Datum der Entscheidung
15.04.2024
Normen
BGB § 254, § 675j Abs. 1, § 675k Abs. 1, § 675l Abs. 1, § 675u S. 2, § 675v Abs. 3 Nr. 2, Abs. 4 S. 1 Nr. 1; ZAG § 1 Abs. 24, § 55; Verordnung (EU) 2018/389 Art. 2, Art. 15, Art. 18.
Rechtsgebiet
Sonstiges Zivilrecht
Schlagworte
Sonstiges Zivilrecht; Zahlungsdienstevertrag, Zahlungsdienste, Autorisierung, starke Kundenauthentifizierung, mobile-TAN-Verfahren, personalisierte Sicherheitsmerkmale, Online-Banking
Leitsatz
1. Die fernmündliche Weitergabe im mobile-TAN-Verfahren per SMS an den Zahler übermittelter TANs an einen (vermeintlichen) Bankmitarbeiter begründet regelmäßig den Vorwurf einer grob fahrlässigen Verletzung der Geheimhaltungspflichten aus § 675l Abs. 1 BGB. Dem Vorwurf grober Fahrlässigkeit des Bankkunden steht es auch nicht entgegen, wenn der Anruf unter Anzeige einer Rufnummer der Bank erfolgt und der Anrufer eine Kenntnis von kontobezogenen Informationen belegen kann.
2. Einem Schadensersatzanspruch des Zahlungsdienstleisters aus § 675v BGB kann der Einwand des Mitverschuldens nach § 254 BGB wegen eines Sorgfaltsverstoßes des Zahlungsdienstleisters auch dann entgegengehalten werden, wenn der Zahler den unautorisierten Zahlungsvorgang durch pflichtwidrige Weitergabe von TANs ermöglicht hat; dies begründet keinen Fall einer überholenden Kausalität, wenn ohne den Sorgfaltsverstoß des Zahlungsdienstleisters der unautorisierte Kontozugriff nicht möglich gewesen wäre.
3. Der Umstand eines unautorisierten Zugriffs eines Dritten auf das Online-Banking-System eines Zahlungsdienstleisters auch ohne den Nachweis einer Verletzung der Pflicht des Kunden zur Geheimhaltung von PIN oder Zugangskennwort begründet nicht ohne weiteres einen Anscheinsbeweis für einen Sorgfaltsverstoß des Zahlungsdienstleisters durch mangelnde Systemsicherheit des Online-Banking-Systems.
4. Ein Zahlungsdienstleister muss für Umbuchungen zwischen mehreren Konten desselben Zahlungsdienstnutzers, die bei demselben Zahlungsdienstleister geführt werden, nach Art. 15 der Delegierten Verordnung (EU) 2018/389 keine starke Kundenauthentifizierung anwenden.
5. Besteht für einen Zahlungsdienstleister nach den aufsichtsrechtlichen Bestimmungen der Delegierten Verordnung (EU) 2018/389 keine Pflicht zur Anwendung der starken Kundenauthentifizierung, dann ist diese Ausnahme auch zivilrechtlich zu beachten und die Nichtanwendung der starken Kundenauthentifizierung schließt weder nach § 675v Abs. 4 S. 1 Nr. 1 BGB Schadensersatzansprüche des Zahlungsdienstleisters aus, noch begründet sie einen im Rahmen des Mitverschuldens nach § 254 BGB relevanten Sorgfaltsverstoß des Zahlungsdienstleisters.
6. Die Verpflichtung des Zahlungsdienstleisters zur Vorhaltung von Transaktionsüberwachungsmechanismen nach Art. 2 der Delegierten Verordnung (EU) 2018/389 ist auf eine aufsichtsrechtliche Überwachung gerichtet, nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären.
Hinweis:
Die Berufung wurde auf diesen Hinweis des Senats zurückgenommen.