Onlinebanking

Aufgrund meiner Erfahrung in der Praxis, dass Bankinstitute die haftungsrechtliche Situation bei einem Phishing- oder Pharmingangriff und daraus resultierender unbefugte Zugriffe auf Onlinekonten, welche wiederum zu unberechtigten Überweisungen führen, gegenüber dem Kunden gerne aussitzen, möchte ich an dieser Stelle dazu Ausführungen machen, dass meines Erachtens die Rechtslage für die Bankinstitute weitaus unkomfortabler ist, als sie von diesen dargestellt wird.

Aufgrund der SEPA Richtlinie, ähnlich wie bei der bisherigen nationalen Regelung führt die fehlende Zustimmung zur Transaktion bei einem Phishing-Angriff nach Art. 54 I der Richtlinie zur Unwirksamkeit. Die Banken haben keinen Aufwendungsersatzanspruch gegenüber dem Kunden und dieser hat folglich bei dennoch erfolgter Belastung seines Kontos einen Bereicherungsanspruch gegen die Bank. In der Situation kann die Bank nicht beweisen, dass der Auftrag vom Kontoinhaber kam. Sie argumentieren mit einem so genannten Anscheinsbeweis, da ja PIN/TAN des Kunden verwandt worden seien. Beim klassischen PIN/TAN – Verfahren lehnt die Judikatur jedoch einen Anscheinsbeweis ab, da inzwischen allgemein bekannt ist, dass rechtsmissbräuchliche technische Zugriffe auf Kontodaten erfolgen, ohne dass der Kunde unsorgfältig mit seinen Zugangsdaten umgeht.

Der Gesetzesentwurf der Bundesregierung sah in der Umsetzung der SEPA Richtlinie Neuregelungen im BGB vor, welche die Rechte der Verbraucher stärken werden. So sieht er eine Haftung des Kunden gegenüber der Bank nur bei grob fahrlässiger Verletzung seiner Pflichten, zur Treffung von Vorkehrungen um personalisierte Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, vor, § 675 v Abs. 2 BGB. Bei verlorengegangenen oder gestohlenen Identifizierungsinstrumenten ist eine Deckelung des Schadensersatzanspruchs des Zahlungsdienstleisters (Bank) gegenüber dem Zahlenden (Kunden) auf 150,00 EUR vorgesehen, § 675 v Abs. 1 BGB.

Was zumutbar ist, wird die Rechtsprechung zeigen und ist Kern der Rechtsfragen in einem Prozess. Bisher reichen nach der Rechtsprechung das regelmäßige Update des Betriebssystems, eine aktuelle Antivirensoftware und eine Firewall aus (Amtsgericht Wiesloch, Urteil vom 20.06.2008, Az. 4 C 57/08). Weiter wurde festgestellt, dass die Banken das Fälschungsrisiko des Überweisungsauftrags tragen.

Eine Beweiserleichterung durch einen Anscheinsbeweis kommt nur dann in Frage, wenn bereits die unstreitig festgestellte Tatsachen eines Sachverhalts hinsichtlich einer noch zu beweisenden Tatsache nach der allgemeinen Lebenserfahrung eindeutig auf einen typischen Geschehensablauf hinweisen (BGH, NJW 2006, 2262). Von einer feststehenden Ursache kann dann auf einen bestimmten Erfolg, oder aber von einem feststehenden Erfolg auf eine bestimmte Ursache geschlossen werden (BGH, NJW 2005, 2395, 2398).

Bei einer unautorisierten Überweisung an Dritten per Onlinebanking, kann angesichts der Zunahme der so genannten Phishing – Fälle nicht mehr darauf geschlossen werden, dass die Kunden entgegen ihrer Sorgfaltspflicht aus dem Girovertrag PIN und TAN für Dritte zugänglich aufbewahren oder diese auf Anfrage mitgeteilt hätten bzw. der Computer nicht ausreichend geschützt gewesen sei. Das Bundeskriminalamt hat hierzu mitgeteilt, dass im Jahr 2007 4200 Phishing-Fälle offiziell registriert wurden. 2006 waren es noch 3500. Die Schadenshöhe sei von 2500 EUR auf 4500 EUR gestiegen. Bei einer solchen Anzahl von erfolgreichen Phishing Attacken im Jahr 2007 in Deutschland, kann von einem nach der Lebenserfahrung typischen Geschehensablauf nicht mehr die Rede sein. Die tatsächliche Kriminalitätsentwicklung im bereich des Phishings rechtfertigt den Anscheinsbeweis nicht mehr (AG Wiesloch, b.b., Borges, Rechtsfragen des Phishings – ein Überblick, NJW 2005, 3313, AG Berlin-Mitte, Urteil vom 25.11.2009, Az. 21 C 442/2008).

Abgesehen davon, ist der Anscheinsbeweis auch aus normativen Gründen in Altfällen abzulehnen.

„Sinn und Zweck des § 676 h BGB, dessen Neuschaffung der Umsetzung der EG-Richtlinie 97/7/EG des Europäischen Parlaments und des Rates vom 20.05.1997, über den Verbraucherschutz bei Vertragsabschlüssen im Fernabsatz (Fernabsatz-Richtlinie) in nationales Recht diente – ist es, den Bankinstituten die Beweislast dafür aufzubürden, dass kein Missbrauch von Daten im Sinne des § 676 h BGB vorgelegen hat. Zum Zwecke des Verbraucherschutzes soll diese Beweislastverteilung die Haftungsrisiken bei missbräuchlichen Abhebungen also weitaus stärker als bisher auf Bankinstitute verlagern. § 676 h BGB stellt insofern eine besondere Schutzvorschrift zugunsten des Bankkunden vor der Inanspruchnahme durch sein Kreditinstitut dar. Ein Anscheinsbeweis, wie ihn die Beklagte behauptet, würde dies vereiteln. Schließlich stünde ein Anscheinsbeweis Art. 61 Abs. 2 der EG-Richtlinie RL/2007/64/EG des Europäischen Parlaments und des Rates vom 13.11.2007, die am 05.12.2007 im Amtsblatt der Europäischen Union (L319/1) veröffentlicht wurde (SEPA-Richtlinie) entgegen. Danach sollen Bankkunden nur noch dann für nicht von ihnen autorisierte Zahlungsvorgänge haften, wenn sie ihre Sorgfaltspflicht in betrügerischer Absicht oder grob fahrlässig verletzt haben. Diese Haftungsmaßstäbe würde ein Anscheinsbeweis konterkarieren. Aus dem Grundsatz der Gemeinschaftstreue ist bereits vor Ablauf der Umsetzungsfrist am 01.11.2009 gemäß Art. 10 Abs. 2, Art. 249 Abs. 3 EG-Vertrag eine mittelbare Vorwirkung der SEPA – Richtlinie zu entnehmen. Demnach sind alle Gerichte bereits vor Ablauf der Umsetzungsfrist dazu verpflichtet, nationale Bestimmungen richtlinienkonform auszulegen. Zudem dürfen staatliche Stellen keine Maßnahmen erlassen oder dulden, welche den Richtlinienzweck gefährden, schmälern oder gar vereiteln könnten (EuGH, Urteil vom 18.12.1997, C 129/96, Slg. S. I-7411 „Inter-Environement Wallonie“, AG Berlin-Mitte, Urteil vom 25.11.2009, Az. 21 C 442/2008).

Der Anscheinsbeweis liefe dem Sinn und Zweck des Art. 61 Abs. 2 der SEPA-Richtlinie zuwider. Er ist daher mit der mittelbaren Vorwirkung des Art. 61 Abs. 2 der SEPA-Richtlinie unvereinbar. Nach Auslegung gemäß des Grundsatzes effet utile ist ein Anscheinsbeweis ausgeschlossen, da er Art 61 Abs. 2 der SEPA-Richtlinie zuwider liefe, da die Hürden für Abwehransprüche der Bank gerade sehr hoch gesetzt werden sollen. 676 h BGB ist daher richtlinienkonform auszulegen.“

Der strenge Maßstab des Art. 61 Abs. 2 SEPA-Richtlinie ist daher mit einzulesen, wie es nun auch in § 675 v Abs. 2 BGB n.F. manifestiert wurde.

Vorsorglich wird darauf hingewiesen, dass Fahrlässigkeitsvorwürfe gegen AGB einer AGB-Kontrolle in der Regel nicht standhalten da sie eine wesentliche Abweichung im Sinne des § 307 Abs. 2 Nr. 1 BGB i.V.m. Art. 61 Abs. 2 Nr. SEPA-Richtlinie darstellen. Die mittelbare Vorwirkung ist, wie oben beschrieben, zu berücksichtigen. Eine unangemessene Benachteiligung ist folglich gemäß § 307 Ab.s 2 Nr. 1 BGB i.V.m. 307 Abs. 1 BGB i.V.m. Art. 61 Abs. 2 SEPA-Richtlinie zu bejahen. Somit sind die gesetzlichen Fahrlässigkeitsmaßstäbe (betrügerische Absicht und grobe Fahrlässigkeit) anzuwenden.
Ähnlich hat auch das Bundesverfassungsgericht angeführt, da es in einer gegen die PKH-Versagung gerichteten Verfassungsbeschwerde ausgeführt hat, dass die von der Rechtsprechung angeblich entwickelten Grundsätze zum Anscheinsbeweis bei missbräuchlicher Automatenabhebung unter Verwendung einer EC-Karte und der dazugehörigen Geheimnummer (PIN). Allerdings kann der Kunde einen atypischen Geschehensablauf darstellen, wie etwa ein Kartendiebstahl und Ausspähen der Daten, um diese Vermutung zu entkräften. In dem Fall hatte der Geschädigte die EC-Karte erst gar nicht erhalten (BVerfG, Urteil vom 08.1.2009, Az. 1 BvR 2733/06).

In Berlin ist ein Postbote aufgefallen, welcher EC-Karten und PIN – Zusendungen öffnete und rechtsmissbräuchlich verwendete. Hier dürfte der vielfach bemühte Anscheinsbeweis der Banken somit nicht greifen.

Die Rechtsprechung ist m.E. auf Online-Phishing-Fälle zu übertragen.

Auch das neue mTAN – Verfahren ist nicht mehr sicher, da sich Kriminelle Zugang zu den Mobiltelefonen verschaffen, zumindest aber die SMS mit den mTAN abfangen. Trojaner und Man in the middle Attacken (Betrag und Empfänger werden im Hintergrung geändert) sind hierzu bekannt geworden. Neuerdings werden SIM-Karten mit derselben Telefonnummer, die angegriffen werden soll, bestelllt und zum alleinigen Empfang der SMS ausgerichtet. Die mTAN ging so unbemerkt an die Gauner und der Bankkunde wunderte sich, wo die mTAN bleibt. Die Bankdaten wurden über infizierte Computer ausgespäht. Danach hatten die Betrüger alle erforderlichen Daten in der Hand.

Zwar haften grundsätzlich die Banken gegenüber den Bankkunden, jedoch nicht, wenn sie grob fahrlässig handelten. Bei der Eingabe auf einer vermeintlichen Onlinebankingseite haben das OLG München und das LG Berlin grober Fahrlässigkeit bei der Eingabe von 100 bzw. 40 TAN´s bejaht (Oberlandesgericht München, Urteil vom 23.01.2013, AZ. 17 U 3527/13; Landgericht Berlin, Urteil vom 08.11.2011, Az. 21 O 80/11).

RECHTSANWALT
Thilo Zachow
FACHANWALT FÜR IT-RECHT
Fachanwalt für Urheber- und Medienrecht
Annaberger Str. 240
09125 Chemnitz
Telefon: 0371 53 47 290
Fax: 0371 53 47 291