Online-Banking gehackt – Wer haftet?

Immer mehr Kunden nutzen Online-Banking. Damit verbunden ist eine steigende Anzahl von Missbrauchsfällen („Online-Banking-Betrug“). Spätestens wenn die Bank / Sparkasse die Erstattung eines missbräuchlichen Zahlungsvorgangs ablehnt (und das kommt nach meiner Erfahrung häufig vor), ist der Schock groß. Dem Kunden bleibt in solchen Fällen häufig nur der Klageweg.

Sprechen Sie mich gerne an, falls Sie Opfer eines Online-Banking-Betrugs geworden sind. Ich helfe Ihnen gerne weiter.

Inhaltsverzeichnis

Grundsatz: Bank haftet für Betrug beim Online-Banking

Kommt es beim Online-Banking zu nicht autorisierten Zahlungsvorgängen, haftet hierfür grundsätzlich die Bank. Die Bank ist dann verpflichtet, dem Kunden den Betrag unverzüglich zu erstatten und sein Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Der Bank bleibt jedoch die Möglichkeit, dem Kunden entweder nachzuweisen, dass er den Zahlungsvorgang autorisiert hat oder dass er seine Sorgfaltspflichten im Zusammenhang mit der Nutzung des Online-Bankings grob fahrlässig verletzt hat (z.B. durch die Weitergabe von Zugangsdaten).

Häufige Streitpunkte im Zusammenhang mit Online-Banking-Betrugsfällen sind daher regelmäßig zwei Fragen:

  • Wurde der Zahlungsvorgang vom Kunden selbst autorisiert?
  • Falls nein, hat der Kunde grob fahrlässig seine Sorgfaltspflichten im Zusammenhang mit dem Online-Banking verletzt?

Voraussetzung: Nicht autorisierter Zahlungsvorgang

Voraussetzung für eine Haftung der Bank ist zunächst ein Zahlungsvorgang, der nicht vom Kunden autorisiert wurde. Das ist letztlich eine Selbstverständlichkeit. Die Bank haftet nicht, wenn ein Zahlungsvorgang vom Kunden genehmigt wurde.

Aufgrund der zweiten Zahlungsdiensterichtlinie (PSD2) sind Banken gesetzlich verpflichtet, von ihren Kunden beim Online-Banking eine sog. starke Kundenauthentifizierung zu verlangen (auch bekannt unter „Zwei-Faktor-Authentifizierung“). Beispiel hierfür ist die Anmeldung im Online-Banking unter Angabe von Benutzerdaten und die Freigabe durch eine Smartphone-App.

Die Beweislast dafür, dass ein Zahlungsvorgang durch den Kunden autorisiert wurde, liegt bei der Bank. Ein Anscheinsbeweis zu Gunsten der Bank kommt nach der Rechtsprechung des Bundesgerichtshofs nur dann in Betracht, wenn aufgrund aktueller Erkenntnisse feststeht, dass das eingesetzte Sicherungsverfahren praktisch unüberwindbar ist, im konkreten Einzelfall ordnungsgemäß angewendet wurde und fehlerfrei funktioniert hat (BGH, Urteil vom 26.01.2016 – XI ZR 91/14).

Ausnahme: Grobe Fahrlässigkeit des Kunden

Banken berufen sich im Zusammenhang mit nicht autorisierten Zahlungsvorgängen häufig auf grobe Fahrlässigkeit des Kunden. So wird Kunden z.B. vorgeworfen, die Zugangsdaten pflichtwidrig Dritten zugänglich gemacht zu haben. Dies ist gerade bei sog. Phishing-Attacken relevant, wo Kriminelle es schaffen, den Kunden zur Eingabe der Zugangsdaten zu bewegen.

Der Einwand der groben Fahrlässigkeit kann im Ergebnis dazu führen, dass die Bank den Schaden nicht erstatten muss. Ob eine grobe Fahrlässigkeit des Kunden vorliegt oder nicht, ist aber stets eine Frage des Einzelfalls. Es gibt nach der Rechtsprechung des Bundesgerichtshofs beim Online-Banking auch keinen Anscheinsbeweis für eine grobe Fahrlässigkeit des Kunden (BGH, Urteil vom 26.01.2016 – XI ZR 91/14).

Was Kunden nach einem Online-Banking-Betrug beachten sollten

Wenn Sie Opfer eines Online-Banking-Betrugs geworden sind und es zu einem nicht autorisierten Zahlungsvorgang gekommen ist, sollten Sie unbedingt Folgendes beherzigen:

  • Melden Sie den Schaden unverzüglich Ihrer Bank
  • Lassen Sie durch die Bank ggf. Ihr Online-Banking sperren oder sich neue Zugangsdaten erstellen
  • Bewahren Sie sämtliche Kommunikation auf, auch eingehende SMS oder Whatsapp-Nachrichten
  • Sollte es zu telefonischen Kontaktaufnahmen mit Kriminellen gekommen sein, speichern Sie nach Möglichkeit die Anrufliste beweissicher ab
  • Melden Sie den Vorfall in jedem Fall zusätzlich der Polizei

Rechtsprechung zum Thema

Grobe Fahrlässigkeit bei telefonischer Weitergabe von TANs

Der bloße Nachweis der Authentifizierung eines Zahlungsvorganges durch Verwendung von PIN und TAN genügt nicht für die unwiderlegliche Vermutung, der Zahler habe selbst die Zahlung autorisiert oder für sie nach § 675v BGB einzustehen. § 675w Satz 3 BGB erfordert vielmehr die Berücksichtigung der Gesamtumstände des Einzelfalls im Rahmen richterlicher Beweiswürdigung gemäß § 286 ZPO.

Die Autorisierung eines Zahlungsvorganges nach § 675j Abs. 1 Satz 1 BGB muss tatsächlich vom Zahler stammen. Die Erklärung eines nicht vertretungsberechtigten Dritten kann dem Zahler nicht nach Rechtsscheingrundsätzen zugerechnet werden.

Die telefonische Weitergabe von im manuellen Chip-TAN-Verfahren generierten TANs an einen vermeintlichen Mitarbeiter des Zahlungsdienstleisters begründet regelmäßig den Vorwurf einer grob fahrlässigen Verletzung der Geheimhaltungspflichten § 675l Abs. 1 Satz 1 BGB. Dass der Zahlungsdienstnutzer zuvor nur das optische Chip-TAN-Verfahren genutzt hat und der Anruf unter der Telefonnummer des Zahlungsdienstleisters erfolgt, entlastet den Zahlungsdienstnutzer nicht.

Der Haftungsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB greift nur, wenn der Zahlungsdienstleiser bei dem konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt hat. Die Haftungsverlagerung nach § 675v Abs. 4 Satz 1 Nr. 1 BGB setzt voraus, dass bei dem konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt wurde (im Anschluss an: Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23, Rn. 32, juris).

Hat der Zahlungsdienstleister bei vorangegangenen Anmeldungen im Online-Banking pflichtwidrig keine starke Kundenauthentifizierung verlangt, so kann dies sich ein anspruchsminderndes Mitverschulden nach § 254 BGB begründen.

(OLG Naumburg, Urteil vom 22.05.2024 – 5 U 11/24)

Keine Fahrlässigkeit bei Call-ID-Spoofing

Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben.

(LG Köln, Urteil vom 08.01.2024 – 22 O 43/23)

Auffällige Internetseite und spätabendlicher Anruf einer angeblichen Bankmitarbeiterin begründen grobe Fahrlässigkeit

Ein Kunde handelt grob fahrlässig, wenn er einen Betrugsversuch bemerken müsste, z.B. weil ihm bereits die Internetseite der Bank merkwürdig vorkommt und er spätabends von einer angeblichen Mitarbeiterin der Bank angerufen wird, welche ihm anbietet, ein Tagesgeldkonto zu eröffnen.

(LG Lübeck, Urteil vom 3. Januar 2024 – 3 O 83/23)

Keine Haftung der Bank bei grob fahrlässiger Freigabe eines Phishing-Angriffs durch pushTAN und Gesichtserkennung

Gibt ein Kunde mittels PushTAN und Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und anschließend eine Überweisung frei, handelt er grob fahrlässig.

(OLG Frankfurt, Urteil v. 6.12.2023 – 3 U 3/23)

Grobe Fahrlässigkeit bei einem Phishing-Vorfall

Ein grob fahrlässiger Verstoß gegen die Pflicht, personalisierte Sicherheitsmerkmale nicht an Dritte weiterzugeben, liegt jedenfalls dann vor, falls sich der Zahlungsdienstnutzer beharrlich allen Hinweisen darauf verschließt, dass er nicht mit seinem Zahlungsdienstleister, sondern einem Dritten kommuniziert.

(OLG München, Hinweisbeschluss v. 04.09.2023 – 19 U 1508/23 e)

Kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung bei PushTan-Verfahren

Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt; es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.

Zur groben Fahrlässigkeit bei telefonischer Weitergabe von TAN im Rahmen eines Social Engineering beim pushTAN-Verfahren im Online-Banking.

(LG Heilbronn, Urteil vom 16.05.2023 – Bm 6 O 10/23)

Haftung des Bürgen für unautorisierte Zahlungsvorgänge

Einwendungen des Zahlungsdienstnutzers aus der Rechtsbeziehung zu dem Zahlungsempfänger, mit denen er geltend macht, dass die Ansprüche des Zahlungsempfängers nicht oder nicht in der geforderten Höhe bestehen, werden von § 676b Abs. 2 Satz 1 BGB nicht erfasst. Dies gilt auch dann, wenn Zahlungsdienstleister und Zahlungsempfänger identisch sind.

Der Bürge muss die vom Zahlungsdienstnutzer als Hauptschuldner nicht beanstandeten unautorisierten oder fehlerhaft ausgeführten Zahlungsvorgänge gegen sich gelten lassen, wenn die Ansprüche und Einwendungen des Hauptschuldners wegen Fristablaufs nach § 676b Abs. 2 Satz 1 BGB ausgeschlossen sind. Bleibt ein Zahlungsdienstnutzer nach einem nicht autorisierten oder fehlerhaft ausgeführten Zahlungsvorgang untätig, stellt dies keinen Verzicht im Sinne des § 768 Abs. 2 BGB dar.

Die vom Zahlungsdienstleister gemäß § 676b Abs. 2 Satz 2 BGB zu erbringende Unterrichtung des Zahlungsdienstnutzers hat bei einem Zahlungsdiensterahmenvertrag gemäß Art. 248 § 7 EGBGB als Mitteilung zu erfolgen. Dies bedeutet, dass der Zahlungsdienstleister die erforderlichen Informationen von sich aus übermittelt, ohne dass der Zahlungsdienstnutzer diese anfordern muss. Ein bloßes Zugänglichmachen der Informationen reicht nur aus, wenn dies der Zahlungsdienstnutzer und der Zahlungsdienstleister gemäß Art. 248 § 10 EGBGB vereinbart haben.

(BGH, Urteil vom 11. Juli 2023 – XI ZR 111/22)

Kein Schadensersatzanspruch der Bank bei Zulassung des chip-TAN-Verfahrens manuell ohne Anzeige von Zahlungsempfänger und Zahlungsbetrag im Display des TAN-Generators

Ein Schadensersatzanspruch der Bank gegen den Zahler ist gemäß § 675 v Abs. 4 Ziffer 1 BGB ausgeschlossen, wenn die Bank des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Ziffer 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) nicht verlangt hat.

Eine starke Kundenauthentifizierung im Sinne des § 1 Ziffer 24 ZAG verlangt im elektronischen Fernzahlungsverkehr eine solche, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

Gemäß Art. 5 VO (EU) 2018/389 VO über technische Regulierungsstandards für eine starke Kundenauthentifizierung müssen Zahlungsdienstleister für elektronische Fernzahlungsvorgänge eine starke Kundenauthentifizierung verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen und deshalb zusätzlich zu den sonst vorzunehmenden Sicherheitsmaßnahmen solche vorsehen, dass Zahlungsbetrag und Zahlungsempfänger dem Zahler angezeigt werden in allen Phasen der Authentifizierung (Generierung, Übertragung und Verwendung des Authentifizierungscodes).

(LG Halle (Saale), Urteil vom 23. Juni 2023 – 4 O 133/22)

Keine grobe Fahrlässigkeit bei verschlüsselter Aufbewahrung der PIN

Eine hinreichend verschlüsselt aufbewahrte PIN im Portemonnaie begründet keine grob fahrlässige Verletzung der Pflicht, die PIN vor unbefugtem Zugriff zu schützen.

(AG München, Urteil vom 02.06.2023 – 142 C 19233/19)

Möglichkeit einer Zahlungsklage wegen nicht autorisierter Zahlungsvorgänge, kein Anscheinsbeweis, wenn Schaden durch zwei verschiedene Ursachen herbeigeführt worden sein kann

Nach § 675u S. 2 BGB muss der Zahlungsdienstleister, wenn der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto zinsneutral wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Das schließt einen Zahlungsanspruch jedoch nicht aus. Ein solcher Zahlungsanspruch besteht zum einen, wenn das betreffende Konto zwischenzeitlich nicht mehr existiert. Zum anderen kann der Zahler nach seiner Wahl auch die Auszahlung nach allgemeinen Grundsätzen auf Basis der Kontoabrede begehren, wenn im Zeitpunkt des Auszahlungsverlangens auf dem Konto ein Habensaldo oder eine nicht ausgeschöpfte Kreditlinie bestehen.

Die Regeln über den Anscheinsbeweis sind unanwendbar, wenn der Schaden durch zwei verschiedene Ursachen herbeigeführt worden sein kann, die beide typische Geschehensabläufe sind, für die der Karteninhaber aber nur in einem Fall die Haftung zu übernehmen hätte. Das kommt in Betracht, wenn ein enges zeitliches Aufeinanderfolgen von Entwenden der Karte und dem ersten nicht autorisierten Zahlungsvorgang besteht und deswegen in Betracht zu ziehen ist, dass der Dieb zuvor die persönliche Geheimzahl des Karteninhabers bei einem Zahlungs- oder Abhebevorgang ausgespäht hat.

(OLG Stuttgart, Urteil vom 8. Februar 2023 – 9 U 200/22)

Erstattung missbräuchlicher Zahlungsvorgänge mittels Apple Pay

Wird ein Bankkunde in einer pushTAN-App zur Freigabe mit dem Text „Digitalisierung einer Karte“ oder auch „Registrierung Karte“ aufgefordert, so muss der Kunde nicht erkennen, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt.

Der Bank wäre es ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf Apple Pay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ohne weiteres zu erkennen, dass es eben um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht.

(LG Köln, Urteil vom 19. Januar 2023 – 15 O 267/22)

Aufforderung zur Überweisung eines Cent-Betrags

Zur Frage der Autorisierung eines letztlich ungewollten Zahlungsvorgangs im Rahmen des Online-Bankings, wenn der Zahlungsdienstnutzer aufgefordert wurde, einen Cent-Betrag zu überweisen, der angeblich nicht vom Konto abgebucht werde, um sich zu verifizieren.

Zu den Anforderungen an die Annahme grober Fahrlässigkeit i.S. von § 675v Abs. 3 Nr. 2b BGB.

(OLG Dresden, Urteil vom 13. Oktober 2022 – 8 U 760/22)

Grobe Fahrlässigkeit bei telefonischer Weitergabe dreier TAN, Mitverschulden des Zahlungsdienstleisters

Im Rahmen des Online-Bankings kann die telefonische Weitergabe dreier TAN den Vorwurf der groben Fahrlässigkeit des Zahlungsdienstenutzers begründen, wenn sich diesem nach den Gesamtumständen des Falles geradezu aufdrängen musste, dass die Aufforderung zur Weitergabe der TAN nicht von dem Zahlungsdiensteleister stammen konnte.

Bei der Anspruchshöhe eines Schadensersatzanspruchs des Zahlungsdiensteleisters gegen den Zahlungsdienstenutzer nach § 675v Abs. 3 Nr. 2 BGB kann ein anspruchsminderndes Mitverschulden des Zahlungsdiensteleisters berücksichtigt werden. Ein solches liegt in Höhe von 50% vor, wenn das das Betrugspräventionssystem des Zahlungsdiensteleisters zunächst fünf zur Nachtzeit vorgenommene Echtzeitüberweisungen als verdächtig erkennt, in der Folge aber dennoch weitere 12 Echtzeitüberweisungen an denselben Zahlungsempfänger zugelassen werden.

(LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20)

Haftung des Zahlers bei einer gefälschten Faxanweisung durch den Zahlungsdienstleister

Zur Haftung des Zahlers im Falle der Ausführung eines Zahlungsvorgangs aufgrund einer gefälschten Faxanweisung durch den Zahlungsdienstleister.

Schadensersatzansprüche des Zahlungsdienstleisters gegen den Zahler können demgegenüber bei fehlender Autorisierung gleichwohl bestehen, selbst wenn sie wirtschaftlich vollständig an die Stelle des nach § 675u Satz 1 BGB entfallenden Aufwendungsersatzanspruchs treten.

Der Zahlungsdienstleister muss nicht zunächst den Anspruch des Zahlers aus § 675u Satz 2 BGB erfüllen, bevor er einen eigenen Schadensersatzanspruch geltend machen kann. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigert werden.

(BGH, Urteil vom 17. November 2020 – XI ZR 294/19 –, BGHZ 227, 343-365)

Rückforderung der Zahlstelle gegenüber einem Finanzagenten

Wer aus einer ihm nicht näher bekannten Quelle eine Banküberweisung erhält, kann sich nicht auf den Einwand der Entreicherung berufen, wenn er sich bewusst der Einsicht verschließt, dass er das Geld nicht behalten bzw. verwenden darf (hier: Bereicherungsschuldner wird über ein soziales Netzwerk durch eine unbekannte Person aufgefordert, internationale Transaktionen in der Größenordnung von 10.000,00 Euro über ein pseudonymisiertes Zahlungssystem vorzunehmen).

(OLG Stuttgart, Urteil vom 17. November 2022 – 2 U 219/21)

Abhebung mit richtiger PIN belegt keine Autorisierung

Die Verwendung von Debit- und Kreditkarten ist nicht autorisiert, wenn die Karte ohne oder gegen den Willen des Karteninhabers eingesetzt wird.

Für die Behauptung der Beklagten, dass die Abhebungen durch die Klägerin selbst autorisiert wurden, ist die Beklagte als Zahlungsdienstleisterin im Verhältnis zur Klägerin als Zahlerin darlegungs- und beweisbelastet.

Alleine der Umstand, dass eine Abhebung mit der richtigen PIN ausgeführt wurde, stellt nicht ohne Weiteres eine Autorisierung dar. Zur Annahme einer Autorisierung reicht daher die bloße Feststellung, dass die richtige PIN verwendet wurde, nicht unbedingt aus.

(AG Bonn, Urteil vom 28. Juni 2022 – 116 C 44/21)

Schadensersatzanspruch einer Bank gegen die Kundin wegen Weitergabe personalisierter Sicherheitsmerkmale an ihren Ehemann

Stellt ein Ehepartner seinem anderen Ehepartner die Zugangsdaten für das Onlinebanking zur Verfügung, ohne dies der Bank anzuzeigen und dem Ehepartner eine Bankvollmacht zu erteilen, so steht der Bank bei einem Phishing-Angriff nicht automatisch ein Schadensersatzanspruch gegen die Kundin gemäß § 675v Abs. 3 Nr. 2 BGB zu, da die Pflichtverletzung nicht kausal für den Eintritt des geltend gemachten Schadens war.

Es fehlt an einem Zurechnungszusammenhang zwischen Pflichtverletzung und nicht autorisierter Zahlung, wenn keine Anhaltspunkte dafür vorliegen, dass die Gefahr des Phishing-Angriffs in irgendeiner Weise erhöht worden ist. Das ist zum Beispiel dann der Fall, wenn es bei Erteilung einer Bankvollmacht an den Ehepartner ebenso zu dem Phishing-Angriff gekommen wäre.

(LG Nürnberg-Fürth, Urteil vom 17. Juli 2020 – 6 O 5935/19)

Grobe Fahrlässigkeit bei Übersenden von TANs an vermeintlichen Bankmitarbeiter

Einen Bankkunden trifft beim Onlinebanking die Pflicht, dafür Sorge zu tragen, dass keine andere Person Kenntnis von PIN / TAN erlangt.

Versendet der Bankkunde eine TAN an einen angeblichen Bankmitarbeiter, weil dieser vorgibt, dass eine unberechtigte Auslandsabbuchung versucht worden sei und deshalb eine angebliche Kontoabsicherung durchgeführt werden müsse, begründet dies einen grob fahrlässigen Sorgfaltspflichtverstoß des Kunden.

(LG Köln, Urteil vom 10. September 2019 – 21 O 116/19)

Grobe Fahrlässigkeit bei Überweisung auf ein polnisches Konto

Überprüft ein Kunde den Inhalt einer ihm übermittelten SMS nicht sorgfältig und übersieht deshalb, dass es zu einer Überweisung auf ein polnisches Konto kommt, ist dies als grob fahrlässig einzustufen.

(OLG Oldenburg, Beschluss vom 21. August 2018 – 8 U 163/17)

Keine Haftung des Kontoinhabers bei abgefangener SMS-Tan

Haben Unbefugte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking eingesetzt, so trägt die Bank die Beweislast dafür, dass der Kunde das Abhandenkommen der PIN zu vertreten habe. Der Beweis des ersten Anscheins spricht nicht gegen den Kunden. Der Kunde hat jedoch im Wege der sekundären Darlegungslast zu den seinerseits getroffenen Sicherheitsvorkehrungen vorzutragen.

Ermöglicht der Mobilfunkanbieter des Online-Banking-Nutzers schuldhaft Unbefugten das Abfangen von per SMS versandten Transaktionsnummern, hat der Nutzer dies nicht zu vertreten.

Wer Online-Banking im smsTAN-Verfahren nutzt, ist nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden.

Wird die Beiziehung einer strafrechtlichen Ermittlungsakte nicht zum Zwecke des Beweises einer konkreten Behauptung beantragt, ist das Zivilgericht nicht zur Beiziehung verpflichtet.

(LG Kiel, Urteil vom 22. Juni 2018 – 12 O 562/17)

Zur Darlegungslast hinsichtlich einer Verletzung der Pflichten aus § 675m BGB

Erhebt ein Bankkunde pauschal den Vorwurf gegen seine Bank, diese habe bei einer Online-Übermittlung der TAN keine gesicherte Verbindung ermöglicht und damit kein wirksames PIN/TAN-System zur Verfügung gestellt, das verwendete IT-System sei veraltet und gegenüber Angriffen Dritter im Rahmen des Zumutbaren nicht geschützt, genügt dies nicht den Anforderungen an einen substantiierten Vortrag. Für die Einholung eines Sachverständigengutachtens ist dann kein Raum.

(LG München I, Beschluss vom 16. Juni 2017 – 32 S 1552/17)

Haftung eines Finanzagenten

Ein vermeintlich legal handelnder Finanzagent, der sein Girokonto für die Weiterleitung von Geldbeträgen zur Verfügung stellt, haftet nicht für den Verlust von eingegangenen und weitergeleiteten Geldern eines Dritten aus Betrugsgeschäften. Ein solcher Anspruch folgt insbesondere nicht aus § 823 Abs. 2 BGB i.V.m. § 8 Abs. 1 ZAG oder § 261 Abs. 5 StGB oder § 812 Abs. 1 S. 1 BGB.

(LG Krefeld, Urteil vom 30. September 2016 – 1 S 30/16)

Anscheinsbeweis bei Missbrauch im Online-Banking, Anforderungen an die Feststellung grober Fahrlässigkeit

Bei dem Nachweis der Autorisierung eines Zahlungsvorgangs mittels eines Zahlungsauthentifizierungsinstruments ist nach § 675w Satz 3 BGB Voraussetzung einer Anwendung der Grundsätze des Anscheinsbeweises, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen.

Der Zahlungsdienstnutzer muss zur Erschütterung eines für die Autorisierung eines Zahlungsauftrags sprechenden Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument vortragen und beweisen, sondern kann sich auch auf außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Umstände stützen, die für einen nicht autorisierten Zahlungsvorgang sprechen.

Es gibt keinen einen Anscheinsbeweis rechtfertigenden Erfahrungssatz, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt.

Zur Anwendbarkeit der Grundsätze der Anscheinsvollmacht und eines Handelns unter fremdem Namen bei einem Missbrauch des Online-Bankings.

(BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14)

Beweis fahrlässigen Handelns bei einer Trojaner-Attacke

(LG Oldenburg (Oldenburg), Urteil vom 15. Januar 2016 – 8 O 1454/15)

Grobe Fahrlässigkeit bei Preisgabe einer mittels TAN-Generators generierten TAN

(LG Köln, Urteil vom 30. Juli 2015 – 15 O 505/14)

Rücküberweisungstrojaner

(LG Bonn, Urteil vom 31. März 2015 – 3 O 387/14)

Phishing darf als bekannt vorausgesetzt werden

(OLG Hamm, Beschluss vom 16. März 2015 – I-31 U 31/15)

Beantwortung von Phishing Mails ist grob fahrlässig

(LG Essen, Urteil vom 04. Dezember 2014 – 6 O 339/14)

Grobe Fahrlässigkeit bei Herausgabe einer TAN, wenn diese sonst anders generiert wird

(LG Köln, Urteil vom 07. Oktober 2014 – 21 S 5/14)

Zur Beweislast beim Smart-TAN-Verfahren

(LG Darmstadt, Urteil vom 28. August 2014 – 28 O 36/14)

Zur Beweislast beim SMS-TAN-Verfahren

(LG Köln, Urteil vom 26. August 2014 – 3 O 390/13)

Autorisierter Zahlungsvorgang trotz Einsatzes eines Trojaners

(LG Karlsruhe, Urteil vom 23. Mai 2014 – 20 O 24/13)

Mitverschulden des Bankkunden bei unterlassener Rücksprache mit der Bank

(AG Köln, Urteil vom 26. Juni 2013 – 119 C 143/13)

Grobe Fahrlässigkeit bei Pharmingattacke

(AG Düsseldorf, Urteil vom 06. Juni 2013 – 37 C 13695/12)

Grobe Fahrlässigkeit bei Eingabe mehr als einer TAN

(AG Krefeld, Urteil vom 06. Juli 2012 – 7 C 605/11)

Fahrlässigkeit des Bankkunden bei gleichzeitiger Eingabe von zehn TAN

(BGH, Urteil vom 24. April 2012 – XI ZR 96/11)

Grobe Fahrlässigkeit bei Nutzung des „iTAN“-Verfahrens

(OLG München, Urteil vom 23. Januar 2012 – 17 U 3527/11)

Grobe Fahrlässigkeit durch Eingabe von 40 TANs

(LG Berlin, Urteil vom 08. November 2011 – 21 O 80/11)

Verwendung eines herkömmlichen TAN Systems als Sorgfaltspflichtverletzung der Bank

(KG Berlin, Urteil vom 29. November 2010 – 26 U 159/09)