Das Landgericht Darmstadt hat kürzlich eine Entscheidung zur Haftung im Bereich des Online-Bankings getroffen (Urteil vom 28.08.2014, Az. 28 O 36/14). Nach dem Urteil haftet ein Bankkunde, der das so genannte Smart-TAN-plus Verfahren nutzt, für manipulierte Überweisungen aufgrund eines Man-in-the-Middle-Angriffs selbst. Im Ergebnis liegt das LG Darmstadt damit richtig, verhaspelt sich jedoch etwas in der rechtlichen Herleitung.

In dem entschiedenen Fall begehrte die Klägerin von der beklagten Bank Ersatz für zwei Überweisungsvorgänge mittels Online-Banking. Die Klägerin war Kundin der beklagten Bank und nutzte das so genannte Smart-TAN-plus-Verfahren zur Autorisierung von Überweisungsaufträgen.

Smart-TAN-plus-Verfahren

Dieses Verfahren funktioniert laut LG Darmstadt wie folgt:

Zur Vornahme von Banküberweisungen mittels des Smart-TAN-plus-Verfahrens meldet sich der Kunde im Internet zunächst über die Homepage der Beklagten durch Eingabe eines sog. Privat-Keys (eine dem Kunden zugeordnete individuelle Nummer, die einer Kundennummer vergleichbar ist) sowie einer nur dem Bankkunden bekannten PIN-Nummer an. Sodann gibt er am Bildschirm die Überweisungsdaten (Empfänger, dessen Kontonummer und BLZ bzw. dessen IBAN und BIC sowie zu überweisender Betrag) in eine auf der Homepage der Beklagten bereitgestellte Maske ein. Zur Autorisierung der Überweisung verwendet der Bankkunde anschließend ein ihm von der Beklagten zur Verfügung gestelltes gesondertes Karten-Lesegerät mit Display (sog. TAN-Generator), in das er vor jeder Transaktion zunächst seine EC-Karte einführen muss. An den TAN-Generator werden die auf der Bildschirmmaske eingegebenen Überweisungsdaten übermittelt, was sich durch eine optische Schnittstelle (Grafik) auf dem PC-Bildschirm des Bankkunden sowie durch Anhalten des TAN-Generators an den PC-Bildschirm und eine damit einhergehende Datenübertragung durch Lichtsignale über die optischen Sensoren des TAN-Generators vollzieht (sog. Flickering). Alternativ kann der Bankkunde die Überweisungsdaten, die er bereits auf der Bildschirmmaske eingetragen hat, nochmals manuell in den TAN-Generator eingeben. Nach optischer oder manueller Übermittlung der Überweisungsdaten an den TAN-Generator werden die Überweisungsdaten (Empfänger, dessen Kontonummer und BLZ sowie zu überweisender Betrag) auf dem Display des TAN-Generators angezeigt. Der Bankkunde muss die Überweisungsdaten durch Drücken der O.K.-Taste des TAN-Generators bestätigen. Im Anschluss daran errechnet der TAN-Generator auf Grundlage der an ihn zuvor übermittelten Daten sowie auf Basis der von der EC-Karte ausgelesenen Chipkartennummer und Kundenkontonummer eine auf die konkrete Überweisung bezogene sog. TAN. Diese wird von dem Bankkunden in die Überweisungsmaske auf dem PC-Bildschirm eingegeben. Das Online-Banking-System der Beklagten – konkret: deren Bankserver – nimmt dieselbe Berechnung zur Ermittlung der auftragsbezogenen TAN vor wie zuvor der TAN-Generator. Stimmen die vom Bankkunden eingegebene und die vom TAN-Generator errechnete (auftragsbezogene) TAN mit der vom Bankserver ermittelten – auftragsbezogenen – TAN überein, wird die Transaktion von dem Online-Banking-System der Beklagten angenommen und ausgeführt.

In den AGB der Bank war geregelt, dass der Bankkunde verpflichtet ist, Daten aus seinem Überweisungsauftrag, die er über ein Chipkartenlesegerät mit Display zur Bestätigung angezeigt erhält, vor der Bestätigung auf Übereinstimmung der angezeigten Daten mit den für die Überweisung vorgesehenden Daten zu prüfen.

Man-in-the-Middle-Angriff

Die Klägerin führte im November 2013 mehrere Überweisungen mittels des Smart-TAN plus Verfahrens aus. Dabei kam es allerdings – wie die Klägerin erst später bemerkte – zu zwei weiteren Belastungen des Kontos, bei denen die Zahlungsempfänger der Klägerin nicht bekannt waren und welche die Klägerin auch nicht veranlassen wollte. Später stellte sich durch Nachforschungen heraus, dass diese beiden Überweisungen durch einen Man-in-the-Middle-Angriff ausgelöst wurden, d.h. eigentlich gewollte Überweisungen durch einen Trojaner so manipuliert wurden, dass diese an ein fremdes Konto umgeleitet wurden.

Da die beklagte Bank die missbräuchlich überwiesenen Beträge nicht erstatten wollte, erhob die Bankkundin Klage. Das LG Darmstadt wies diese allerdings ab. Denn:

„Die Klägerin hat ihr Einverständnis zu den beiden streitgegenständlichen Zahlungsvorgängen zwar nicht selbst erteilt, sondern wurde Opfer eines sog. „Man-in-the-Middle-Angriffs“. Ihr ist die mittels des Zahlungsauthentifizierungsinstruments PIN und TAN erteilte Zustimmung des „Angreifers“ zu den manipulierten Zahlungsvorgängen jedoch nach Rechtsscheinsgrundsätzen zuzurechnen.“

Rechtsscheinshaftung der Bankkundin?

Warum der Klägerin die Zahlungen zuzurechnen sind, begründet das LG Darmstadt wie folgt:

„Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden. […] Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen. […]

Aus den überzeugenden Ausführungen des Sachverständigen folgt, dass die Klägerin den „Man-in-the-Middle-Angriff“ hätte erkennen und verhindern können. Denn die Klägerin hatte die Möglichkeit, durch Kontrolle der auf dem Display des TAN-Generators angezeigten Überweisungsdaten die Manipulation der Zahlungsvorgänge zu erkennen und hätte sodann den Zahlungsvorgang abbrechen können. In diesem Fall hätten die von ihr erzeugten Daten nicht missbraucht werden können. Die Klägerin hat eine Kontrolle der auf dem Display angezeigten Überweisungsdaten offenbar aus Unachtsamkeit nicht vorgenommen und damit auch gegen ihre Pflicht aus Ziff. 7.4 der Allgemeinen Sonderbedingung für das Online-Banking verstoßen.

Die Beklagte durfte auch von einer Kenntnis und Billigung der streitgegenständlichen Zahlungsvorgänge durch die Klägerin ausgehen. Denn die beiden streitgegenständlichen Überweisungen wurden unter Verwendung der EC-Karte der Klägerin, nach Einloggen mit PIN und Private-Key auf der Homepage der Beklagten und unter Verwendung der TAN ausgeführt, die der TAN-Generator der Klägerin erzeugte und anzeigte (vgl. insb. S. 18 des Sachverständigengutachtens). Da Zahlungsauthentifizierungsinstrumente (TAN, PIN) gerade dazu dienen, die Ausführung des Zahlungsvorganges eindeutig der Klägerin als Veranlasserin zuzuordnen (vgl. Palandt/Sprau, a. a. O., § 675j Rn. 6), durfte die Beklagte von Kenntnis und Billigung der Klägerin annehmen.

Das Smart-TAN-plus-Verfahren bietet nach den Ausführungen des Sachverständigen auch eine ausreichende Systemsicherheit, um einen solchen Vertrauenstatbestand zu begründen (vgl. zur Bedeutung der Systemsicherheit für die Annahme des Vertrauenstatbestandes: BGH, Urt. v. 11.05.2011 – VIII ZR 289/09, Rn. 18 – juris): Soweit Manipulationsmöglichkeiten in Betracht kommen, kann die Ausführung des manipulierten Zahlungsvorganges durch Kontrolle der auf dem Display des TAN-Generators angezeigten Überweisungsdaten vermieden werden.“

Das Gericht bedient sich in der Begründung also der Rechtsfigur der Anscheinshaftung. Da das Smart-TAN-plus Verfahren eine hohe Systemsicherheit aufweise durfte die Bank als Empfängerin der manipulierten Zahlungsautorisierung davon ausgehen, dass schon alles seine Richtigkeit habe und muss die Zahlung daher nicht erstatten.

Autorisierung der manipulierten Zahlung durch die Bankkundin

Dabei hätte es dieses „Kniffes“ zur Begründung überhaupt nicht bedurft. Nach § 675u BGB ist ein Zahlungsvorgagn gegenüber dem Zahler (d.h. dem Bankkunden) nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Die Autorisierung kann auch mittels eines Zahlungsauthentifizierungsinstrumentes erfolgen (zum Beispiel mit PIN und TAN). Genau dies ist hier passiert. Auch wenn die Banking-Website durch den Man-in-the -Middle-Angriff manipuliert war und im Hintergrund eine falsche Überweisung erzeugt wurde, hat die Bankkundin doch mit ihrem TAN-Generator eine TAN für diese manipulierte Überweisung erzeugt. Sie hätte auf dem Display des Generators also erkennen können, dass die Kontonummer nicht mit der von ihr gewünschten Kontonummer übereinstimmt und hätte dann die Transaktion abbrechen können. Dies hat sie (wohl aus Unachtsamkeit) nicht getan und mit der TAN die manipulierte Überweisung freigegeben, also autorisiert. Damit ist der Zahlungsvorgang ihr gegenüber im Sinne des Geseztes wirksam geworden.

Fazit

Dieser Fall zeigt einmal mehr, dass Bankkunden, die das Smart-TAN-plus-Verfahren nutzen, unbedingt vor Absenden einer Überweisung die Kontodaten auf dem TAN-Generator mit den von ihnen gewünschten Kontodaten abgleichen sollten. Andernfalls besteht die Gefahr, dass sie ihr Geld nicht wieder sehen werden.

 

Text: CC-BY 4.0 / Rechtsanwalt Jakob Wahlers
Beitragsfoto: Picjumbo.com