Kann der Zahlungsdienstleister zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung eines strittigen Zahlungsvorgangs nachweisen, so greift der Anscheinsbeweis einer ordnungsgemäßen Autorisierung.
Der Entscheidung lag der nachfolgende Sachverhalt zugrunde:
Die Parteien streiten um Ansprüche wegen angeblich nicht autorisierter Zahlungsvorgänge.
Der Kläger ist Kunde der Beklagten und Inhaber eines Girokontos mit Onlinebanking. Zahlungsvorgänge oder Einstellungen für die zukünftige Freigabe von Zahlungsvorgängen, die der Kläger im Rahmen des Onlinebanking erfasst, sind von ihm wie folgt zu autorisieren: Zunächst hat er über die Internetpräsenz der Beklagten die Möglichkeit des „Login“ auszuwählen. Sodann gelangt er auf eine weitere Seite, auf der er seine „BanklD“ einzugeben hat. Um Zahlungsdienste in Anspruch nehmen zu können, hat er anschließend eine sogenannte „Zweifaktor-Autorisierung“ zu durchlaufen. Dies geschieht durch die Eingabe seines persönlichen Passwortes und anschließend entweder durch die Verwendung einer mobilen Transaktionsnummer (TAN) oder die Benutzung des BestSign-Verfahrens der Beklagten. Wenn er das TAN-Verfahren benutzt, fordert er eine TAN an, die von der Beklagten per SMS auf sein Mobiltelefon versandt wird, das er zu diesem Zweck hat registrieren lassen. Wird demgegenüber das BestSign-Verfahren benutzt, bei dem es sich um ein kryptographisches Verfahren handelt, das per App mit einem Smartphone oder einem Computer betätigt werden kann, erfolgt die — nach der Eingabe des Passwortes — zweite Freigabe per Fingerabdruck oder „FacelD“ (Gesichtserkennung). Auf diese Weise können dann Zahlungen vorgenommen oder (weitere) BestSign-Verfahren eingerichtet werden.
Der Kläger hatte mit der Beklagten im Rahmen des Online-Bankings das sogenannte Bestsign-Verfahren sowie die Freigabe durch Fingerabdruck auf seinem Smartphone vereinbart. Für die Aktivierung des BestSign-Verfahrens muss der Kunde im System der Beklagten ein Endgerät (Smartphone oder Computer) hinterlegen, mit dessen Verwendung künftig Freigaben im BestSign-Verfahren erfolgen sollen. Für ein Girokonto können dabei mehrere BestSign-Verfahren aktiviert — mithin gleichzeitig mehrere Endgeräte hinterlegt — werden. Jedem Endgerät wird dabei eine individuelle Kennung (sog. „Seal One-ID“) zugewiesen. Ferner kann der Kunde eine eigene Bezeichnung für das jeweilige Endgerät wählen. Einzelne Überweisungen sowie die Aktivierung des BestSign-Verfahrens auf neuen Geräten müssen ebenfalls über das BestSign-Verfahren autorisiert werden. Der Kläger hatte sowohl die Bank-ID als auch seinen Fingerabdruck zur Authentifizierung im BestSign-Verfahren auf seinem Smartphone gespeichert.
Für die vertraglichen Beziehungen der Parteien gelten die Allgemeinen und besonderen Bedingungen der Beklagten, unter anderem die besonderen Bedingungen für das „Bank Online-Banking“. Gemäß Ziffer 7.1 Abs. 1 der besonderen Bedingungen der Beklagten für das „Bank Online-Banking“ hat jeder Kunde der Beklagten als Teilnehmer am Online Banking alle zumutbaren Vorkehrungen zu treffen, um seine Authentifizierungselemente vor unbefugtem Zugriff zu schützen. Zu diesen Authentifizierungselementen gehören gemäß der Bestimmung unter Ziffer 2 der genannten Bedingungen auch die Bank-ID, das Konto-Passwort und das BestSign-Verfahren. Die entsprechenden Zugangsdaten müssen geheimgehalten werden, dürfen also insbesondere weder ungesichert gespeichert noch mündlich oder elektronisch weitergegeben werden.
Am 29.12.2020 wurde sich in das Onlinebankingkonto des Klägers eingeloggt und ein neues BestSign-Verfahren angelegt. Für die Anlage des neuen BestSign-Verfahrens wurden für das Konto-Login zunächst die Bank-ID und das Konto-Passwort des Klägers genutzt. Um das Konto-Login abzuschließen, erfolgte anschließend eine zweite Authentifizierung mittels BestSign. Die Anmeldung des neuen Verfahrens unter der Kennung wurde mit dem alten Verfahren unter der Kennung bestätigt. Mittels des neuen BestSign-Verfahrens wurden sodann 30.12.2020 drei Überweisungen in einer Gesamthöhe von 679,18 EUR vom Konto des Klägers vorgenommen. Wegen der weiteren Einzelheiten wird auf die Transaktionsprotokolle verwiesen.
Am 12.01.2021 erstattete der Kläger Strafanzeige wegen Onlinebankingbetrugs. Mit Schreiben vom 14.01.2021 forderte er die Beklagte zur Erstattung des vorgenannten Betrags auf, was diese ablehnte.
Der Kläger behauptet, es sei wohl von Seiten krimineller Straftäter, wahrscheinlich mit Hilfe von Trojanern, am 29.12.2020 in sein Konto bei der Beklagten eingeloggt und unberechtigt Geld von diesem abgebucht hätten. Der Kläger selbst sei hieran in keiner Weise beteiligt gewesen. Er habe, abgesehen von den auf dem Handy gespeicherten Daten, lediglich auf einem Zettel in Geheimschrift die Bank-ID notiert und nicht zusammen mit dem Rechner verwahrt. Zwischen dem 7. und 30.12.2020 habe er sich nicht im Onlinebanking der Beklagten eingeloggt.
Er meint, ihm sei in Höhe der vorgenannten Überweisungen ein Schaden entstanden, den die Beklagte ihm zu ersetzen habe.
Zum Weiterlesen bitte anmelden oder kostenlos und unverbindlich registrieren.
