Haftung bei manipulierter TANplus-Überweisung
Das Landgericht (LG) in Darmstadt hat mit seinem Urteil vom 28.08.2014 unter dem Az. 28 O 36/14 entschieden, dass eine Bank nicht schadensersatzpflichtig gegenüber ihrem Kunden ist, wenn dieser einer Manipulation im Online-Banking zum Opfer fällt. Denn dem Kunden sei nach dem Grundsatz des Rechtsscheins ein solcher Vorgang zuzurechnen.
Die Klägerin begehrt von ihrer Bank einen Schadensersatz wegen zweier Überweisungen durch das Online-Banking. Um ihre Überweisungen zu tätigen, nutzte die Klägerin das so genannte Smart-TAN-plus Verfahren. Um mit diesem Verfahren Überweisungen durchzuführen, muss sich der Kunde zuerst mit seiner Kundennummer und einer nur ihm bekannten PIN anmelden. Dann gibt er gibt er die Daten des Empfängers und den zu überweisenden Betrag ein. Zur Autorisierung verwendet er anschließend ein von der Bank bereitgestelltes Karten-Lesegerät (so genannter TAN-Generator), das seine EC-Karte einliest. An den Generator werden die am Bildschirm eingegebenen Daten übermittelt, das vollzieht sich durch das so genannte Flickering. Alternativ können die Überweisungsdaten nochmals manuell in den Generator eingegeben werden. Nach Übermittlung der Daten an den Generator werden diese auf dem Display des TAN-Generators eingeblendet. Der Kunde muss die Daten durch Betätigen der "O.K."-Taste bestätigen. Im Anschluss erstellt der TAN-Generator eine TAN.
Diese wird vom Kunden in die Überweisungsmaske auf dem Bildschirm eingetragen. Der Bankserver nimmt dieselbe Berechnung vor wie der TAN-Generator. Stimmen die vom Kunden eingegebene und die vom Bankserver erstellten Daten überein, wird die Transaktion ausgeführt.
Zwischen den Parteien sind die Manipulationsmöglichkeiten streitig.
Die Klägerin nutzte das oben geschilderte Verfahren auf der Grundlage der Sonderbedingungen für Online-Banking der Beklagten. Diese sehen vor, dass der Bankkunde verpflichtet ist, die Daten vor Bestätigung zu prüfen.
Vereinbart war außerdem, dass Überweisungen via Online-Banking auf täglich 20000 € begrenzt werden.
An zwei Tagen führte der Geschäftsführer der Klägerin mehrere Überweisungen vom Geschäftskonto aus. An diesen Tagen hatte nur der Geschäftsführer Zugang zu der EC-Karte. Der PC, von dem die Überweisungen ausgeführt wurden, war mit einem Virenschutz und einer Firewall versehen.
Der Geschäftsführer stellte auf der Homepage der Beklagten keine Auffälligkeiten fest.
Es kam an den fraglichen Tagen noch zu zwei weiteren Belastungen des klägerischen Kontos in Höhe von je 9000 Euro.
Im Nachweisprotokoll der Beklagten wurden die streitgegenständlichen Überweisungen als Online-Überweisungen durch TAN-Generator mit übereinstimmender TAN des Bankservers und des TAN-Generators erfasst. Sie sollen unter Verwendung der Karte des Geschäftsführers, dessen Schlüssel und PIN-Nummer erfolgt sein.
Die Klägerin stellte Strafanzeige. Die Ermittlungen ergaben die IP-Adresse, sonst nichts, da alle Daten bereits gelöscht waren.
Die Klägerin forderte die Beklagte erfolglos zur Rückzahlung der rund 18000 € auf. Daraufhin warnte die Beklagte auf ihrer Homepage vor gefälschten Mails. In diesen werden Kunden aufgefordert, einen Link anzuklicken, der den Bankcomputer kompromittieren soll.
Die Klägerin hat den Vertrag mit der Beklagten gekündigt und behauptet, ihr Geschäftsführer habe keine Auffälligkeiten feststellen können, als er die Überweisungen getätigt habe. Wenn die Beklagte über ihre Nothotline zu erreichen gewesen wäre, hätte die Rückbuchung noch erfolgen können. Durch die verspätete Warnung vor betrügerischen E-Mails habe sie eine Vertragspflicht verletzt. Sie hätte auch keine Überweisungen mit solch hohen Beträgen ausführen dürfen.
Das sieht das LG Darmstadt anders. Denn gem. § 675u BGB sei der Zahlungsdienstleister verpflichtet, das Konto im Fall eines nicht autorisierten Vorganges wieder in den vorigen Stand zu bringen. Doch im vorliegenden Fall seien die Zahlungen durch die Klägerin autorisiert worden.
Den Beweis habe die Beklagte geführt. Sie habe die Autorisierung nicht anzweifeln müssen.
Zwar habe die Klägerin ihr Einverständnis nicht erteilt, sondern sei Opfer eines so genannten „Man-in-the-Middle-Angriffs” geworden. Jedoch sei ihr die erteilte Zustimmung zu den Zahlungsvorgängen nach Rechtscheinsgrundsätzen zuzurechnen.
LG Darmstadt, Urteil vom 28.08.2014, Az. 28 O 36/14
Ihr Ansprechpartner
