15.04.2024 - Zu Schadensersatzansprüchen des Zahlungsdienstleisters gegen den Zahler und zur Berücksichtigung eines Mitverschuldens des Zahlungsdienstleisters bei nicht autorisierten Überweisungen im Online-Banking mit mobile-TAN-Verfahren

15.04.2024

1 U 47/23

BGB § 254, § 675j Abs. 1, § 675k Abs. 1, § 675l Abs. 1, § 675u S. 2, § 675v Abs. 3 Nr. 2, Abs. 4 S. 1 Nr. 1; ZAG § 1 Abs. 24, § 55; Verordnung (EU) 2018/389 Art. 2, Art. 15, Art. 18.

Sonstiges Zivilrecht

Sonstiges Zivilrecht; Zahlungsdienstevertrag, Zahlungsdienste, Autorisierung, starke Kundenauthentifizierung, mobile-TAN-Verfahren, personalisierte Sicherheitsmerkmale, Online-Banking

Warning: preg_replace(): Unknown modifier '.' in /srv/nfs-share/data/sixcms/oberlandesgericht/sixcms_upload/templates/template472.php on line 45
Zu Schadensersatzansprüchen des Zahlungsdienstleisters gegen den Zahler und zur Berücksichtigung eines Mitverschuldens des Zahlungsdienstleisters bei nicht autorisierten Überweisungen im Online-Banking mit mobile-TAN-Verfahren (267.8 KB)

1. Die fernmündliche Weitergabe im mobile-TAN-Verfahren per SMS an den Zahler übermittelter TANs an einen (vermeintlichen) Bankmitarbeiter begründet regelmäßig den Vorwurf einer grob fahrlässigen Verletzung der Geheimhaltungspflichten aus § 675l Abs. 1 BGB. Dem Vorwurf grober Fahrlässigkeit des Bankkunden steht es auch nicht entgegen, wenn der Anruf unter Anzeige einer Rufnummer der Bank erfolgt und der Anrufer eine Kenntnis von kontobezogenen Informationen belegen kann.

2. Einem Schadensersatzanspruch des Zahlungsdienstleisters aus § 675v BGB kann der Einwand des Mitverschuldens nach § 254 BGB wegen eines Sorgfaltsverstoßes des Zahlungsdienstleisters auch dann entgegengehalten werden, wenn der Zahler den unautorisierten Zahlungsvorgang durch pflichtwidrige Weitergabe von TANs ermöglicht hat; dies begründet keinen Fall einer überholenden Kausalität, wenn ohne den Sorgfaltsverstoß des Zahlungsdienstleisters der unautorisierte Kontozugriff nicht möglich gewesen wäre.

3. Der Umstand eines unautorisierten Zugriffs eines Dritten auf das Online-Banking-System eines Zahlungsdienstleisters auch ohne den Nachweis einer Verletzung der Pflicht des Kunden zur Geheimhaltung von PIN oder Zugangskennwort begründet nicht ohne weiteres einen Anscheinsbeweis für einen Sorgfaltsverstoß des Zahlungsdienstleisters durch mangelnde Systemsicherheit des Online-Banking-Systems.

4. Ein Zahlungsdienstleister muss für Umbuchungen zwischen mehreren Konten desselben Zahlungsdienstnutzers, die bei demselben Zahlungsdienstleister geführt werden, nach Art. 15 der Delegierten Verordnung (EU) 2018/389 keine starke Kundenauthentifizierung anwenden.

5. Besteht für einen Zahlungsdienstleister nach den aufsichtsrechtlichen Bestimmungen der Delegierten Verordnung (EU) 2018/389 keine Pflicht zur Anwendung der starken Kundenauthentifizierung, dann ist diese Ausnahme auch zivilrechtlich zu beachten und die Nichtanwendung der starken Kundenauthentifizierung schließt weder nach § 675v Abs. 4 S. 1 Nr. 1 BGB Schadensersatzansprüche des Zahlungsdienstleisters aus, noch begründet sie einen im Rahmen des Mitverschuldens nach § 254 BGB relevanten Sorgfaltsverstoß des Zahlungsdienstleisters.

6. Die Verpflichtung des Zahlungsdienstleisters zur Vorhaltung von Transaktionsüberwachungsmechanismen nach Art. 2 der Delegierten Verordnung (EU) 2018/389 ist auf eine aufsichtsrechtliche Überwachung gerichtet, nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären.

Hinweis:
Die Berufung wurde auf diesen Hinweis des Senats zurückgenommen.