Sorgfaltspflichten bei smsTAN-Verfahren
Bei dem sogenannten smsTAN-Verfahren gibt der Nutzer den Namen, die Kontonummer, die Bankleitzahl des Zahlungsempfängers sowie den zu überweisenden Betrag in eine Online-Überweisungsmaske ein und klickt anschließend auf den Button „weiter“. Nach wenigen Sekunden werden dem Nutzer sodann die wichtigsten Auftragsdaten, nämlich das Empfängerkonto und der zu überweisende Betrag sowie die individuelle TAN per SMS auf das hierfür registrierte Handy übermittelt.
Im vorliegenden Fall verlangte die Klägerin (Bankkunde) Rückbuchung einer ihrer Behauptung nach nicht autorisierten Zahlung von ihrem bei der Beklagten (Bank) geführten Geschäftskonto. Dieses Konto war für das Online-Banking-Verfahren im Rahmen der „Bedingungen für das Online-Banking“ der Beklagten freigeschaltet.
Nachdem der Geschäftsführer der Klägerin Unregelmäßigkeiten auf dem Online-Konto festgestellt hatte, wurde es vorübergehend für das Online-Banking gesperrt. Als das Konto ein paar Tage später mittels einer individuell vergebenen PIN durch den Geschäftsführer wieder freigeschaltet wurde, konnte dieser keine weiteren Unregelmäßigkeiten erkennen und tätigte online eine Überweisung.
Anlässlich einer weiteren Online-Überweisung wenige Tage später wurde er aufgefordert, zunächst einen Sicherheitstest durchzuführen; dazu sollte er eine an sein Handy gesandte TAN in ein Eingabefenster des Online-Banking-Portals eingeben.
[...] Hierzu wurde dem Geschäftsführer eine TAN auf sein Handy mit folgendem Inhalt übermittelt:
„Die TAN für die Einzelüberweisung vom 08.10.2013, 15:56:22 über 9.000,00 € auf die IBAN *** lautet: ***.“ [...]
Nach erfolgter Eingabe der TAN erhielt er wieder vollen Zugriff auf das Konto. Eine am darauffolgenden Tag getätigte Online-Überweisung wurde mangels Deckung jedoch nicht ausgeführt, was auf eine am Vortag durchgeführte Überweisung von 9.000,00 € zurückzuführen war - der vermeintliche Sicherheitstest stellte sich als verborgende Überweisung heraus.
Zu klären war nun, ob die beklagte Bank den Betrag wieder gutschreiben musste.
Das LG Köln entschied, dass die Überweisung einen autorisierten Zahlungsvorgang darstelle und die Beklagte daher nicht ersatzpflichtig sei.
Es führte aus, eine unter Benutzung von TAN und PIN erfolgte unberechtigte Verfügung beruhe allem Anschein nach auf einer Pflichtverletzung des Bankkunden. Auch wenn der Anwendungsbereich des Anscheinsbeweises im Bereich des Online-Banking zum Schutze des Bankkunden grundsätzlich eingeschränkt sei, da jederzeit die Gefahr bestünde, dass Legitimationsdaten von Dritten missbraucht würden, müsse der Grad der Sicherheit des jeweiligen TAN-Verfahrens berücksichtigt werden. Das hier angewandte Verfahren stehe in der Sicherheit einer Nutzung von EC-Karten an Geld- oder Überweisungsautomaten in nichts nach, weshalb die Klägerin den Nachweis für die Nichtautorisierung erbringen müsse. Dies sei ihr aber nicht gelungen.
Aus den Bedingungen für das Online-Banking ergäbe sich, dass der Nutzer verpflichtet sei bei Übermittlung von TAN über das Mobiltelefon vor der Bestätigung der Überweisung die Übereinstimmung der angezeigten Daten mit den für die Transaktion vorgesehenen Daten zu prüfen. Diese sorgfältige Überprüfung der SMS habe der Geschäftsführer der Klägerin unterlassen, und somit die unzweifelhaft als Einzelüberweisung erkennbare Transaktion autorisiert. Darin liege ein schuldhafter und grober Pflichtverstoß der Klägerin gegen die gebotenen Sorgfaltspflichten und die vereinbarten Bedingungen zur Nutzung der Zahlungsauthentifizierungsinstrumente, weshalb eine Ausgleichspflicht der Bank gem. § 675 u BGB ausscheide. Vielmehr müsse der Bankkunde als Zahler seinem Zahlungsdienstleister (Bank) einen etwaigen entstandenen Schaden in vollem Umfang ersetzen.
[...] Einen Abgleich der mit der TAN übermittelten Daten und dem vom Geschäftsführer der Klägerin tatsächlich Gewollten wäre diesem auch ohne weiteres zumutbar gewesen, da auch dem Bankkunden ein verantwortungsvoller Umgang mit den Mitteln des Online-Bankings zugemutet werden muss, damit dieses System überhaupt funktionieren kann. [...]
Zusammenfassend ist festzuhalten, dass im Bereich des Online-Banking die Sorgfaltspflichten des Bankkunden nicht zu unterschätzen sind. Denn obwohl Möglichkeiten des Missbrauchs des Online-Banking-Verfahrens durch Dritte zumeist nur schwer zu verhindern und insbesondere auch für den Bankkunden oft gar nicht zu erkennen sind, ist er - umso mehr - für die sorgsame und genaue Überprüfung von per SMS versandter TAN verantwortlich.
LG Köln, Urteil vom 26.08.2013, Az. 3 O 390/13
Ihr Ansprechpartner
