BGH-Urteil ermöglicht Rückforderung von nicht legitimierten Überweisungen

Bundesgerichtshof entscheidet zugunsten von Bank­kunden

Der Bundesgerichtshof (BGH) entschied durch Urteil vom 26. Januar 2016, dass sich ein Kreditinstitut bei einer strittigen Überweisung beim Online-Banking nicht einfach darauf berufen könne, dass eine Identifizierung mit gültiger PIN- und TAN-Nummer vorgelegen hätte (Az. XI ZR 91/14). Die Bank müsse beweisen, dass ihr Sicherungssystem zum Zeitpunkt der Überweisung unüberwindbar war und fehlerfrei funktioniert hat. Kann sie das nicht, haftet die Bank. Dem Kontoinhaber darf demnach nicht von vornherein grob fahrlässiges Verhalten unterstellt werden.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Hintergründe des BGH-Urteils: Worum ging es über­haupt?

Der konkrete Fall vor dem BGH war anders gelagert als der Normalfall. Denn nicht der Kunde forderte die Rückerstattung des Geldes, sondern die Bank. Die Bank sah das alleinige Verschulden für den verursachten Sollsaldo beim Kunden und wollte diesen ausgeglichen bekommen. Der Kunde hielt jedoch dagegen und gab an, den Online-Überweisungsbetrag nicht autorisiert zu haben.

Damit er das Online-Banking nutzen konnte, musste er beim Einloggen eine PIN verwenden. Einzelne Aufträge wurden dann gesondert mit einer sogenannten TAN-Nummer generiert, freigegeben und abgeschickt. Die TAN bekam er via smsTAN-Verfahren auf sein Geschäftsmobiltelefon geschickt.

Was der Kunde nicht wusste: Im selben Zeitraum traten im Online-Banking-System Störungen auf, über die auch die Tagespresse berichtete. Die Störungen führten dazu, dass manche Aufträge nicht nur einmal, sondern doppelt ausgeführt wurden.

Dem Konto des Kunden wurden in diesem Zusammenhang 53.342,43 Euro gutgeschrieben und von der Bank zwei Tage später wieder storniert. Noch vor der Stornierung wurden unter Verwendung einer an die Mobilfunknummer übermittelten TAN 45.000,00 Euro auf das Konto des Bankkunden überwiesen. Im Zuge des nächsten Buchungslaufes, in dem alle Buchungen durchgeführt wurden, ergab sich der eingeklagte Schlusssaldobetrag.

Die Bank behauptete, es habe keine Unregelmäßigkeiten gegeben. Der technische Ablauf sei ordnungsgemäß aufgezeichnet worden. Anhaltspunkte für einen Missbrauch seien nicht erkennbar. Der Kunde behauptet, er habe die Überweisung nicht veranlasst. Er sei im Urlaub gewesen. Das Mobiltelefon sei so lange bei einem Mitarbeiter verwahrt gewesen. Dieser habe zwar die SMS erhalten, aber als Spam „weggedrückt“.

Wann kann ich veruntreutes Geld von der Bank zurück­fordern?

Entscheidend ist, ob Sie als Kunde gegen Ihre Sorgfaltspflichten verstoßen haben. Konkret gibt es bei Verhandlungen im Online-Banking zwei wichtige Fragen zu beantworten:

1. War der Kontoinhaber selbst der Verursacher der missbräuchlichen Verfügungen und versucht er, die Bank mit der „Rückforderung“ zu betrügen?
2. Wenn der Bankkunde es nicht selbst war – hat er den Schaden mit der Folge eines Schadensersatzanspruches der Bank grob fahrlässig ermöglicht?

Wenn Sie beide Fragen mit „Nein“ beantworten können, stehen Ihre Erfolgschancen auf eine Wiedergutschrift sehr gut. Nur leider ist es nicht immer leicht nachzuweisen, dass die Schuld für die ungewollte Abbuchung tatsächlich nicht bei einem selbst liegt. Ein Fachanwalt für Bankrecht kennt aber die Schwachstellen und Lücken des Banksystems und die notwendigen Argumente, um erfolgversprechend gegen die Bank vorzugehen.

Ob sich ein Vorgehen in Ihrem Fall lohnt, erfahren Sie bei uns vorab in einer kostenfreien Ersteinschätzung. Darüber schildern Sie uns Ihren konkreten Fall. Unsere Expert:innen prüfen daraufhin kostenfrei Ihr Anliegen und melden sich bei Ihnen. Nachdem unsere Expert:innen Ihnen die Erfolgschancen erörtert haben, entscheiden Sie, ob Sie uns mit der Durchsetzung Ihrer Ansprüche beauftragen möchten.

Wie sind die Erfolgschancen durch das BGH-Urteil einzu­schätzen?

Wie es im Recht so üblich ist, sind auch die Erfolgschancen im Bankrecht immer einzelfallabhängig. Deswegen ist es in jedem Fall sinnvoll, über uns zunächst eine kostenfreie Ersteinschätzung einzuholen – unabhängig davon, welche Chancen wir im Folgenden für Ihre grob zutreffende Fallkonstellationen ausrechnen.

Fallkonstellation 1: Geldabhebung durch nicht nachgewiesener autorisierter Zahlung

Erfolgschancen: Wenn eine Geldabhebung mit EC- oder Kreditkarte (am Automat oder bei Einkauf) stattgefunden hat, aber völlig offen ist, wie der Täter an die PIN gekommen ist, ist ein Vorgehen sehr erfolgversprechend.

Gründe: Eventuell wurden die Täter durch Überwachungskameras gefilmt oder es kann anders nachgewiesen werden, dass Sie bei der Geldabhebung nicht vor Ort gewesen sind. In diesen Fällen kann unstreitig dargelegt werden, dass es sich um einen Diebstahl der Karte handelte. Eine gerechtfertigte Strafanzeige gilt somit auch als wertvolles Indiz bei einem Prozess.

Fallkonstellation 2: Geldabhebung durch autorisierte Zahlung

Erfolgschancen: Wenn eine Geldabhebung (am Automat oder bei Einkauf) mit EC- oder Kreditkarte unter Einsatz einer PIN stattgefunden hat, sind die Erfolgschancen auf Rückerstattung des Geldes eher gering.

Gründe: Rein rechtlich ist es am wahrscheinlichsten, dass die Buchung entweder selbst veranlasst oder der Zugriff auf die PIN ermöglicht wurde. Beispielsweise dadurch, dass die PIN auf einem Zettel im Portemonnaie zu finden war oder die Nummer an Dritte weitergegeben wurde. Diese „Art von Wahrscheinlichkeit“ wird im Juristendeutsch auch Anscheinbeweis oder Indizibeweis genannt.

Fallkonstellation 3: Online-Banking bei nicht nachgewiesener autorisierter Zahlung

Erfolgschancen: Wenn die Autorisierung beim Online-Banking nicht nachgewiesen werden kann, stehen die Erfolgschancen sehr gut.

Gründe: In diesem Fall ist eine fehlende Autorisierung oft unstreitig, da eine bislang nicht verwendete Handynummer genutzt oder eine Schadsoftware festgestellt wurde.

Fallkonstellation 4: Online-Banking bei nachgewiesener autorisierter Zahlung

Erfolgschancen: Wenn eine Autorisierung der Zahlung nachweisbar ist, sind die Erfolgschancen bei einem Vorgehen eher gering.

Gründe: In der Regel handelt es sich beim Online-Banking der Banken um sehr sichere Zahlungssysteme. Eine Verwaltung des Geldes ist in der Regel nur durch eine zusammenhängende Autorisierung aus PIN und TAN möglich.

Fallkonstellation 5: Kunde erfährt erst auf Kontoauszug von der Geldabhebung

Erfolgschancen: Wenn Sie erst auf dem Kontoauszug oder bei Mitteilung der Bank von den Abbuchungen erfahren, ist die Rückholung der Beiträge oftmals schwierig.

Gründe: Die Rückholung ist kompliziert, weil diebische Buchungen oftmals aus dem Ausland getätigt wurden. Das Geld ist in vielen Fällen bereits vom Zielkonto weiter überwiesen worden. Die Kunden führen die Aktion meist ungewollt durch, indem sie Online-Betrügern zum Opfer fallen, die Trojaner, falsche Webseiten verwenden oder auch TANs durch Ersatz-Sim-Karten abgreifen. Auch das Hacken von Banking-Apps sind ein beliebter Angriff von Online-Betrügern auf Bankkunden.

Was genau ist unter Phishing beim Online-Banking zu verstehen?

Beim Phishing im Online-Banking handelt es sich um eine betrügerische Methode, bei der Kriminelle versuchen, von Bankkunden vertrauliche Informationen wie Passwörter, Kontonummern oder TAN-Nummern zu erschleichen. Dabei geben sie sich beispielsweise als Mitarbeiter der Bank aus oder versenden gefälschte E-Mails oder SMS, die den Eindruck erwecken, von der Bank oder einem seriösen Unternehmen zu stammen. Ziel ist es, durch die Täuschung des Kunden an dessen Kontodaten zu gelangen, um Geld von dessen Konto abzubuchen oder weitere Straftaten zu begehen. Phishing kann erhebliche finanzielle Schäden verursachen und ist ein großes Risiko für Bankkunden, die Online-Banking nutzen.

Ein Beispiel: Wann liegt eine grobe Pflichtverletzung aufseiten der Bankkunden vor?

In einem Fall vor dem Landgeruch Koblenz wurde der Kundin die Schuld zugesprochen. Laut Gericht hätte die Kundin die Täuschung erkennen müssen (Az. 3 O 378/21). Als sie eine Überweisung tätigen wollte, öffnete sich nämlich ein Schadprogramm auf ihrem PC. Sie wurde darüber aufgefordert, eine „Demoüberweisung“ an einen gewissen „Herrn Mustermann“ zu veranlassen. Um die Überweisung zu komplettieren, musste Sie eine Sicherheitsnummer eingeben. Als die Aufforderung nach erneutem Wegklicken wieder auf dem Bildschirm auftauchte, kam sie der Aufforderung letztlich nach. Ihr wurden daraufhin 9.847,78 Euro vom Konto abgezogen.

Mit dem Versuch, das Geld zurückzuholen, blieb sie erfolglos. Die Richter:innen warfen ihr konkret vor, gegen die Sorgfaltspflichten eines Bankkunden verstoßen zu haben und grob fahrlässig handelte. Sie hätte den Betrug erkennen bzw. weitere Überlegungen anstellen müssen, ob es mit rechten Dingen zugeht.

Wo finde ich die rechtlichen Grundlagen?

Wenn eine Kontoverfügung nicht vom Kontoinhaber autorisiert ist, hat er gegen die Bank einen Anspruch auf Wiedergutschrift des Betrages nach § 675u BGB. Die Bank wird dem oft entgegenhalten, dass sie gegen den Kontoinhaber einen Schadensersatzanspruch in gleicher Höhe habe. Denn die Verfügung sei überhaupt nur deswegen möglich gewesen, weil der Kontoinhaber grob fahrlässig mit den Sicherheitsmerkmalen umgegangen sei.

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister.