„IT-Recht und Geistiges Eigentum
sind seit über 10 Jahren unsere Leidenschaft.“

Jetzt unverbindlich Kontakt aufnehmen:

LG Darmstadt: Bank haftet nicht bei manipulierter TANplus-Überweisung / Man-in-the-middle

veröffentlicht am 5. September 2014

LG Darmstadt, Urteil vom 28.08.2014, Az. 28 O 36/14
§ 675c BGB, § 675j BGB, § 675l BGB, § 675m BGB

Das LG Darmstadt hat entschieden, dass eine Bank ihrem Kunden keinen Schadensersatz zu leisten hat, wenn dieser Opfer einer manipulierten Autorisierung im Online-Banking während der Nutzung des Smart-TAN-plus-Verfahrens wird. Ein solcher Vorgang sei ihm nach Rechtscheinsgrundsätzen zuzurechnen. Zum Volltext der Entscheidung:

Landgericht Darmstadt

Urteil

Die Klage wird abgewiesen.

Die Klägerin hat die Kosten des Rechtsstreits zu tragen.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 Prozent des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Tatbestand

Die Klägerin begehrt von der Beklagten Ersatz für zwei Überweisungsvorgänge mittels Online-Banking.

Die Klägerin war Bankkundin der Beklagten. Um ihre Bankgeschäfte per Internet (Online) zu tätigen, nutzte die Klägerin das ihr von der Beklagten zur Verfügung gestellte sog. Smart-TAN-plus Verfahren.

Zur Vornahme von Banküberweisungen mittels des Smart-TAN-plus-Verfahrens meldet sich der Kunde im Internet zunächst über die Homepage der Beklagten durch Eingabe eines sog. Privat-Keys (eine dem Kunden zugeordnete individuelle Nummer, die einer Kundennummer vergleichbar ist) sowie einer nur dem Bankkunden bekannten PIN-Nummer an. Sodann gibt er am Bildschirm die Überweisungsdaten (Empfänger, dessen Kontonummer und BLZ bzw. dessen IBAN und BIC sowie zu überweisender Betrag) in eine auf der Homepage der Beklagten bereitgestellte Maske ein. Zur Autorisierung der Überweisung verwendet der Bankkunde anschließend ein ihm von der Beklagten zur Verfügung gestelltes gesondertes Karten-Lesegerät mit Display (sog. TAN-Generator), in das er vor jeder Transaktion zunächst seine EC-Karte einführen muss. An den TAN-Generator werden die auf der Bildschirmmaske eingegebenen Überweisungsdaten übermittelt, was sich durch eine optische Schnittstelle (Grafik) auf dem PC-Bildschirm des Bankkunden sowie durch Anhalten des TAN-Generators an den PC-Bildschirm und eine damit einhergehende Datenübertragung durch Lichtsignale über die optischen Sensoren des TAN-Generators vollzieht (sog. Flickering). Alternativ kann der Bankkunde die Überweisungsdaten, die er bereits auf der Bildschirmmaske eingetragen hat, nochmals manuell in den TAN-Generator eingeben. Nach optischer oder manueller Übermittlung der Überweisungsdaten an den TAN-Generator werden die Überweisungsdaten (Empfänger, dessen Kontonummer und BLZ sowie zu überweisender Betrag) auf dem Display des TAN-Generators angezeigt. Der Bankkunde muss die Überweisungsdaten durch Drücken der O.K.-Taste des TAN-Generators bestätigen. Im Anschluss daran errechnet der TAN-Generator auf Grundlage der an ihn zuvor übermittelten Daten sowie auf Basis der von der EC-Karte ausgelesenen Chipkartennummer und Kundenkontonummer eine auf die konkrete Überweisung bezogene sog. TAN. Diese wird von dem Bankkunden in die Überweisungsmaske auf dem PC-Bildschirm eingegeben. Das Online-Banking-System der Beklagten – konkret: deren Bankserver – nimmt dieselbe Berechnung zur Ermittlung der auftragsbezogenen TAN vor wie zuvor der TAN-Generator. Stimmen die vom Bankkunden eingegebene und die vom TAN-Generator errechnete (auftragsbezogene) TAN mit der vom Bankserver ermittelten – auftragsbezogenen – TAN überein, wird die Transaktion von dem Online-Banking-System der Beklagten angenommen und ausgeführt.

Die Manipulationsmöglichkeiten und die Systemsicherheit des Smart-TAN-plus-Verfahrens sind zwischen den Parteien streitig.

Die Klägerin nutzte das Smart-TAN-plus-Verfahren der Beklagten auf Grundlage der zwischen den Parteien vereinbarten Sonderbedingungen für das Online-Banking (Bl. 81 f. d. A.). Diese sehen unter Ziffer 7.4 vor, dass der Bankkunde verpflichtet ist, Daten aus seinem Online-Banking-Auftrag (z. B. der Betrag, Kontonummer des Zahlungsempfängers), die er über ein Chipkartenlesegerät mit Display zur Bestätigung angezeigt erhält, vor der Bestätigung auf Übereinstimmung der angezeigten Daten mit den für die Transaktion vorgesehenen Daten zu prüfen. Die Parteien vereinbarten zudem, dass Verfügungen über das Online-Banking auf 20.000,00 € täglich begrenzt werden.

Am 12.11. und am 27.11.2013 führte der Geschäftsführer der Klägerin mittels des Smart-TAN plus Verfahrens mehrere Überweisungen von dem Geschäftskonto bei der Beklagten aus (am 12.11.2013 vier Überweisungen in der Zeit von 16:42 bis 16:46 Uhr, am 27.11.2013 fünf Überweisungen in der Zeit vom 15:52 bis 16:02 Uhr). An beiden Tagen war allein der Geschäftsführer der Klägerin im Besitz der EC-Karte, die er zur Bedienung des TAN-Generators verwendete. Der Computer, von dem aus der Geschäftsführer der Klägerin die Überweisungen vornahm, war durch einen aktuellen Virenschutz (Avira Free Antivirus) und eine Firewall gesichert, Betriebssystem und Internetbrowser waren auf einem aktuellen Stand. Der Geschäftsführer der Klägerin stellte am 12.11. und am 27.11.2013 weder grobe grammatische oder orthografische Fehler auf der von ihm aufgerufenen Homepage der Beklagten noch sonstige Auffälligkeiten fest.

Es kam am 12.11. und am 27.11.2013 noch zu weiteren Belastungen des Geschäftskontos der Klägerin. Diese sind streitgegenständlich. Konkret wurde am 12.11. um 16:37 Uhr das Konto der Klägerin mit 9.500,00 € zugunsten eines Zahlungsempfängers „[…]“ mit dem Verwendungszweck „[…]“ und am 27.11.2013 um 15:44 Uhr mit 9.000,00 € zugunsten eines Zahlungsempfängers „[…]“ mit dem Verwendungszweck „[…]“ belastet.

Die beiden Zahlungsempfänger sind der Klägerin nicht bekannt. Die Klägerin wollte die beiden streitgegenständlichen Zahlungsvorgänge auch nicht veranlassen. Vielmehr gab ihr Geschäftsführer in die ihm auf dem PC-Bildschirm ersichtliche Überweisungsmaske am 12.11. und am 27.11.2013 Daten für eine Überweisung an eine Firma A GmbH & Co. KG ein. Diese beiden Zahlungsaufträge gingen der Beklagten jedoch nicht zu und wurden von ihr daher auch nicht ausgeführt.

In dem „Nachweisprotokoll der SEPA-Aufträge“ der Beklagten wurden die beiden streitgegenständlichen Belastungen des Klägerkontos als Online-Überweisungen mittels TAN-Generator und dabei erzeugter übereinstimmender TAN des TAN-Generators und des Bankservers erfasst. Ausweislich des Protokolls sollen die Transaktionen unter Verwendung der Bankcard des Geschäftsführers der Klägerin, Herrn B, und unter Verwendung dessen „Private Key“ und PIN-Nummer beim Einloggen erfolgt sein (Bl. 79 f. d. A.).

Am 29.11.2013 bemerkte die Klägerin die beiden streitgegenständlichen Zahlungsvorgänge erstmals und stellte Strafanzeige. Die staatsanwaltschaftlichen Ermittlungen ergaben, dass die Überweisung am 27.11.2013 von einer IP-Adresse mit 31.18.64.5 vorgenommen wurde, die zu einem bei C verwalteten Kontingent gehört. Weitere Erkenntnisse brachten die Ermittlungen nicht, da sämtliche Daten bereits gelöscht / nicht mehr gespeichert waren.

Ebenfalls am 29.11.2013 versuchte der Geschäftsführer der Klägerin vergeblich, die Beklagte über eine Notfallhotline zu erreichen und über die aus ihrer Sicht unberechtigten Kontenbelastungen zu informieren.

Mit Schreiben ihres Prozessbevollmächtigten vom 02.12.2013 forderte die Klägerin die Beklagte zur Rückzahlung der abgebuchten 18.500,00 € unter Fristsetzung bis zum 05.12.2013 auf (Bl. 39 d. A.). Am selben Tag unterrichtete die Klägerin die Beklagte von den aus ihrer Sicht nicht autorisierten streitgegenständlichen Kontenbelastungen (Bl. 8 d. A.).

Im Januar 2014 warnte die Beklagte ihre Kunden auf ihrer Homepage davor, dass gefälschte E-Mails in betrügerischer Absicht scheinbar in ihrem Namen versendet werden. In diesen E-Mails werde der Bankkunde aufgefordert, auf einen Link zu klicken. Dieser Link diene jedoch einzig dazu, den Computer des Bankkunden mit Schadcode („Trojaner“) zu kompromittieren (Bl. 101 d. A.).

Die Klägerin hat das Vertragsverhältnis mit der Beklagten mittlerweile unter Auflösung des streitgegenständlichen Geschäftskontos gekündigt.

Die Klägerin behauptet, ihr Geschäftsführer habe bei jeder Überweisung mittels Online-Banking die Überweisungsdaten auf der Maske des Bildschirms mit den auf dem Display des TAN-Generators angezeigten Überweisungsdaten abgeglichen und dabei keine Auffälligkeiten festgestellt.

Wäre die Beklagte über ihre Notfallhotline am 29.11.2013 zu erreichen gewesen, so hätte die Rückbuchung der Kontobelastung vom 27.11.2013 noch erfolgen können. Die Klägerin ist der Ansicht, die Beklagte habe dadurch, dass sie erst im Januar 2014 vor den Gefahren betrügerischer E-Mails gewarnt habe, eine Vertragspflicht verletzt. Die Beklagte habe zudem dadurch eine weitere Pflichtverletzung begangen, dass sie die beiden streitgegenständlichen Überweisungen mit „derart hohen Beträgen“ ausgeführt habe, ohne dass – unstreitig – ein unterschriebener Überweisungsträger vorgelegt wurde.

Die Klägerin beantragt,

1.) die Beklagte zu verurteilen, an sie 18.500,00 € nebst Zinsen in Höhe von 8 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 06.12.2013 zu zahlen;

2.) die Beklagte zu verurteilen, an sie 562,16 € außergerichtliche Rechtsverfolgungskosten nebst Zinsen in Höhe von Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte behauptet, der Geschäftsführer der Klägerin, Herr B, habe die auf dem Display des TAN-Generators angezeigten Daten der beiden streitgegenständlichen Überweisungen durch Drücken der O.K.-Taste bestätigt und damit autorisiert. Das sei auch dann der Fall, wenn diese von dritter Seite manipuliert worden seien. In diesem Fall stünden der Beklagten Schadensersatzansprüche gegen die Klägerin zu, mit der sie – unstreitig – die Aufrechnung erklärt (Bl. 65 d. A.).

Das Gericht hat Beweis erhoben durch Einholung eines schriftlichen Gutachtens des Sachverständigen Dr.-Ing. D. Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf das Gutachten vom 01.07.2014 verwiesen. Im Übrigen wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen Bezug genommen.

Entscheidungsgründe

Die zulässige Klage ist unbegründet. Die Klägerin kann von der Beklagten weder die Zahlung von 18.500,00 € noch die Erstattung vorgerichtlicher Rechtsanwaltskosten von 562,16 € verlangen.

Der zwischen den Parteien bestehende Girovertrag mitsamt den Sonderbedingungen für das Online-Banking ist ein Geschäftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, § 675c Abs. 1 BGB. Der Klägerin steht aus diesem Vertrag gegen die Beklagte kein Anspruch aus § 675u S. 2 BGB auf Zahlung von 18.500,00 € zu.

Gem. § 675u S. 2 BGB ist der Zahlungsdienstleister verpflichtet, das Zahlungskonto des Zahlers im Falle eines nicht autorisierten Zahlungsvorganges wieder auf den Stand zu bringen, den es ohne die nicht autorisierte Belastung hätte. Dieser Anspruch ist zwar grundsätzlich nur auf Valutakorrektur mittels Stornobuchung gerichtet. Der Zahler hat jedoch dann einen Anspruch auf Auszahlung des zu Unrecht belasteten Betrages, wenn die Kontobeziehung inzwischen unter Ausgleich des Saldos aufgelöst ist (vgl. Nobbe, in: Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl. 2013, § 675u BGB Rn. 44). Das ist hier der Fall, da die Vertragsbeziehung der Parteien mittlerweile beendet ist.

Die Voraussetzungen des § 675u S. 2 BGB liegen nicht vor. Zwar wurde das bei der Beklagten unterhaltene Geschäftskonto der Klägerin durch die beiden streitgegenständlichen Zahlungsvorgänge vom 12.11. und 27.11.2013 belastet. Diese Zahlungsvorgänge waren jedoch von der Klägerin autorisiert im Sinne des § 675j Abs. 1 BGB.

Im Einzelnen:

Autorisierung im Sinne des § 675j Abs. 1 BGB meint die Erklärung des Einverständnisses mit dem Zahlungsvorgang als tatsächliches Ereignis (Palandt/Sprau, a. a. O., § 675j Rn. 3). Die Autorisierung ist eine Willenserklärung und kann gem. § 675j Abs. 1 S. 4 BGB auch mittels eines bestimmten Zahlungsauthentifizierungsinstruments – beim Online Banking mittels PIN und TAN (vgl. Palandt/Sprau, a. a. O., § 675j Rn. 6) – erteilt werden.

Für die Autorisierung des Zahlungsvorganges ist die Beklagte als Zahlungsdienstleister darlegungs- und beweisbelastet, § 675w S. 1 BGB (vgl. Schmalenbach, in: Bamberger/Roth, Beck’scher Online-Kommentar BGB, Stand: 01.05.2014, § 675w Rn. 7). Dabei benennen § 675w S. 1 u. S. 2 BGB bestimmte Mindestanforderungen, die gegeben sein müssen, um eine Autorisierung anzunehmen (vgl. Nobbe, a. a. O., § 675 w BGB Rn. 16).

Diese Mindestvoraussetzungen hat die Beklagte dargetan. Denn beim Online-Banking erbringt der Zahlungsdienstleister den Nachweis der Authentifizierung gem. § 675w S. 2 BGB, wenn er belegt, dass Kundenkennung, PIN und TAN überprüft wurden (vgl. Palandt/Sprau, BGB, 73. Aufl. 2014, § 675w Rn. 3). Diesen Anforderungen hat die Beklagte durch Vorlage des Nachweis-Protokolls der SEPA-Aufträge vom 12.11. und 27.11.2013 (Bl. 79 f. d. A.) sowie des Protokolls der „SB-Karte-PRK […]“ (Bl. 78 d. A.) genügt, da aus den Protokollen ersichtlich ist, dass die vorgenannten Nachweise überprüft wurden und Grundlage der Transaktionen waren. Die Beklagte hat auch den nach § 675w S. 1 geforderten Nachweis, dass der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde, durch Vorlage des Protokolls der SEPA-Aufträge vom 12.11. und 27.11.2013 (Bl. 79 f. d. A.) geführt. Die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung kann nämlich durch aussagekräftige Transaktionsprotokolle belegt werden, wenn sich aus diesen ergibt, dass der Zahlungsvorgang nicht durch einen technischen Zusammenbruch oder eine andere Panne beeinträchtigt wurde (vgl. Caspar, in: MüKo-BGB, 6. Aufl. 2012, § 675w Rn. 6). Das von der Beklagten vorgelegte Protokoll beinhaltet SEPA-Überweisungen, die über das Zahlungsdienstesystem der Beklagten an den streitgegenständlichen Tagen erfolgten. Ausweislich der Protokolle sind unmittelbar nach den streitgegenständlichen Überweisungen am 12.11. und am 27.11.2013 auch andere Zahlungsvorgänge von anderen Kunden der Beklagten abgewickelt worden, sodass ein technischer Zusammenbruch o. ä. ausscheidet.

Sind die Mindestvoraussetzungen des § 675w S. 1 u. S. 2 BGB gegeben, reicht dies nach § 675w S. 3 BGB nicht stets für den Nachweis, dass der Bankkunde die Zahlung autorisiert hat (vgl. Nobbe, a. a. O., § 675 w BGB Rn. 17). Vielmehr müssen die Umstände des Einzelfalles gem. § 286 Abs. 1 ZPO berücksichtigt werden (vgl. Caspar, a. a. O., § 675w Rn. 9; Palandt/Sprau, a. a. O., § 675w Rn. 4).

Nach dem Ergebnis der Beweisaufnahme steht für das Gericht mit der von § 286 Abs. 1 ZPO geforderten Gewissheit fest, dass eine Autorisierung der beiden streitgegenständlichen Zahlungsvorgänge durch die Klägerin vorliegt.

Die Klägerin hat ihr Einverständnis zu den beiden streitgegenständlichen Zahlungsvorgängen zwar nicht selbst erteilt, sondern wurde Opfer eines sog. „Man-in-the-Middle-Angriffs“. Ihr ist die mittels des Zahlungsauthentifizierungsinstruments PIN und TAN erteilte Zustimmung des „Angreifers“ zu den manipulierten Zahlungsvorgängen jedoch nach Rechtsscheinsgrundsätzen zuzurechnen.

Im Einzelnen:

Die Klägerin kannte die beiden (vermeintlich) aus Lettland stammenden (ggf. fiktiven) Zahlungsempfänger nicht und stand mit ihnen insbesondere auch nicht in einer Geschäftsbeziehung. Die Klägerin besaß daher keine Veranlassung, derart hohe Auslandsüberweisungen an die beiden Zahlungsempfänger zu tätigen. Hinzu kommt, dass die Klägerin an den beiden streitgegenständlichen Tagen Überweisungen an eine A GmbH & Co KG ausführen wollte und deren Daten in die auf dem PC-Bildschirm ersichtliche Überweisungsmaske eingab. Diesem Umstand stellte die Beklagte mit Schriftsatz vom 21.07.2014, S. 3 (Bl. 135 d. A.), unstreitig. Nach den überzeugenden Feststellungen des Sachverständigen Dr. D ist es für einen betrügerischen sog. „Man-in-the-Middle-Angriff“ geradezu typisch, dass eine beabsichtigte Überweisung, deren Daten in die (manipulierte) Überweisungsmaske auf dem PC-Bildschirm eingegeben werden, nicht an die Bank übermittelt und von dieser daher auch nicht ausgeführt wird. Denn der „Angreifer“ kann keine eigenen, vom Benutzer losgelösten Transaktionen starten, sondern muss immer eine vom dem Zahler gewollte Aktion in seinem Sinne verändern (manipulieren).

Der Klägerin ist das Einverständnis zu den beiden streitgegenständlichen Zahlungsvorgängen jedoch nach den Grundsätzen der Anscheinsvollmacht zuzurechnen, die auf die Autorisierung nach § 675j Abs. 1 BGB entsprechend anwendbar sind (vgl. Palandt/Sprau, a. a. O., § 675j Rn. 2; Omlor, in: Staudinger, BGB, Neub. 2012, § 675u Rn. 6).

Dies ergibt sich zur Überzeugung des Gerichts aus den nachvollziehbaren Ausführungen des Sachverständigen, der Folgendes feststellte:

Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.

Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.

Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen.

Eine Anscheinsvollmacht ist gegeben, wenn der Vertretene (hier: die Klägerin) das Handeln des Scheinvertreters (hier: des „Angreifers“) nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und wenn der Geschäftspartner (hier: die Beklagte) annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters. Bei dem hier vorliegenden, mit einer Identitätstäuschung verbundenen Handeln unter fremdem Namen ist bei Anwendung dieser Grundsätze auf das Verhalten des Namensträgers abzustellen (BGH, Urt. v. 11.05.2011 – VIII ZR 289/09, Rn. 16 – juris; Palandt/Ellenberger, a. a. O., § 172 Rn. 11).

Diese Voraussetzungen der Rechtsscheinhaftung liegen vor.

Aus den überzeugenden Ausführungen des Sachverständigen folgt, dass die Klägerin den „Man-in-the-Middle-Angriff“ hätte erkennen und verhindern können. Denn die Klägerin hatte die Möglichkeit, durch Kontrolle der auf dem Display des TAN-Generators angezeigten Überweisungsdaten die Manipulation der Zahlungsvorgänge zu erkennen und hätte sodann den Zahlungsvorgang abbrechen können. In diesem Fall hätten die von ihr erzeugten Daten nicht missbraucht werden können. Die Klägerin hat eine Kontrolle der auf dem Display angezeigten Überweisungsdaten offenbar aus Unachtsamkeit nicht vorgenommen und damit auch gegen ihre Pflicht aus Ziff. 7.4 der Allgemeinen Sonderbedingung für das Online-Banking verstoßen.

Die Beklagte durfte auch von einer Kenntnis und Billigung der streitgegenständlichen Zahlungsvorgänge durch die Klägerin ausgehen. Denn die beiden streitgegenständlichen Überweisungen wurden unter Verwendung der EC-Karte der Klägerin, nach Einloggen mit PIN und Private-Key auf der Homepage der Beklagten und unter Verwendung der TAN ausgeführt, die der TAN-Generator der Klägerin erzeugte und anzeigte (vgl. insb. S. 18 des Sachverständigengutachtens). Da Zahlungsauthentifizierungsinstrumente (TAN, PIN) gerade dazu dienen, die Ausführung des Zahlungsvorganges eindeutig der Klägerin als Veranlasserin zuzuordnen (vgl. Palandt/Sprau, a. a. O., § 675j Rn. 6), durfte die Beklagte von Kenntnis und Billigung der Klägerin annehmen.

Das Smart-TAN-plus-Verfahren bietet nach den Ausführungen des Sachverständigen auch eine ausreichende Systemsicherheit, um einen solchen Vertrauenstatbestand zu begründen (vgl. zur Bedeutung der Systemsicherheit für die Annahme des Vertrauenstatbestandes: BGH, Urt. v. 11.05.2011 – VIII ZR 289/09, Rn. 18 – juris): Soweit Manipulationsmöglichkeiten in Betracht kommen, kann die Ausführung des manipulierten Zahlungsvorganges durch Kontrolle der auf dem Display des TAN-Generators angezeigten Überweisungsdaten vermieden werden.

Die Annahme einer Anscheinsvollmacht setzt in der Regel weiter voraus, dass das Verhalten, das den Rechtsschein einer Bevollmächtigung erzeugt, von einer gewissen Dauer und Häufigkeit ist (Palandt/Ellenberger, a. a. O., § 172 Rn. 12 m w. N.). Ob dieses Erfordernis im vorliegenden Fall erfüllt sein muss, ist zweifelhaft, kann aber letztlich offen bleiben. Das ergibt sich aus Folgendem:

In der Sache geht es vorliegend darum, ob die Beklagte aufgrund der ihr übermittelten personalisierten und transaktionsbezogenen Sicherheitsmerkmale (§ 675j Abs. 1 S. 4 BGB) davon ausgeht durfte, dass der Zahlungsvorgang mit Einverständnis der Klägerin erfolgte. Hierfür kann die wiederholte Manipulation der Zahlungsvorgänge durch einen „Angreifer“ richtigerweise keinen Vertrauenstatbestand begründen, da eine (erfolgreiche) Manipulation als solche für den Rechtsverkehr gar nicht erkennbar ist (vgl. Faust, JuS 2011, 1027 (1028); Schinkels, LMK 2011, 320461). Denn ebenso wie bei einem nicht manipulierten Zahlungsvorgang wird dem Zahlungsdienstleister bei einem „Man-in-the-Middle-Angriff“ die Zustimmung (unterschiedslos) einzig mittels des Zahlungsauthentifizierungsinstruments (PIN, TAN) erteilt. Das drängt dazu, die Grundsätze der Anscheinsvollmacht auf die vorliegende Frage lediglich entsprechend anzuwenden (vgl. Hauck, JuS 2011, 967 (969)) und auf das Kriterium einer gewissen Dauer und Häufigkeit für die Annahme des Vertrauenstatbestands zu verzichten (Härting, BB 2011, 2187 (2188)).

Der Bundesgerichtshof hat im Fall einer unberechtigten Nutzung eines eBay-Kontos für das Vorliegen einer Anscheinsvollmacht jedoch eine gewisse Häufigkeit oder Dauer der unbefugten Verwendung gefordert (BGH, Urt. v. 11.05.2011 – VIII ZR 289/09, Rn. 18 – juris). Fehle es hieran, läge kein Vertrauenstatbestand vor, auf den sich der Rechtsverkehr stützen könne. Zur Begründung führt der Bundesgerichtshof an, dass angesichts des derzeit vorhandenen Sicherheitsstandards im Internet auch bei einem eBay-Account nicht zuverlässig geschlossen werden könne, dass unter einem registrierten Mitgliedsnamen ausschließlich dessen tatsächlicher Inhaber auftritt (BGH, a. a. O.). Für die Annahme des Vertrauenstatbestandes soll damit das Erfordernis einer gewissen Dauer und Häufigkeit die geringe Systemsicherheit und Missbrauchsanfälligkeit kompensieren. Damit liegt nahe, nach Maßgabe der Rechtsprechung des Bundesgerichtshofs vorliegend auf das Kriterium einer gewissen Dauer oder Häufigkeit für eine Zurechnung nach Rechtsscheinsgrundsätzen zu verzichten. Denn nach den bereits dargestellten überzeugenden Ausführungen des Sachverständigen weist das Smart-TAN-plus-Verfahren eine hohe Systemsicherheit mit lediglich wenigen Manipulationsmöglichkeiten auf. Der Bankkunde kann die Manipulation zudem dadurch verhindern, dass er die auf dem Display des TAN-Generators angegeben Überweisungsdaten vor dem Drücken der O. K. Taste kontrolliert.

Letztlich kann die Frage, ob es vorliegend einer gewissen Dauer oder Häufigkeit mittels „Man-in-the-Middle-Angriffen“ manipulierter Zahlungsvorgänge bedarf, offen bleiben. Denn die Klägerin wurde Opfer zweier „Man-in-the-Middle-Angriffe“. Eine gewisse Häufigkeit und Dauer der Missbrauchsfälle ist damit gegeben.

Es liegen auch die weiteren Voraussetzungen einer Rechtsscheinshaftung der Klägerin vor.

So bestand der Rechtsschein, die Klägerin habe die beiden streitgegenständlichen Zahlungsvorgänge veranlasst, auch und gerade im Zeitpunkt der beiden streitgegenständlichen Überweisungen und war für die beiden Zahlungsvorgänge ursächlich.

Schließlich war die Beklagte auch gutgläubig. Sie hatte keinen Grund, von nicht durch die Klägerin veranlassten Zahlungsvorgängen auszugehen. Daran ändert – entgegen der Ansicht der Klägerin – auch die Tatsache nicht, dass es sich um aus Sicht der Klägerin betragsmäßig hohe und für sie seltene Auslandsüberweisungen handelte. Denn eine Bank muss weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorganges Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne nähere Anhaltspunkte überwachen. Ohne besondere weitere Anhaltspunkte geben auch Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch ggf. eintretende Kontoüberziehungen einer Bank keinen hinreichenden Anlass, von diesem Grundsatz eine Ausnahme zu machen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nämlich nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern (vgl. BGH, Urt. v. 24. 04.2012 – XI ZR 96/11 Rn. 32, 34 -, juris).

Eine Autorisierung der beiden streitgegenständlichen Zahlungsvorgänge nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht liegt nach alldem vor.

Die Klägerin konnte diese ihr nach Rechtsscheinsgrundsätzen zugerechneten Autorisierungen auch nicht mittels Anfechtung beseitigen, in dem sie Beklagte am 02.12.2013 über die beiden von ihr nicht selbst vorgenommenen Zahlungsvorgänge informierte und Rückzahlung verlangte. Denn das bloß tatsächliche Setzen eines rechtsscheinsbegründenden Vertrauenstatbestandes, dessen rechtsgeschäftliche Folgen auf schuldhafter Veranlassung beruhen, kann keinem Willensmangel unterliegen. Es handelt sich auch nicht um einen vergleichbaren Vorgang und berechtigt aus diesem Grund nicht zur Anfechtung (vgl. Schilken, in: Staudinger, BGB, Neub. 2009, § 167 Rn. 45 m. w. N.).

Ein Anspruch der Klägerin aus § 676u S. 2 BGB besteht nach dem Vorstehenden nicht. Weitere Anspruchsgrundlagen für das Begehren der Klägerin kommen aufgrund der abschließenden Regelung des § 675u BGB nicht in Betracht, § 675z S. 1 BGB.

Selbst wenn man die Sperrwirkung des § 675z S. 1 BGB nicht auch auf Ansprüche aus § 280 I BGB erstrecken wollte, könnte die Klägerin kein Schadensersatz von der Beklagten unter dem Gesichtspunkt verlangen, dass sie an der Notfallhotline der Beklagte am 29.11.2013 niemanden erreichen konnte. Zwar folgt aus § 675m Abs. 1 Nr. 3 BGB die Verpflichtung des Zahlungsdienstleisters, sicherzustellen, dass der Zahlungsdienstleistungsnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige nach § 675l S. 2 BGB vorzunehmen. Es fehlte jedoch jedenfalls an der Kausalität einer etwaigen Pflichtverletzung für den streitgegenständlichen Schaden der Klägerin. Denn ausweislich der Mitteilung von C von 11.12.2013 an die Polizei Hamburg kann C den Kunden, dem eine bestimmte IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war, nur dann ermitteln, wenn die fragliche Internetaktivität nicht länger als 48 Stunden zurückliegt (Bl. 32 d. A.). Bereits im Zeitpunkt des Bemerkens der betrügerischen Abbuchungen vom 27.11.2013 durch die Klägerin gegen 18:25 Uhr am 29.11.2013 konnten die mutmaßlichen Manipulierer der ermittelten IP-Adresse nicht mehr zugeordnet werden. Selbst wenn die Klägerin die Beklagte über die Notfallhotline erreicht hätte, wäre des demnach nicht zu einer Namhaftmachung der Manipulierer gekommen. Es fehlt an alldem an der erforderlichen Kausalität zwischen Pflichtverletzung und Schaden.

Der Klägerin steht auch kein Ersatz für die mit dem Klageantrag Ziff. 2 geltend gemachten vorgerichtlichen Kosten der Rechtsverfolgung gem. § 280 Abs. 2, 286 Abs. 1 BGB zu, der durch § 675z BGB nicht ausgeschlossen wäre (Palandt/Sprau, a. a. O., § 675z Rn. 2). Da kein Rückzahlungsanspruch der Klägerin bestand, befand sich die Beklagte trotz der Zahlungsaufforderung vom 02.12.2013 nicht im Verzug.

Die Entscheidung zu den Kosten findet ihre Grundlage in § 91 Abs. 1 S. 1 ZPO, die zur vorläufigen Vollstreckbarkeit in § 709 S. 1 u. 2. ZPO.