Anscheinsbeweis bei Online-Banking mit smsTAN: erhöhte Anforderungen an Sicherheitssystem und Beweiserhebung • Bei Nutzung eines Zahlungsauthentifizierungsinstruments (§ 1 Abs. 5 ZAG) steht § 675w Satz 3 BGB einer Anwendung des Anscheinsbeweises nicht generell entgegen; es gelten aber erhöhte Anforderungen an dessen Tragweite. • Für einen Anscheinsbeweis der Autorisierung durch den Kontoinhaber reicht nicht allein die ordnungsgemäße Aufzeichnung der Nutzung des Authentifizierungsinstruments; erforderlich ist daneben, dass das zugrundeliegende Sicherheitssystem allgemein praktisch unüberwindbar ist und im Einzelfall ordnungsgemäß angewendet und fehlerfrei funktioniert hat. • Zur Erschütterung des Anscheinsbeweises genügt es, substantiierte Anhaltspunkte außerhalb des technischen Authentifizierungsprozesses darzulegen, die die ernsthafte Möglichkeit eines unautorisierten Eingreifens nahelegen; der Zahler muss nicht beweisen, auf welche Weise die technischen Schutzvorkehrungen überwunden wurden. • Der Zahlungsdienstleister trägt die Darlegungs- und je nach Bestreiten gegebenenfalls die Beweislast für die konkrete Ausgestaltung und das Sicherheitsniveau des eingesetzten Authentifizierungssystems; bei fehlender Feststellung hierzu ist Zurückverweisung geboten. • Ein Anscheinsbeweis kann nicht ohne Weiteres zur Annahme grober Fahrlässigkeit des Zahlers führen; für eine Haftung nach § 675v Abs. 2 BGB bedarf es gesonderter Nachweise. Die klagende Sparkasse verlangt von der Beklagten Ausgleich eines negativen Schlusssaldos nach einer Online-Überweisung von 235.000 €, die angeblich mit PIN und smsTAN autorisiert wurde. Die Beklagte bestreitet, die Überweisung veranlasst zu haben; ihr Geschäftsführer sei im Urlaub gewesen und das Firmenhandy mit der SIM-Karte habe sich bei einem Mitarbeiter befunden, der die empfangene SMS für Spam hielt und die TAN nicht verwendet habe. Zeitgleich hatte die Bank wegen einer EDV-Umstellung fehlerhafte Gutschriften vorgenommen, die später storniert wurden, so dass das Konto ins Soll geriet. Das Landgericht hat der Klage ohne Beweisaufnahme stattgegeben; das Berufungsgericht wies die Berufung zurück. Der BGH prüft in der Revision insbesondere, ob die Bank sich auf einen Anscheinsbeweis aus den Transaktionsaufzeichnungen stützen kann und ob die Beklagte durch ihren Vortrag den Anscheinsbeweis erschüttert hat. • Rechtsgrundlage und Beweisregelung: Für den Nachweis der Autorisierung gilt § 675j Abs.1 BGB; nach § 675w Satz 1 BGB hat der Zahlungsdienstleister die Authentifizierung, Aufzeichnung, Verbuchung und störungsfreie technische Abwicklung nachzuweisen. • Anscheinsbeweis zulässig, aber eingeschränkt: § 675w Satz 3 BGB verbietet nicht generell den Anscheinsbeweis; dieser bedarf jedoch zusätzlicher Feststellungen zur allgemeinen praktischen Unüberwindbarkeit des eingesetzten Sicherheitssystems sowie dessen ordnungsgemäßer und fehlerfreier Anwendung im konkreten Fall. • Beweiswürdigungspflicht des Gerichts: Das Berufungsgericht hat zu Unrecht angenommen, die reine Transaktionsaufzeichnung begründe bereits den Anscheinsbeweis; es fehlten Feststellungen zur Funktionsweise und zum Sicherheitsniveau des smsTAN-Systems zum Zeitpunkt der Transaktion. • Sekundäre Darlegungslast und Pflicht der Bank: Die Bank, die den Anscheinsbeweis antritt, muss die konkrete Ausgestaltung des Authentifizierungssystems darlegen und ggf. sachverständig belegen; Geheimhaltungsinteressen können prozessual geschützt werden. • Erschütterung des Anscheinsbeweises durch den Zahler: Der Zahler muss nicht die genaue technische Überwindung der Schutzvorkehrungen darlegen; es genügt substantiiert vorgetragene und bei Bestreiten beweisbare Umstände außerhalb des technischen Verfahrens, die eine ernsthafte Möglichkeit eines Missbrauchs nahelegen — hier u.a. Abwesenheit des Geschäftsführers, Unkenntnis des Zahlungsadressaten und Verwahrung des Mobiltelefons bei einem Mitarbeiter. • Fehlende Aufklärung bei vorliegenden Störungen: Wegen der bekannten EDV-Störungen und Fehlbuchungen der Bank bestand besonderer Anlass zu prüfen, ob diese Probleme das Sicherheitsniveau des smsTAN-Verfahrens beeinflusst haben; hierzu waren Feststellungen oder sachverständige Beweisaufnahmen erforderlich. • Grobe Fahrlässigkeit und Haftung: Für den Anspruch nach § 675v Abs.2 BGB genügt die Aufzeichnung der korrekten Nutzung eines Authentifizierungsinstruments nicht als Anscheinsbeweis für grobe Fahrlässigkeit des Zahlers; grobe Fahrlässigkeit ist gesondert nachzuweisen. • Prozessuales Ergebnis: Mangels erforderlicher Feststellungen und unterbliebener Beweisaufnahme war der Zurückweisungsbeschluss rechtsfehlerhaft; die Sache ist zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen. Der Bundesgerichtshof hebt den Beschluss des Berufungsgerichts auf und verweist die Sache zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das Berufungsgericht zurück. Die Begründung: Die Kammer hat die Voraussetzungen eines Anscheinsbeweises im Online-Banking mit smsTAN verkannt und die Anforderungen an dessen Erschütterung überschätzt. Die Bank kann sich nicht allein auf die Transaktionsaufzeichnungen stützen, ohne das Sicherheitsniveau und die konkrete Funktionsweise des smsTAN-Systems darzulegen und ggf. sachverständig belegen zu lassen; zugleich war zu prüfen, ob die bei der Bank bekannten EDV-Störungen das Sicherheitsverfahren beeinflusst haben. Die Beklagte hat hinreichend Umstände vorgetragen, die den Anscheinsbeweis erschüttern können (Abwesenheit des Geschäftsführers, Verwahrung des Handys bei einem Mitarbeiter, Unkenntnis des Zahlungsempfängers), so dass Beweisaufnahmen, insbesondere Zeugenvernehmungen und gegebenenfalls Sachverständigengutachten, durch das Berufungsgericht zu erfolgen haben. Sollte das Berufungsgericht nach ergänzter Beweisaufnahme den Anscheinsbeweis annehmen, sind die von der Beklagten angebotenen Beweise zu erheben; andernfalls hat die Bank die Autorisierung im Vollbeweis zu führen. Damit ist die Klageentscheidung offen und der Anspruch der Sparkasse nicht endgültig festgestellt.

XI ZR 91/14

Zitationsnetzwerk