Bundesgerichtshof, Urteil vom 26.01.2016, Az. XI ZR 91/14

Die klagende Sparkasse begehrt Ausgleich des Schlusssaldos eines [X.]s der [X.], die entgegenhält, der behauptete Fehlbetrag resultiere aus einer im Wege des Online-Bankings ausgelösten Überweisung auf ein Konto des Streithelfers, die von ihr nicht autorisiert worden sei.

Die Beklagte unterhielt bei der Klägerin u.a. ein [X.], mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der [X.] [X.]erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er online auch auf das genannte [X.] zugreifen und durch zusätzliche Eingabe einer Transaktionsnummer ([X.]) Zahlungsaufträge erteilen konnte. Weiter vereinbarten die Parteien zur Freigabe einzelner Transaktionen das sms[X.]-Verfahren (Übermittlung der [X.] durch [X.]) über eine Mobilfunknummer, die einer SIM-Karte zugewiesen war, die nach Angaben der [X.] in einem grundsätzlich im Gewahrsam ihres Geschäftsführers befindlichen Mobiltelefon betrieben wurde.

Im Zuge einer Umstellung der EDV der Klägerin kam es im Juli 2011 zu länger andauernden Störungen in deren [X.], über die auch in der Tagespresse berichtet wurde. Einige Kunden - darunter auch die Beklagte - konnten eine Zeit lang auf ihr Konto nicht online zugreifen, einzelne Lastschriften wurden nicht ausgeführt und andere Buchungen doppelt. In diesem Zusammenhang wurden aus nicht geklärten Umständen am 15. Juli 2011 dem Geschäftskonto der [X.] fehlerhaft Beträge von 47.498,95 € und 191.576,25 € gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Wegen der Fehlbuchungen wies das Geschäftskonto der [X.] bis zu diesem Montagmorgen buchungstechnisch ein Guthaben von nahezu 238.000 € auf.

Am Freitag, dem 15. Juli 2011, um 23:25 Uhr wurden unter Verwendung der PIN des Geschäftsführers der [X.] im Online-Banking die Kontostände aller Konten der [X.] sowie die Umsätze auf deren Geschäftskonto abgefragt. Um 23:29 Uhr wurde eine Überweisung von 235.000 € mit dem Verwendungszweck "M.    B.      ", dem Namen des Geschäftsführers der [X.], zugunsten des Streithelfers der Klägerin in das [X.] der Klägerin eingegeben. Die erforderliche sms[X.] wurde von der Klägerin zur vereinbarten Mobiltelefonnummer der [X.] übermittelt und sodann für die Freigabe dieser Überweisung verwendet. Im [X.] daran kam es zwischen 23:31 Uhr und 23:36 Uhr zu drei weiteren Umsatzabfragen und einer Statusabfrage. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der [X.].

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage Ausgleich des negativen Schlusssaldos von 236.422,14 € nebst Zinsen.

Die Klägerin hat behauptet, bei dem streitigen Zahlungsvorgang hätten keine Unregelmäßigkeiten vorgelegen. Der technische Ablauf sei ordnungsgemäß aufgezeichnet worden. Anhand der Darlegungen der [X.] könne nicht nachvollzogen werden, wie es zu einem Missbrauch hätte kommen können.

Die Beklagte hat vorgetragen, sie bzw. ihr Geschäftsführer hätte die Überweisung nicht veranlasst und auch nicht veranlassen können, weil ihr Geschäftsführer zum maßgeblichen Zeitpunkt im Urlaub gewesen sei und sich das [X.] bei ihrem Mitarbeiter [X.].     befunden habe, der die Überweisung ebenfalls nicht autorisiert, sondern die [X.], mit der eine [X.] übermittelt worden sei, für Spam gehalten und "weggedrückt" habe.

Der Streithelfer der Klägerin hat behauptet, ihm habe eine schriftliche Weisung des Geschäftsführers der [X.] vorgelegen, aufgrund der er den erhaltenen Betrag auf ein ihm mitgeteiltes Konto weitergeleitet habe. Im Übrigen hat er sich auf seine Schweigepflicht als Rechtsanwalt berufen.

Das [X.] hat der Klage ohne Beweisaufnahme stattgegeben. Die Berufung der [X.] ist vom Berufungsgericht durch Beschluss nach § 522 Abs. 2 ZPO zurückgewiesen worden. Mit der vom Senat zugelassenen Revision verfolgt die Beklagte ihren Klageabweisungsantrag weiter.

Die Revision ist begründet. Sie führt zur Aufhebung des Beschlusses des Berufungsgerichts und zur Zurückverweisung der Sache an das Berufungsgericht.

Das Berufungsgericht hat unter umfassender Bezugnahme auf die Gründe des landgerichtlichen Urteils zur Begründung seiner Entscheidung im Wesentlichen ausgeführt:

Die Beklagte schulde der Klägerin Aufwendungsersatz nach §§ 675c, 670 [X.], da die Klägerin nach § 675w Satz 1 [X.] den Nachweis einer Authentifizierung der streitigen Überweisung durch die Beklagte geführt habe. Die Beklagte habe den aus der Verwendung der richtigen [X.] und [X.] folgenden gegen sie sprechenden Anschein einer ordnungsgemäßen Nutzung des [X.] nicht erschüttert. Umstände, welche die Benutzung des [X.] durch einen Unberechtigten plausibel erklären könnten, habe die Beklagte nicht aufgezeigt. Von der [X.] angebotenen Zeugenbeweis habe das [X.] zu Recht nicht erhoben, da kein substantiierter Tatsachenvortrag zu einem konkreten Missbrauch gehalten worden sei. Auch im Berufungsverfahren erhelle die Beklagte nicht, wie es zu einer nicht autorisierten Überweisung habe kommen können. Es fehle substantiierter Vortrag dazu, dass das Firmenhandy mit einem Schadprogramm infiziert gewesen sei. Das Handy sei zu keiner [X.] von einem Computerspezialisten überprüft worden. Überdies bleibe unklar, wie ein unbefugter Dritter an die Zugangsdaten hätte gelangen können. Die vom Streithelfer behauptete schriftliche Zahlungsanweisung habe das [X.] als Indiz würdigen dürfen, ohne die anwaltlich vertretene Beklagte hierzu auf die Möglichkeit eines Beweisantrags hinweisen zu müssen.

Die Entscheidung des Berufungsgerichts hält revisionsrechtlicher Nachprüfung nicht stand. Die vom Berufungsgericht getroffenen Feststellungen rechtfertigen keinen Aufwendungsersatzanspruch der Klägerin gegen die Beklagte aus § 675c Abs. 1, § 675 i.V.m. § 670 [X.]. Das Berufungsgericht hat bei Prüfung der dafür nach § 675j Abs. 1 [X.] erforderlichen Autorisierung der streitgegenständlichen Überweisung durch die Beklagte die Voraussetzungen eines Anscheinsbeweises im Falle der Verwendung eines [X.] nach § 675j Abs. 1 Satz 4 [X.] im [X.] verkannt sowie die Anforderungen an eine Erschütterung des Anscheinsbeweises überspannt.

1. Zutreffend geht das Berufungsgericht davon aus, dass ein Aufwendungsersatzanspruch der Klägerin gegen die Beklagte nach § 675c Abs. 1, § 675 i.V.m. § 670 [X.] auf Zahlung des nach Kündigung des [X.] vorhandenen Sollsaldos den von der Klägerin zu erbringenden Nachweis einer Zustimmung des Zahlers (Autorisierung) zu der streitigen Überweisung nach § 675j Abs. 1 Satz 1 [X.] voraussetzt. Gemäß § 675j Abs. 1 Satz 3 [X.] ist die Art und Weise der Zustimmung zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren. Dabei kann nach § 675j Abs. 1 Satz 4 [X.] festgelegt werden, dass die Zustimmung mittels eines [X.] im Sinne des § 1 Abs. 5 ZAG erteilt werden kann. Danach haben vorliegend die [X.]en für die Autorisierung im [X.] die Nutzung des von der [X.] angebotenen sms[X.]-Verfahrens vereinbart, bei dem ein Zahlungsvorgang durch die Eingabe von [X.] und [X.] autorisiert wird, wobei die [X.] mittels einer [X.]-Nachricht an eine vereinbarte Mobilfunknummer des Bankkunden gesendet wird.

2. Weiter hat das Berufungsgericht nach § 559 Abs. 2 ZPO für die Revisionsinstanz bindend und insoweit von der Revision unangegriffen festgestellt, dass die Klägerin den Nachweis der Authentifizierung des streitigen Zahlungsvorgangs sowie von dessen ordnungsgemäßer Verbuchung, Aufzeichnung und Störungsfreiheit geführt hat.

Ist - wie hier - die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 [X.] zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen. Eine Authentifizierung ist nach § 675w Satz 2 [X.] erfolgt, wenn der Zahlungsdienstleister die Nutzung des vereinbarten [X.], einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Sind diese Voraussetzungen nicht erfüllt, ist der Nachweis einer Autorisierung mithilfe des betroffenen [X.] gescheitert ([X.]/[X.], [X.], 75. Aufl., § 675w Rn. 2; MünchKomm[X.]/[X.], 6. Aufl., § 675w Rn. 4; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 72 f.; [X.]/[X.], [X.], Neubearb. 2012, § 675w Rn. 4 f.; [X.] in [X.]/[X.]/[X.], Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w [X.] Rn. 16).

Vorliegend hat das [X.], dem das Berufungsgericht insoweit gefolgt ist, die erfolgreiche Überprüfung der streitigen Überweisung durch die Beklagte anhand des vorgelegten Transaktionsprotokolls und damit - insoweit von der Revision nicht angegriffen - den Nachweis der Authentifizierung dieses Zahlungsvorgangs sowie den Nachweis der Verbuchung, Aufzeichnung und Störungsfreiheit festgestellt.

3. Zutreffend geht das Berufungsgericht davon aus, dass nach § 675w Satz 3 Nr. 1 [X.] die Authentifizierung und die Aufzeichnung der Nutzung des [X.] einschließlich der personalisierten Sicherheitsmerkmale aber nicht notwendigerweise ausreichen, den dem Zahlungsdienstleister - hier der Klägerin - obliegenden Nachweis einer Autorisierung des Zahlungsvorgangs zu führen. Hierzu von der Klägerin angebotene Beweise, insbesondere die Einvernahme des Streithelfers der Klägerin als Zeugen und die Einholung eines Sachverständigengutachtens, haben - von ihrem Rechtsstandpunkt zur Anwendung der Grundsätze des Anscheinsbeweises folgerichtig - jedoch weder das [X.] noch das Berufungsgericht erhoben.

4. Weiter rechtsfehlerfrei geht das Berufungsgericht davon aus, dass sich ein Zahlungsdienstleister statt dessen gegenüber dem Zahler unter bestimmten Voraussetzungen zum Nachweis der strittigen Autorisierung auf einen Beweis des ersten Anscheins berufen kann, der allerdings bei Nutzung eines [X.] den besonderen Anforderungen des § 675w Satz 3 [X.] genügen muss. Danach ist Voraussetzung eines Anscheinsbeweises bei Nutzung eines [X.] ein Sicherheitssystem, das allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat.

a) In Rechtsprechung und Literatur ist streitig, ob die [X.]n in § 675w Satz 3 [X.], mit dem Art. 59 Abs. 2 der Richtlinie 2007/64/[X.] über Zahlungsdienste im Binnenmarkt (Zahlungsdiensterichtlinie) umgesetzt worden ist, einer Anwendung der Grundsätze des Anscheinsbeweises zugunsten des Zahlungsdienstleisters gestützt auf die Aufzeichnung der Nutzung eines [X.] entgegenstehen.

aa) Eine Meinung in der Literatur ([X.]/[X.], [X.], 1117, 1126; [X.] in Jahrbuch junger Zivilrechtswissenschaftler Bd. 2007, 2008, [X.], 356; Scheibengruber, [X.], 15, 21; kritisch auch: [X.]/[X.], [X.], 14. Aufl., § 675w Rn. 16 ff.), der sich vereinzelt Gerichte angeschlossen haben (z.B. [X.], NJW-RR 2010, 407, 408), geht davon aus, § 675w Satz 3 [X.] verbiete im Zahlungsdiensterecht bei Einsatz eines [X.] die Anwendung des Anscheinsbeweises, da das dadurch entstehende [X.] und Zweck des § 675w Satz 3 [X.] wi[X.]preche.

bb) Demgegenüber nimmt die h.M. an, § 675w Satz 3 [X.] hindere eine Anwendung des Anscheinsbeweises im Zahlungsdiensterecht grundsätzlich nicht ([X.], [X.], 2244, 2245; [X.], [X.], 766, 768; [X.] in [X.]/[X.], [X.], 2. Aufl., § 675w Rn. 37; [X.]/[X.], [X.] 9/2012 [X.]. 1; Bunte, [X.] und Sonderbedingungen, 4. Aufl., 4. Teil Rn. 31; MünchKomm[X.]/[X.], 6. Aufl., § 675w Rn. 13; [X.] in [X.]bucher/[X.]/[X.], [X.], 2013, § 675w Rn. 13; [X.], [X.], 105, 112; [X.]/[X.], [X.], 57, 63; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 80; [X.], [X.] 2/2010 [X.]. 1; [X.], [X.], 961, 968; [X.]. in [X.]/[X.]/[X.], Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 27; [X.]/[X.], [X.], Neubearb. 2012, § 675w Rn. 7; [X.] in [X.]/[X.], [X.], [X.]., § 675w Rn. 12; [X.]/[X.], [X.], 75. Aufl., § 675w Rn. 4; [X.] in [X.]/[X.], Bank- und [X.]italmarktrecht, 4. Aufl., Rn. 7.774). Der Wortlaut des § 675w Satz 3 [X.] verbiete mit der Formulierung "allein nicht notwendigerweise" lediglich zwingende [X.]n, nicht aber widerlegbare Beweiserleichterungen wie den Anscheinsbeweis.

b) Der Senat entscheidet diesen Streit anknüpfend an die h.M. dahin, dass § 675w Satz 3 [X.] einer Anwendung des Anscheinsbeweises nicht entgegensteht, sondern vielmehr besondere Anforderungen an dessen Ausgestaltung stellt.

aa) Die Grundsätze des Anscheinsbeweises stehen nicht in Wi[X.]pruch zum Wortlaut des § 675w Satz 3 [X.], da dieser erst dann berührt wäre, wenn die Aufzeichnung der Nutzung eines [X.] einschließlich der Authentifizierung durch den Zahlungsdienstleister den vollen Beweis für die in § 675w Satz 3 Nr. 1 bis Nr. 3 [X.] genannten Tatsachen erbringen würde. Die Grundsätze des Anscheinsbeweises begründen hingegen weder eine zwingende [X.] noch eine Beweisvermutung und auch keine Beweislastumkehr zulasten einer [X.] (st. Rspr. [X.], z.B. Urteile vom 5. Februar 1987 - [X.], [X.]Z 100, 31, 34 und vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 319). Ein Anscheinsbeweis wird vielmehr bereits dadurch erschüttert, dass der Prozessgegner atypische Umstände des Einzelfalles darlegt und im Falle des Bestreitens Tatsachen nachweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen ([X.], Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - [X.], [X.], 723, 724).

Dies wird durch die Entstehungsgeschichte der Vorschrift gestützt. Der Zusatz "nicht notwendigerweise" ist in den Entwurf der Zahlungsdiensterichtlinie erst später eingefügt worden (MünchKomm[X.]/[X.], 6. Aufl., § 675w Rn. 12; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 80; siehe auch [X.], [X.], 2065, 2069), um klarzustellen, dass eine umfassende Beweiswürdigung nach den Grundsätzen des nationalen Prozessrechts möglich bleiben soll (Erwägungsgrund 33 der Zahlungsdiensterichtlinie). Deswegen geht auch die Regierungsbegründung zum Entwurf des § 675w Satz 3 [X.] davon aus, dass die nationalen Beweisgrundsätze und damit auch diejenigen über den Anscheinsbeweis weiterhin zulässig bleiben (BT-Drucks. 16/11643, S. 115).

bb) Der in § 675w Satz 3 [X.] festgelegten [X.] ist aber auch bei Anwendung des Anscheinsbeweises praktische Geltung zu verschaffen. § 675w Satz 3 [X.] begrenzt den Beweiswert einer schlichten Dokumentation des technischen [X.], um den Zahlungsdienstnutzer, der weder den Authentifizierungsvorgang technisch gestalten noch dessen korrekte Funktion im Einzelfall überblicken kann, nicht über § 675v Abs. 1 [X.] hinaus mit den Risiken eines Missbrauchs technischer Authentifizierungsinstrumente zu belasten. Deswegen dürfen im Zahlungsdiensterecht beim Einsatz technischer Authentifizierungsinstrumente die Grundsätze des Anscheinsbeweises nicht so gehandhabt werden, dass sie bei Vorliegen allein der in § 675w Satz 3 [X.] genannten technischen Merkmale aus praktischer Sicht einer Beweislastumkehr gleichkommen (vgl. [X.], [X.], 105, 112; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 81; siehe auch [X.]/[X.], [X.], Neubearb. 2012, Vorbemerkungen zu §§ 675c - 676c Rn. 203 [X.]).

Für eine Anwendung der Grundsätze des Anscheinsbeweises im Zahlungsdiensterecht bei dem Nachweis einer Autorisierung durch ein vereinbartes Zahlungsauthentifizierungsinstrument reicht danach allein die korrekte Aufzeichnung der Nutzung dieses [X.] nicht aus. Vielmehr müssen dessen allgemeine praktische Sicherheit und die Einhaltung des Sicherheitsverfahrens im konkreten Einzelfall feststehen. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten [X.].

(1) Der Anscheinsbeweis für eine Autorisierung durch den Zahlungsdienstnutzer darf nicht ohne Rücksicht auf das technische Schutzniveau des verwendeten Sicherheitssystems allein an die ordnungsgemäß aufgezeichnete Nutzung eines [X.] einschließlich seiner personalisierten Sicherheitsmerkmale anknüpfen (vgl. [X.]/[X.], [X.], Neubearb. 2012, Vorbemerkungen zu §§ 675c - 676c Rn. 203 [X.]; siehe dazu auch [X.] in [X.]/[X.], Zivilrecht unter [X.] Einfluss, 2. Aufl., [X.]. 16 Rn. 56). Die korrekte Aufzeichnung der Nutzung eines nicht ausreichend sicheren [X.] kann nämlich für sich keine Beweiserleichterung für den Zahlungsdienstleister rechtfertigen, da andernfalls der Zahlungsdienstnutzer entgegen der Wertung des § 675w Satz 3 Nr. 1 [X.] das Risiko von Defiziten des von ihm nicht zu verantwortenden [X.] tragen würde. Vielmehr ist ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises.

(2) Darüber hinaus darf vom Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises nicht Vortrag und ggf. Nachweis verlangt werden, auf welche Weise die Schutzvorkehrungen des [X.] überwunden worden oder weshalb sie wirkungslos geblieben sind. Das käme in der praktischen Wirkung ebenfalls einer gegen § 675w Satz 3 [X.] verstoßenden unwiderleglichen Beweislastumkehr gleich (vgl. [X.], [X.], 2198, 2206), da der Zahlungsdienstnutzer im Allgemeinen über keine Kenntnisse zu dem eingesetzten Sicherungssystem und dessen Beachtung im Einzelfall verfügen wird. Vielmehr kann zur Erschütterung des Anscheinsbeweises die Darlegung und ggf. der Nachweis aller und damit auch außerhalb des technischen Zahlungsvorgangs liegender Tatsachen genügen, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen (vgl. dazu [X.], Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - [X.], [X.], 723, 724).

5. Nach diesen [X.]ßstäben hat das Berufungsgericht sowohl die Voraussetzungen für eine Anwendung der Grundsätze des Anscheinsbeweises im [X.] verkannt und deswegen erforderliche Feststellungen nicht getroffen als auch rechtsfehlerhaft die Anforderungen an ein Erschüttern des von ihm angenommenen Anscheinsbeweises durch die Beklagte als Zahlungsdienstnutzer überspannt.

a) Die Frage, ob im Einzelfall die Grundsätze eines Anscheinsbeweises anzuwenden sind, unterliegt der Prüfung durch das Revisionsgericht ([X.], Urteile vom 5. Februar 1987 - [X.], [X.]Z 100, 31, 33, vom 17. Februar 1988 - [X.], NJW-RR 1988, 789, 790, vom 6. März 1991 - [X.], [X.], 460, vom 23. Januar 1997 - [X.], [X.], 1493, 1496 und vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 313).

b) Entgegen der Ansicht der Revisionsbegründung ist eine Anwendung der Grundsätze eines Anscheinsbeweises im [X.] nicht allgemein ausgeschlossen. Die allseits bekannte Gefahr des [X.] und [X.] von Daten, die über das [X.] übermittelt werden, steht einer gesicherten Lebenserfahrung zur Verlässlichkeit einer Online-Autorisierung nämlich dann nicht entgegen, wenn auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit eines konkret eingesetzten Sicherungsverfahrens und dessen Beachtung im konkreten Einzelfall feststehen.

aa) Ob der Beweis des ersten Anscheins für die Autorisierung eines Zahlungsvorgangs im [X.] allgemein oder für bestimmte Authentifizierungsverfahren ausgeschlossen ist, ist in Literatur und Rechtsprechung umstritten (einen Anscheinsbeweis wohl generell verneinend: [X.]/[X.], [X.], 2343, 2348; Kind/[X.], [X.], 353, 359; [X.]/[X.], [X.], 14. Aufl., § 675w Rn. 21; [X.], [X.], 1039, 1047; einen Anscheinsbeweis bei Nutzung des einfachen [X.]/[X.]-Verfahrens ablehnend: [X.], [X.], 1648, 1650; [X.], [X.], 164, 165; Bunte, [X.] und Sonderbedingungen, 4. Aufl., 4. Teil Rn. 26; [X.]/[X.], [X.], 151, 154; [X.], [X.], 2198, 2205; [X.] in [X.]/[X.]/[X.], Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 51; [X.] in Festschrift [X.], 2009, [X.], 232; auch für das i[X.]-Verfahren zweifelnd MünchKomm[X.]/[X.], 6. Aufl., § 675w Rn. 20; [X.]/[X.], [X.], Neubearb. 2012, § 675w Rn. 10; einen Anscheinsbeweis bei Nutzung des m[X.]-(= sms[X.])Verfahrens bejahend: [X.], [X.], 2372 f.; [X.] in [X.]Knops/[X.], Handbuch zum [X.] und [X.] Bankrecht, 2. Aufl., Rn. 157; [X.]., [X.], 85; MünchKomm[X.]/[X.], 6. Aufl., § 675w Rn. 20; einen Anscheinsbeweis bei Verwendung des einfachen [X.]/[X.]- oder i[X.]-Verfahrens ablehnend, jedoch für das m[X.]-, Sm@rt[X.] plus- und Sm@rt[X.] optic-Verfahren bejahend: [X.], [X.], 9, 12; einen Anscheinsbeweis nur für optimierte e[X.] bzw. chip[X.]-Verfahren annehmend [X.]/[X.], [X.], 35, 37; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 85, 87; generell für das Eingreifen eines Anscheinsbeweises bei Nutzung der richtigen [X.] und [X.] unabhängig vom konkret verwendeten System: [X.] in [X.]/[X.], Zahlungsverkehr im [X.], 2004, Rn. 180; [X.], NJW 2005, 3313, 3317; van Gelder in Festschrift [X.], 2009, [X.], 67; [X.]/[X.] in Festschrift [X.], 2009, [X.], 111; [X.], [X.], 215, 218; [X.], Recht des Zahlungsverkehrs, 4. Aufl., [X.]; [X.], MMR 1998, 232, 235; [X.] in [X.]/[X.], Bank- und [X.]italmarktrecht, 4. Aufl., Rn. 7.774).

bb) Der Senat entscheidet diese Streitfrage dahin, dass die Anwendung des Anscheinsbeweises für eine Autorisierung durch den Zahler im [X.] unter den oben genannten Voraussetzungen rechtlich zulässig und nicht generell ausgeschlossen ist.

Gegenwärtig werden nämlich Authentifizierungsverfahren im [X.] dann noch allgemein als praktisch unüberwindbar angesehen, wenn diese von einer Kompromittierung der eingesetzten Geräte nicht berührt werden, ein Zugriff Unberechtigter auf den Übertragungsweg ausgeschlossen ist, die - dynamische - [X.] an den konkreten Zahlungsvorgang gebunden ist und das Verfahren dem Zahlungsdienstnutzer vor einer Freigabe die Überprüfung des vollständigen, unverfälschten Zahlungsauftrags ermöglicht (siehe [X.]/[X.], [X.], 35, 36 f. und [X.], 549, 552 zum chip[X.]-Verfahren; vgl. dazu auch [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 19, 85). Bislang sind noch keine praktisch erfolgreichen Angriffe auf ein derart ausgestaltetes System in der Öffentlichkeit bekannt geworden. Eine die Anwendung des Anscheinsbeweises rechtfertigende Typik muss somit nicht von vornherein an der allgemeinen Unsicherheit einer Datenübertragung über das [X.] scheitern.

c) Das Berufungsgericht hat aber rechtsfehlerhaft ohne Prüfung der praktischen Unüberwindbarkeit des eingesetzten [X.] einen Erfahrungssatz angenommen, nach Nutzung der zutreffenden [X.] und sms[X.] für einen Zahlungsauftrag im [X.] spreche der Anschein für dessen Autorisierung durch den Kontoinhaber. In diesem Zusammenhang hat es weiter zu Unrecht von dem Zahlungsdienstnutzer - hier der [X.] - Darlegung und ggf. Nachweis dafür verlangt, dass die Nutzung des [X.] durch Unberechtigte technisch möglich gewesen sei.

aa) Der Beweis des ersten Anscheins erfordert die Feststellung eines allgemeinen Erfahrungssatzes als einer aus allgemeinen Umständen gezogenen tatsächlichen Schlussfolgerung, die auf den vorliegenden konkreten Sachverhalt angewendet werden kann ([X.], Urteile vom 4. Oktober 1983 - [X.], [X.], 40 und vom 6. März 1991 - [X.], [X.], 460, 461). Dieser Sachverhalt, der grundsätzlich von der beweisbelasteten [X.] darzulegen und zu beweisen ist ([X.], Urteil vom 14. September 2005 - [X.], [X.], 300 Rn. 11), muss einer Typik entsprechen, also nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweisen ([X.], Urteile vom 27. [X.]i 1957 - [X.], [X.]Z 24, 308, 312, vom 5. Februar 1987 - [X.], [X.]Z 100, 31, 33, vom 6. März 1991 - [X.], [X.], 460, 461, vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 313 und vom 14. September 2005 - [X.], [X.], 300 Rn. 9 f.).

Voraussetzungen eines Anscheinsbeweises, der für die Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer im [X.] spricht, sind danach - wie oben dargestellt - nicht nur die in § 675w Satz 1 [X.] genannten Umstände, die lediglich die Dokumentation des [X.] betreffen, sondern es bedarf zusätzlich der Feststellung eines allgemein praktisch nicht zu überwindenden, im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems.

bb) Dazu hat das Berufungsgericht keine Feststellungen getroffen, sondern die rechtsfehlerhafte Auffassung des [X.]s bestätigt, bereits die korrekte Aufzeichnung im Transaktionsprotokoll begründe den "Anschein einer ordnungsgemäßen Nutzung des [X.]".

(1) Funktionsweise und allgemeine praktische Unüberwindbarkeit des hier verwendeten sms[X.]-Verfahrens sind weder substantiiert dargelegt noch sind dazu Beweise erhoben worden. Die isolierte Feststellung, die für einen Zahlungsvorgang erforderliche [X.] sei an die bei der Bank hinterlegte Rufnummer der SIM-Karte des Geschäftsführers der [X.] übermittelt und mit dieser [X.] sei die Überweisung freigegeben worden, liefert keine Information zum Sicherheitsniveau des konkret eingesetzten Verfahrens.

(2) Weiter fehlt die notwendige Klärung, ob das von dem Zahlungsdienstleister konkret genutzte Sicherheitssystem im [X.]punkt der Vornahme des strittigen Zahlungsvorganges ein ausreichendes Sicherheitsniveau für die Anwendung des Anscheinsbeweises geboten hat (vgl. dazu Senatsurteile vom 14. November 2006 - [X.], [X.]Z 170, 18 Rn. 31 und vom 29. November 2011 - [X.], [X.], 164 Rn. 37; Senatsbeschluss vom 6. Juli 2010 - [X.], [X.], 924 Rn. 12). Diese Prüfung muss auf Grundlage des neuesten Stands der Erfahrung erfolgen (vgl. dazu Laumen in [X.], Handbuch der Beweislast, [X.]., [X.]. 17 Rn. 26). Gerade im [X.], in dem Sicherungssysteme und Angriffsszenarien laufenden und kurzfristigen Änderungen unterworfen sind, reichen älterer Rechtsprechung zugrunde liegende Erkenntnisse oder Ansichten von Stimmen in der Literatur nicht aus. Vielmehr wird regelmäßig Anlass bestehen, das eingesetzte Sicherungssystem und den konkreten technischen Ablauf, die dem streitigen Zahlungsvorgang zugrunde lagen, einer die aktuellen Erkenntnisse auswertenden sachverständigen Begutachtung zu unterziehen, um den neuesten Stand der Erfahrung zu erfassen (vgl. dazu auch Senatsbeschluss vom 6. Juli 2010 - [X.], [X.], 924 Rn. 12 und Senatsurteil vom 29. November 2011 - [X.], [X.], 164 Rn. 37).

(a) Da zu dem hier eingesetzten sms[X.]-Verfahren zahlreiche bekannt gewordene erfolgreiche Attacken die Frage aufwerfen, ob es allgemein als praktisch unüberwindbar gelten und damit einen Anscheinsbeweis für die Autorisierung der Zahlung durch den Zahlungsdienstnutzer bei Verwendung der richtigen [X.] und [X.] rechtfertigen kann, hätte das Berufungsgericht hierzu Feststellungen treffen müssen. So sind zum [X.] eingesetzte Computer zugleich mit dem zum Empfang der [X.] eingesetzten Smartphone infiziert worden (vgl. [X.] in der Informationstechnik, Pressemeldung vom 4. März 2011, Neue Schadsoftware liest m[X.]-Nummern mit), sodass Zahlungsvorgänge in Echtzeit manipuliert werden konnten (siehe [X.], [X.] 2013 - Cybercrime, S. 8). Weiter waren mittels eines [X.] durchgeführte sog. [X.]/[X.] erfolgreich ([X.], [X.] 2014 - Cybercrime, S. 7 f. und [X.] in der Informationstechnik, Die Lage der [X.] in [X.] 2014, S. 30; siehe dazu auch [X.], [X.], 9, 10; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 85, 87; [X.] in [X.]/[X.]/[X.], Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 53; [X.]/[X.], [X.], Neubearb. 2012, § 675w Rn. 10). Danach ist aufgrund öffentlich zugänglicher Quellen fraglich, ob das sms[X.]-Verfahren allgemein einen Sicherheitsstandard aufweist, der die Anwendung der Regeln des Anscheinsbeweises rechtfertigt.

(b) Weiter hat das Berufungsgericht die Klärung rechtsfehlerhaft unterlassen, ob mögliche Sicherheitsdefizite des sms[X.]-Verfahrens dessen Einordnung als allgemein praktisch unüberwindbar bereits im [X.]punkt der streitigen Autorisierung hinderten. Denn inzwischen bekannt gewordene Schwächen des sms[X.]-Verfahrens, die jedoch im [X.]punkt der Erteilung des hier streitigen Zahlungsauftrags noch nicht bekannt oder praktisch nicht nutzbar waren, können einer Anwendung der Grundsätze des Anscheinsbeweises nicht entgegenstehen.

(3) Unabhängig davon war vor einer Anwendung der Grundsätze des Anscheinsbeweises die Einhaltung des Sicherheitsniveaus des sms[X.]-Verfahrens im [X.]-System der Klägerin bei Erteilung des konkreten Zahlungsauftrags zu überprüfen.

Dazu bestand im vorliegenden Fall besonderer Anlass, da unstreitig wegen einer EDV-Umstellung bei der Klägerin über längere [X.] erhebliche Softwareprobleme auch im [X.] auftraten, die etwa zu unberechtigten Gutschriften in sechsstelliger Höhe führten. Davon war auch das Geschäftsgirokonto der [X.] betroffen. Eine die Anwendung des Anscheinsbeweises rechtfertigende Typizität setzt mithin vorliegend die konkrete Darlegung und ggf. den Nachweis voraus, dass sich solche Probleme nicht auf das Sicherheitssystem des sms[X.]-Verfahrens ausgewirkt haben.

(4) In diesem Zusammenhang hat das Berufungsgericht im [X.] an das [X.] weiter rechtsfehlerhaft angenommen, dass Voraussetzung einer Beweisaufnahme über die Sicherheit des eingesetzten Authentifizierungssystems substantiierter Vortrag der [X.] als Zahlungsdienstnutzer zu konkreten Defiziten im Sicherheitssystem des [X.] der Klägerin sei. Da grundsätzlich die beweisbelastete [X.] die Darlegungs- und Beweislast auch für die Tatsachen trägt, die der Anwendung eines Anscheinsbeweises zugrunde liegen ([X.], Urteil vom 14. September 2005 - [X.], [X.], 300 Rn. 11), hat vielmehr der Zahlungsdienstleister - hier die Klägerin - die konkrete Ausgestaltung des von ihm eingesetzten Authentifizierungssystems und dessen Sicherheitsniveau darzulegen und im Falle des Bestreitens zu beweisen.

d) Das Berufungsgericht hat weiter rechtsfehlerhaft die Anforderungen an ein Erschüttern des von ihm angenommenen Anscheinsbeweises überspannt und deswegen von seinem Rechtsstandpunkt aus zu Unrecht die dazu von der [X.] angebotenen Zeugen nicht vernommen bzw. den Geschäftsführer der [X.] nicht zumindest angehört.

aa) Ein Anscheinsbeweis ist erschüttert, wenn der [X.] Tatsachen darlegt und gegebenenfalls zur vollen Überzeugung des erkennenden Gerichts beweist ([X.], Urteil vom 18. Dezember 1952 - [X.], [X.]Z 8, 239, 240), die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen ([X.], Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - [X.], [X.], 723, 724). Danach muss der Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines [X.] sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist.

bb) Entgegen der Ansicht des Berufungsgerichts hat die Beklagte zu solchen, zur Erschütterung des Anscheinsbeweises geeigneten Umständen hinreichend vorgetragen.

(1) Sie hat behauptet und unter Beweis gestellt, dass der Geschäftsführer der [X.] den Überweisungsempfänger nicht kenne und er diesem auch keine schriftliche Zahlungsanweisung erteilt habe. Sofern eine solche mit seiner Unterschrift vorliegen sollte, sei die Unterschrift gefälscht. Weiter sei er zum [X.]punkt der Überweisung in Urlaub gewesen und habe keine Möglichkeit gehabt, Buchungen im Wege des [X.] vorzunehmen. Das Mobiltelefon, in dem sich die SIM-Karte zu der bei der Klägerin für das sms[X.]-Verfahren hinterlegten Telefonnummer befunden habe, habe sich im Gewahrsam eines Mitarbeiters befunden, der ebenfalls keinen Überweisungsauftrag erteilt habe. Die [X.] sei zwar über [X.] auf dem Mobiltelefon eingegangen, der Mitarbeiter habe diese [X.] aber für Spam gehalten und "weggedrückt" sowie die [X.] nicht verwendet.

(2) Träfe diese Sachdarstellung zu, hätte der Geschäftsführer der [X.] im [X.]punkt der Erteilung eines Überweisungsauftrags keinen Zugriff auf die erforderliche [X.] gehabt und der als Zeuge benannte Mitarbeiter hätte mangels [X.] keinen Zahlungsauftrag erteilen können sowie die [X.] nicht genutzt. Zudem wäre der Zahlungsempfänger dem Geschäftsführer der [X.] unbekannt gewesen. Könnte die Beklagte diese Behauptungen zur Überzeugung der Tatsachengerichte nachweisen, wäre ein Anscheinsbeweis ersichtlich erschüttert. Die Anträge auf Vernehmung des Mitarbeiters [X.].     und weiterer Zeugen sowie ggf. auf Anhörung des Geschäftsführers der [X.] durften deswegen nicht zurückgewiesen werden. Das gilt auch für die Vernehmung des Streithelfers, die - was vom Berufungsgericht übersehen worden ist - bereits in der Klageerwiderung beantragt worden ist.

cc) Entgegen der Ansicht des Berufungsgerichts musste die Beklagte als Voraussetzung einer Erhebung dieser Beweise nicht darlegen, dass das von der [X.] eingesetzte Mobiltelefon mit einem Schadprogramm infiziert gewesen ist, nicht von sich aus einen Computerexperten mit der Untersuchung des Mobiltelefons beauftragen und auch nicht erklären, auf welche Weise ein unbefugter Dritter an die Zugangsdaten gelangt ist. Die Erschütterung eines Anscheinsbeweises verlangt nämlich nicht die Aufklärung des unsicheren Geschehensablaufs, sondern lediglich den Nachweis der ernsthaften, ebenfalls in Betracht kommenden Möglichkeit einer anderen Ursache.

e) Die Revision beanstandet schließlich zu Recht, das Berufungsgericht habe in diesem Zusammenhang rechtsfehlerhaft die für die Klägerin günstige Indiztatsache, dem Streithelfer sei von der [X.] ein Auftrag zur Weiterleitung des zu Unrecht überwiesenen Betrags erteilt worden, als festgestellt zugrunde gelegt. Dazu ist nämlich von der Klägerin und ihrem Streithelfer nur Vortrag gehalten worden, den die Beklagte bestritten hat, sodass es bei der Beweislast der Klägerin verblieben ist. Deswegen kommt es - an[X.] als das Berufungsgericht meint - zunächst nicht auf einen Antrag der [X.] zur Führung des [X.] an. Das Berufungsgericht hätte vielmehr den von der Klägerin angetretenen Hauptbeweis zu der ihr günstigen Behauptung erheben müssen, die Beklagte habe dem Streithelfer einen entsprechenden Auftrag erteilt. Da sich auch die Beklagte bereits in der Klageerwiderung - gegenbeweislich - auf die Vernehmung des Streithelfers als Zeugen berufen hat, dürfte dessen Vernehmung die anwaltliche Schweigepflicht aus einem möglichen Anwaltsvertrag mit der [X.] nicht entgegenstehen (§ 385 Abs. 2, § 383 Abs. 1 Nr. 6 ZPO).

Die Entscheidung des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als richtig dar (§ 561 ZPO).

1. Die Überweisung des streitigen Betrags vom Konto der [X.] auf ein Konto des Streithelfers wirkt nicht nach den Grundsätzen der [X.] oder eines Handelns unter fremdem Namen zulasten der [X.].

a) In Rechtsprechung und Literatur ist umstritten, ob von [X.] unter Nutzung eines [X.] einschließlich seiner personalisierten Sicherheitsmerkmale veranlasste Zahlungsvorgänge dem Zahler nach den Grundsätzen der [X.] zugerechnet werden können (für eine generelle Anwendbarkeit der Grundsätze der [X.]: [X.] in Schimansky/Bunte/[X.], [X.], [X.]., § 55 Rn. 26; [X.]/[X.] in Festschrift [X.], 2009, [X.], 102 ff.; eine [X.] im Falle eines [X.]n-in-the-Middle-Angriffs bei Verwendung des Smart-[X.]-plus-Verfahrens bejahend: [X.], [X.], 1972, 1974; die Anwendbarkeit von [X.] ablehnend: KG, [X.], 493, 494; [X.], Urteil vom 11. August 2009 - 37 O 4/09, juris Rn. 15; [X.], NJW 2005, 3313, 3314; [X.]/[X.], [X.], 151, 154; [X.], [X.], 9, 12; [X.], [X.], 96, 98; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 68; [X.], ZfRV 2013, 80, 86; [X.] in Festschrift [X.], 2009, [X.], 218 ff.; [X.]/[X.], [X.], 14. Aufl., § 675w Rn. 22).

b) Der Senat hat erhebliche Zweifel, ob die Grundsätze einer [X.] bzw. eines Handelns unter fremdem Namen im Recht der Zahlungsdienste neben den [X.] der § 675j Abs. 1 Satz 4, §§ 675u, 675v [X.] angewendet werden können.

Die Auffassung, ein Kontoinhaber müsse Zahlungsaufträge, die ein Dritter unter missbräuchlicher Verwendung eines [X.] erteilt hat, nach diesen [X.] gegen sich gelten lassen, wenn ihm das Handeln des Nichtberechtigten bekannt war oder er es hätte erkennen können (vgl. [X.], [X.], 52; [X.], [X.], 493, 494; [X.], [X.], 1972, 1974 f.; [X.]/Klanten/[X.], Bankrecht, 4. Aufl., Rn. 10.475 f.; MünchKommHGB/Häuser/Haertlein, [X.]., [X.], Bankkartenverfahren, Rn. [X.]; [X.] in [X.]bucher/[X.]/[X.], [X.], 2013, § 675u Rn. 7), ist mit den nach § 675e Abs. 1 [X.] im Grundsatz abschließenden (vgl. auch Senatsurteil vom 16. Juni 2015 - [X.], [X.], 1631 Rn. 23) Regelungen in § 675j Abs. 1 Satz 4, § 675u Satz 1 [X.] nicht zu vereinbaren ([X.], [X.], 96, 98; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 68; siehe auch MünchKomm[X.]/[X.], 7. Aufl., § 167 Rn. 126 und [X.] 2012, 225, 231). Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag ist bei Nutzung eines personalisierten [X.], das ohnehin nach § 675l [X.] geheim zu halten ist, eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Das Handeln eines [X.] bei der förmlichen Authentifizierung nach § 675j Abs. 1 Satz 4 [X.] mit den personalisierten Sicherheitsmerkmalen des Kontoinhabers ist damit unwirksam und kann auch dann einen Zahlungsauftrag mittels des betreffenden [X.] nicht autorisieren, wenn die persönlichen Sicherheitsmerkmale vom [X.] mit Zustimmung des Kontoinhabers eingesetzt worden sein sollten. Zudem ist der in § 675v Abs. 2 [X.] festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen hat, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht käme ([X.], [X.], 96, 98; [X.], [X.], 9, 12; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 68; vgl. auch [X.], [X.], 225, 231).

Soll ein entsprechend Bevollmächtigter das Recht erhalten, für den Kontoinhaber mit einem Zahlungsauthentifizierungsinstrument Zahlungsvorgänge zu autorisieren, muss ihm ein eigenes personalisiertes Authentifizierungsinstrument einschließlich gesonderter personalisierter Sicherheitsmerkmale zugewiesen werden.

c) Dies bedarf im vorliegenden Fall jedoch keiner abschließenden Entscheidung, da die Voraussetzungen einer [X.] oder eines Handelns unter fremdem Namen bei der - hier zu unterstellenden - missbräuchlichen Nutzung von [X.] und [X.] im [X.] nicht vorliegen.

aa) Eine [X.] setzt voraus, dass der Vertretene das Handeln des Scheinvertreters nicht kennt, er es aber bei [X.] hätte erkennen und verhindern können, und der Geschäftspartner annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters (st. Rspr., vgl. [X.], Urteile vom 10. Januar 2007 - [X.], NJW 2007, 987 Rn. 25, vom 16. März 2006 - [X.], [X.]Z 166, 369 Rn. 17 und vom 11. [X.]i 2011 - [X.], [X.]Z 189, 346 Rn. 16 jeweils mwN). Zudem ist im Grundsatz erforderlich, dass das Verhalten des [X.]n, aus dem der Geschäftsgegner auf die Bevollmächtigung des [X.] schließt, von einer gewissen Dauer und Häufigkeit ist (st. Rspr., vgl. [X.], Urteile vom 10. Januar 2007 - [X.], NJW 2007, 987 Rn. 25, vom 16. März 2006 - [X.], [X.]Z 166, 369 Rn. 17 und vom 11. [X.]i 2011 - [X.], [X.]Z 189, 346 Rn. 16 jeweils mwN).

Diese Voraussetzungen sind vorliegend nicht erfüllt. Die Klägerin hat - nach dem hier zugrunde zu legenden Sachverhalt - nicht erkannt, dass ein Dritter und nicht der Kunde gehandelt hat. Zudem kommt lediglich ein einmaliger Missbrauch des [X.] und kein Handeln von gewisser Dauer und Häufigkeit in Betracht.

bb) Die Beklagte haftet auch nicht wegen eines Handelns des unbekannten [X.] unter ihrem Namen in entsprechender Anwendung der für [X.]en geltenden Grundsätze.

Erweckt das verdeckte Handeln unter fremdem Namen bei dem Geschäftspartner den Eindruck, tatsächlich werde die Erklärung vom Namensträger abgegeben, und wird dadurch eine falsche Vorstellung von der Identität des Handelnden hervorgerufen, können die Grundsätze der [X.] entsprechend anzuwenden sein (vgl. [X.], Urteil vom 3. März 1966 - [X.], [X.]Z 45, 193, 195 f. und vom 11. [X.]i 2011 - [X.], [X.]Z 189, 346 Rn. 12). Dies kann auch für Geschäfte gelten, die - vergleichbar der vorliegenden Konstellation - über das [X.] abgewickelt werden (vgl. [X.], Urteil vom 11. [X.]i 2011, aaO Rn. 12; [X.]/[X.], [X.], 75. Aufl., § 172 Rn. 18).

Der [X.] wird aber auch in diesem Fall nur verpflichtet, wenn er das Handeln des Scheinvertreters bei [X.] hätte erkennen und verhindern können und dieses Handeln von einer gewissen Dauer und Häufigkeit war (vgl. [X.], Urteil vom 11. [X.]i 2011 - [X.], [X.]Z 189, 346 Rn. 16). Beide Voraussetzungen sind nicht erfüllt, wenn lediglich ein einmaliger missbräuchlicher Kontozugriff in Betracht kommt, der - entsprechend dem auch hier zugrunde zu legenden Sachverhalt - von dem Zahlungsdienstnutzer erst im Nachhinein erkannt wurde.

2. Die Klage ist entgegen der Ansicht der Revisionserwiderung auch nicht nach § 675v Abs. 2 [X.] als Schadensersatzanspruch begründet.

a) Tatsachen, die eine betrügerische Absicht oder ein grob fahrlässiges Verhalten der [X.] belegen würden, sind von der Klägerin nicht vorgetragen und vom Berufungsgericht nicht festgestellt worden.

b) Es gibt auch keinen Erfahrungssatz, wonach bei einem Missbrauch des [X.] bereits die korrekte Aufzeichnung der Nutzung eines [X.] und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des [X.] sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 2 [X.] obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann.

aa) In Literatur und Rechtsprechung ist umstritten, ob bei missbräuchlicher Verwendung von [X.] und [X.] durch einen [X.] im [X.] ein Anscheinsbeweis für eine grob fahrlässige Pflichtverletzung des Zahlers in Anspruch genommen werden kann (mangels Typizität einen Anscheinsbeweis generell bezweifelnd: [X.]/[X.], [X.], 14. Aufl., § 675w Rn. 21; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 166; [X.]/[X.], [X.], Neubearb. 2012, § 675w Rn. 10; [X.]/Klabunde, [X.], 84, 87; [X.] in Festschrift [X.], 2009, [X.], 232; einen Anscheinsbeweis für einfache Fahrlässigkeit bejahend, für grobe Fahrlässigkeit verneinend: [X.], [X.], 1157, 1163; kein Anscheinsbeweis für eine grob fahrlässige Sorgfaltspflichtverletzung bei Anwendung des klassischen [X.]/[X.]-Verfahrens: LG [X.]nnheim, [X.], 2015; [X.], [X.], 85, 87; [X.]/[X.], [X.], 151, 154; [X.], [X.], 2198, 2206; Kind/[X.], [X.], 353, 359; [X.] in [X.]/[X.]/[X.], Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 52; [X.] in [X.]bucher/[X.]/[X.], [X.], 2013, § 675w Rn. 15, der jedoch für das i[X.]-, e[X.]- und m[X.]-Verfahren einen Anscheinsbeweis für grobe Fahrlässigkeit annimmt; kein Anscheinsbeweis bei Verwendung des m[X.]-Verfahrens: [X.], [X.], 2372; einen Anscheinsbeweis allgemein bejahend: [X.], [X.], 2049, 2058; [X.] in [X.]/[X.], Zahlungsverkehr im [X.], 2004, Rn. 183; [X.], [X.], 85; van Gelder in Festschrift [X.], 2009, [X.], 67; [X.]/[X.] in Festschrift [X.], 2009, [X.], 110; [X.] in [X.]/[X.]/[X.], [X.]. [X.], Teil 13.5, Stand Juli 2013 Rn. 63; [X.], [X.], 1039, 1050).

bb) Der Senat entscheidet diesen Streit dahingehend, dass bei missbräuchlicher Verwendung von [X.] und [X.] im [X.] allein die Aufzeichnung der Nutzung eines [X.] und die Prüfung der Authentifizierung im Sinne von § 675w Satz 3 Nr. 4 [X.] die Anwendung der Grundsätze des Anscheinsbeweises für eine grob fahrlässige Pflichtverletzung des Zahlers nicht rechtfertigen. Auch ein Anscheinsbeweis auf alternativer Grundlage, der Zahlungsdienstnutzer habe entweder den Zahlungsvorgang autorisiert oder aber grob fahrlässig gegen seine Pflichten aus § 675l [X.] verstoßen, kommt deswegen nicht in Betracht.

(1) Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt ([X.], Urteile vom 30. Januar 2001 - [X.], NJW 2001, 2092, 2093, vom 11. Juli 2007 - [X.], NJW 2007, 2988 Rn. 15 und vom 10. Oktober 2013 - [X.], [X.]Z 198, 265 Rn. 26 mwN). Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden ([X.], Urteile vom 30. Januar 2001 - [X.], NJW 2001, 2092, 2093 und vom 10. Oktober 2013 - [X.], [X.]Z 198, 265 Rn. 28).

(2) Es gibt keine die Grundsätze des Anscheinsbeweises stützende Erfahrungssätze, dass bei Aufzeichnung der fehlerfreien Nutzung eines [X.] ein Missbrauch des [X.] auf einer solchen subjektiv unentschuldbaren Verletzung von Sorgfaltspflichten in beson[X.] schwerem [X.]ße durch den Zahlungsdienstnutzer beruhen würde oder dass in einem solchen Fall jedenfalls ein tatsächliches Verhalten des [X.] belegt wäre, das als grob fahrlässig bewertet werden könnte.

(a) Die Regeln des Anscheinsbeweises sind auf den Nachweis der subjektiven Voraussetzungen grober Fahrlässigkeit grundsätzlich dann nicht anwendbar, wenn es sich - wie hier - um ein individuelles Versagen handelt (vgl. [X.], Urteile vom 21. April 1970 - [X.], [X.], 568, vom 7. [X.]i 1974 - [X.], [X.], 853, vom 29. Januar 2003 - [X.], [X.], 1118, 1119 und vom 21. März 2007 - [X.], NJW-RR 2007, 1630 Rn. 20; [X.] in [X.] ZPO, Stand: 1. September 2015, § 284 ZPO Rn. 96; [X.]/Georg [X.]s, [X.], Neubearb. 2014, § 276 Rn. 97; [X.]/[X.], [X.], 75. Aufl., § 277 Rn. 7; [X.] in [X.], ZPO, 22. Aufl., § 286 Rn. 142; [X.]/[X.], ZPO, 6. Aufl., § 286 Rn. 43). Dieser Grundsatz gilt auch, wenn der Missbrauch des [X.] auf einem Umstand aus der Sphäre des [X.] beruht. Denn ein objektiv grober Pflichtenverstoß rechtfertigt für sich allein noch nicht den Schluss auf ein gesteigertes personales Fehlverhalten, selbst wenn dieses in vergleichbaren Fällen häufig vorliegen sollte (vgl. dazu [X.], Urteile vom 12. Januar 1988 - [X.], NJW 1988, 1265, 1266 und vom 30. Januar 2001 - [X.], NJW 2001, 2092, 2093).

(b) Die Regeln des Anscheinsbeweises können aber auch nicht zum Nachweis der objektiven Voraussetzungen grober Fahrlässigkeit des [X.] im [X.] herangezogen werden. Zwar ist der Anscheinsbeweis zum Nachweis grober Fahrlässigkeit grundsätzlich zulässig, wenn damit lediglich die Annahme eines bestimmten tatsächlichen Verhaltens gestützt werden soll und dieses erst in einem weiteren Schritt rechtlich als grob fahrlässig bewertet wird (vgl. Senatsurteil vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 319).

Im Falle eines Missbrauchs des [X.] gibt es aber keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des [X.] hinweisen würden. Die Vielzahl von Authentifizierungsverfahren, die sich zum Teil erheblich im [X.] und in dessen Ausgestaltung unterscheiden (vgl. [X.]/[X.], [X.], 35; [X.] in Schimansky/Bunte/[X.], [X.], 4. Aufl., § 55 Rn. 7 ff.), können jeweils auf unterschiedliche Weise angegriffen werden, wozu wiederum verschiedene Pflichtverletzungen des [X.] beitragen können, sodass - an[X.] als bei Nutzung von Zahlungskarten an Geldautomaten (Senatsurteile vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 317 f. und vom 29. November 2011 - [X.], [X.], 164 Rn. 16; Senatsbeschluss vom 6. Juli 2010 - [X.], [X.], 924 Rn. 10) - ein Missbrauch des [X.] nicht auf ein bestimmtes Verhalten des [X.] hinweist, das sodann als grob fahrlässig eingeordnet werden könnte.

Einer Vorlage an den [X.] zur Klärung der Frage, ob eine Anwendung der Regeln des Anscheinsbeweises bei Einsatz eines [X.] mit der Zahlungsdiensterichtlinie zu vereinbaren ist, bedarf es nicht, da nach den oben dargestellten Grundsätzen der Anscheinsbeweis im [X.] in Übereinstimmung mit Art. 59 Abs. 2 der Zahlungsdiensterichtlinie nicht ausschließlich an die genannte Dokumentation der Nutzung des [X.] anknüpft und zudem keine zwingende [X.] zur Folge hat. Im Übrigen obliegt die Beweiswürdigung, zu der auch die Grundsätze des Anscheinsbeweises gehören, nach Erwägungsgrund 33 der Zahlungsdiensterichtlinie den Gerichten nach nationalem Recht.

Der Zurückweisungsbeschluss ist deshalb aufzuheben (§ 562 Abs. 1 ZPO). Da die Sache nicht zur Endentscheidung reif ist, ist sie zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 563 Abs. 1 Satz 1 ZPO).

1. Dieses wird, wenn es die Grundsätze des Anscheinsbeweises anwenden will, ggf. nach Ergänzung des Vortrags der Klägerin zum verwendeten Sicherheitssystem mit sachverständiger Hilfe festzustellen haben, ob dieses nach heutigem Kenntnisstand im [X.]punkt der Autorisierung des streitigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und dieses Sicherheitsniveau auch im vorliegenden Fall bei Vornahme der strittigen Überweisung trotz der technischen Schwierigkeiten im EDV-System der Klägerin gewahrt worden ist.

a) Sollte das Ergebnis dieser Beweiserhebung nach Auffassung des Berufungsgerichts eine Anwendung des Anscheinsbeweises für die Autorisierung der Überweisung durch die Beklagte rechtfertigen, werden die von der [X.] zu dessen Erschütterung angebotenen Beweise zu erheben sein. Dabei kann nach den Grundsätzen der sekundären Darlegungslast der Zahlungsdienstleister - hier die Klägerin - im Rahmen des Zumutbaren (Senatsurteil vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 320) gehalten sein, das verwendete Sicherheitssystem und eventuell bestehende weitere Sicherheitsvorkehrungen darzustellen, soweit dies nicht bereits im Rahmen der Begründung des Anscheinsbeweises geschehen ist. Dadurch soll der Zahler in die Lage versetzt werden, Beweis für von ihm vermutete konkrete Sicherheitsmängel antreten zu können (vgl. [X.], Urteile vom 15. [X.]i 2003 - [X.], juris Rn. 15 und vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 320). Der Zahlungsdienstleister wird weiter auf Grundlage des Girovertrags in seinem Besitz befindliche technische Aufzeichnungen, die die streitigen sowie im selben [X.]raum ausgeführte Zahlungsvorgänge betreffen oder hierüber Aufschluss geben können, bis zur Klärung der Angelegenheit aufzuheben und sie dem Zahler gegebenenfalls zugänglich zu machen haben (Senatsurteil vom 5. Oktober 2004 - [X.], [X.]Z 160, 308, 320 mwN).

b) Dem steht ein allgemeines Interesse der Kreditwirtschaft an der Geheimhaltung von Sicherungssystemen nicht entgegen. Einem im konkreten Einzelfall bestehenden berechtigten Geheimhaltungsinteresse des betroffenen Kreditinstituts an den technischen Grundlagen des von ihm eingesetzten [X.] kann in einem gerichtlichen Verfahren dadurch Rechnung getragen werden, dass nach § 172 Nr. 2 [X.] die Öffentlichkeit ausgeschlossen wird und nach § 174 Abs. 3 [X.] die Verfahrensbeteiligten zur Verschwiegenheit verpflichtet werden (vgl. dazu [X.], Urteil vom 9. Dezember 2015 - [X.], juris Rn. 9 ff.).

2. Stattdessen bzw. bei einem Scheitern eines Anscheinsbeweises kann der Zahlungsdienstleister - hier die Klägerin - eine Autorisierung des Zahlungsauftrags durch den Zahler im Wege des [X.] nachweisen. Insoweit hat die Klägerin auch Beweis angeboten. In diesem Fall wird der Zahlungsdienstnutzer nach den Grundsätzen der sekundären Darlegungslast zu allen ihm bekannten Umständen, die den streitigen Zahlungsvorgang und dessen Autorisierung betreffen, insbesondere zu den Sicherheitsvorkehrungen auf dem für das [X.] genutzten Rechner und dem Mobiltelefon sowie zur Notierung, Speicherung oder Weitergabe der [X.] substantiiert vorzutragen haben.