AG Bonn: Zu Ansprüchen wegen angeblich nicht autorisierter Zahlungsvorgänge
AG Bonn, Urteil vom 23.6.2021 – 115 C 53/21
ECLI:DE:AGBN:2021:0623.115C53.21.00
Volltext des Urteils: RdZL2022-65-1
Sachverhalt
Die Parteien streiten um Ansprüche wegen angeblich nicht autorisierter Zahlungsvorgänge.
Der Kläger ist Kunde der Beklagten und Inhaber eines Girokontos mit Onlinebanking. Zahlungsvorgänge oder Einstellungen für die zukünftige Freigabe von Zahlungsvorgängen, die der Kläger im Rahmen des Onlinebanking erfasst, sind von ihm wie folgt zu autorisieren: Zunächst hat er über die Internetpräsenz der Beklagten die Möglichkeit des „Login" auszuwählen. Sodann gelangt er auf eine weitere Seite, auf der er seine „BanklD" einzugeben hat. Um Zahlungsdienste in Anspruch nehmen zu können, hat er anschließend eine sogenannte „Zweifaktor-Autorisierung" zu durchlaufen. Dies geschieht durch die Eingabe seines persönlichen Passwortes und anschließend entweder durch die Verwendung einer mobilen Transaktionsnummer (TAN) oder die Benutzung des BestSign-Verfahrens der Beklagten. Wenn er das TAN-Verfahren benutzt, fordert er eine TAN an, die von der Beklagten per SMS auf sein Mobiltelefon versandt wird, das er zu diesem Zweck hat registrieren lassen. Wird demgegenüber das BestSign-Verfahren benutzt, bei dem es sich um ein kryptographisches Verfahren handelt, das per App mit einem Smartphone oder einem Computer betätigt werden kann, erfolgt die — nach der Eingabe des Passwortes — zweite Freigabe per Fingerabdruck oder „FacelD" (Gesichtserkennung). Auf diese Weise können dann Zahlungen vorgenommen oder (weitere) BestSign-Verfahren eingerichtet werden.
Der Kläger hatte mit der Beklagten im Rahmen des Online-Bankings das sogenannte Bestsign-Verfahren sowie die Freigabe durch Fingerabdruck auf seinem Smartphone vereinbart. Für die Aktivierung des BestSign-Verfahrens muss der Kunde im System der Beklagten ein Endgerät (Smartphone oder Computer) hinterlegen, mit dessen Verwendung künftig Freigaben im BestSign-Verfahren erfolgen sollen. Für ein Girokonto können dabei mehrere BestSign-Verfahren aktiviert — mithin gleichzeitig mehrere Endgeräte hinterlegt — werden. Jedem Endgerät wird dabei eine individuelle Kennung (sog. „Seal One-ID") zugewiesen. Ferner kann der Kunde eine eigene Bezeichnung für das jeweilige Endgerät wählen. Einzelne Überweisungen sowie die Aktivierung des BestSign-Verfahrens auf neuen Geräten müssen ebenfalls über das BestSign-Verfahren autorisiert werden. Der Kläger hatte sowohl die Bank-ID als auch seinen Fingerabdruck zur Authentifizierung im BestSign-Verfahren auf seinem Smartphone gespeichert.
Für die vertraglichen Beziehungen der Parteien gelten die Allgemeinen und besonderen Bedingungen der Beklagten, unter anderem die besonderen Bedingungen für das „Bank Online-Banking". Gemäß Ziffer 7.1 Abs. 1 der besonderen Bedingungen der Beklagten für das „Bank Online-Banking" hat jeder Kunde der Beklagten als Teilnehmer am Online Banking alle zumutbaren Vorkehrungen zu treffen, um seine Authentifizierungselemente vor unbefugtem Zugriff zu schützen. Zu diesen Authentifizierungselementen gehören gemäß der Bestimmung unter Ziffer 2 der genannten Bedingungen auch die Bank-ID, das Konto-Passwort und das BestSign-Verfahren. Die entsprechenden Zugangsdaten müssen geheimgehalten werden, dürfen also insbesondere weder ungesichert gespeichert noch mündlich oder elektronisch weitergegeben werden. Hinsichtlich der weiteren Einzelheiten wird auf die AGB der Beklagten (Bl. 66-69 GA) Bezug genommen.
Am 29.12.2020 wurde sich in das Onlinebankingkonto des Klägers eingeloggt und ein neues BestSign-Verfahren angelegt. Für die Anlage des neuen BestSign-Verfahrens wurden für das Konto-Login zunächst die Bank-ID und das Konto-Passwort des Klägers genutzt. Um das Konto-Login abzuschließen, erfolgte anschließend eine zweite Authentifizierung mittels BestSign. Die Anmeldung des neuen Verfahrens unter der Kennung wurde mit dem alten Verfahren unter der Kennung bestätigt. Mittels des neuen BestSign-Verfahrens wurden sodann 30.12.2020 drei Überweisungen in einer Gesamthöhe von 679,18 EUR vom Konto des Klägers vorgenommen. Wegen der weiteren Einzelheiten wird auf die Transaktionsprotokolle (Bl. 70-74 GA) verwiesen.
Am 12.01.2021 erstattete der Kläger Strafanzeige wegen Onlinebankingbetrugs. Mit Schreiben vom 14.01.2021 forderte er die Beklagte zur Erstattung des vorgenannten Betrags auf, was diese ablehnte.
Der Kläger behauptet, es sei wohl von Seiten krimineller Straftäter, wahrscheinlich mit Hilfe von Trojanern, am 29.12.2020 in sein Konto bei der Beklagten eingeloggt und unberechtigt Geld von diesem abgebucht hätten. Der Kläger selbst sei hieran in keiner Weise beteiligt gewesen. Er habe, abgesehen von den auf dem Handy gespeicherten Daten, lediglich auf einem Zettel in Geheimschrift die Bank-ID notiert und nicht zusammen mit dem Rechner verwahrt. Zwischen dem 7. und 30.12.2020 habe er sich nicht im Onlinebanking der Beklagten eingeloggt.
Er meint, ihm sei in Höhe der vorgenannten Überweisungen ein Schaden entstanden, den die Beklagte ihm zu ersetzen habe.
Der Kläger beantragt,
1) die Beklagte zu verurteilen, an ihn 679,18 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen;
2) die Beklagte zu verurteilen, ihm die vorgerichtlichen Rechtsanwaltskosten in Höhe von 159,95 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen;
3) die Beklagte zu verurteilen, die Kosten des Rechtsstreits zu tragen.
Die Beklagte beantragt,
die Klage abzuweisen.
Die Beklagte behauptet, die streitgegenständlichen Zahlungen seien mittels eines auf den Kläger lautenden BestSign-Verfahrens korrekt freigegeben worden. Die Authentifizierung des Klägers sei ordnungsgemäß erfolgt und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch Störungen beeinträchtigt worden. Bevor der Kläger das neu angelegte BestSign-Verfahren am 29. Dezember 2020 um 14:01:07 Uhr mittels des bereits bestehenden BestSign-Verfahrens unter der Kennung „####-######-#######" freigegeben habe, habe ihn die Beklagte ausdrücklich darauf hingewiesen, dass er mit der Freigabe ein neues BestSign-Verfahren unter der Kennung „#####-####-#####“ einrichten würde. Das Sicherheitssystem sei allgemein praktisch nicht zu überwinden, sei auch im konkreten Einzelfall ordnungsgemäß angewendet worden und habe fehlerfrei funktioniert.
Sie meint, die Zahlungen seien ordnungsgemäß autorisiert worden. Jedenfalls scheitere eine Haftung der Beklagten daran, dass der Kläger grob fahrlässig gegen Bedingungen für die Nutzung des Online-Banking verstoßen habe.
Das Gericht hat in der mündlichen Verhandlung den Kläger angehört, Urkunden in Augenschein genommen und Beweis erhoben durch Vernehmung des Zeugen L.Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf das Protokoll der mündlichen Verhandlung vom 02.06.2021 (Bl. 119-127 GA) verwiesen.
Bezüglich der weiteren Einzelheiten des Sach- und Streitstands wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen Bezug genommen.
Aus den Gründen
Die Klage ist unbegründet.
Der Kläger hat gegen die Beklagte aus keinem rechtlichen Grund einen Anspruch auf Zahlung von 679,18 EUR.
Ein solcher Anspruch folgt insbesondere nicht aus § 675u S. 2 BGB, weil die streitgegenständlichen Zahlungsvorgänge ordnungsgemäß autorisiert worden sind.
Ist die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen (vgl. nur BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 –, BGHZ 208, 331-357). Handelt es sich darüber hinaus um ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem, greift der Anscheinsbeweis einer ordnungsgemäßen Autorisierung (BGH a.a.O.)
Dies ist vorliegend der Fall.
Nach dem Ergebnis der Beweisaufnahme Vernehmung steht für das Gericht fest, dass die streitgegenständlichen Überweisungen ordnungsgemäß authentifiziert sowie aufgezeichnet, verbucht und störungsfrei abgewickelt worden sind. Zudem handelt es sich auch um ein allgemein praktisch nicht zu überwindendes Sicherheitssystem, dass auch im konkreten Einzelfall ordnungsgemäß angewendet wurde und fehlerfrei funktioniert habe.
Der Zeuge L hat bekundet, dass sich aus den in der mündlichen Verhandlung in Augenschein genommenen Transaktionsprotokollen ergebe, dass der Kläger am 29.12.2020 um 14:01:07 Uhr sich ordnungsgemäß authentifiziert und ein neues BestSign-Verfahren aktiviert habe. Mit diesem neuen Verfahren seien dann die am 30.12.2020 vorgenommenen drei streitgegenständlichen Transaktionen durchgeführt worden. Wenn dies nicht ordnungsgemäß geschehen wäre, hätte das neue BestSign-Verfahren nicht eingerichtet werden können. Der Vorgang wäre dann nicht so aufgezeichnet worden, wie er sich aus den Unterlagen ergebe. Insbesondere wäre die Eintragung vom 29.12.2020 um 14:21:54 Uhr nicht so protokolliert worden, wenn nicht zuvor ordnungsgemäß autorisiert das BestSign-Verfahren geändert worden wäre. Die am 29.12.2020 sich anmeldende Person müsse sich auch mit dem bisherigen BestSign-Verfahren des Klägers ordnungsgemäß legitimiert und den Vorgang autorisiert haben. Insbesondere müsse sie den Fingerabdruck des Klägers gehabt haben, wenn - wie hier - dessen bisherige Identifizierung so erfolgte. Eine andere Möglichkeit sei nach den Bekundungen des Zeugen technisch ausgeschlossen. Insbesondere sei das Passwort nirgendwo gespeichert. Zudem sei es auch nicht möglich, eine Legitimation durch biometrische Daten dadurch zu umgehen, dass das Passwort eingegeben werde. Das Passwort könne auch nicht durch Trojaner ausgespäht werden. Es brauche das physische Gerät, um sich mit einem Passwort zu legitimieren. Anders sei die Legitimation und ordnungsgemäße Autorisierung nicht möglich. Es gebe nur die Möglichkeit, dass der Kläger selbst die Änderung des BestSign-Verfahrens und die streitgegenständlichen Transaktionen autorisiert habe oder aber die Änderung und Autorisierung dadurch ermöglicht habe, dass er seine Zahlungsinstrumente, insbesondere Benutzerdaten und Kennwörter sowie auch sein Handy, einem Dritten zur Verfügung gestellt habe und dieser die Autorisierung vorgenommen habe. Eine andere Möglichkeit sei technisch ausgeschlossen.
Dies ist glaubhaft. Der Zeuge hat als Leiter des Fraudmanagements die erforderlichen Kenntnisse und zudem detailreich und für das Gericht gut nachvollziehbar bekundet Dem steht auch nicht entgegen, dass der Zeuge Mitarbeiter der Beklagten ist. Hierdurch wird die Glaubhaftigkeit seiner Aussage nicht beeinträchtigt. Insbesondere stimmt seine Aussage mit dem unstreitigen Inhalt der in der mündlichen Verhandlung in Augenschein genommenen Transaktionsprotokolle überein.
Diesen Anscheinsbeweis hat der Kläger nicht erschüttert. Insbesondere hat er durch seine allgemeinen Behauptungen, dass es vorstellbar sei, dass auch ein krimineller Straftäter möglicherweise in der Lage wäre, das System zu überlisten bzw. der Beklagten vorzugaukeln, dass ein berechtigter Kunde das Sicherungsverfahren verwendet habe, keine konkreten Tatsachen dargetan, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen. Dies gilt insbesondere auch unter Berücksichtigung des Vorbringens des Klägers im Rahmen seiner Anhörung in der mündlichen Verhandlung. Diese ist widersprüchlich. So hat er beispielsweise auch auf wiederholte Nachfrage zunächst geäußert, sich am 09.12.2020 zuletzt ins Onlinebanking eingeloggt und eine Überweisung getätigt zu haben, um dann später zu erklären, dass er sich am 09.02. eingeloggt habe, und schließlich erklärt, dass er sich mit Sicherheit am 07.12. zuletzt eingeloggt und auch die Überweisung getätigt zu haben. Gleiches gilt für seinen Vortrag zum angeblichen Ausspähen seiner Daten, insbesondere durch einen Trojaner. Dies vermag den Anscheinsbeweis nicht zu erschüttern, weil es insoweit aus den vorgenannten Bekundungen des Zeugen L jedenfalls nicht die ernsthafte Möglichkeit eines Missbrauchs nahelegt. Insbesondere genügt das bloße Auffinden eines Trojaners auf dem Rechner des Klägers im Januar 2021 - selbst wenn man es als wahr unterstellt - schon deshalb nicht, weil die streitgegenständlichen Transaktionen bereits im Dezember 2020 erfolgt sind. Zudem erfolgte die Authentifizierung zur Änderung des Bestsignverfahrens nach der glaubhaften Aussage des Zeugen L nicht über den Rechner, sondern das Mobiltelefon des Klägers.
Mangels Anspruchs in der Hauptsache bestehen auch die geltend gemachten Nebenforderungen nicht.
Die Nebenentscheidungen beruhen auf §§ 91 Abs. 1 S. 1, 708 Nr. 11 Alt. 2, 711 S. 1 und S. 2, 709 S. 2 ZPO.
Der Streitwert wird auf bis 1000 EUR festgesetzt.
