Phishing Urteil des OLG Karlsruhe vom 26.07.2016 (AZ 17 U 97/15)

Das Oberlandesgericht Karlsruhe hat in einer aktuellen Entscheidung vom 26.07.2016 (AZ 17 U 97/15) über die nicht autorisierte Überweisung im Rahmen eines Onlinebankings entschieden und deutlich gemacht, dass eine Erstattung des Zahlungsbetrages im konkreten Fall nicht erfolgen kann.

Sachverhalt des Urteils vom OLG Karlsruhe vom 26.07.2016 (AZ 17 U 97/15)

In dem konkreten Fall ging es um eine Auslandsüberweisung über mehr als 9.000,00 €. Die Kläger behaupteten, dass der Zahlungsvorgang nicht autorisiert gewesen sei. Nach Einholung eines Sachverständigengutachtens wurde die Klage erstinstanzlich vom Landgericht abgewiesen. Die Berufung hatte leider keinen Erfolg. Den Betroffenen steht nach Auffassung des OLG Karlsruhe kein Anspruch gemäß § 675 u Satz 2 BGB zu. Das Gericht geht davon aus, dass die Überweisung gemäß § 675 u Satz 1 BGB autorisiert ist. Der Kontoinhaber habe seinen Verpflichtungen im Rahmen des vereinbarten Onlinebankings grob fahrlässig nicht genügt, sodass eine Erstattung des Überweisungsbetrages nach § 675 v Abs. 2 BGB nicht möglich ist. Nach § 675 j Abs. 1 Satz 1 BGB ist ein Zahlungsvorgang gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat. Hier erwartet das Gesetz eine Autorisierung. Die Zustimmung ist die Erklärung des Einverständnisses mit dem Zahlungsvorgang. Der Überweisung muss eine Willenserklärung des Zahlungsdienstnutzers ein Deckungsverhältnis zugrunde liegen, die sowohl eine geschäftsbesorgungsrechtliche Weisung gegenüber dem Zahlungsdienstleister als auch eine rechtsgeschäftliche Grundlage des Zahlungsvorgangs selbst ist. Den jeweiligen vertragsschließenden Parteien, sprich der Bank und ihren Kunden ist es nach § 675 j Abs. 1 Satz 3 BGB frei, wie das Verfahren zur Zahlungsanweisung ausgestaltet ist. Hier können unterschiedliche Zahlungsauthentifizierungsinstrumente festgelegt werden, so sieht dies § 675 j Abs. 1 Satz 4 BGB vor. Im Unterschied zum gewöhnlichen Überweisungsauftrag auf Formularvordruck erfolgt beim Onlinebanking die Abgabe der Willenserklärung mittels elektronischer Kommunikation über Zahlungsauthentifizierungsinstrumente.

Streitpunkt Autorisierung des Onlinebanking bei Phishing-Fällen

Wenn die Autorisierung streitig ist, hat der Zahlungsdienstleister nach § 675 w Satz 1 BGB zunächst nachzuweisen, dass das Verfahren eingehalten ist, mit dessen Hilfe die Nutzung eines bestimmten Zahlungsinstrumentes überprüft wird. Mit anderen Worten, der Zahlungsdienstleister bzw. die Bank muss nachweisen, dass eine ordnungsgemäße Authentifizierung erfolgt ist. Für eine Authentifizierung nach § 675 w Satz 2 BGB ist es ausreichend, dass der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments einschließlich der zugeordneten personalisierten Sicherheitsmerkmale überprüft hat. In der Regel passiert dies im Bereich des Onlinebankings durch ein Einloggen in das Überweisungs-Portal der Bank mittels Eingabe der persönlichen Login-Daten. Durch Eingabe und Bestätigung mit einer angeforderten TAN wird dann die Zahlung veranlasst. Nach § 675 w Satz 1 BGB ist für den Nachweis einer Autorisierung mittels des zur Verfügung gestellten Zahlungsauthentifizierungsinstruments weiter vorausgesetzt, dass der Vorgang ordnungsgemäß aufgezeichnet und in technischer Hinsicht störungsfrei dokumentiert ist, so auch der Bundesgerichtshof in einem Urteil vom 6.01.2016 (AZ XI ZR 91/14). Ein ordnungs- und systemgemäßes Transaktionsprotokoll reicht aber nach § 675 w Satz 3 Nr. 1 BGB nicht notwendig aus, den entsprechenden Nachweis einer störungsfreien Autorisierung zu führen. Eine störungsfreie und lückenlose Dokumentation erfüllt lediglich die Mindestvoraussetzungen für den entsprechenden Nachweis.

Anscheinsbeweis bei Phishing-Fällen

Auf Basis des Transaktionsprotokolls hat dann die Bank die Möglichkeit, nach Maßgabe des § 675 w Satz 3 BGB den Beweis eines ersten Anscheins zu liefern. Der Anscheinsbeweis setzt ein Sicherheitssystem des Zahlungsdienstleisters voraus, dass allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und funktioniert hat. Auch hier verweist das OLG Karlsruhe auf das Urteil des Bundesgerichtshofs vom 26.01.2016. Der Nachweis der ordnungsgemäßen Verwendung der Zahlungsauthentifizierungsinstrumente (Bankkarte, PIN und TAN) deutet typischerweise darauf hin, dass die Abhebung oder Zahlung durch den Kunden selbst erfolgt ist. Voraussetzung ist ein praktisch unüberwindbares Sicherungsverfahren.

 Entscheidung des OLG Karlsruhe zur Autorisierung

Deutlich verweist das Gericht darauf, dass der Anscheinsbeweis für eine Autorisierung nicht ohne Rücksicht auf das technische Schutzniveau des eingesetzten Sicherheitssystems angewendet und so dem Zahlungsdienstnutzer die Risiken eines Authentifizierungsvorgangs überbürden darf. Deshalb muss der Zahlungsdienstnutzer im Rahmen seiner Möglichkeit keinen konkreten Angriff gegen das Authentifizierungsinstrument benennen, sondern kann sich hierfür auch auf außerhalb des Sicherheitssystems des Zahlungsdienstleisters und der Bank liegenden Umstände stützen. Es müssen aber solche Umstände sein, die für einen nicht autorisierten Zahlungsvorgang sprechen und die ernsthafte Möglichkeit eines Missbrauchs naheliegen. Das Gericht erwartet auch die Beschreibung eines atypischen Geschehensablaufes und einen entsprechenden ernsthaft in Betracht kommenden Vortrag.

Im Weiteren verweist das Gericht darauf, dass es jeweils unterschiedliche Sicherheitsniveaus bezüglich der Authentifizierungsinstrumente gibt und diese auch entsprechend zu berücksichtigen sind.

Im konkreten Fall war durch die Bank eine ordnungsgemäße Autorisierung des streitigen Zahlungsvorgangs dokumentiert worden. Der Sachverständige hatte ausgeführt, dass die Authentifizierung und die Aufzeichnung einer störungsfreien Abwicklung und Freigabe des Transaktionsvorgangs nachgewiesen sei.

Leider hatte in der ersten Instanz der Prozessbevollmächtigte das schriftliche Gutachten des Sachverständigen nicht ausreichend gewürdigt. Insoweit konnte in der Berufungsinstanz die Richtigkeit der vorgelegten Aufzeichnungen nicht mehr angegriffen werden. Der Einwand war gemäß § 531 Abs. 2 Nr. 3 ZPO ausgeschlossen. Außerdem hatte die Bank nachgewiesen, dass das von ihr verwendete Sicherheitssystem nach heutigem Kenntnisstand praktisch unüberwindbar sei. Dies hatte der Sachverständige auch entsprechend festgestellt. Im weiteren technischen Argumenten und kritischen Anmerkungen des Klägers mochte sich das Gericht nicht anschließen. Es verwies darauf, dass kein glaubhafter Geschehensablauf dargelegt sei, der den begründeten Anschein der Autorisierung des Überweisungsvorgangs ernsthaft erschüttern mag.

Letztendlich wurde den Betroffenen vorgeworfen, dass sie das falsche Empfängerkonto eingegeben haben und durch die Eingabe eines TANs im TAN-Generator bestätigt haben. Hier hatte das Gericht keine Zweifel, dass eine grobe Fahrlässigkeit vorliegt und damit eine Rückzahlung nicht möglich ist. Am Rande wurde auch darauf hingewiesen, dass es keine hinreichende Erfahrungsgrundlage zu den Missbrauchsgefahren im Masseneinsatz zu dem konkreten Authentifizierungsverfahren gibt.

Praxistipp:

Die Entscheidung des Oberlandesgerichts Karlsruhe zeigt deutlich, dass es bereits in erstinstanzlichen Verfahren wichtig ist, umfassend vorzutragen und sich auch mit den technischen Einzelheiten auseinander zu setzen. Hier ergeben sich nach unserer Erfahrung für nicht spezialisierte Anwälte häufig Hürden. Es bedarf eines gewissen technischen Grundverständnisses, um auch Sachverständigengutachten und deren Ausführungen im Einzelnen kritisch zu hinterfragen.

Gern beraten wir Sie bundesweit, wenn Sie einen Angriff auf Ihr Konto erlebt haben und unberechtigt Geld abgebucht wurde. Nutzen Sie unsere Erfahrung bei der Durchsetzung von Ansprüchen gegenüber Banken nach Phishing-Angriffen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*