AG Bonn: Beweislast bei nicht autorisierten Zahlungsvorgängen im Online-Banking

Macht ein Bankkunde einen nicht autorisierten Zahlungsvorgang im Rahmen des Online-Banking geltend, muss das Finanzinstitut nachweisen, dass eine ordnungsgemäße Authentifizierung vorliegt und keine sonstigen Auffälligkeiten bei der Abwicklung aufgetreten sind. Gelingt dieser Nachweis, so spricht ein Anscheinsbeweis für die Bank (AG Bonn, Urt. v. 23.06.2021 - Az.: 115 C 53/21).

Der Kläger war Kunde bei der verklagten Bank und verlangte einen Betrag von rund 680.- EUR zurück, der angeblich zu Unrecht von seinem Bankkonto abgezogen wurde.

Die Beklagte wandte ein, der Vorgang beruhe auf einem Online-Banking-Vorgang, der mit den Zugangsdaten des Klägers vorgenommen worden sei.  Es sei sich in das Bankkonto des Klägers eingeloggt und ein neues BestSign-Verfahren angelegt worden. Für die Anlage dieses neuen Legitimationsverfahrens wurden für das Konto-Login zunächst die Bank-ID und das Konto-Passwort des Klägers genutzt. Um das Konto-Login abzuschließen, erfolgte anschließend eine zweite Authentifizierung mittels BestSign. Die Anmeldung des neuen Verfahrens unter der Kennung wurde mit dem alten Verfahren unter der Kennung bestätigt. Mit dieser neuen Legitimation sei dann die Abbuchung vorgenommen worden.

Der Kläger trug vor, dass vermutlich sein Rechner mit Trojanern infiziert worden sei. Zudem habe er auch Strafanzeige wegen Online-Betruges gestellt.

Das AG Bonn wies die Klage des Kunden ab.

Grundsätzlich liege in derartigen Fällen die Beweislast bei der Bank. Könne diese aber eine ordnungsgemäße Authentifizierung nachweisen, trete eine Umkehr der Beweislast ein:

"Macht ein Bankkunde einen nicht autorisierten Zahlungsvorgang im Rahmen des Online-Banking geltend, muss das Finanzinstitut nachweisen, dass eine ordnungsgemäße Authentifizierung vorliegt und keine sonstigen Auffälligkeiten bei der Abwicklung aufgetreten sind. Gelingt dieser Nachweis, so spricht ein Anscheinsbeweis für die Bank (...)

Dies ist vorliegend der Fall.

Nach dem Ergebnis der Beweisaufnahme Vernehmung steht für das Gericht fest, dass die streitgegenständlichen Überweisungen ordnungsgemäß authentifiziert sowie aufgezeichnet, verbucht und störungsfrei abgewickelt worden sind. Zudem handelt es sich auch um ein allgemein praktisch nicht zu überwindendes Sicherheitssystem, dass auch im konkreten Einzelfall ordnungsgemäß angewendet wurde und fehlerfrei funktioniert habe."

Und weiter:

"Der Zeuge L hat bekundet, dass sich aus den in der mündlichen Verhandlung in Augenschein genommenen Transaktionsprotokollen ergebe, dass der Kläger am 29.12.2020 um 14:01:07 Uhr sich ordnungsgemäß authentifiziert und ein neues BestSign-Verfahren aktiviert habe. Mit diesem neuen Verfahren seien dann die am 30.12.2020 vorgenommenen drei streitgegenständlichen Transaktionen durchgeführt worden.

Wenn dies nicht ordnungsgemäß geschehen wäre, hätte das neue BestSign-Verfahren nicht eingerichtet werden können.

Der Vorgang wäre dann nicht so aufgezeichnet worden, wie er sich aus den Unterlagen ergebe. Insbesondere wäre die Eintragung vom 29.12.2020 um 14:21:54 Uhr nicht so protokolliert worden, wenn nicht zuvor ordnungsgemäß autorisiert das BestSign-Verfahren geändert worden wäre.

Die am 29.12.2020 sich anmeldende Person müsse sich auch mit dem bisherigen BestSign-Verfahren des Klägers ordnungsgemäß legitimiert und den Vorgang autorisiert haben. Insbesondere müsse sie den Fingerabdruck des Klägers gehabt haben, wenn - wie hier - dessen bisherige Identifizierung so erfolgte. Eine andere Möglichkeit sei nach den Bekundungen des Zeugen technisch ausgeschlossen. Insbesondere sei das Passwort nirgendwo gespeichert. Zudem sei es auch nicht möglich, eine Legitimation durch biometrische Daten dadurch zu umgehen, dass das Passwort eingegeben werde. Das Passwort könne auch nicht durch Trojaner ausgespäht werden.

Es brauche das physische Gerät, um sich mit einem Passwort zu legitimieren. Anders sei die Legitimation und ordnungsgemäße Autorisierung nicht möglich. Es gebe nur die Möglichkeit, dass der Kläger selbst die Änderung des BestSign-Verfahrens und die streitgegenständlichen Transaktionen autorisiert habe oder aber die Änderung und Autorisierung dadurch ermöglicht habe, dass er seine Zahlungsinstrumente, insbesondere Benutzerdaten und Kennwörter sowie auch sein Handy, einem Dritten zur Verfügung gestellt habe und dieser die Autorisierung vorgenommen habe. Eine andere Möglichkeit sei technisch ausgeschlossen."

Die allgemeinen Einwendungen des Klägers, es habe möglicherweise einen Trojaner-Vorfall gegeben, reichten nicht aus, um diesen Anschein zu erschüttern:

"Diesen Anscheinsbeweis hat der Kläger nicht erschüttert. Insbesondere hat er durch seine allgemeinen Behauptungen, dass es vorstellbar sei, dass auch ein krimineller Straftäter möglicherweise in der Lage wäre, das System zu überlisten bzw. der Beklagten vorzugaukeln, dass ein berechtigter Kunde das Sicherungsverfahren verwendet habe, keine konkreten Tatsachen dargetan, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen.

Dies gilt insbesondere auch unter Berücksichtigung des Vorbringens des Klägers im Rahmen seiner Anhörung in der mündlichen Verhandlung. Diese ist widersprüchlich. So hat er beispielsweise auch auf wiederholte Nachfrage zunächst geäußert, sich am 09.12.2020 zuletzt ins Onlinebanking eingeloggt und eine Überweisung getätigt zu haben, um dann später zu erklären, dass er sich am 09.02. eingeloggt habe, und schließlich erklärt, dass er sich mit Sicherheit am 07.12. zuletzt eingeloggt und auch die Überweisung getätigt zu haben."