Vielen Kontoinhabern ist das Online-Banking suspekt, gerade aufgrund der vielen Medienberichte zu Datendiebstählen und „Hacking“. Weil aber der moderne Geschäftsverkehr Geschwindigkeit erfordert und unnötige Wege zur Bank nicht produktiv sind, wird der Online-Zahlungsverkehr dennoch überwiegend genutzt.
Mit Urteil vom 26. Januar 2016 (XI ZR 91/14) hat der BGH entschieden, unter welchen Voraussetzungen ein Bankkunde, der ein Online-Authentifizierungsverfahren (beispielsweise das Online-Banking mittels PIN und TAN-Verfahren) nutzt, für von ihm behauptete Missbräuche haftet – oder auch nicht.
Der vom BGH entschiedene Fall ist zugegebenermaßen kurios: Versehentlich und ungeklärt hat eine Bank knapp 250.000,00 Euro auf dem Konto eines Fitnessstudio-Unternehmens gutgeschrieben. Bevor die Bank diese (versehentlich) getätigte Zahlung rückgängig machen konnte, wurde – unter Verwendung zutreffender Authentifizierungsdaten des Fitnessstudiobetreibers – eine Überweisung vom Konto des Fitnessstudios in Höhe von 235.000,00 Euro an einen Rechtsanwalt veranlasst.
Da die Bank das Konto des Fitnessstudios mit einer entsprechenden Rückbuchung belastete, wies das Konto nunmehr einen hohen Sollstand auf und in entsprechender Höhe wurde das Fitnessstudio von der Bank auf Rückzahlung verklagt. Der Inhaber des Fitnessstudios verwies darauf, dass er die Überweisung nicht getätigt habe und ihm der Vorgang unerklärlich sei.
Der BGH konnte in der Sache – aufgrund fehlender Tatsachenermittlungen – zwar nicht selbst entscheiden, legte jedoch im Wesentlichen fest, dass der Bankkunde auch dann nicht in jedem Falle hafte, wenn die Zahlungsanweisung unter Verwendung der zutreffenden Authentifizierungsdaten erfolge: Zwar konnte die Bank im vorliegenden Fall dem Kunden nachweisen, dass die Zahlungsanweisung mit Hilfe seiner personalisierten Sicherheitsmerkmale (PIN- und SMS-TAN) getätigt wurde, dies genügt aber nach § 675w Satz 3 BGB „nicht notwendigerweise“, um den Beweis der Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer (Kontoinhaber) endgültig zu führen.
Die Frage war also, ob sich die Bank gegenüber dem Fitnessstudio auf einen Anscheinsbeweis dafür berufen kann, dass der Kontoinhaber selbst die Zahlung autorisiert oder jedenfalls den Zahlungsauftrag grob fahrlässig herbeigeführt hat (letzteres etwa durch falsche Verwahrung von PIN und TAN oder die Preisgabe der Zugangsdaten an nicht autorisierte Dritte).
Dies ist vergleichbar mit den parallel gelagerten Fällen des Bankkarten-Missbrauchs. Wird einem Bankkunden das Portemonnaie beziehungsweise die Bank- oder Kreditkarte entwendet und nach dem Diebstahl zeitnah Geld abgehoben, kann sich die Bank darauf berufen, dass die Karte zusammen mit der PIN-Nummer aufbewahrt wurde. Weil nämlich nachweislich die Sicherungsverfahren der Bank fehlerfrei und (fast) unüberwindbar funktionieren, geht eine Vermutung dahin, dass sich der Dieb die PIN-Nummer nicht innerhalb von kurzer Zeit auf eine andere Weise beschaffen konnte.
Im Fall des missbräuchlichen Online-Bankings hat der BGH nunmehr entschieden, dass die Bank sich zwar grundsätzlich auch im elektronischen Zahlungsverkehr auf einen Beweis des ersten Anscheins berufen kann, dies aber nur, wenn die Bank vorher den Beweis für die praktische Unüberwindbarkeit des konkret eingesetzten Sicherungssystems erbracht hat.
Nur wenn der Bank dies gelingt – was bei der aktuellen IT-Sicherheitslage sicherlich eine Herausforderung darstellt –, haftet der Kontoinhaber für Zahlungen die mit seinen persönlichen Zugangsdaten getätigt wurden. Einziger Ausweg für den Kontoinhaber ist es sodann, den Anscheinsbeweis seinerseits irgendwie zu erschüttern (beispielsweise durch einen Zeugen, der bestätigen kann, dass der Kontoinhaber zum fraglichen Zeitpunkt keinen Auftrag erteilt haben kann oder vielleicht auch dadurch, dass der Kontoinhaber – trotz ausreichender Sicherheitsmaßnahmen – Opfer eines Datenangriffs geworden ist).
Festzuhalten bleibt:
Das Online-Banking ist stets mit einem gewissen Risiko behaftet. Der Kontoinhaber ist gut beraten, die Zugangsdaten gut – und getrennt voneinander – aufzubewahren und den Kreis der verfügungsfähigen Personen nicht vertragswidrig zu erweitern. Für Unternehmen ist daneben von entscheidender Bedeutung, die IT-Sicherheitsstruktur zu prüfen und stets aktuell zu halten. Sollte dennoch im Einzelfall ein Missbrauch erfolgen, stehen die Chancen des Kontoinhabers nicht schlecht, auf Grundlage der aktuellen BGH-Rechtsprechung hierfür nicht haften zu müssen.