Betrug beim Online-Banking – wer haftet?

Nach den gesetzlichen Vorgaben trägt grundsätzlich das Kreditinstitut als so genannter Zahlungsdienstleister das Risiko eines nicht autorisierten Zahlungsvorgangs, zum Beispiel einer Überweisung. Denn gemäß § 675j Abs. 1 Satz 1 BGB ist ein Zahlungsvorgang gegenüber dem Kontoinhaber, vom Gesetz Zahler genannt, nur dann wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt die Autorisierung durch den Zahler, ist das kontoführende Kreditinstitut als Zahlungsdienstleister gemäß § 675u Satz 2 BGB verpflichtet, den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Nun ist die Autorisierung des Zahlungsvorgangs in den hier interessierenden Fällen in aller Regel streitig, so dass sich in einem etwaigen Gerichtsverfahren die Frage nach der Darlegungs- und Beweislast stellt. Nach den allgemeinen Grundsätzen hätte an sich der Zahlungsdienstenutzer, der den Anspruch auf Wiedergutschrift geltend macht, darzulegen und zu beweisen, dass der in Rede stehende Zahlungsvorgang nicht von ihm autorisiert worden ist. Im Recht des Zahlungsverkehrs gilt indes etwas anderes: In Umsetzung der entsprechenden Vorgaben von Art. 72 der PSD2-Richtlinie sieht § 675w Satz 1 BGB vor, dass im Falle einer streitigen Autorisierung das Kreditinstitut nachzuweisen hat, dass eine sogenannte Authentifizierung (siehe Art. 1 Abs. 23 ZAG) erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. § 675w Satz 1 BGB). Dieser Nachweis soll allerdings nach § 675w Satz 3 Nr. 1 BGB „allein nicht notwendigerweise aus[reichen]“, um auch die Autorisierung des Zahlungsvorgangs nachweisen zu können.

Vor dem Hintergrund der vorgenannten Vorschrift des § 675w Satz 3 BGB war umstritten, ob, gestützt auf die formal korrekte Authentifizierung eines Zahlungsvorgangs (z.B. einer Überweisung) ein Beweis des ersten Anscheins dafür spricht, dass der Kontoinhaber den Zahlungsvorgang autorisiert hat. In seiner Entscheidung vom 26. Januar 2016 (XI ZR 91/14) hat der Bundesgerichtshof die Grundsätze des Anscheinsbeweis grundsätzlich auch im Recht des Zahlungsverkehrs für anwendbar erachtet. Voraussetzung einer Anwendung der Grundsätze des Anscheinsbeweises beim Online-Banking sei freilich, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen. Zwar ist diese Entscheidung vor Erlass der PSD-2 Richtlinie ergangen. Allerdings beruft sich die obergerichtliche Rechtsprechung (vgl. etwa OLG Dresden, Urt. v. 13.10.2022 – 8 U 760/22) auch nach Erlass der PSD-2 Richtlinie weiterhin auf sie. Es ist derzeit nicht ersichtlich, dass der BGH von diesen Grundsätzen abweichen wird.

Der Anscheinsbeweis kann freilich vom Kunden erschüttert werden. Hierzu genügt nach der Rechtsprechung des Bundesgerichtshofs die Darlegung und gegebenenfalls der Nachweis aller und damit auch außerhalb des technischen Zahlungsvorgangs liegender Tatsachen, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen (vgl. BGH, Urt. v. 26.01.2016 – XI ZR 91/14).

Selbst wenn im konkreten Einzelfall eine Autorisierung des Zahlungsvorgangs durch den Kunden nicht nachgewiesen werden kann, etwa weil der Anscheinsbeweis vom Kunden erschüttert wurde, folgt daraus nicht zwangsläufig, dass das Kreditinstitut dem Kontoinhaber den überwiesenen Betrag wieder erstatten muss. Vielmehr ist dann zu prüfen, ob dem Kreditinstitut gemäß § 675v Abs. 3 BGB ein der Höhe nach unbegrenzter Schadensersatzanspruch zusteht, weil der Kontoinhaber den entstandenen Schaden in betrügerischer Absicht ermöglicht oder den Schaden durch vorsätzliche oder grob fahrlässige Pflichtverletzung herbeigeführt hat. Diesen Schadensersatzanspruch kann das Kreditinstitut dann zur Aufrechnung stellen bzw. ein solcher Schadensersatzanspruch steht nach Treu und Glauben (§ 242 BGB) einer Haftung des Kreditinstituts für eine nicht autorisierte Zahlung entgegen.

Als eine solche Pflichtverletzung kommt ein Verstoß des Kontoinhabers gegen die ihm nach § 675l Abs. 1 BGB obliegende Pflicht zum Schutz seiner personalisierten Sicherheitsmerkmale (z.B. PIN, TAN etc.), der Pflicht zur Sperranzeige bei Verlust oder Missbrauch eines Zahlungsinstruments (vgl. § 675l Abs. 1 Satz 2 BGB) oder ein Verstoß gegen sonstige Pflichten, die zwischen dem Kunden und dem Kreditinstitut für die Nutzung des Online-Banking vereinbart worden sind, in Betracht.

Gerade dieser Aspekt – grob fahrlässige Verletzung der vereinbarten Bedingungen für das Onlinebanking – ist von großer praktischer Relevanz. Er steht oft im Zentrum einer gerichtlichen Auseinandersetzung zwischen Kontoinhaber und Zahlungsdienstleister. Nach der ständigen Rechtsprechung des Bundesgerichtshofs ist eine grobe Fahrlässigkeit allgemein dann gegeben, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz nahe liegende Überlegungen nicht angestellt worden sind oder das nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen. Anders als bei einfacher Fahrlässigkeit sind bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründende Umstände zu berücksichtigen. Von daher sind individuelle Kenntnisse oder technische Erfahrung des Kunden beim Onlinebanking für die Feststellung, ob im konkreten Einzelfall der Kunde grob fahrlässig gehandelt hat, von besonderer Bedeutung.

Angesichts der unterschiedlichen Ausgestaltung sowohl des konkreten Online-Bankings als auch der einschlägigen Bedingungen für das Online-Banking sowie der unterschiedlichen Formen des Betrugs beim Online-Banking, ist die Frage, ob dem Kunden eine grob fahrlässige Pflichtverletzung vorzuwerfen ist, anhand der konkreten Umstände des Einzelfalls vorzunehmen, mitunter unter Beiziehung der staatsanwaltschaftlichen Ermittlungsakte, die in aller Regel eine wichtige Erkenntnisquelle zur Ermittlung des Sachverhalts ist.

Die sorgfältige Ermittlung des konkreten Sachverhalts ist für die betroffenen Kreditinstitute wichtig. Denn gemäß den allgemeinen Grundsätzen tragen sie die Darlegungs- und Beweislast für eine grob fahrlässige Pflichtverletzung des Kunden. Unter Berufung auf das Urteil des Bundesgerichtshofs vom 26. Januar 2016 (XI ZR 91/14) wird von der überwiegenden Meinung die Geltung der Grundsätze des Anscheinsbeweis für das Vorliegen einer grob fahrlässigen Pflichtverletzung beim Online-Banking derzeit verneint, weil, so die Begründung, sich angesichts der Vielfalt der Authentifizierungsverfahren, der Angriffsmethoden und der Sorgfaltspflichtverletzungen keine Erfahrungssätze aufstellen ließen, die einen Anscheinsbeweis rechtfertigen würden. Der Kontoinhaber hat freilich im Rahmen der ihn treffenden sekundären Darlegungslast im Einzelfall zu allen Umständen vorzutragen, die den streitigen Zahlungsvorgang und die Aufklärung eines Missbrauchs des Online-Banking-Zugangs betreffen und die ihm bekannt sowie dem Kreditinstitut unbekannt sind. Er kann sich daher nicht auf einfaches Bestreiten beschränken.

Auch wenn nach der gesetzlichen Risikoverteilung das Missbrauchsrisiko beim Online-Banking bei dem Kreditinstitut liegt, folgt daraus nicht, dass das Kreditinstitut in einem solchen Fall per se haftet. Maßgeblich sind vielmehr die konkreten Umstände des Einzelfalles, anhand derer insbesondere zu klären ist, ob sich das Kreditinstitut auf den Anscheinsbeweis berufen und so eine Autorisierung des Zahlungsvorgangs durch den Kunden wird beweisen können oder ob dem Kunden eine grob fahrlässige Pflichtverletzung vorzuwerfen ist.