Umsatzinformationen entstehen, haftet der Karteninhaber unbegrenzt. Für Schäden nach der Sperranzeige oder die entstanden sind, weil die Bank keine jederzeitige Sperrmöglichkeit angeboten hat, haftet der Karteninhaber nur, wenn er in betrügerischer Absicht gehandelt hat. Der Karteninhaber ist nicht zum Schadensersatz verpflichtet, wenn die Bank oder der Herausgeber keine starke Kundenauthentifizierung verlangt oder die Akzeptanzstelle oder ihr Zahlungsdienstleister eine starke Kundenauthentifizierung nicht akzeptiert hat.“
Zu den einzuhaltenden Sorgfalts- und Mitwirkungspflichten enthält Ziffer 6 folgende Regelung:
„6.4. „Sorgfaltspflichten bei Internetzahlungen, beim mobilen Bezahlen und Schutz weiterer Authentifizierungselemente
„Bei Einsatz der Karte im Internet hat der Karteninhaber darauf zu achten, dass die übermittelten Kartendaten verschlüsselt übertragen werden („https://“) und dass immer ein sicheres Bezahlverfahren gemäß Ziffer 4.3 eingesetzt wird, sofern von der Akzeptanzstelle unterstützt. Die Wissenselemente sind vom Karteninhaber entsprechend der Ziffer 6.3 vor Kenntnisnahme durch Dritte zu schützen. Besitzelemente sind vor Missbrauch zu schützen, insbesondere, indem der Zugriff unberechtigter Personen verhindert wird und installierte Zahlungs- und Sicherheit-Apps so konfiguriert werden, dass sie von anderen Personen nicht genutzt werden können. Seinselemente dürfen insbesondere auf dem Endgerät nur verwendet werden, wenn nur die biometrischen Merkmale des Karteninhabers darauf verwendet werden.
Beim mobilen Bezahlen darf der Code zum Entsperren niemals anderen mitgeteilt und keine biometrischen Erkennungsmerkmale anderer auf dem mobilen Endgerät hinterlegt werden.“
Ziffer 4.3 der Sonderbedingungen und Verfahrenshinweise für die gesicherte Authentifizierung bei Kreditkartenzahlungen im Internet hat folgenden Wortlaut:
„Der Karteninhaber hat die Übereinstimmung der von der Bank genutzten übermittelten Transaktionsdaten mit den von ihm für die Transaktion vorgesehenen Daten abzugleichen. Bei Unstimmigkeiten ist die Transaktion abzubrechen und die Bank zu informieren.“
Die Antragstellerin führt in ihrer Beschwerde aus, dass am 6. beziehungsweise 7. September 2024 von ihr nicht autorisierte Belastungen im Umfang von insgesamt 1.261,50 Euro vorgenommen worden seien, die sie mit der Beschwerde von der Antragsgegnerin erstattet haben will. Auf die Vorgänge sei sie von der Antragsgegnerin am 16. September 2014 hingewiesen worden, weil ihr diese als ungewöhnlich erschienen seien.
Zur Begründung führt sie aus, dass sie keine Authentifizierung durchgeführt habe. Auf ihrem damaligen Smartphone der Marke One Plus habe sie keinerlei SMS mit dem entsprechenden Inhalt erhalten und auch keine TAN an andere Personen weitergegeben.
Mittlerweile habe sie auch festgestellt, dass ihre private E-Mail-Adresse gehackt worden sei, die sie bei der Antragsgegnerin hinterlegt habe.
Die Antragsgegnerin lehnt die Forderung ab. Sie führt aus, dass bei jeder der durchgeführten Transaktionen diese durch die per SMS übermittelte TAN an die Handynummer der Antragstellerin und die von ihr vergebene Sicherheitsabfrage legitimiert und freigegeben worden seien. Die Antragstellerin habe diese autorisiert. Daraus sei zu schließen, dass die Antragstellerin besonders schützenswerte Kreditkartendaten weitergegeben habe. Es gebe keinen Grund, diese Daten mitzuteilen, um eine Zahlung zu erhalten. Aufgrund der Autorisierung nach § 675 j Absatz 1 BGB bestehe kein Ausgleichsanspruch. Mit der Eingabe der Daten und der Autorisierung per TAN habe die Antragstellerin auch gegen Regelungen der Kreditkartenorganisation verstoßen.
Wenn die Antragstellerin ihr Smartphone nicht aus der Hand gegeben habe, bestehe die theoretische Möglichkeit, dass die SIM-Karte und damit das Handy geklont worden seien. Allerdings müsse hierfür eine Autorisierung gegenüber dem Provider erfolgen. Die Frage einer zweiten SIM-Karte könne aber ausschließlich im Verhältnis der Antragstellerin zu ihrem Provider geklärt werden.
II.
Die Beschwerde der Antragstellerin führt zu nachfolgendem Vergleichsvorschlag:a) Vorweg ist anzumerken, dass die Antragsgegnerin die richtige Ansprechpartnerin (Anspruchsgegnerin) ist. Vertragspartner hinsichtlich der Nutzung der Mastercard ist zwar die DZ BANK und nicht die Antragsgegnerin. Nach den oben dargestellten Vertragsbedingungen ist die Antragsgegnerin zum einen jedoch die Vertreterin und ausschließliche Ansprechpartnerin der Antragstellerin, zum anderen jedoch auch Inhaberin eines eventuellen Aufwendungsersatzanspruchs der DZ BANK, weil diese ihre Forderung an die Antragsgegnerin verkauft (und wohl auch abgetreten) hat (vergleiche Ziffer 7.1 der Vertragsbedingungen). Ein eventueller Aufwendungsersatzanspruch aus der Verwendung der Karte steht damit nicht der DZ BANKank, sondern allenfalls der Antragsgegnerin zu.
b) Nach Ziffer 11.1.1 der Vertragsbedingungen hat die Antragsgegnerin in Fällen nicht autorisierter Zahlungsvorgänge keinen Aufwendungsersatzanspruch, sie, die Antragsgegnerin, ist vielmehr verpflichtet, der Antragstellerin entsprechende Gutschriften zu erteilen, wenn Abbuchungen erfolgt sind.
Zwischen der Antragstellerin und der DZ BANK besteht ein Zahlungsdienstevertrag gemäß §§ 675 f folgende BGB, wobei die Antragsgegnerin durch die Abtretung und die bereits dargestellten Regelungen in den Vertragsbedingungen teilweise in deren Rechtsstellung eingetreten ist.
Die Antragstellerin hätte gegen die Antragsgegnerin grundsätzlich einen Anspruch auf Gutschrift der Belastungen in Höhe von insgesamt 1.261,50 Euro nach § 675 u Satz 2 BGB, wenn sie die Zahlungsvorgänge nicht autorisiert hat (§ 675 j Absatz 1 BGB).
Die Autorisierung ist eine einseitige empfangsbedürftige Willenserklärung, wobei für Zugang, Anfechtung und so weiter die allgemeinen Regeln des BGB gelten (Grüneberg-Grüneberg, BGB, 83. Auflage, § 675 j, Randnummer 3 mit Nachweisen).
Dabei ist zunächst darauf hinzuweisen, dass zwischen Autorisierung und Authentifizierung unterschieden werden muss (vergleiche § 675 w Absatz 1 BGB), was von der Antragsgegnerin ignoriert wird. Die Authentifizierung (Eingabe der für die Freigabe der Transaktion erforderlichen TAN) stellt keineswegs zwingend eine Autorisierung des entsprechenden Vorgangs dar, weil die Eingabe der Daten auch durch unbefugte Personen geschehen kann. In diesem Fall fehlt es an einer Autorisierung, mit der Folge, dass die Antragsgegnerin zu einer Gutschrift nach § 675 u Satz 2 BGB verpflichtet wäre.
Den Nachweis der Autorisierung hat die Antragsgegnerin zu führen (BGH, Urteil vom 5. März 2024 – XI ZR 107/22; BGHZ 240, 23–38). Dabei kann sie sich gegebenenfalls auf einen Anscheinsbeweis für die Autorisierung berufen, wenn sie nachweist, dass eine Authentifizierung stattgefunden hat und die Sicherheitsvorkehrungen in ihrem System praktisch unüberwindlich sind und im Einzelfall ohne Auffälligkeiten funktioniert haben (§ 675 w Satz 1 BGB; BGH NJW 2016, 2024, Randnummer 39). Nurn wird mir aus der Einlassung der Antragsgegnerin schon nicht ganz klar, ob sie überhaupt bestreiten will, dass die Antragstellerin die Transaktionen nicht freigegeben hat. Immerhin sind ihr selbst, wie die Antragstellerin unwidersprochen behauptet, die Vorgänge im Zusammenhang mit der Karte verdächtig vorgekommen.
Insoweit müsste sich die Antragsgegnerin einmal klar positionieren. Sollte sie eine Autorisierung behaupten wollen, müsste sie, wie bereits dargestellt, den Nachweis führen. Bisher ist das nicht geschehen. Möglicherweise könnte er durch Vorlage der von mir noch anzufordernden Transaktionsprotokolle erbracht werden, die ich allerdings auch nur unter Zuziehung eines Gutachters auswerten könnte.
Nach § 6 Absatz 5 der Verfahrensordnung ist mir die Einholung eines Gutachtens aber nicht möglich. Die Durchführung des Verfahrens müsste ich deshalb eigentlich nach § 3 Absatz 2b der Verfahrensordnung ablehnen.
c) Wenn ich den unter a) thematisierten Erstattungsanspruch einmal unterstelle (die Antragsgegnerin behauptet eine Autorisierung der Vorgänge durch die Antragstellerin und ihr gelingt auch der Nachweis), würde sich die Frage eines eventuellen Schadensersatzanspruchs der Antragsgegnerin aus § 675 v Abs.Absatz 3 Nummer 2 BGB stellen. Die Antragsgegnerin thematisiert diese Frage nur oberflächlich.
Die Vorschrift setzt voraus, dass die Antragstellerin vorsätzlich oder grob fahrlässig die vertraglich festgelegten Sorgfaltspflichten verletzt hat. Auch insoweit ist darauf hinzuweisen, dass die Voraussetzungen dieses Schadensersatzanspruchs von der Antragsgegnerin darzustellen und zu beweisen sind. Für eine Pflichtverletzung der Antragstellerin habe ich jedoch keinerlei Anhaltspunkte, zumal sie behauptet, dass sie von der Antragsgegnerin keine SMS mit einer TAN erhalten hat. Im Übrigen sind die Ausführungen der Antragsgegnerin zu einem möglichen Klonen des Smartphones reine Vermutungen, die durch nichts belegt sind.
Zusammenfassend ist insoweit deshalb festzuhalten, dass ich keine Anhaltspunkte für einen Schadensersatzanspruch der Antragsgegnerin gegen die Antragstellerin habe.
d) Im Ergebnis kommt es damit entscheidend darauf an, ob die Antragsgegnerin tatsächlich eine Autorisierung und nicht nur eine Authentifizierung durch die Antragstellerin behaupten will und diese gegebenenfalls beweisen kann. Sollte beides nicht der Fall sein, steht der Antragstellerin der oben unter a) dargestellte Erstattungsanspruch zu.
Nachdem sich in der Stellungnahme des Dienstleisters der Antragsgegnerin aber die Formulierung „autorisiert“ findet, unterstelle ich einmal, dass die Antragsgegnerin dies auch im juristischen Sinn behaupten möchte. Damit stellt sich allerdings die Frage der Beweisbarkeit. In einem gerichtlichen Verfahren müssten hierzu die Transaktionsprotokolle vorgelegt und ein Sachverständigengutachten zum Sicherheitsniveau der von der Antragsgegnerin eingesetzten Sicherungssysteme eingeholt werden. Nach § 6 Abs.Absatz 5 der Verfahrensordnung ist mir das nicht möglich. Nach § 3 Absatz 2a der Verfahrensordnung müsste ich deshalb die Durchführung des Schlichtungsverfahrens eigentlich ablehnen.
Nachdem ein Schlichtungsverfahren aber dazu dient, gerichtliche Auseinandersetzungen möglichst zu vermeiden, erlaube ich mir dennoch einen Vorschlag zur gütlichen Bereinigung.
Zu welchem Ergebnis die oben geschilderte Beweisaufnahme führen wird, weiß ich nicht.
Allerdings sehe ich die größeren Risiken bei der Antragsgegnerin. Angesichts der immer wieder zu lesenden Angriffs- und Zugriffsmöglichkeiten unberechtigter Personen auf Sicherheitssysteme erscheint es mir zumindest problematisch, dass der Antragsgegnerin der Nachweis der praktischen Unüberwindbarkeit ihrer Sicherungssysteme gelingt.
Vor dem Hintergrund erlaube ich mir vorzuschlagen, dass die Antragsgegnerin der Antragstellerin 2/3 des entstandenen Schadens (= 841 Euro) ersetzt und damit die Angelegenheit erledigt ist.