Gehacktes Online-Banking: Bank trägt Beweislast für die Autorisierung von Überweisungen durch den Kunden

Mit der heute veröffentlichten Entscheidung vom 5. März 2024, Az.: XI ZR 107/22, befasste sich der Bundesgerichtshof (BGH) erneut damit, wer beim missbräuchlichen Zugriff auf ein Konto bestimmte Tatsachen beweisen muss, die für eine Erstattungsforderung wesentlich sind – Zahlungsdienstleister (Bank) oder Zahler (Kunde), sog. Beweislast. Das kann entscheidend dafür sein, ob ein Erstattungsbegehren des Kunden Erfolg hat. Denn wenn wesentliche Fragen vom Gericht nicht eindeutig geklärt werden können, geht das zu Lasten desjenigen, der eben jene Beweislast trägt. Dann wäre es für den Kunden von Vorteil, wenn die Beweislast bei der Bank läge.

Inhalt

Der Fall

In dem entschiedenen Fall kommunizierte die Kundin mit ihrem Kundenbetreuer via E-Mail. Auf diesem Weg erteilte sie über Jahre hinweg Weisungen für Überweisungsaufträge, teils unter Beifügung von Rechnungen. Im Jahr 2016 informierte die Kundin ihren Kundenbetreuer darüber, dass sie eine Eigentumswohnung in London erwerben wolle. In den folgenden Monaten erreichten den Kundenbetreuer dreizehn E-Mails mit der E-Mail-Adresse der Klägerin als Absender, jeweils mit Rechnungen, Überweisungsbeträgen und Empfängerdaten aus Ungarn, Dubai und Großbritannien. Zwölf der Überweisungen wurden ausgeführt, was in einer Kontobelastung von insgesamt EUR 255.395,61 resultierte. Sämtliche Rechnungen waren gefälscht. Nach Erhalt eines Kontoauszugs monierte die Kundin die Überweisungen, welche sie nicht beauftragt habe, und forderte Erstattung. Das Oberlandesgericht Karlsruhe sprach der Kundin die Erstattung zu. Es bestehe die nicht ausgeräumte Möglichkeit des Zugriffs eines Dritten auf den E-Mail-Account der Kundin, weswegen nicht zur Überzeugung des Gerichts feststehe, dass die Kundin selbst die Überweisungsaufträge veranlasst habe. Der BGH bestätigte das Urteil des Oberlandesgerichts Karlsruhe.

Zum Hintergrund

Grundsätzlich trägt jeder die Beweislast für diejenigen Umstände, die für sein Begehren günstig sind. Das würde bedeuten, dass ein Kunde, der eine Erstattung von vom Konto abgebuchten Beträgen fordert (§ 675u Satz 2 BGB), die Beweislast dafür trägt, dass er die Überweisung nicht selbst veranlasst bzw. autorisiert hat. Denn die fehlende Autorisierung wäre ihm günstig, da (nur) dann ja der Erstattungsanspruch bestünde. Aus dieser Warte heraus hätte die Kundin durchaus Probleme bekommen können: Da die E-Mails mit den Weisungen von ihrem Absender aus verschickt worden sind, liegt keineswegs automatisch auf der Hand, dass sie diese E-Mails nicht selbst verschickt hat und der Nachweis eines „gehackten“ Accounts dürfte nicht einfach sein. Gerade anders herum ist es, wie der entschiedene Fall zeigt, wenn die Beweislast bei der Bank liegt: obwohl die E-Mails die Kundin als Adressatin auswiesen, war ein „gehackter“ Account nicht ausgeschlossen und damit eine Autorisierung durch die Kundin nicht bewiesen.

In diesem Zusammenhang regelt § 675w BGB, dass, wenn die Autorisierung streitig ist, der Zahlungsdienstleister (die Bank) die sog. Authentifizierung nachzuweisen hat (vereinfacht gesagt: die plausible Möglichkeit der Kontaktaufnahme durch den echten Kunden), wobei das allein wiederum nicht zwingend ausreicht, um die Autorisierung nachzuweisen. Was daraus im Einzelnen folgt, war und ist hoch umstritten; dabei insbesondere, ob eine Bank nur dann die Autorisierung durch den Kunden nachweisen muss, wenn sie selbst etwas von ihm will (beispielsweise den Ausgleich eines Sollstandes auf dem Konto nach einer Überweisung) oder eben auch im spiegelbildlichen Fall der Erstattungsforderung des Kunden. Verkürzt gesagt fragte sich also, ob die Bank sich nur dann erfolgreich mit dem Argument, der Kunde habe die Buchung selbst autorisiert, verteidigen kann, wenn sie auch in der Lage ist, die Autorisierung durch den Kunden zu beweisen. Eben das hat der BGH nun festgehalten:

Die aus dem Rechtsgedanken des § 675w BGB aF folgende Beweislastverteilung gilt nicht nur für Ansprüche des Zahlungsdienstleisters gegen den Zahler (so allerdings [...]), sondern auch für den Anspruch des Zahlers aus § 675u Satz 2 BGB aF ([...]). Der Wortlaut der Vorschrift enthält keine Beschränkung auf bestimmte Ansprüche. [...]

Eine unterschiedliche Verteilung der Beweislast, je nachdem ob ein Anspruch des Zahlungsdienstleisters auf Erstattung seiner Aufwendungen im Sinne von § 675u Satz 1 BGB aF oder ein Erstattungsanspruch des Zahlers nach § 675u Satz 2 BGB aF in Rede steht, wäre auch nicht sachgerecht. Denn in beiden Fällen geht es um die Rechtsfolgen einer unautorisierten Kontobelastung.

Kontext und Konsequenz

Das Urteil betrifft die §§ 675u und 675w „aF“, das heißt in der „alten Fassung“, wie sie bis zum 12. Januar 2018 galt. Unseres Erachtens hat sich im Vergleich dazu in der aktuell geltenden Fassung nichts zum Negativen verändert. Abgesehen von Vereinfachungen im Wortlaut – das „Zahlungsauthentifizierungsinstrument“ wurde zum „Zahlungsinstrument“ – dürften die Vorschriften allenfalls zu Lasten der Zahlungsdienstleister noch strenger geworden sein.

Das bedeutet, dass es beim betrügerischen Angriff auf das Konto eines Bankkunden weder am Kunden liegt, nachzuweisen, dass er die Verfügungen (Überweisungen, Limiterhöhungen, Lastschriftwiderrufe, Einkäufe mit digitalen Debitkarten, etc.) nicht selbst getätigt, freigegeben und/oder autorisiert hat, noch, dass er den Tätern nicht in grob fahrlässiger Weise dabei „geholfen“ hat, dass deren Angriff Erfolg hatte. Dass die Bank für letzteres die Beweislast trägt, wenn sie sich mit einem Schadensersatzanspruch gegen den Kunden verteidigen will, hatte der BGH schon 2016 entschieden (Urteil vom 16. Januar 2016, Az.: XI ZR 91/14).

Bleibt also offen, wie den Tätern der Angriff auf das Konto den Kunden gelingen konnte, geht das in der Regel zu Lasten der Bank.

Unsere Anwälte