Die Vorteile für den Kunden liegen auf der Hand: er kann zügig und bequem unterwegs oder von zu Hause aus fällige Überweisungen erledigen. Dem Kunden drohen auch trotz der potentiell immer gegebenen Sicherheitsrisiken kaum Nachteile, weil er durch die gesetzlichen Regelungen umfassend geschützt ist. Den Banken obliegt es, für eine sichere Abwicklung des Online-Bankings Sorge zu tragen und die Prozesse sicherheitstechnisch stets zu optimieren. Dementsprechend haben Banken Karten mit PIN und Zahlungsauthentifizierungsinstrumente entwickelt, mit denen sie ihre Kunden ausstatten.
Unbefugte Verwendung der Zugangsdaten und der TAN
Bankkunden können in eine unangenehme Situation geraten, wenn sich Dritte unter Verwendung des Anmeldenamens und der PIN unbefugt Zugang zum System verschaffen und mittels der TAN der Bank Zahlungsaufträge erteilen. Dann möchte der Kunde natürlich sein Geld von der Bank zurück.
Der Anspruch auf Wiedergutschrift gem. § 675u S. 2 BGB
Im Grundsatz hat der Bankkunde hier einen Anspruch auf Wiedergutschrift gem. § 675u S. 2 BGB, weil der Kunde den Zahlungsauftrag nicht autorisiert hat. Die Bank beruft sich in der Regel aber darauf, dass sie von einem autorisierten Zahlungsauftrag ausgehen musste, weil der Handelnde sich ja immerhin mit dem Anmeldenamen und der streng vertraulichen PIN eingeloggt habe. Wenn dann auch noch die richtige TAN benutzt wurde, spricht dem ersten Anschein nach vieles dafür, dass entweder der Bankkunde selbst oder ein von ihm beauftragter Dritter den Zahlungsauftrag abgegeben hat; oder dass ein unbefugter Dritter nur deshalb Kenntnis von den benötigten Daten erlangen konnte, weil die Daten unsicher aufbewahrt wurden.
Diese einfachen Schlüsse werden von der Rechtsprechung in der Regel abgelehnt. So auch vom LG Kiel, Urt. v. 20.04.2018 - 212 O 562/17 in einem solchen Fall. Der Kläger begehrte Wiedergutschrift von 28.000 € von der Bank, weil die zwei Überweisungsaufträge nicht von ihm autorisiert waren. In dem zu entscheidenden Fall werden die TAN-Nummern dem Bankkunden mittels SMS übermittelt. Offensichtlich wurden die Daten über Spähsoftware abgegriffen.
Das Gericht gab dem Bankkunden Recht
Das Landgericht verurteilte die Bank dazu, dem Bankkunden den Betrag von 28.000 € wieder gutzuschreiben. Die Bank konnte dem Bankkunden auch keine eigenen Ansprüche entgegenhalten, weil es insoweit an einer Pflichtverletzung des Bankkunden fehlte. Der Bankkunde hatte sein Zahlungsauthentifizierungsgerät nicht verloren, auch ist er nicht nachlässig mit seinen Daten umgegangen.
Gegenansprüche der Bank kommen in Betracht, greifen aber nicht einfach durch
Zwar kommen grundsätzlich Gegenansprüche der Bank in Betracht, wenn der Bankkunde das Zahlungsauthentifizierungsinstrument verliert oder die Zugangsdaten, insb. die PIN, unsicher aufbewahrt. Will die Bank allerdings solche Gegenansprüche gegenüber dem Bankkunden geltend machen, so trägt sie auch die Beweislast für Pflichtverletzungen des Kunden. Allein der Umstand, dass Unbefugte die korrekte PIN zur Erteilung des Zahlungsauftrages eingesetzt haben, beweist weder den Zahlungsauftrag durch den Bankkunden selbst noch die unsichere Aufbewahrung der Zugangsdaten.
Andererseits kann sich der Bankkunde auf diesen Beweislastgrundsatz auch nicht zurückziehen. Er muss dem Vorwurf der unsicheren Aufbewahrung oder des Abhandenkommens im Rahmen seiner sekundären Darlegungslast substantiiert entgegentreten und zu seinen Sicherheitsvorkehrungen vortragen. Hat der Bankkunde demgemäß glaubhaft vorgetragen, dass er zumutbare Vorkehrungen zum Schutz von PIN und TAN getroffen habe, erkennt es die Rechtsprechung an, dass die Sicherheitsmerkmale durch Schadsoftware ausgespäht und abgegriffen werden können. Ansprüche der Bank werden dann verneint. Das Risiko für solche Gefahren trägt die Bank.
Diese Entscheidung stärkt die Rechte des Bankkunden beim Online-Banking.