OLG Bremen Beschluss vom 15.04.2024 - 1 U 47/23

Entscheidungsstichwort (Thema)

Zu Schadensersatzansprüchen des Zahlungsdienstleisters gegen den Zahler und zur Berücksichtigung eines Mitverschuldens des Zahlungsdienstleisters bei nicht autorisierten Überweisungen im Online-Banking mit mobile-TAN-Verfahren

Leitsatz (amtlich)

1. Die fernmündliche Weitergabe im mobile-TAN-Verfahren per SMS an den Zahler übermittelter TANs an einen (vermeintlichen) Bankmitarbeiter begründet regelmäßig den Vorwurf einer grob fahrlässigen Verletzung der Geheimhaltungspflichten aus § 675l Abs. 1 BGB. Dem Vorwurf grober Fahrlässigkeit des Bankkunden steht es auch nicht entgegen, wenn der Anruf unter Anzeige einer Rufnummer der Bank erfolgt und der Anrufer eine Kenntnis von kontobezogenen Informationen belegen kann.

2. Einem Schadensersatzanspruch des Zahlungsdienstleisters aus § 675v BGB kann der Einwand des Mitverschuldens nach § 254 BGB wegen eines Sorgfaltsverstoßes des Zahlungsdienstleisters auch dann entgegengehalten werden, wenn der Zahler den unautorisierten Zahlungsvorgang durch pflichtwidrige Weitergabe von TANs ermöglicht hat; dies begründet keinen Fall einer überholenden Kausalität, wenn ohne den Sorgfaltsverstoß des Zahlungsdienstleisters der unautorisierte Kontozugriff nicht möglich gewesen wäre.

3. Der Umstand eines unautorisierten Zugriffs eines Dritten auf das Online-Banking-System eines Zahlungsdienstleisters auch ohne den Nachweis einer Verletzung der Pflicht des Kunden zur Geheimhaltung von PIN oder Zugangskennwort begründet nicht ohne weiteres einen Anscheinsbeweis für einen Sorgfaltsverstoß des Zahlungsdienstleisters durch mangelnde Systemsicherheit des Online-Banking-Systems.

4. Ein Zahlungsdienstleister muss für Umbuchungen zwischen mehreren Konten desselben Zahlungsdienstnutzers, die bei demselben Zahlungsdienstleister geführt werden, nach Art. 15 der Delegierten Verordnung (EU) 2018/389 keine starke Kundenauthentifizierung anwenden.

5. Besteht für einen Zahlungsdienstleister nach den aufsichtsrechtlichen Bestimmungen der Delegierten Verordnung (EU) 2018/389 keine Pflicht zur Anwendung der starken Kundenauthentifizierung, dann ist diese Ausnahme auch zivilrechtlich zu beachten und die Nichtanwendung der starken Kundenauthentifizierung schließt weder nach § 675v Abs. 4 S. 1 Nr. 1 BGB Schadensersatzansprüche des Zahlungsdienstleisters aus, noch begründet sie einen im Rahmen des Mitverschuldens nach § 254 BGB relevanten Sorgfaltsverstoß des Zahlungsdienstleisters.

6. Die Verpflichtung des Zahlungsdienstleisters zur Vorhaltung von Transaktionsüberwachungsmechanismen nach Art. 2 der Delegierten Verordnung (EU) 2018/389 ist auf eine aufsichtsrechtliche Überwachung gerichtet, nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären.

Normenkette

BGB §§ 254, 675j Abs. 1, § 675k Abs. 1, § 675l Abs. 1, § 675u S. 2, § 675v Abs. 3 Nr. 2, Abs. 4 S. 1 Nr. 1; Verordnung (EU) 2018/389 Art. 2, 15, 18; ZAG § 1 Abs. 24, § 55

Verfahrensgang

LG Bremen (Aktenzeichen 4 O 1557/22)

Tenor

I. Der Senat beabsichtigt, die Berufung der Klägerin gegen das Urteil des Landgerichts Bremen vom 15.09.2023, Az.: 4 O 1557/22, durch einstimmigen Beschluss gemäß § 522 Abs. 2 ZPO zurückzuweisen.

II. Der Klägerin wird Gelegenheit zur Stellungnahme bis zum 08.05.2024 gegeben.

Gründe

I. Die Klägerin nimmt die Beklagte auf Erstattung aufgrund diverser Abbuchungen von ihrem Girokonto in Anspruch.

Die beklagte Bank führte aufgrund mit der Klägerin bestehender Kontoführungsverträge u.a. ein Girokonto und ein Tageskonto für die Klägerin. Mit Vereinbarungen aus dem Jahr 2004 hatten die Parteien hinsichtlich der Konten der Klägerin die Nutzung des Online-Bankings sowie im Dezember 2018 die Nutzung des mobile-TAN-Verfahrens vereinbart unter weiterer Vereinbarung eines Tageslimits von EUR 50.000,- sowie der Geltung der Sonderbedingungen für das Online-Banking der Beklagten. In der Vereinbarung vom Dezember 2018 heißt es unter anderem, dass die ausgehändigten Transaktionsnummern (TAN) zur Vermeidung von Missbrauch geheim zu halten sind. Bei dem mobile-TAN-Verfahren (auch als SMS-TAN oder mTAN-Verfahren bezeichnet) wird ein Zahlungsvorgang im Online-Banking, dessen Zugang durch die Eingabe einer PIN gesichert wird, mit einer TAN autorisiert, die mittels einer SMS-Nachricht an die vereinbarte Mobilfunknummer des Kunden gesendet wird.

Am 11.03.2022 erhielt die Klägerin einen Telefonanruf. Der Anrufer gab sich als Mitarbeiter der Beklagten aus und hatte Zugang zu dem Online-Banking der Klägerin. Das Gespräch dauerte insgesamt 41 Minuten, wobei der Inhalt des Gesprächs zwischen den Parteien im Einzelnen streitig ist. Der Klägerin wurden während der Dauer dieses Gesprächs insgesamt neun TANs per SMS übersandt, teils Änderungen des Limits auf zunächst EUR 30.000,- bzw. sodann EUR 50.000,- betreffend, teils betreffend Überweisungen von Beträgen jeweils in Höhe von über EUR 9.400,- an verschie...