Online-Banking (iTAN): Schadensersatz der Bank nach Preisgabe mehrerer TAN; Berufung zurückgewiesen

Die Berufung des Klägers gegen das Urteil des Amtsgerichts Düsseldorf vom 06.04.2010, Az. 36 C 13469/09, wird zurückgewiesen.

Der Kläger trägt die Kosten des Berufungsverfahrens.

Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aus dem Urteil vollstreckbaren Betrages abwenden, wenn die Beklagte nicht vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.

Die Revision wird zugelassen.

A.

Der Kläger nimmt die Beklagte aus einer Überweisung vom 26.01.2009 in Höhe von 5.000,- Euro auf Rückzahlung in Anspruch.

Er hat ein Girokonto bei der Beklagten und nahm seit 2001 am Online Banking teil. Die Beklagte verwendet für Überweisungsaufträge das sog. iTAN-Verfahren. Dieses ist dadurch gekennzeichnet, dass der Nutzer nach Zugang zum Online-Banking durch Eingabe der korrekten PIN aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten TAN-Liste einzugeben, die zu diesem Zweck durchnummeriert ist.

Vertragliche Grundlage für das Online-Banking waren die „Sonderbedingungen für die konto-depotbezogene Nutzung des Sparda Online-Banking mit PIN und TAN“, Stand Dezember 2007. Der Kläger wurde von der Beklagten am 03.01.2008 über seinen Kontoauszug auf die Sonderbedingungen hingewiesen und Möglichkeit der Kenntnisnahme gegeben. Gemäß Nr. 8 dieser Sonderbedingungen hat der Nutzer dafür Sorge zu tragen, dass keine andere Person Kenntnis von den PIN und den TAN erlangt. Dies wird damit begründet, dass jede Person, die die PIN und – falls erforderlich – eine TAN kennt, die Möglichkeit habe, das Online- Banking-Leistungsangebot zu nutzen und z. B. Aufträge zu Lasten des Kontos/Depots zu erteilen. Weiter heißt es dort:„Insbesondere Folgendes ist zur Geheimhaltung der PIN und TAN zu beachten:

              …

- Bei Eingabe der PIN und TAN ist sicherzustellen, dass Dritte diese nicht ausspähen können.

- Die technische Verbindung zum Online-Banking-Angebot des Kreditinstituts ist nur über die vom Kreditinstitut gesondert mitgeteilten Online- Banking- Zugangskanäle herzustellen.

- Außerhalb der vom Kreditinstitut gesondert mitgeteilten Online- Banking- Zugangskanäle dürfen Anfragen, insbesondere nach vertraulichen Daten wie Geheimzahl, PIN oder TAN nicht beantwortet werden.“

Die Beklagte wies seit dem 10.09.2008 auf der Log-In-Seite des Online-Bankings auf die Gefahr von „Phishing-Mails“ hin. Bis zum 28.07.2009 befand sich mittig auf der Seite der folgende Hinweis:„Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails im Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zur Anmeldung im SpardaNet- Banking auffordern.“

Wegen der Gestaltung des Hinweises wird auf den als Anlage B5 (Bl. 24 GA) zur Akte gereichten Screenshot Bezug genommen. 

Am 26.01.2009 um 18:10 Uhr wurde mit Wertstellung zum 27.01.2009 vom Girokonto des Klägers ein Betrag von 5.000,- Euro auf ein Konto bei einer griechischen Bank überwiesen. Die Auslandsüberweisung wurde nach Eingabe der korrekten PIN und einer korrekten TAN durchgeführt. Am selben Tage wurde außerdem vom Konto eines anderen Kunden der Beklagten ein Betrag von 7.000,- Euro auf dasselbe griechische Konto überwiesen. Diesen Sachverhalt brachte der geschädigte Dritte am 26.01.2009 um 20:15 Uhr zur Anzeige.

Am 29.01.2009 erstattete der Kläger seinerseits Strafanzeige beim KK Emmerich. Dort schilderte er u. a., wie er einmal im Oktober 2008 das Online-Banking der Beklagten angeklickt und sich die Maske wie gewohnt geöffnet habe. Danach sei der Hinweis gekommen, dass er derzeit keinen Zugriff auf das Online-Banking habe. Anschließend habe man ihn angewiesen, zehn TAN einzugeben. Die Felder seien nicht von 1 bis 10 durchnummeriert gewesen, sondern kreuz und quer. Er habe dann die geforderten TAN chronologisch in die Felder eingetragen. Anschließend habe er wieder Zugriff auf das Online-Banking erhalten und unter Verwendung einer anderen TAN ein Überweisung getätigt. Wegen der weiteren Einzelheiten wird auf den Inhalt der Anzeige Bezug genommen (Bl 20 GA). Das Ermittlungsverfahren ist eingestellt worden, weil ein Täter nicht ermittelt werden konnte.

Ausweislich des vorgelegten Kontoauszuges vom 29.01.2009 betrug das „Limit“ 4.500,- Euro. Die Überweisung führte zu einem Sollsaldo in Höhe von 4.315,73 Euro.

Der Kläger hat behauptet, die Überweisung in Höhe von 27.01.2009 habe er nicht veranlasst. 

Er ist der Ansicht, die Beklagte hafte für die fehlerhafte Überweisung, weil es ihre Aufgabe sei, für einen störungsfreien Ablauf des Online-Banking zu sorgen und die Kunden vor betrügerischen Transaktionen zu schützen.

Dass es überhaupt zu der Überweisung gekommen sei, erstaune auch deshalb, weil er mehrere Monate vorher bei der Beklagten um einen Kredit in Höhe von 2.000,- Euro gebeten habe, der mangels Kreditwürdigkeit abgelehnt worden sei – dies ist unstreitig.

Er behauptet weiter, im Zeitpunkt der Phishing-Attacke seien auf seinem PC die Norton-Virensoftware und ein Spam-Filter installiert gewesen.

Der Kläger hat beantragt,

1.

die Beklagte zu verurteilen, an ihn 5.000,- Euro nebst 5 % Zinsen über dem Basiszinssatz seit dem 17.04.2009 zu zahlen;

2.

die Beklagte zu verurteilen, an ihn vorgerichtliche Kosten in Höhe von 316,18 Euro nebst 5 % Zinsen über dem Basiszinssatz ab 25.11.2009 zu zahlen.

Die Beklagte hat beantragt,

              die Klage abzuweisen.

Sie hat mit Nichtwissen bestritten, dass der Kläger die Überweisung nicht selbst vorgenommen hat. Der Beweis des ersten Anscheins spreche dafür, dass er den Auftrag selbst erteilt habe, weil es nicht möglich sei, ohne Kenntnis der TAN-Liste und der laufenden Nummern eine TAN zu verwenden.

Jedenfalls habe sie gegenüber dem Kläger einen Anspruch auf Schadenersatz in Höhe von 5.000,- Euro, den sie habe zur Aufrechnung stellen und durch Einstellung in das Konto habe befriedigen dürfen, so dass die Kontobelastung rechtmäßig gewesen sei. Der Kläger habe durch die Offenbarung von insgesamt zehn TAN seine Pflichten aus dem Kontovertrag grob fahrlässig verletzt, insbesondere schuldhaft gegen Nr. 8 der Sonderbedingungen verstoßen. 

Das Amtsgericht hat die Klage abgewiesen. Zur Begründung hat es angeführt, dass ein Anspruch auf Schadenersatz nicht bestehe, da die Überweisung mittels der korrekten PIN und einer korrekten TAN erfolgt sei. Dafür sei der Kläger selbst verantwortlich, da er die TAN Monate zuvor preisgegeben habe. Es sei gerichtsbekannt, dass das Kreditinstitut beim Online-Banking niemals ihren Kunden zur Preisgabe mehrerer TAN auffordere. Er hätte daher sofort den begonnenen Überweisungsvorgang abbrechen und sich bei der Beklagten erkundigen müssen.

Dagegen richtet sich die Berufung des Klägers, mit der er seine erstinstanzlichen Anträge weiterverfolgt. Zur Begründung führt er an, das erstinstanzliche Urteil habe sich nicht ausreichend mit den Sorgfaltspflichten der Beklagten auseinandergesetzt. Das Amtsgericht habe übersehen, dass diese verpflichtet gewesen sei, eine untypische und derart hohe Auslandsüberweisung eines Rentners, die zu einer Kontoüberziehung geführt habe, vor der Ausführung zu überprüfen und insoweit beim Kunden nachzufragen. Aufgrund der geschilderten Umstände habe sich aufgedrängt, dass es nicht mit rechten Dingen zugehe. Darüber hinaus hafte die Beklagte als überwiegende Nutznießerin von Online-Banking, wenn es zu solchen betrügerischen Übergriffen komme. 

Der Kläger beantragt,

das Urteil des Amtsgerichts Düsseldorf vom 06.04.2010 aufzuheben und die Beklagte zu verurteilen, an ihn 5.000,- Euro nebst 5 % Zinsen über dem Basiszinssatz seit dem 17.04.2009 sowie vorgerichtliche Kosten von 316,18 Euro nebst 5 % Zinsen über dem Basiszinssatz ab dem 25.11.2009 zu zahlen.

Die Beklagte beantragt,

              die Berufung zurückzuweisen.

Sie trägt vor, es sei im Überweisungsverkehr und insbesondere im Bereich des Online-Bankings nicht möglich, jede einzelne vom Kunden per PIN und TAN autorisierte Buchung einzeln darauf zu überprüfen, ob sie sich im sonst für den Kunden üblichen Rahmen bewege. Im Übrigen wiederholt sie im Wesentlichen ihr erstinstanzliches Vorbringen.

B.

Die zulässige Berufung hat in der Sache keinen Erfolg. 

I.

Die Berufung ist zulässig.

Sie ist statthaft sowie form- und fristgerecht eingelegt worden, §§ 511, 517, 519 ZPO.

Die rechtzeitige Berufungsbegründung genügt den Anforderungen des § 520 Abs. 3 S. 2 ZPO. Der Kläger rügt unter ausreichender Bezugnahme auf die Gründe der angefochtenen Entscheidung die Verletzung materiellen Rechts im Sinne von §§ 513 Abs. 1, 546 ZPO durch das Amtsgericht, § 520 Abs. 3 S. 2 Nr. 2 ZPO.

II.

Die Berufung ist nicht begründet.

1.

Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung von 5.000,- Euro aus §§ 675 Abs. 1, 676 f a. F., 667 BGB.

a)

Es kann dahinstehen, ob der Kläger selbst den Auftrag für die Überweisung vom 26.01.2009 in Höhe von 5.000,- Euro auf das Konto bei einer griechischen Bank erteilt hat und ob dafür aufgrund der Eingabe der korrekten PIN und einer korrekten TAN im iTAN-Verfahren ein Anscheinsbeweis spricht. Ebenso wenig braucht geklärt zu werden, ob ein etwaiger Anschein aufgrund der zeitlich parallelen Überweisung zu Lasten eines weiteren Kunden der Beklagten auf dasselbe Konto erschüttert ist.

b)

Selbst wenn der Kläger die Überweisung nicht in Auftrag gegeben hat, so kann er jedenfalls von der Beklagten deshalb keine Zahlung verlangen, weil diese gemäß §§ 387, 389 BGB wirksam mit einem Anspruch auf Schadenersatz in gleicher Höhe aus § 280 Abs. 1 BGB aufgerechnet hat.

Der Kläger hat seine vertraglichen Pflichten aus dem Bankvertrag mit der Beklagten verletzt, indem er entgegen Nr. 8 der Sonderbedingungen der Beklagten, die durch die Mitteilung vom 03.01.2008 wirksam in das Vertragsverhältnis einbezogen worden sind, fahrlässig einer dritten Person Kenntnis von den TAN verschafft hat. Wie sich aus seiner eigenen Schilderung im Rahmen der Strafanzeige bei der Polizei vom 29.01.2009 ergibt, bekam er im Oktober 2008 die Mitteilung, dass er gegenwärtig keinen Zugriff auf das Online-Banking der Beklagten habe und anschließend die Anweisung, zehn TAN einzugeben. Dem ist er nachgekommen und hat zehn TAN chronologisch in vorgegebene Felder eingetragen.

Dieses Verhalten des Klägers war fahrlässig. Auch wenn auf dem Bildschirm die übliche Maske für das Online-Banking bei der Beklagten zu sehen war und es insoweit keine optischen Auffälligkeiten gab, musste sich dem Kläger aufdrängen, dass er Opfer eines sog. Phishing-Angriffs wurde. Infolge der Aufforderung zur Eingabe mehrerer TAN war für ihn erkennbar, dass ein Dritter und nicht die Beklagte tätig wird und er diesem Dritten mit der Eingabe Kenntnis von den TAN verschafft. Es war – wie die Beklagte unwidersprochen vorgetragen hat – im Herbst 2008 schon durch Warnungen in den Medien allgemein bekannt, dass die Anfrage mehrerer TAN auf ein „Phishing“ hindeutet. Insbesondere aber hat die Beklagte den Kläger im Oktober 2008 ausdrücklich, gut verständlich und – wie sich aus dem vorgelegten Screenshot ergibt – an hervorgehobener, sofort im Blickfeld befindlicher Stelle auf der Log-In-Seite darauf hingewiesen, dass sie ihre Kunden auffordert, niemals mehrere TAN gleichzeitig preiszugeben und vermehrt Schadprogramme sowie Phishing-Mails in Umlauf sind, die dazu auffordern, mehrere TAN in ein Formular einzugeben. Indem der Kläger diese Hinweise nicht beachtet und dennoch mehrere TAN gleichzeitig eingegeben hat, hat er sich gegenüber der Beklagten sorgfaltswidrig verhalten und damit § 8 der Sonderbedingungen verletzt.

Die Regelung in § 8 der Sonderbedingungen ist auch wirksam. Sie hält einer Inhaltskontrolle nach § 307 BGB stand. Die Beklagte hat ein berechtigtes Interesse daran, dass die Nutzer von Online-Banking die PIN und TAN nicht einer anderen Person offenbaren. Falls ein Dritter davon Kenntnis erlangt und deshalb einen Auftrag ohne Veranlassung und Wissen des Nutzers ausführt, fehlt es an einem wirksamen Angebot. Infolgedessen hat die Bank auch keinen Aufwendungsersatzanspruch gegen den Nutzer und darf sein Konto nicht belasten. Sie trägt das Fälschungsrisiko des Auftrages (vgl. AG Wiesloch, WM 2008, 1648, zitiert nach juris). Vor diesem Hintergrund erscheint es sachgerecht, dass die Bank vom Nutzer besondere Sorgfalt bei der Geheimhaltung von PIN und TAN fordert und infolgedessen deren Nichtbeachtung einen Schadenersatzanspruch der Bank nach sich zieht. 

c)

Ein Mitverschulden gemäß § 254 Abs. 1 BGB ist der Beklagten nicht anzulasten.

aa)

Allein aus der Tatsache, dass die Bank Online-Banking anbietet und davon profitiert, folgt kein Mitverschulden. Beide Parteien haben sich im Rahmen der Vertragsfreiheit dafür entschieden, im Rahmen des Girovertrages Online-Banking durchzuführen. Ein Nutzer, der diese Vertragsgestaltung wählt, wird diese zudem regelmäßig auch für sich als günstig ansehen, insbesondere weil er seine Bankgeschäfte bequem von zu Hause aus erledigen kann. Allein aus der Vorteilhaftigkeit des Rechtsgeschäfts kann somit nicht auf den Umfang der Sorgfaltspflichten geschlossen werden.

bb)

Die Bank ist zwar beim Online-Banking verpflichtet, für einen technisch einwandfreien Ablauf des Zahlungsverkehrs zu sorgen und Identifizierungsverfahren einzusetzen, die im Rahmen der technischen Möglichkeiten und des wirtschaftlich im Massenverkehr Zumutbaren einen möglichst weitgehenden Schutz gegen Missbrauch liefern. Das von der Beklagten verwendete iTAN-Verfahren bedeutet indes gegenüber dem normalen TAN-Verfahren eine zusätzliche Absicherung und entsprach jedenfalls im Jahr 2008 dem Stand der Technik (vgl. AG Wiesloch, WM 2008, 1648 m. w. N., zitiert nach juris). Dem Vorbringen der Beklagten zur Sicherheit des iTAN-Verfahrens vor Missbrauch ist der Kläger überdies nicht entgegengetreten, weshalb es gemäß § 138 Abs. 3 ZPO als zugestanden anzusehen ist. 

cc)

Dass die Bank im fraglichen Zeitpunkt ihren Aufklärungs- und Beratungspflichten zur Geheimhaltung der PIN und TAN mit Nr. 8 der Sonderbedingungen und dem zitierten Hinweis nachgekommen ist, ergibt sich aus den Ausführungen unter b).

dd)

Die Beklagte ist nicht verpflichtet gewesen, den Kläger vor Ausführung der Überweisung zu warnen.

Im bargeldlosen Zahlungsverkehr werden Kreditinstitute nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern. Daher bestehen nur in besonderen Ausnahmefällen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden, und zwar wenn Treu und Glauben dies nach den Umständen des Einzelfalles gebieten, um den Kontoinhaber vor drohenden Schäden zu bewahren. Eine solche Pflicht ist im Überweisungsverkehr etwa anzunehmen, wenn der Überweisungsbank der ersichtlich unmittelbar bevorstehende wirtschaftliche Zusammenbruch des Überweisungsempfängers oder der Empfängerbank bekannt ist, wenn unklar ist, ob die erteilte Weisung fortbesteht oder wenn sich der Verdacht des Missbrauchs der Vertretungsmacht aufdrängen muss.

Nach diesen Grundsätzen hat ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine besondere Warnpflicht. Hingegen muss die Bank weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht unter den genannten Voraussetzungen erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz  den Verdacht einer Straftat schöpft (vgl. BGH NJW 2008, 2245 m. w. N., zitiert nach juris).

Diese Voraussetzungen sind im vorliegenden Fall nicht erfüllt. Die Beklagte weist zu Recht darauf hin, dass eine Auslandsüberweisung in Höhe von 5.000,- Euro im Massengeschäft des bargeldlosen Zahlungsverkehr als solches nicht ungewöhnlich genug ist, um Zweifel an der Richtigkeit des Zahlungsvorganges zu hegen. Bei Ausführung der Überweisung am 26.01.2009 um 18:10 Uhr (vgl. Bl. 19 GA) bestanden aus Sicht der Beklagten zudem keine konkreten Verdachtsmomente für eine etwaige Straftat. Die Abbuchung vom Konto des Dritten in Höhe von 7.000,- Euro, die an demselben Empfänger und auf dasselbe Konto bei einer griechischen Bank erfolgt ist, ist ausweislich der Strafanzeige Joosten vom 26.01.2009 (Bl. 28 f. GA) erst am 26.01.2009 gegen 20:00 Uhr bekannt geworden, so dass die Beklagte ebenfalls frühestens zu diesem Zeitpunkt und damit nach Vornahme der Überweisung vom Konto des Klägers Kenntnis von einer möglichen Straftat erlangt hat. Bei dieser Sachlage war die Beklagte nicht gehalten, den in Rede stehenden Zahlungsvorgang zu überprüfen und vor Ausführung der Überweisung beim Kläger nachzufragen.

Etwas anderes folgt zuletzt nicht aus dem Vorbringen des Klägers, die Beklagte habe ihm einen Kredit über 2.000,- Euro verwehrt. Wie dem vorgelegten Kontoauszug (Bl. 4 GA) zu entnehmen ist, hat die Beklagte dem Kläger einen Dispositionskredit von bis zu 4.500,- Euro eingeräumt. Die in Rede stehende Überweisung hat zu einer Überziehung des Kreditkontos um „nur“ 4.315,73 Euro und damit noch innerhalb des „Limits“ geführt. Auch unter diesem Aspekt hatte die Beklagte deshalb keine Veranlassung, der Überweisung besondere Aufmerksamkeit zu widmen. 

III.

Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO.

IV.

Die Entscheidung über die vorläufige Vollstreckbarkeit richtet sich nach §§ 708 Nr. 10, 711 ZPO.

V.

Die Revision wird zugelassen.

Die Rechtssache hat grundsätzliche Bedeutung und die Fortbildung des Rechts erfordert eine Entscheidung des Revisionsgerichts, § 543 Abs. 2 Nr. 1 und 2, 1. Alt. ZPO. Die Frage, welche Sorgfaltsanforderungen für die Bank und den Nutzer beim Online-Banking zur Vermeidung von Missbrauch durch Dritte gelten, ist – soweit ersichtlich – bisher höchstrichterlich nicht entschieden worden. Sie hat zudem erhebliche Bedeutung für die Rechtspraxis, weil zu erwarten ist, dass sie sich in einer unbestimmten Vielzahl von Fällen stellt. 

Der Streitwert für das Berufungsverfahren beträgt 5.000,- Euro (§§ 47 Abs. 1 S. 1, 48 Abs. 1 GKG, 3 ZPO).