Zur (Un-)Sicherheit des elektronischen Zahlungsverkehrs

BGH: Voraussetzungen und Grenzen des Anscheinsbeweises bei Dokumentation einer technisch ordnungsgemäßen Autorisierung
Von Dr. Michael Weigel und Alexander Druckenbrodt

Beitrag als PDF (Download)

Einführung

Mit seinem Urteil vom 26.01.2016 (XI ZR 91/14) hat der BGH unter anderem geklärt, dass die Beweisregel in § 675w Satz 3 BGB, wonach der Umstand, dass bei einem Zahlungsvorgang, der mittels eines elektronischen Zahlungsauthentifizierungsinstruments ausgelöst wurde, dessen Nutzung einschließlich der Authentifizierung durch den Zahlungsdienstleister aufgezeichnet wurde, nicht notwendigerweise ausreicht, um nachzuweisen, dass die Zahlung ordnungsgemäß autorisiert wurde, der Bejahung eines hierauf gestützten Anscheinsbeweises nicht grundsätzlich entgegensteht. Dabei hat der BGH gleichzeitig die Voraussetzungen für die Bejahung und die Erschütterung eines solchen Anscheinsbeweises klargestellt.

Sachverhalt

Der Entscheidung lag folgender Sachverhalt zugrunde: Nachdem es bei der klagenden Sparkasse zu länger andauernden Störungen des Onlinebankingsystems gekommen war, wurden aus ungeklärten Umständen Beträge in Höhe von fast 240.000 Euro auf dem Konto der Beklagten gutgeschrieben. Noch bevor die Sparkasse diese Buchung stornieren konnte, wurde ein geringfügig niedrigerer Betrag unter Verwendung der PIN der Beklagten und einer als SMS zugesandten TAN (auf das normalerweise im Gewahrsam ihres Geschäftsführers befindliche Mobiltelefon) an einen Rechtsanwalt überwiesen. Dieser überwies das Geld angeblich auf Anweisung der Beklagten an einen unbekannten Dritten weiter und berief sich insoweit auf sein Aussageverweigerungsrecht. Der Klage der Sparkasse auf Erstattung des überwiesenen Betrags hat das LG stattgegeben, obwohl die Beklagte unter Beweisangebot vorgetragen hatte, dass ihr Geschäftsführer und alleiniger Inhaber der PIN seinerzeit auf einer Auslandsreise war, während sich das Mobiltelefon, auf welches die TAN übermittelt worden war, zum Zeitpunkt der Überweisung im Besitz eines Mitarbeiters befand, der diese als vermeintliche Spamnachricht einfach weggeklickt hatte. Eine Vernehmung des Rechtsanwalts als Zeuge ist unterblieben. Nachdem das OLG die Berufung der Klägerin gemäß § 522 Abs. 2 ZPO zurückgewiesen hatte, verwies der BGH den Rechtsstreit auf die Rechtsbeschwerde der Klägerin hin an das OLG zur weiteren Sachaufklärung zurück.

Entscheidung des BGH

Zunächst bejahte der BGH die in Rechtsprechung und Literatur umstrittene Frage, ob die Anwendung der Grundsätze des Anscheinsbeweises zugunsten eines Zahlungsdienstleisters trotz der Beweisregel des § 675w Satz 3 BGB möglich sei. Zur Begründung führte der BGH aus, bereits aus der Verwendung der Formulierung „allein nicht notwendigerweise“ in § 675w Satz 3 BGB ergebe sich, dass die darin enthaltene Regelung lediglich zwingende Beweisregeln zugunsten des Zahlungsdienstleisters verbiete, nicht aber widerlegbare Beweiserleichterungen wie einen Anscheinsbeweis. Allerdings müsse wegen der in § 675w Satz 3 BGB festgelegten Beweisregel auch bei der Anwendung des Anscheinsbeweises vermieden werden, dass das Vorliegen der dort genannten Merkmale praktisch zu einer Beweislastumkehr führe. Der für die Bejahung eines solchen Anscheinsbeweises erforderliche Erfahrungssatz für das Stattfinden eines typifizierten Geschehensablaufs sei auch bei Dokumentation des Vorliegens der elektronischen Zahlungsvoraussetzungen nur dann gerechtfertigt, wenn zu dem betreffenden Zeitpunkt davon auszugehen gewesen sei, dass das eingesetzte Sicherheitssystem allgemein praktisch nicht zu überwinden sei, im konkreten Einzelfall ordnungsgemäß angewendet worden sei und fehlerfrei funktioniert habe. Dies habe der Zahlungsdienstleister nachzuweisen. Im konkreten Fall hat der BGH dies im Hinblick auf allgemein bekanntgewordene Fälle, in denen ein auf PIN und SMS-TAN gestütztes Sicherheitssystem überwunden wurde, in Frage gestellt.

Anscheinsbeweis: Konkretisierung und „Segelanweisung“

Darüber hinaus konkretisiert der BGH auch die Anforderungen an die Erschütterung des Anscheinsbeweises. Der Zahlungsdienstnutzer habe als technischer Laie typischerweise keine detaillierten Informationen über das Sicherungssystem und dessen Beachtung im Einzelfall, so dass von ihm kein Vortrag dazu erwartet werden könne, wie die Schutzvorkehrungen überwunden worden seien. Es sei daher ausreichend, wenn er Umstände darlege und erforderlichenfalls beweise, die gegen eine ordnungsgemäße Autorisierung sprächen. Im konkreten Fall hat der BGH im Hinblick auf den unter Beweis gestellten Vortrag des Beklagten bejaht, dass sich die PIN einerseits und das Mobilfunktelefon, auf das die TAN gesandt wurde, andererseits nicht im Besitz derselben Person befanden, als der Zahlungsvorgang stattfand.

Schließlich hätte das Berufungsgericht auch den von der Klägerin als Zeugen benannten Rechtsanwalt vernehmen müssen, der gegenbeweislich von der Beklagten benannt war, so dass dieser gegenüber keine Verschwiegenheitspflicht bestehen konnte.

In seiner „Segelanweisung“ hat der BGH dem OLG aufgegeben, zu den vorgenannten Punkten ergänzende Sachverhaltsfeststellungen zu treffen sowie auch im Hinblick darauf, ob trotz der vorher aufgetretenen Probleme beim Onlinebanking die Einhaltung des Sicherheitsniveaus beim SMS-TAN-Verfahren überhaupt gewährleistet war.

Im Weiteren führt der BGH dann noch aus, dass dem Beklagten die Autorisierung der Überweisung durch PIN und TAN durch einen (unbekannten) Dritten auch nicht unter dem Gesichtspunkt der Anscheinsvollmacht zugerechnet werden könne, weil dies voraussetze, dass das Verhalten des Dritten von einer gewissen Dauer und Häufigkeit sei, während es sich hier um einen einmaligen Vorgang handelte. Den Streit in Rechtsprechung und Literatur hierzu, der zwischen den einzelnen Sicherungssystemen differenziert, ließ der BGH konsequenterweise unentschieden.

Auch die Bejahung eines Anscheinsbeweises für das Vorliegen eines grob pflichtwidrigen Verhaltens des Kontoinhabers i.S.d. § 675v Abs. 2 BGB verneint der BGH trotz Dokumentation des technisch ordnungsgemäßen Autorisierungsvorgangs, weil im Fall eines Missbrauchs des Onlinebankings wegen der Vielzahl unterschiedlicher Sicherungsmittel, die auf unterschiedliche Weise angegriffen werden könnten, kein Erfahrungssatz für ein bestimmtes typisches Fehlverhalten des Nutzers spreche.

Obwohl § 675w Satz 3 auf die Umsetzung von Art. 59 Abs. 2 RL 2007/64/EG zurückgehe, bedürfe es keiner Vorlage an den EuGH, da der Anscheinsbeweis nicht an die Dokumentation der Nutzung des Authentifizierungsverfahrens anknüpfe und zudem keine zwingende Beweisregel zur Folge habe.

Einordnung der Entscheidung

Die Entscheidung des BGH beendet einen Meinungsstreit, der seine Ursache – wie so oft – in einer „beklagenswert undeutlichen Formulierung“ des Gesetzestextes hatte (so ausdrücklich: Langenbucher in Langenbu­cher/Bliesener/Spindler, Bankrechts-Kommentar, 1. Aufl. [2013], § 675w BGB Rn. 7). Sie ist von grundlegender Bedeutung, weil hiermit die Beweislastverteilung und die Anforderungen für den Beweis einer ordnungsgemäßen Autorisierung eines elektronischen Zahlungsvorgangs bzw. eines dahingehenden Anscheinsbeweises sowie dessen Erschütterung umfassend klargestellt werden. Eine Bank, die sich insoweit auf einen Anscheinsbeweis berufen will, muss danach in jedem Einzelfall nachweisen, dass ihr Sicherungssystem nach dem Stand der Erkenntnis zum Zeitpunkt der Transaktion praktisch unüberwindlich war, wobei auch dies einer Erschütterung des Anscheinsbeweises anhand konkreter Besonderheiten der jeweiligen Fallgestaltung nicht entgegensteht. Dabei wird dem Umstand Rechnung getragen, dass der Zahlungsdienstnutzer in der Regel technisch gar nicht in der Lage ist, zum eingesetzten Sicherheitssystem, aber auch zu konkreten Angriffen auf seinen Computer/sein Mobiltelefon substantiiert vorzutragen. Um insoweit eine faktische Beweislastumkehr zum Nachteil des Zahlungsdienstnutzers zu verhindern, wird diesem ermöglicht, auf sämtliche tatsächlichen Umstände zurückzugreifen, die eine ernsthafte Möglichkeit eines Missbrauchs nahelegen.

Auch die weiteren Erwägungen des BGH zur Anscheinsvollmacht und zur grob fahrlässigen Pflichtverletzung durch den Zahlungsdienstnutzer sind konsequent. Wo nur eine Transaktion in Rede steht, kommt eine Anscheinsvollmacht von vornherein nicht in Betracht (Palandt/Ellenberger, BGB, 75. Aufl. [2016], § 172 BGB Rn. 12).

Die Bejahung eines Anscheinsbeweises für eine grob fahrlässige Pflichtverletzung hätte bei Schadenersatzansprüchen gemäß § 675v Abs. 2 BGB – ebenso wie beim Aufwendungsersatzanspruch – im Ergebnis wieder zu einer faktischen Beweislastumkehr geführt. Es erstaunt, dass der BGH dieses naheliegende Argument nicht bemüht.

michael.weigel@kayescholer.com

alexander.druckenbrodt@kayescholer.com