Wir benutzen Cookies um Inhalte und Werbung zu personalisieren und die Seitennutzung zu analysieren. Wir teilen diese Informationen über google adsense mit unseren Werbepartnern.
logo mit Text lexexakt.de Werbung:
Artikel Diskussion (0)
LG Darmstadt v. 28.8.2014 Az. 28 O 36/14
(recht.)
    

Leitsatz:

Dem Zahlungsdienstleistungsnutzer ist eine manipulierte Autorisierung im Online-Banking bei Nutzung des Smart-TAN-plus Verfahrens nach Rechtsscheinsgrundstzen zuzurechnen.

Tenor

Die Klage wird abgewiesen.

(...)

Tatbestand

Die Klgerin begehrt von der Beklagten Ersatz fr zwei berweisungsvorgnge mittels Online-Banking.

Die Klgerin war Bankkundin der Beklagten. Um ihre Bankgeschfte per Internet (Online) zu ttigen, nutzte die Klgerin das ihr von der Beklagten zur Verfgung gestellte sog. Smart-TAN-plus Verfahren.

Zur Vornahme von Bankberweisungen mittels des Smart-TAN-plus-Verfahrens meldet sich der Kunde im Internet zunchst ber die Homepage der Beklagten durch Eingabe eines sog. Privat-Keys (eine dem Kunden zugeordnete individuelle Nummer, die einer Kundennummer vergleichbar ist) sowie einer nur dem Bankkunden bekannten PIN-Nummer an. Sodann gibt er am Bildschirm die berweisungsdaten (Empfnger, dessen Kontonummer und BLZ bzw. dessen IBAN und BIC sowie zu berweisender Betrag) in eine auf der Homepage der Beklagten bereitgestellte Maske ein. Zur Autorisierung der berweisung verwendet der Bankkunde anschlieend ein ihm von der Beklagten zur Verfgung gestelltes gesondertes Karten-Lesegert mit Display (sog. TAN-Generator), in das er vor jeder Transaktion zunchst seine EC-Karte einfhren muss. An den TAN-Generator werden die auf der Bildschirmmaske eingegebenen berweisungsdaten bermittelt, was sich durch eine optische Schnittstelle (Grafik) auf dem PC-Bildschirm des Bankkunden sowie durch Anhalten des TAN-Generators an den PC-Bildschirm und eine damit einhergehende Datenbertragung durch Lichtsignale ber die optischen Sensoren des TAN-Generators vollzieht (sog. Flickering). Alternativ kann der Bankkunde die berweisungsdaten, die er bereits auf der Bildschirmmaske eingetragen hat, nochmals manuell in den TAN-Generator eingeben. Nach optischer oder manueller bermittlung der berweisungsdaten an den TAN-Generator werden die berweisungsdaten (Empfnger, dessen Kontonummer und BLZ sowie zu berweisender Betrag) auf dem Display des TAN-Generators angezeigt. Der Bankkunde muss die berweisungsdaten durch Drcken der O.K.-Taste des TAN-Generators besttigen. Im Anschluss daran errechnet der TAN-Generator auf Grundlage der an ihn zuvor bermittelten Daten sowie auf Basis der von der EC-Karte ausgelesenen Chipkartennummer und Kundenkontonummer eine auf die konkrete berweisung bezogene sog. TAN. Diese wird von dem Bankkunden in die berweisungsmaske auf dem PC-Bildschirm eingegeben. Das Online-Banking-System der Beklagten - konkret: deren Bankserver - nimmt dieselbe Berechnung zur Ermittlung der auftragsbezogenen TAN vor wie zuvor der TAN-Generator. Stimmen die vom Bankkunden eingegebene und die vom TAN-Generator errechnete (auftragsbezogene) TAN mit der vom Bankserver ermittelten - auftragsbezogenen - TAN berein, wird die Transaktion von dem Online-Banking-System der Beklagten angenommen und ausgefhrt.

Die Manipulationsmglichkeiten und die Systemsicherheit des Smart-TAN-plus-Verfahrens sind zwischen den Parteien streitig.

Die Klgerin nutzte das Smart-TAN-plus-Verfahren der Beklagten auf Grundlage der zwischen den Parteien vereinbarten Sonderbedingungen fr das Online-Banking (Bl. 81 f. d. A.). Diese sehen unter Ziffer 7.4 vor, dass der Bankkunde verpflichtet ist, Daten aus seinem Online-Banking-Auftrag (z. B. der Betrag, Kontonummer des Zahlungsempfngers), die er ber ein Chipkartenlesegert mit Display zur Besttigung angezeigt erhlt, vor der Besttigung auf bereinstimmung der angezeigten Daten mit den fr die Transaktion vorgesehenen Daten zu prfen. Die Parteien vereinbarten zudem, dass Verfgungen ber das Online-Banking auf 20.000,00 tglich begrenzt werden.

Am 12.11. und am 27.11.2013 fhrte der Geschftsfhrer der Klgerin mittels des Smart-TAN plus Verfahrens mehrere berweisungen von dem Geschftskonto bei der Beklagten aus (am 12.11.2013 vier berweisungen in der Zeit von 16:42 bis 16:46 Uhr, am 27.11.2013 fnf berweisungen in der Zeit vom 15:52 bis 16:02 Uhr). An beiden Tagen war allein der Geschftsfhrer der Klgerin im Besitz der EC-Karte, die er zur Bedienung des TAN-Generators verwendete. Der Computer, von dem aus der Geschftsfhrer der Klgerin die berweisungen vornahm, war durch einen aktuellen Virenschutz (Avira Free Antivirus) und eine Firewall gesichert, Betriebssystem und Internetbrowser waren auf einem aktuellen Stand. Der Geschftsfhrer der Klgerin stellte am 12.11. und am 27.11.2013 weder grobe grammatische oder orthografische Fehler auf der von ihm aufgerufenen Homepage der Beklagten noch sonstige Aufflligkeiten fest.

Es kam am 12.11. und am 27.11.2013 noch zu weiteren Belastungen des Geschftskontos der Klgerin. Diese sind streitgegenstndlich. Konkret wurde am 12.11. um 16:37 Uhr das Konto der Klgerin mit 9.500,00 zugunsten eines Zahlungsempfngers [] mit dem Verwendungszweck [] und am 27.11.2013 um 15:44 Uhr mit 9.000,00 zugunsten eines Zahlungsempfngers [] mit dem Verwendungszweck [] belastet.

Die beiden Zahlungsempfnger sind der Klgerin nicht bekannt. Die Klgerin wollte die beiden streitgegenstndlichen Zahlungsvorgnge auch nicht veranlassen. Vielmehr gab ihr Geschftsfhrer in die ihm auf dem PC-Bildschirm ersichtliche berweisungsmaske am 12.11. und am 27.11.2013 Daten fr eine berweisung an eine Firma A GmbH & Co. KG ein. Diese beiden Zahlungsauftrge gingen der Beklagten jedoch nicht zu und wurden von ihr daher auch nicht ausgefhrt.

In dem Nachweisprotokoll der SEPA-Auftrge der Beklagten wurden die beiden streitgegenstndlichen Belastungen des Klgerkontos als Online-berweisungen mittels TAN-Generator und dabei erzeugter bereinstimmender TAN des TAN-Generators und des Bankservers erfasst. Ausweislich des Protokolls sollen die Transaktionen unter Verwendung der Bankcard des Geschftsfhrers der Klgerin, Herrn B, und unter Verwendung dessen Private Key und PIN-Nummer beim Einloggen erfolgt sein (Bl. 79 f. d. A.).

Am 29.11.2013 bemerkte die Klgerin die beiden streitgegenstndlichen Zahlungsvorgnge erstmals und stellte Strafanzeige. Die staatsanwaltschaftlichen Ermittlungen ergaben, dass die berweisung am 27.11.2013 von einer IP-Adresse mit 31.18.64.5 vorgenommen wurde, die zu einem bei C verwalteten Kontingent gehrt. Weitere Erkenntnisse brachten die Ermittlungen nicht, da smtliche Daten bereits gelscht / nicht mehr gespeichert waren.

Ebenfalls am 29.11.2013 versuchte der Geschftsfhrer der Klgerin vergeblich, die Beklagte ber eine Notfallhotline zu erreichen und ber die aus ihrer Sicht unberechtigten Kontenbelastungen zu informieren.

Mit Schreiben ihres Prozessbevollmchtigten vom 02.12.2013 forderte die Klgerin die Beklagte zur Rckzahlung der abgebuchten 18.500,00 unter Fristsetzung bis zum 05.12.2013 auf (Bl. 39 d. A.). Am selben Tag unterrichtete die Klgerin die Beklagte von den aus ihrer Sicht nicht autorisierten streitgegenstndlichen Kontenbelastungen (Bl. 8 d. A.).

Im Januar 2014 warnte die Beklagte ihre Kunden auf ihrer Homepage davor, dass geflschte E-Mails in betrgerischer Absicht scheinbar in ihrem Namen versendet werden. In diesen E-Mails werde der Bankkunde aufgefordert, auf einen Link zu klicken. Dieser Link diene jedoch einzig dazu, den Computer des Bankkunden mit Schadcode (Trojaner) zu kompromittieren (Bl. 101 d. A.).

Die Klgerin hat das Vertragsverhltnis mit der Beklagten mittlerweile unter Auflsung des streitgegenstndlichen Geschftskontos gekndigt.

Die Klgerin behauptet,

ihr Geschftsfhrer habe bei jeder berweisung mittels Online-Banking die berweisungsdaten auf der Maske des Bildschirms mit den auf dem Display des TAN-Generators angezeigten berweisungsdaten abgeglichen und dabei keine Aufflligkeiten festgestellt.

Wre die Beklagte ber ihre Notfallhotline am 29.11.2013 zu erreichen gewesen, so htte die Rckbuchung der Kontobelastung vom 27.11.2013 noch erfolgen knnen. Die Klgerin ist der Ansicht, die Beklagte habe dadurch, dass sie erst im Januar 2014 vor den Gefahren betrgerischer E-Mails gewarnt habe, eine Vertragspflicht verletzt. Die Beklagte habe zudem dadurch eine weitere Pflichtverletzung begangen, dass sie die beiden streitgegenstndlichen berweisungen mit derart hohen Betrgen ausgefhrt habe, ohne dass - unstreitig - ein unterschriebener berweisungstrger vorgelegt wurde.

Die Klgerin beantragt,

1.) die Beklagte zu verurteilen, an sie 18.500,00 nebst Zinsen in Hhe von 8 Prozentpunkten ber dem jeweiligen Basiszinssatz seit dem 06.12.2013 zu zahlen;

2.) die Beklagte zu verurteilen, an sie 562,16 auergerichtliche Rechtsverfolgungskosten nebst Zinsen in Hhe von Prozentpunkten ber dem jeweiligen Basiszinssatz seit Rechtshngigkeit zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet,

der Geschftsfhrer der Klgerin, Herr B, habe die auf dem Display des TAN-Generators angezeigten Daten der beiden streitgegenstndlichen berweisungen durch Drcken der O.K.-Taste besttigt und damit autorisiert. Das sei auch dann der Fall, wenn diese von dritter Seite manipuliert worden seien. In diesem Fall stnden der Beklagten Schadensersatzansprche gegen die Klgerin zu, mit der sie - unstreitig - die Aufrechnung erklrt (Bl. 65 d. A.).

Das Gericht hat Beweis erhoben durch Einholung eines schriftlichen Gutachtens des Sachverstndigen Dr.-Ing. D. Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf das Gutachten vom 01.07.2014 verwiesen. Im brigen wird auf die zwischen den Parteien gewechselten Schriftstze nebst Anlagen Bezug genommen.

Entscheidungsgrnde

Die zulssige Klage ist unbegrndet. Die Klgerin kann von der Beklagten weder die Zahlung von 18.500,00 noch die Erstattung vorgerichtlicher Rechtsanwaltskosten von 562,16 verlangen.

Der zwischen den Parteien bestehende Girovertrag mitsamt den Sonderbedingungen fr das Online-Banking ist ein Geschftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, 675c Abs. 1 BGB. Der Klgerin steht aus diesem Vertrag gegen die Beklagte kein Anspruch aus 675u S. 2 BGB auf Zahlung von 18.500,00 zu.

Gem. 675u S. 2 BGB ist der Zahlungsdienstleister verpflichtet, das Zahlungskonto des Zahlers im Falle eines nicht autorisierten Zahlungsvorganges wieder auf den Stand zu bringen, den es ohne die nicht autorisierte Belastung htte. Dieser Anspruch ist zwar grundstzlich nur auf Valutakorrektur mittels Stornobuchung gerichtet. Der Zahler hat jedoch dann einen Anspruch auf Auszahlung des zu Unrecht belasteten Betrages, wenn die Kontobeziehung inzwischen unter Ausgleich des Saldos aufgelst ist (vgl. Nobbe, in: Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl. 2013, 675u BGB Rn. 44). Das ist hier der Fall, da die Vertragsbeziehung der Parteien mittlerweile beendet ist.

Die Voraussetzungen des 675u S. 2 BGB liegen nicht vor. Zwar wurde das bei der Beklagten unterhaltene Geschftskonto der Klgerin durch die beiden streitgegenstndlichen Zahlungsvorgnge vom 12.11. und 27.11.2013 belastet. Diese Zahlungsvorgnge waren jedoch von der Klgerin autorisiert im Sinne des 675j Abs. 1 BGB.

Im Einzelnen:

Autorisierung im Sinne des 675j Abs. 1 BGB meint die Erklrung des Einverstndnisses mit dem Zahlungsvorgang als tatschliches Ereignis (Palandt/Sprau, a. a. O., 675j Rn. 3). Die Autorisierung ist eine Willenserklrung und kann gem. 675j Abs. 1 S. 4 BGB auch mittels eines bestimmten Zahlungsauthentifizierungsinstruments - beim Online Banking mittels PIN und TAN (vgl. Palandt/Sprau, a. a. O., 675j Rn. 6) - erteilt werden.

Fr die Autorisierung des Zahlungsvorganges ist die Beklagte als Zahlungsdienstleister darlegungs- und beweisbelastet, 675w S. 1 BGB (vgl. Schmalenbach, in: Bamberger/Roth, Beck'scher Online-Kommentar BGB, Stand: 01.05.2014, 675w Rn. 7). Dabei benennen 675w S. 1 u. S. 2 BGB bestimmte Mindestanforderungen, die gegeben sein mssen, um eine Autorisierung anzunehmen (vgl. Nobbe, a. a. O., 675 w BGB Rn. 16).

Diese Mindestvoraussetzungen hat die Beklagte dargetan. Denn beim Online-Banking erbringt der Zahlungsdienstleister den Nachweis der Authentifizierung gem. 675w S. 2 BGB, wenn er belegt, dass Kundenkennung, PIN und TAN berprft wurden (vgl. Palandt/Sprau, BGB, 73. Aufl. 2014, 675w Rn. 3). Diesen Anforderungen hat die Beklagte durch Vorlage des Nachweis-Protokolls der SEPA-Auftrge vom 12.11. und 27.11.2013 (Bl. 79 f. d. A.) sowie des Protokolls der SB-Karte-PRK [] (Bl. 78 d. A.) gengt, da aus den Protokollen ersichtlich ist, dass die vorgenannten Nachweise berprft wurden und Grundlage der Transaktionen waren. Die Beklagte hat auch den nach 675w S. 1 geforderten Nachweis, dass der Zahlungsvorgang ordnungsgem aufgezeichnet, verbucht sowie nicht durch eine Strung beeintrchtigt wurde, durch Vorlage des Protokolls der SEPA-Auftrge vom 12.11. und 27.11.2013 (Bl. 79 f. d. A.) gefhrt. Die ordnungsgeme Aufzeichnung, Verbuchung und strungsfreie, keine Aufflligkeiten aufweisende technische Abwicklung kann nmlich durch aussagekrftige Transaktionsprotokolle belegt werden, wenn sich aus diesen ergibt, dass der Zahlungsvorgang nicht durch einen technischen Zusammenbruch oder eine andere Panne beeintrchtigt wurde (vgl. Caspar, in: MKo-BGB, 6. Aufl. 2012, 675w Rn. 6). Das von der Beklagten vorgelegte Protokoll beinhaltet SEPA-berweisungen, die ber das Zahlungsdienstesystem der Beklagten an den streitgegenstndlichen Tagen erfolgten. Ausweislich der Protokolle sind unmittelbar nach den streitgegenstndlichen berweisungen am 12.11. und am 27.11.2013 auch andere Zahlungsvorgnge von anderen Kunden der Beklagten abgewickelt worden, sodass ein technischer Zusammenbruch o. . ausscheidet.

Sind die Mindestvoraussetzungen des 675w S. 1 u. S. 2 BGB gegeben, reicht dies nach 675w S. 3 BGB nicht stets fr den Nachweis, dass der Bankkunde die Zahlung autorisiert hat (vgl. Nobbe, a. a. O., 675 w BGB Rn. 17). Vielmehr mssen die Umstnde des Einzelfalles gem. 286 Abs. 1 ZPO bercksichtigt werden (vgl. Caspar, a. a. O., 675w Rn. 9; Palandt/Sprau, a. a. O., 675w Rn. 4).

Nach dem Ergebnis der Beweisaufnahme steht fr das Gericht mit der von 286 Abs. 1 ZPO geforderten Gewissheit fest, dass eine Autorisierung der beiden streitgegenstndlichen Zahlungsvorgnge durch die Klgerin vorliegt.

Die Klgerin hat ihr Einverstndnis zu den beiden streitgegenstndlichen Zahlungsvorgngen zwar nicht selbst erteilt, sondern wurde Opfer eines sog. Man-in-the-Middle-Angriffs. Ihr ist die mittels des Zahlungsauthentifizierungsinstruments PIN und TAN erteilte Zustimmung des Angreifers zu den manipulierten Zahlungsvorgngen jedoch nach Rechtsscheinsgrundstzen zuzurechnen.

Im Einzelnen:

Die Klgerin kannte die beiden (vermeintlich) aus Lettland stammenden (ggf. fiktiven) Zahlungsempfnger nicht und stand mit ihnen insbesondere auch nicht in einer Geschftsbeziehung. Die Klgerin besa daher keine Veranlassung, derart hohe Auslandsberweisungen an die beiden Zahlungsempfnger zu ttigen. Hinzu kommt, dass die Klgerin an den beiden streitgegenstndlichen Tagen berweisungen an eine A GmbH & Co KG ausfhren wollte und deren Daten in die auf dem PC-Bildschirm ersichtliche berweisungsmaske eingab. Diesem Umstand stellte die Beklagte mit Schriftsatz vom 21.07.2014, S. 3 (Bl. 135 d. A.), unstreitig. Nach den berzeugenden Feststellungen des Sachverstndigen Dr. D ist es fr einen betrgerischen sog. Man-in-the-Middle-Angriff geradezu typisch, dass eine beabsichtigte berweisung, deren Daten in die (manipulierte) berweisungsmaske auf dem PC-Bildschirm eingegeben werden, nicht an die Bank bermittelt und von dieser daher auch nicht ausgefhrt wird. Denn der Angreifer kann keine eigenen, vom Benutzer losgelsten Transaktionen starten, sondern muss immer eine vom dem Zahler gewollte Aktion in seinem Sinne verndern (manipulieren).

Der Klgerin ist das Einverstndnis zu den beiden streitgegenstndlichen Zahlungsvorgngen jedoch nach den Grundstzen der Anscheinsvollmacht zuzurechnen, die auf die Autorisierung nach 675j Abs. 1 BGB entsprechend anwendbar sind (vgl. Palandt/Sprau, a. a. O., 675j Rn. 2; Omlor, in: Staudinger, BGB, Neub. 2012, 675u Rn. 6).

Dies ergibt sich zur berzeugung des Gerichts aus den nachvollziehbaren Ausfhrungen des Sachverstndigen, der Folgendes feststellte:

Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatschlich erfolgte Online-berweisungen nicht von dem Bankkunden selbst vorgenommen wurden.

Auf Grundlage der berzeugenden Feststellungen des Sachverstndigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmglichkeiten, wobei es sich bei beiden um sog. Man-in-the-Middle-Angriffe handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klgerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermglicht. Bei diesen beiden Szenarien gab der Geschftsfhrer der Klgerin die Daten der von ihm jeweils beabsichtigten berweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) berweisungsmaske ein. Im Hintergrund - und damit fr den Geschftsfhrer nicht sichtbar - wurden die streitgegenstndlichen berweisung vorbereitet und deren Daten ber die optische Schnittstelle des Bildschirms an den TAN-Generator bermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die fr die streitgegenstndliche berweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden - fr den Geschftsfhrer der Klgerin sichtbar - die Daten (Empfnger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu berweisender Betrag) der streitgegenstndlichen berweisungen angezeigt. Sodann drckte der Geschftsfhrer der Klgerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN fr die streitgegenstndlichen berweisungen. Anschlieend gab der Geschftsfhrer der Klgerin die erzeugte TAN in die Online-berweisungsmaske ein. Auf dieser war wegen des betrgerischen Angriffs nach wie vor die von ihm gewollte berweisung an die A GmbH & Co. KG angezeigt. Der Angreifer fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann fr die streitgegenstndlichen berweisungen.

Bei dieser Sachlage ist der Klgerin die Zustimmung zu den beiden streitgegenstndlichen berweisungen nach den entsprechend anwendbaren Grundstzen der Anscheinsvollmacht zuzurechnen.

Eine Anscheinsvollmacht ist gegeben, wenn der Vertretene (hier: die Klgerin) das Handeln des Scheinvertreters (hier: des Angreifers) nicht kennt, er es aber bei pflichtgemer Sorgfalt htte erkennen und verhindern knnen, und wenn der Geschftspartner (hier: die Beklagte) annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters. Bei dem hier vorliegenden, mit einer Identittstuschung verbundenen Handeln unter fremdem Namen ist bei Anwendung dieser Grundstze auf das Verhalten des Namenstrgers abzustellen (BGH, Urt. v. 11.05.2011 - VIII ZR 289/09, Rn. 16 - juris; Palandt/Ellenberger, a. a. O., 172 Rn. 11).

Diese Voraussetzungen der Rechtsscheinhaftung liegen vor.

Aus den berzeugenden Ausfhrungen des Sachverstndigen folgt, dass die Klgerin den Man-in-the-Middle-Angriff htte erkennen und verhindern knnen. Denn die Klgerin hatte die Mglichkeit, durch Kontrolle der auf dem Display des TAN-Generators angezeigten berweisungsdaten die Manipulation der Zahlungsvorgnge zu erkennen und htte sodann den Zahlungsvorgang abbrechen knnen. In diesem Fall htten die von ihr erzeugten Daten nicht missbraucht werden knnen. Die Klgerin hat eine Kontrolle der auf dem Display angezeigten berweisungsdaten offenbar aus Unachtsamkeit nicht vorgenommen und damit auch gegen ihre Pflicht aus Ziff. 7.4 der Allgemeinen Sonderbedingung fr das Online-Banking verstoen.

Die Beklagte durfte auch von einer Kenntnis und Billigung der streitgegenstndlichen Zahlungsvorgnge durch die Klgerin ausgehen. Denn die beiden streitgegenstndlichen berweisungen wurden unter Verwendung der EC-Karte der Klgerin, nach Einloggen mit PIN und Private-Key auf der Homepage der Beklagten und unter Verwendung der TAN ausgefhrt, die der TAN-Generator der Klgerin erzeugte und anzeigte (vgl. insb. S. 18 des Sachverstndigengutachtens). Da Zahlungsauthentifizierungsinstrumente (TAN, PIN) gerade dazu dienen, die Ausfhrung des Zahlungsvorganges eindeutig der Klgerin als Veranlasserin zuzuordnen (vgl. Palandt/Sprau, a. a. O., 675j Rn. 6), durfte die Beklagte von Kenntnis und Billigung der Klgerin annehmen.

Das Smart-TAN-plus-Verfahren bietet nach den Ausfhrungen des Sachverstndigen auch eine ausreichende Systemsicherheit, um einen solchen Vertrauenstatbestand zu begrnden (vgl. zur Bedeutung der Systemsicherheit fr die Annahme des Vertrauenstatbestandes: BGH, Urt. v. 11.05.2011 - VIII ZR 289/09, Rn. 18 - juris): Soweit Manipulationsmglichkeiten in Betracht kommen, kann die Ausfhrung des manipulierten Zahlungsvorganges durch Kontrolle der auf dem Display des TAN-Generators angezeigten berweisungsdaten vermieden werden.

Die Annahme einer Anscheinsvollmacht setzt in der Regel weiter voraus, dass das Verhalten, das den Rechtsschein einer Bevollmchtigung erzeugt, von einer gewissen Dauer und Hufigkeit ist (Palandt/Ellenberger, a. a. O., 172 Rn. 12 m w. N.). Ob dieses Erfordernis im vorliegenden Fall erfllt sein muss, ist zweifelhaft, kann aber letztlich offen bleiben. Das ergibt sich aus Folgendem:

In der Sache geht es vorliegend darum, ob die Beklagte aufgrund der ihr bermittelten personalisierten und transaktionsbezogenen Sicherheitsmerkmale ( 675j Abs. 1 S. 4 BGB) davon ausgeht durfte, dass der Zahlungsvorgang mit Einverstndnis der Klgerin erfolgte. Hierfr kann die wiederholte Manipulation der Zahlungsvorgnge durch einen Angreifer richtigerweise keinen Vertrauenstatbestand begrnden, da eine (erfolgreiche) Manipulation als solche fr den Rechtsverkehr gar nicht erkennbar ist (vgl. Faust, JuS 2011, 1027 (1028); Schinkels, LMK 2011, 320461). Denn ebenso wie bei einem nicht manipulierten Zahlungsvorgang wird dem Zahlungsdienstleister bei einem Man-in-the-Middle-Angriff die Zustimmung (unterschiedslos) einzig mittels des Zahlungsauthentifizierungsinstruments (PIN, TAN) erteilt. Das drngt dazu, die Grundstze der Anscheinsvollmacht auf die vorliegende Frage lediglich entsprechend anzuwenden (vgl. Hauck, JuS 2011, 967 (969)) und auf das Kriterium einer gewissen Dauer und Hufigkeit fr die Annahme des Vertrauenstatbestands zu verzichten (Hrting, BB 2011, 2187 (2188)).

Der Bundesgerichtshof hat im Fall einer unberechtigten Nutzung eines eBay-Kontos fr das Vorliegen einer Anscheinsvollmacht jedoch eine gewisse Hufigkeit oder Dauer der unbefugten Verwendung gefordert (BGH, Urt. v. 11.05.2011 - VIII ZR 289/09, Rn. 18 - juris). Fehle es hieran, lge kein Vertrauenstatbestand vor, auf den sich der Rechtsverkehr sttzen knne. Zur Begrndung fhrt der Bundesgerichtshof an, dass angesichts des derzeit vorhandenen Sicherheitsstandards im Internet auch bei einem eBay-Account nicht zuverlssig geschlossen werden knne, dass unter einem registrierten Mitgliedsnamen ausschlielich dessen tatschlicher Inhaber auftritt (BGH, a. a. O.). Fr die Annahme des Vertrauenstatbestandes soll damit das Erfordernis einer gewissen Dauer und Hufigkeit die geringe Systemsicherheit und Missbrauchsanflligkeit kompensieren. Damit liegt nahe, nach Magabe der Rechtsprechung des Bundesgerichtshofs vorliegend auf das Kriterium einer gewissen Dauer oder Hufigkeit fr eine Zurechnung nach Rechtsscheinsgrundstzen zu verzichten. Denn nach den bereits dargestellten berzeugenden Ausfhrungen des Sachverstndigen weist das Smart-TAN-plus-Verfahren eine hohe Systemsicherheit mit lediglich wenigen Manipulationsmglichkeiten auf. Der Bankkunde kann die Manipulation zudem dadurch verhindern, dass er die auf dem Display des TAN-Generators angegeben berweisungsdaten vor dem Drcken der O. K. Taste kontrolliert.

Letztlich kann die Frage, ob es vorliegend einer gewissen Dauer oder Hufigkeit mittels Man-in-the-Middle-Angriffen manipulierter Zahlungsvorgnge bedarf, offen bleiben. Denn die Klgerin wurde Opfer zweier Man-in-the-Middle-Angriffe. Eine gewisse Hufigkeit und Dauer der Missbrauchsflle ist damit gegeben.

Es liegen auch die weiteren Voraussetzungen einer Rechtsscheinshaftung der Klgerin vor.

So bestand der Rechtsschein, die Klgerin habe die beiden streitgegenstndlichen Zahlungsvorgnge veranlasst, auch und gerade im Zeitpunkt der beiden streitgegenstndlichen berweisungen und war fr die beiden Zahlungsvorgnge urschlich.

Schlielich war die Beklagte auch gutglubig. Sie hatte keinen Grund, von nicht durch die Klgerin veranlassten Zahlungsvorgngen auszugehen. Daran ndert - entgegen der Ansicht der Klgerin - auch die Tatsache nicht, dass es sich um aus Sicht der Klgerin betragsmig hohe und fr sie seltene Auslandsberweisungen handelte. Denn eine Bank muss weder generell prfen, ob die Abwicklung eines Zahlungsverkehrsvorganges Risiken fr einen Beteiligten begrndet, noch Kontobewegungen allgemein und ohne nhere Anhaltspunkte berwachen. Ohne besondere weitere Anhaltspunkte geben auch berweisungen mit Auslandsberhrung, der Einsatz glatter Betrge und dadurch ggf. eintretende Kontoberziehungen einer Bank keinen hinreichenden Anlass, von diesem Grundsatz eine Ausnahme zu machen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nmlich nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung ttig und haben sich schon wegen dieses begrenzten Geschftszwecks und der Massenhaftigkeit der Geschftsvorgnge grundstzlich nicht um die beteiligten Interessen ihrer Kunden zu kmmern (vgl. BGH, Urt. v. 24. 04.2012 - XI ZR 96/11 Rn. 32, 34 -, juris).

Eine Autorisierung der beiden streitgegenstndlichen Zahlungsvorgnge nach den entsprechend anwendbaren Grundstzen der Anscheinsvollmacht liegt nach alldem vor.

Die Klgerin konnte diese ihr nach Rechtsscheinsgrundstzen zugerechneten Autorisierungen auch nicht mittels Anfechtung beseitigen, in dem sie Beklagte am 02.12.2013 ber die beiden von ihr nicht selbst vorgenommenen Zahlungsvorgnge informierte und Rckzahlung verlangte. Denn das blo tatschliche Setzen eines rechtsscheinsbegrndenden Vertrauenstatbestandes, dessen rechtsgeschftliche Folgen auf schuldhafter Veranlassung beruhen, kann keinem Willensmangel unterliegen. Es handelt sich auch nicht um einen vergleichbaren Vorgang und berechtigt aus diesem Grund nicht zur Anfechtung (vgl. Schilken, in: Staudinger, BGB, Neub. 2009, 167 Rn. 45 m. w. N.).

Ein Anspruch der Klgerin aus 676u S. 2 BGB besteht nach dem Vorstehenden nicht. Weitere Anspruchsgrundlagen fr das Begehren der Klgerin kommen aufgrund der abschlieenden Regelung des 675u BGB nicht in Betracht, 675z S. 1 BGB.

Selbst wenn man die Sperrwirkung des 675z S. 1 BGB nicht auch auf Ansprche aus 280 I BGB erstrecken wollte, knnte die Klgerin kein Schadensersatz von der Beklagten unter dem Gesichtspunkt verlangen, dass sie an der Notfallhotline der Beklagte am 29.11.2013 niemanden erreichen konnte. Zwar folgt aus 675m Abs. 1 Nr. 3 BGB die Verpflichtung des Zahlungsdienstleisters, sicherzustellen, dass der Zahlungsdienstleistungsnutzer durch geeignete Mittel jederzeit die Mglichkeit hat, eine Anzeige nach 675l S. 2 BGB vorzunehmen. Es fehlte jedoch jedenfalls an der Kausalitt einer etwaigen Pflichtverletzung fr den streitgegenstndlichen Schaden der Klgerin. Denn ausweislich der Mitteilung von C von 11.12.2013 an die Polizei Hamburg kann C den Kunden, dem eine bestimmte IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war, nur dann ermitteln, wenn die fragliche Internetaktivitt nicht lnger als 48 Stunden zurckliegt (Bl. 32 d. A.). Bereits im Zeitpunkt des Bemerkens der betrgerischen Abbuchungen vom 27.11.2013 durch die Klgerin gegen 18:25 Uhr am 29.11.2013 konnten die mutmalichen Manipulierer der ermittelten IP-Adresse nicht mehr zugeordnet werden. Selbst wenn die Klgerin die Beklagte ber die Notfallhotline erreicht htte, wre des demnach nicht zu einer Namhaftmachung der Manipulierer gekommen. Es fehlt an alldem an der erforderlichen Kausalitt zwischen Pflichtverletzung und Schaden.

Der Klgerin steht auch kein Ersatz fr die mit dem Klageantrag Ziff. 2 geltend gemachten vorgerichtlichen Kosten der Rechtsverfolgung gem. 280 Abs. 2, 286 Abs. 1 BGB zu, der durch 675z BGB nicht ausgeschlossen wre (Palandt/Sprau, a. a. O., 675z Rn. 2). Da kein Rckzahlungsanspruch der Klgerin bestand, befand sich die Beklagte trotz der Zahlungsaufforderung vom 02.12.2013 nicht im Verzug.

(...)

Auf diesen Artikel verweisen: Smart-TAN-plus