Landgericht Kiel: 12 O 562/17 vom 22.06.2018

Tags hinzufügen

Sie können dem Inhalt selbst Schlagworten zuordnen. Geben Sie hierfür jeweils ein Schlagwort ein und drücken danach auf sichern, bevor Sie ggf. ein neues Schlagwort eingeben.

Beispiele: "Befangenheit", "Revision", "Ablehnung eines Richters"

Tenor

1. Die Beklagte wird verurteilt, das Zahlungskonto mit der IBAN […] wieder auf den Stand zu bringen, auf dem es sich ohne die Belastungen am 31.08.2017 in Höhe von 11.270 € und 16.900 € befunden hätte. Die weitere Klage wird abgewiesen.

2. Die Beklagte trägt die Kosten des Rechtsstreits.

3. Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von 34.000 €.

Beschluss

Der Streitwert wird auf 28.170,00 € festgesetzt.

Tatbestand

1

Der Kläger begehrt die Erstattung zweier von ihm nicht autorisierter Überweisungen von seinem Konto bei der Beklagten.

2

Der Kläger ist Einzelkaufmann. Er unterhält bei der beklagten Bank ein Geschäftskonto mit der IBAN […].

3

2007 vereinbarten die Parteien, dass der Kläger per Online-Banking unter Verwendung eines Anmeldenamens, einer persönlichen Geheimzahl (PIN) und einer Transaktionsnummer (TAN) Anweisungen an die Beklagte erteilen kann. Im Jahr 2011 vereinbarten die Parteien die Verwendung des smsTAN-Verfahrens. Die dazu online einzugebende Transaktionsnummer sendet die Beklagte dem Kläger auf dessen Mobiltelefon per SMS zu. Der Kläger unterhält zur Nutzung seines Mobiltelefons ([…]) bei der Fa. [X] einen Mobiltelefonvertrag.

4

Am Morgen des 30.08.2017 stellte der Kläger fest, dass sein Mobiltelefon nicht mehr funktioniert. Er meldete dies um 11:09 Uhr der [X].

5

Am 31.08.2017 um 11:36 und um 11:40 Uhr wurden unter Verwendung des smsTAN-Verfahrens per Online-Banking zwei unautorisierte Überweisungen vom Konto des Klägers in Höhe von zusammen 28.170 € an unbekannte Empfänger vorgenommen. Der Kläger bemerkte dies noch am Vormittag desselben Tages und meldete die unautorisierten Überweisungen der Beklagten sogleich. Das Geld war jedoch nicht wieder zurückzuerlangen, weil sofort nach Eingang des Geldes bei den Empfängern darüber verfügt worden war. Der Kläger erstattete unverzüglich Strafanzeige. Die Beklagte verweigerte die Rückbuchung der Kontobelastungen.

6

Der Kläger behauptet: Als er am 30.08.2017 die mangelnde Funktion seines Mobiltelefons der [X] meldete, sei deren Kundenberater von einer fehlerhaften Karte (technischer Defekt) ausgegangen und habe dem Kläger empfohlen, sich in einer Filiale eine andere SIM-Karte (Zweitkarte) geben zu lassen, was der Kläger auch getan habe. Die Originalkarte des Klägers sei von der [X] sogleich gesperrt und von ihm selbst zerstört worden. Am nächsten Tag habe der Kläger eine neue Hauptkarte erhalten sollen, dazu sei es jedoch nicht mehr gekommen.

7

Der Kläger behauptet, die unautorisierten Überweisungen hätten den mit der Beklagten vereinbarten Verfügungsrahmen überschritten, was die Beklagte zu vertreten habe. Es sei außerdem nicht auszuschließen, dass für die nicht autorisierten Überweisungen eine Sicherheitslücke in den Systemen der Beklagten ursächlich sei. Die Beklagte habe keine ausreichenden Maßnahmen zur Verhütung unerlaubter Zugriffe auf seine personenbezogenen Daten getroffen (§ 13 Abs. 7 TMG). Die Sicherheit des smsTAN-Verfahrens der Beklagten, etwa durch Einsatz regelmäßiger Penetrationstests, sei nicht dargetan. Die Beklagte hätte wegen der beträchtlichen Überweisungen an unbekannte Konten in kurzen Abständen eine Nachfragepflicht vor Ausführung der Aufträge getroffen, gegebenenfalls auch unter Einsatz eines automatisierten Monitoring-Systems. Die Online-Banking-Bedingungen der Beklagten hält der Kläger für rechtlich unzulässig.

8

Der Kläger beantragt zuletzt

9

die Beklagte zu verurteilen, das bei der Beklagten geführte Zahlungskonto mit der Nummer IBAN […] wieder auf den Stand zu bringen, auf dem sich das Zahlungskonto des Klägers ohne die Belastung der nicht autorisierten Zahlungsvorgänge in Höhe von 28.170 € zuzüglich Zinsen in Höhe von neun Prozentpunkten über dem jeweils gültigen Basiszinssatz seit dem 13.09.2017 befunden hätte.

10

Die Beklagte beantragt,

11

die Klage abzuweisen.

12

Die Beklagte behauptet, in das Vertragsverhältnis der Parteien seien ihre Bedingungen für das Online-Banking in der Fassung vom Oktober 2009 einbezogen worden, wegen deren Inhalt im Einzelnen auf die Anlage B6 Bezug genommen wird. Diese Bedingungen sehen insbesondere eine Haftung bereits für einfache Fahrlässigkeit vor, wenn der Kunde kein Verbraucher ist. Dem Kläger seien die Bedingungen zur Kenntnis gegeben worden, ohne dass der Kläger widersprochen habe. Die Einbeziehung sei auch durch widerspruchslose Nutzung des Online-Bankings durch den Kläger erfolgt.

13

Die Beklagte behauptet, am 31.08.2017 um 11:29 hätten die Täter auf den Namen des Klägers und unter Verwendung dessen Zugangsdaten eine Ersatz-SIM-Karte ungeklärter Herkunft über das Online-Kundencenter der [X] aktiviert, welche von der [X] nach eigenen Angaben nicht versandt worden sei. Auf diese Weise hätten die Täter die an die Rufnummer des Klägers versandten SMS mit den für die unautorisierten Überweisungsaufträge verwendeten Transaktionsnummern (TANs) abgefangen. Nach Auffassung der Beklagten liege ein Fehlverhalten der [X] vor, da diese eine nicht von ihr versandte Ersatzkarte freigeschaltet habe. Der Kläger müsse für die [X] als seine Erfüllungsgehilfin einstehen, weil der Kläger deren Dienste dazu eingesetzt habe, um das Online-Banking nutzen zu können.

14

Die Beklagte behauptet, das von ihr eingesetzte smsTAN-Verfahren entspreche dem Stand der Technik. Für beide Überweisungsaufträge am 31.08.2017 seien die mit dem Kläger vereinbarten personalisierten Sicherheitsmerkmale und Authentifizierungsinstrumente eingesetzt worden. Bei der Beklagten könnten PIN und TANs nicht abhanden gekommen sein, weil sie der Beklagen nicht vorlägen. Die Systeme der Beklagten seien nicht fehlerhaft gewesen. Da die Schadensursache im Einflussbereich des Klägers liege, trage dieser die Darlegungs- und Beweislast für seine Behauptung, keine Pflichtverletzung begangen zu haben.

15

Die Beklagte ist der Auffassung, der Kläger habe die nicht autorisierten Zahlungen durch Verstoß gegen seine Geheimhaltungspflicht und durch verspätete Anzeige des Verlusts des Zugriffs auf sein Mobiltelefon bei der Beklagten selbst zu vertreten.

16

Es sei davon auszugehen, dass der Kläger die Vertraulichkeit der missbräuchlich genutzten Zugangsdaten zum Online-Banking-Portal der Beklagten nicht mit der gebotenen Sorgfalt gewährleistet habe. Auch habe der Kläger mutmaßlich sein Mobiltelefon nicht sicher vor dem Zugriff Dritter verwahrt. Der Kläger habe zudem seinen Virenscanner nicht rechtzeitig aktualisiert. An die erforderlichen Zugangsdaten könnten die Täter nur gekommen sein, indem der Kläger diese Daten persönlich weitergegeben habe, sie auf eine Phishing-E-Mail preisgegeben habe oder ein Phishing-Trojaner die Daten abgefangen habe. Der Kläger habe keine ausreichenden Sicherheitsvorkehrungen dargetan. Auch eine unbemerkte Drive-by-Infektion könne durch Öffnen von E-Mail-Anhängen aus nicht vertrauenswürdiger Quelle seitens des Klägers erfolgt sein.

17

Eine Pflichtverletzung des Klägers liege vor allem darin, dass der Kläger die nicht mehr funktionierende SIM-Karte am 30.08.2017 nur seiner Telekommunikationsanbieterin, nicht aber auch der Beklagten meldete, so dass diese keine Gelegenheit zur Sperrung des Online-Banking-Zugangs hatte. Eine defekte SIM-Karte sei als Verlust des Authentifizierungsinstruments einzuordnen, weil dieses nicht mehr nutzbar war. Anzeigepflichtig sei im Übrigen bereits die bloße Gefahr einer nicht autorisierten Verwendung. Eine technische Störung begründe eine solche Gefahr.

18

Die Beklagte beantragt zur Herstellung von Waffengleichheit die Beiziehung der strafrechtlichen Ermittlungsakte und vertritt die Auffassung, mangels Verletzteneigenschaft kein eigenes Akteneinsichtsrecht zu haben.

19

Die Parteien haben der [X] den Streit verkündet.

Entscheidungsgründe

20

A. Der Rechtsstreit ist entscheidungsreif. Insbesondere besteht keine Veranlassung zur vorbereitenden Beiziehung der strafrechtlichen Ermittlungsakte. Soweit die Beklagte deren Beiziehung beantragt, fehlt es an der Angabe des Zwecks der begehrten Beiziehung. Die Beiziehung wird nicht zum Zwecke des Beweises einer konkreten Behauptung, also als Beweismittel, beantragt. Das Gericht ist zur Beiziehung einer pauschal in Bezug genommenen Akte mit dem Ziel der Ausforschung des Sachverhalts nicht verpflichtet. Im vorliegenden Fall kommt hinzu, dass die Beklagte gemäß § 406e StPO selbst Einsicht in die strafrechtliche Ermittlungsakte nehmen könnte (vgl. OLG Hamm, Beschluss vom 31. Juli 2001 - 9 U 98/94 -). Sie ist Verletzte des Computerbetrugs durch nicht autorisierte Zahlungsvorgänge (§ 675u BGB), wobei im Rahmen des Betrugstatbestands schon eine Vermögensgefährdung einen Schaden begründen kann (Schönke/Schröder/Perron StGB § 263a Rn. 24). Soweit die Beklagte ein Akteneinsichtsrecht ihrerseits in Abrede stellt, ist nicht dargetan, dass sie Akteneinsicht auch nur beantragt hätte, wie es ihr zumutbarerweise obliegt.

21

B. Die Klage ist zulässig und größtenteils auch begründet. Die §§ 675c ff. BGB sind dabei gemäß Art. 229 § 45 Abs. 2 EGBGB in ihrer bis zum 13. Januar 2018 geltenden Fassung anzuwenden.

22

I. Gemäß § 675u BGB a.F. kann der Kläger von der Beklagten verlangen, sein Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung mit den beiden nicht autorisierten Zahlungsvorgängen am 31.08.2017 in Höhe von 11.270 € und 16.900 € befunden hätte. Dass die Voraussetzungen des § 675u BGB a.F. vorliegen, ist zwischen den Parteien nicht streitig.

23

II. Der Beklagten steht gegen den Kläger kein Schadensersatzanspruch aus § 675v BGB a.F. zu, welchen sie dem Anspruch aus § 675u BGB a.F. entgegen halten könnte.

24

1. Die nicht autorisierte Zahlungsvorgänge am 31.08.2017 beruhten nicht auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments (§ 675v Abs. 1 S. 1 BGB a.F.).

25

Ein Zahlungsauthentifizierungsinstrument ist nach § 1 ZAG a.F. jedes personalisierte Instrument oder Verfahren, das zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister für die Erteilung von Zahlungsaufträgen vereinbart wird und das vom Zahlungsdienstnutzer eingesetzt wird, um einen Zahlungsauftrag zu erteilen. Der Begriff des Abhandenkommens entspricht dem des § 935 BGB (BeckOK BGB/Schmalenbach BGB § 675v BGB, Rn. 3). Voraussetzung ist der Verlust des unmittelbaren Besitzes gegen oder ohne den Willen des Nutzers (MüKoBGB/Zetzsche BGB § 675v BGB, Rn. 15).

26

Fraglich ist im vorliegenden Fall bereits, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern (so Staudinger/Omlor (2012) § 675c BGB, Rn. 17 m.w.N.). Jedenfalls ist dem Kläger weder sein Mobiltelefon noch seine SIM-Karte verlorengegangen, gestohlen worden oder sonst abhanden gekommen. Der Kläger hat den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Wenn die SIM-Karte nicht mehr funktionierte, so stellte dies nach dem eindeutigen Wortlaut kein Abhandenkommen dar. Es wäre dem Nutzer eines Mobiltelefons auch unzumutbar, jede Funktionsstörung sämtlichen Anbietern der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.

27

Zu keinem anderen Ergebnis führt der Vorwurf der Beklagten, die Streitverkündete als Mobilfunkanbieterin des Klägers habe durch Freischaltung der nicht von der Streitverkündeten an den Kläger versandten Ersatz-SIM-Karte die unautorisierten Transaktionen schuldhaft ermöglicht. Dem Kläger gemäß § 278 BGB ein Verschulden der Streitverkündeten wegen Übermittlung der SMS mit den eingesetzten Transaktionsnummern (TANs) an Unbefugte zuzurechnen, scheitert schon an § 675m Abs. 2 BGB, welcher die Gefahr der Versendung personalisierter Sicherheitsmerkmale an den Zahlungsdienstnutzer dem Zahlungsdienstleister zuweist. Die Vorschrift gilt auch für die elektronische Versendung (MüKoBGB/Jungmann, § 675m BGB, Rn. 37). Auch wenn der Kläger die Streitverkündete als Telekommunikationsanbieterin ausgewählt hat, ist es gleichwohl interessengerecht, das Übermittlungsrisiko der Beklagten als Zahlungsdienstleisterin zuzuweisen, weil sich deren Dienstleistung - nämlich das Online-Banking im smsTAN-Verfahren - überhaupt nur mit Mobilfunkvertrag nutzen lässt.

28

Im Übrigen liegt auch in der Person der Streitverkündeten kein Fall des § 675v Abs. 1 S. 1 BGB a.F. vor. Ihr ist die für die nicht autorisierten Zahlungsvorgänge genutzte SIM-Karte weder verlorengegangen, gestohlen worden oder sonst abhanden gekommen. Nach Angaben der Streitverkündeten soll die genutzte Ersatz-SIM-Karte auf ungeklärte Weise in die Hände der Täter gelangt sein, womit ein Abhandenkommen nicht dargetan ist. Wenn es tatsächlich möglich gewesen sein sollte, eine nicht von der Streitverkündeten an den Kläger versandte Ersatz-SIM-Karte anstelle der Karte des Klägers freizuschalten und einzusetzen, so liegt zwar eine schwerwiegende Sicherheitslücke im Verantwortungsbereich der Streitverkündeten nahe, aber eben kein Fall des § 675v Abs. 1 S. 1 BGB a.F. Etwaige Ansprüche der Beklagten gegen die Streitverkündete sind nicht Gegenstand dieses Rechtsstreits.

29

2. Es liegt kein Fall vor, in dem der Schaden infolge einer sonstigen missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments entstanden ist und der Zahler die personalisierten Sicherheitsmerkmale nicht sicher aufbewahrt hat (§ 675v Abs. 1 S. 2 BGB a.F.).

30

Personalisierte Sicherheitsmerkmale sind solche, die eine Authentifizierung erlauben, wie TAN und PIN im Online-Banking (MüKoBGB/Jungmann BGB § 675j BGB, Rn. 40 f.). Sicher aufbewahrt sind die Merkmale, wenn der Zahler alle zumutbaren Vorkehrungen trifft, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (vgl. § 675l S. 1 BGB a.F.).

31

Es ist im vorliegenden Fall nicht nachgewiesen, dass der Kläger die personalisierten Sicherheitsmerkmale unsicher aufbewahrt habe. Es ist bereits nicht dargetan, dass der Kläger seine Online-Banking-PIN überhaupt (außerhalb seines Gedächtnisses) „aufbewahrt“ hat.

32

Alleine der (klägerseits bestrittene) Umstand, dass die korrekte PIN zur Durchführung der Überweisung zum Einsatz gekommen sei, lässt nicht darauf schließen, dass der Kläger die PIN nicht sicher aufbewahrt habe. Ein entsprechender Erfahrungssatz im Sinne eines typischen, regelhaften Geschehensablaufs ist nicht ersichtlich. Auch bei Anwendung der zumutbaren Sorgfalt ist ein unbefugter Zugriff auf personalisierte Sicherheitsmerkmale erfahrungsgemäß nicht auszuschließen. Es kommt immer wieder vor, dass Nutzereingaben wie die Eingabe eines PIN-Codes mithilfe von Schadsoftware abgefangen werden. Dabei ist allgemein bekannt, dass die Infektion eines informationstechnischen Systems mit Schadsoftware häufig auch vom Anwender unbemerkt beim Besuch von Webseiten (sogenannte Drive-by-Downloads) erfolgt (vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2017; BKA, Bundeslagebild Cybercrime 2016), woraus dem Anwender kein Vorwurf zu machen ist. Auch durch Öffnen von E-Mails aus (scheinbar) vertrauenswürdiger Quelle kann eine unbemerkte Infektion mit Schadsoftware erfolgen, ohne dass dem Anwender daraus ein Vorwurf zu machen ist. Selbst aktuelle Virenschutzprogramme bieten stets nur gegen einen Teil der vorhandenen Schadprogramme Schutz.

33

Eine Umkehr der Beweislast ergibt sich nicht daraus, dass die Aufbewahrung der Sicherheitsmerkmale ausschließlich in der Sphäre des Zahlers erfolgt und die Beklagte darauf keinen Einfluss hat. Aus dem Wortlaut des § 675v Abs. 1 S. 2 BGB ergibt sich eindeutig, dass die unsichere Aufbewahrung Voraussetzung eines Anspruchs des Zahlungsdienstleisters ist, wobei die Anspruchsvoraussetzungen nach allgemeinen Grundsätzen von demjenigen nachzuweisen sind, der den Anspruch geltend macht. Auch § 675w S. 3 Nr. 3 i.V.m. § 675l S. 1 BGB a.F. geht ersichtlich davon aus, dass den Zahlungsdienstleister hinsichtlich der Frage der sicheren Aufbewahrung personalisierter Sicherheitsmerkmale die Beweislast trifft (so auch MüKoBGB/Zetzsche, § 675v BGB, Rn. 54).

34

Der Beklagten kommen die Grundsätze der sekundären Darlegungslast zugute. Danach muss der Zahler dem Vorwurf der unsicheren Aufbewahrung substantiiert entgegen treten und zu den Sicherheitsvorkehrungen vortragen. Dies hat der Kläger hier in der mündlichen Verhandlung ausreichend getan. Die Beklagte hatte Gelegenheit, den Kläger zu den angewandten Sicherheitsvorkehrungen zu befragen. Diese Befragung hat keinen Umstand ergeben, aus welcher dem Kläger der Vorwurf einer unsicheren Aufbewahrung seiner PIN zu machen wäre.

35

Dem Zahlungsdienstleister ist es zumutbar, das verbleibende Restrisiko der Unaufklärbarkeit der Schadensursache zu tragen. Denn sein gewerbliches Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, welches einzukalkulieren ist.

36

Dem Kläger gemäß § 278 BGB ein Verschulden der Streitverkündeten wegen Übermittlung der SMS mit den eingesetzten Transaktionsnummern (TANs) an Unbefugte zuzurechnen, scheitert schon an § 675m Abs. 2 BGB, wie oben ausgeführt worden ist. Die Streitverkündete ist im Übrigen bezüglich § 675v Abs. 1 S. 2 BGB a.F. nicht Erfüllungsgehilfin des Klägers, weil sich der Kläger ihrer nicht zur Erfüllung seiner Pflicht zur sicheren Aufbewahrung der personalisierten Sicherheitsmerkmale bedient hat. Der Streitverkündeten oblag zwar die Übermittlung der Transaktionsnummern (TANs), die von den Tätern missbräuchlich eingesetzt wurden. Die Übermittlung ist aber nach dem allgemeinen Sprachverständnis zu unterscheiden von der Aufbewahrung.

37

3. Der Kläger hat die nicht autorisierten Zahlungsvorgänge nicht durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l BGB herbeigeführt (§ 675v Abs. 2 Nr. 1 BGB a.F.).

38

a) Es ist nicht nachgewiesen, dass der Kläger die Zahlungsvorgänge durch vorsätzliche oder grob fahrlässige Verletzung der Pflicht herbeigeführt habe, alle zumutbaren Vorkehrungen zu treffen, um unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (§ 675l S. 1 BGB a.F.).

39

aa) Dass der Kläger zumutbare Vorkehrungen zum Schutz von PIN und TAN unterlassen habe, hat die Beklagte nicht nachgewiesen. Es kann offen bleiben, ob der Kläger auf seinem zum Online-Banking genutzten PC zum Schutz vor Schadsoftware ein Virenschutzprogramm installieren, verwenden und auf dem aktuellen Stand halten musste, weil der Kläger unwiderlegt vorträgt, dies getan zu haben. Soweit die Beklagte die Richtigkeit dieses Vortrags bestreitet, verkennt sie, dass ihr der Nachweis einer Pflichtverletzung obliegt und den Kläger insoweit lediglich eine sekundäre Darlegungslast trifft. Die sekundäre Darlegungslast schließt nicht die Verpflichtung zur Vorlage von Belegen oder Nachweisen ein. Im Übrigen bestehen auch Bedenken gegen die Annahme einer Pflicht zur Installation und Verwendung einer besonderen Software zum Schutz vor Schadsoftware, soweit sie nicht bereits Bestandteil marktüblicher Betriebssysteme ist (entgegen Spindler in: Kullmann/Pfister/Stöhr/Spindler, Produzentenhaftung, 02/17, Produktverantwortung und Haftung im IT-Bereich), was die Beklagte nicht geltend macht. Der Bundesgerichtshof hat im Zusammenhang mit WLAN-Routern jedenfalls für private Verwender ausgesprochen, es würde diese unzumutbar belasten und wäre damit unverhältnismäßig, wenn ihnen zur Pflicht gemacht würde, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden (BGH, Urteil vom 12. Mai 2010 - I ZR 121/08 -, BGHZ 185, 330-341, Rn. 23). Der Bundesgerichtshof fordert lediglich die zweckentsprechende Anwendung der im Kaufzeitpunkt marktüblichen Sicherungen, wozu im entschiedenen Fall die Vergabe eines individuellen Passworts zum „Mindeststandard“ der IT-Sicherheit gezählt wurde (a.a.O.). Vom privaten Käufer eines marktüblichen PC, von dem technische Vorkenntnisse nicht unbedingt erwartet werden können, dürfte die Installation und Verwendung von Schutzsoftware danach nur zu fordern sein, soweit diese mitgeliefert wird und ihre Aktivierung bei Inbetriebnahme angeboten wird. Zu höheren Anforderungen an Verbraucher besteht keine Veranlassung, weil die (optionale) Bereitstellung von Sicherheitsvorkehrungen eher von den gewerblichen Herstellern informationstechnischer Geräte geleistet werden kann als von deren Verwendern. Ob für Einzelgewerbetreibende höhere Anforderungen gelten, kann hier offen bleiben.

40

Es gibt auch keinen Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 2 BGB a.F. obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann (BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14 -, BGHZ 208, 331-357, Rn. 68). Wie oben ausgeführt, ist es nicht ungewöhnlich, dass es ohne Verschulden des Zahlenden zu unautorisierten Transaktionen kommt.

41

Eine Umkehr der Beweislast ergibt sich nicht daraus, dass die Aufbewahrung der Sicherheitsmerkmale ausschließlich in der Sphäre des Zahlers erfolgt und die Beklagte darauf keinen Einfluss hat. Eine solche Umkehr der Beweislast hat der Bundesgerichtshof in der genannten Entscheidung zurecht nicht angenommen. Aus dem Wortlaut des § 675v Abs. 2 Nr. 1 BGB a.F. ergibt sich eindeutig, dass die schuldhafte Pflichtverletzung Voraussetzung eines Anspruchs des Zahlungsdienstleisters ist, wobei die Anspruchsvoraussetzungen nach allgemeinen Grundsätzen von demjenigen nachzuweisen sind, der den Anspruch geltend macht. Auch § 675w S. 3 Nr. 3 i.V.m. § 675l S. 1 BGB a.F. geht ersichtlich davon aus, dass den Zahlungsdienstleister hinsichtlich der Frage der sicheren Aufbewahrung personalisierter Sicherheitsmerkmale die Beweislast trifft (so auch MüKoBGB/Zetzsche, § 675v BGB, Rn. 54). Schließlich fordert § 675w S. 4 BGB a.F. die Vorlage unterstützender Beweismittel, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen, ohne dass die Beklagte im vorliegenden Fall solche Beweismittel vorgelegt hätte.

42

Der Beklagten kommen die Grundsätze der sekundären Darlegungslast zugute. Danach muss der Zahler dem Vorwurf der unzureichenden Sicherungsvorkehrungen substantiiert entgegen treten und zu den Sicherheitsvorkehrungen vortragen. Dies hat der Kläger hier in der mündlichen Verhandlung ausreichend getan. Die Beklagte hatte Gelegenheit, den Kläger zu den angewandten Sicherheitsvorkehrungen zu befragen. Diese Befragung hat keinen Umstand ergeben, aus welcher dem Kläger der Vorwurf einer unsicheren Aufbewahrung seiner personalisierten Sicherheitsmerkmale zu machen wäre. Soweit die Beklagte in dem nachgelassenen Schriftsatz vom 01.06.2018 näheren Vortrag des Klägers zu Schutzvorkehrungen bezüglich seines Mobiltelefons vermisst, ist nicht dargetan, welche zumutbaren Schutzvorkehrungen bezüglich des Mobiltelefons (über den üblichen Passwortschutz hinaus) der Kläger außer Acht gelassen haben soll. Soweit die Beklagte in dem nachgelassenen Schriftsatz vom 01.06.2018 die Vermutung äußert, der Kläger könne einen E-Mail-Anhang aus nicht vertrauenswürdiger Quelle geöffnet haben, bestreitet der Kläger einen derartigen Infektionsweg mit nachgelassenem Schriftsatz vom 29.05.2018 ausdrücklich.

43

Dem Zahlungsdienstleister ist es zumutbar, das verbleibende Restrisiko der Unaufklärbarkeit der Schadensursache zu tragen. Denn sein gewerbliches Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, welches einzukalkulieren ist.

44

Dem Kläger gemäß § 278 BGB eine etwaige Pflichtverletzung der Streitverkündeten wegen Übermittlung der SMS mit den eingesetzten Transaktionsnummern (TANs) an Unbefugte zuzurechnen, scheitert schon an § 675m Abs. 2 BGB, wie oben ausgeführt worden ist.

45

bb) Da bereits keine Pflichtverletzung seitens des Klägers nachgewiesen ist, kommt es nicht mehr darauf an, ob der Kläger unzureichende Sicherungsvorkehrungen zu vertreten hätte und ob sie für den Schaden ursächlich geworden sind.

46

Gleichwohl gibt der zentrale Streitpunkt des Haftungsmaßstabs Veranlassung zu der Feststellung, dass der Kläger nicht aufgrund vertraglicher Vereinbarung schon für leicht fahrlässige Pflichtverletzungen haftete. Der Beklagten ist der Nachweis einer solchen von § 675v Abs. 2 BGB a.F. abweichenden Vereinbarung der Parteien nicht gelungen. Soweit die Beklagte auf allgemeine Geschäftsbedingungen („Bedingungen für das Online-Banking“) verweist, ist deren Einbeziehung in den Vertrag nicht nachgewiesen. Allgemeine Geschäftsbedingungen werden nur dann Bestandteil eines Vertrags, wenn der Verwender bei Vertragsschluss die andere Vertragspartei auf sie hinweist, der anderen Vertragspartei die Möglichkeit der Kenntnisnahme verschafft und wenn die andere Vertragspartei mit ihrer Geltung einverstanden ist (§ 305 Abs. 2 BGB). Im vorliegenden Fall ist bereits nicht nachgewiesen, dass der Kläger auf die „Bedingungen für das Online-Banking“ hingewiesen worden sei, obwohl dies anlässlich der Vereinbarung des smsTAN-Verfahrens zwischen den Parteien im Jahr 2011 nahe gelegen hätte. Die Beklagte hätte sich bei dieser Gelegenheit unschwer von dem Kläger die Geltung ihrer Bedingungen bestätigen lassen können, wie es im Jahr 2007 für die damaligen Geschäftsbedingungen auch geschehen war. Bei der erstmaligen Vereinbarung des Online-Banking-Zugangs zwischen den Parteien im Jahr 2007 verwendete die Beklagte die „Bedingungen für das Online-Banking“, auf welche sie sich im Rechtsstreit beruft, jedoch unstreitig noch nicht. Dass die Beklagte alle Kunden auf ihre 2009 eingeführten „Bedingungen für das Online-Banking“ hingewiesen haben will und dass deswegen auch dem Kläger ein entsprechender Hinweis zugegangen sei, ist bestritten und nicht nachgewiesen. Ist der Kläger demnach nicht nachgewiesenermaßen auf die „Bedingungen für das Online-Banking“ hingewiesen worden, so konnte die Beklagte auch die weitere Nutzung des Online-Banking durch den Kläger nicht als Einverständnis in deren Geltung verstehen.

47

b) Es ist nicht nachgewiesen, dass der Kläger die Zahlungsvorgänge durch vorsätzliche oder grob fahrlässige Verletzung der Pflicht herbeigeführt habe, dem Zahlungsdienstleister den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat (§ 675l S. 2 BGB a.F.).

48

Der Kläger hatte vor Durchführung der Überweisungen keine Kenntnis von einer missbräuchlichen Verwendung oder sonst nicht autorisierten Nutzung eines Zahlungsauthentifizierungsinstruments. Nachdem er nachträglich Kenntnis davon erlangt hatte, setzte er unstreitig unverzüglich die Beklagte in Kenntnis.

49

Der Kläger hatte vor Durchführung der Überweisungen keine Kenntnis von einem Verlust oder Diebstahl seines Mobiltelefons oder seiner SIM-Karte. Fraglich ist im vorliegenden Fall bereits, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern (so Staudinger/Omlor (2012) § 675c BGB, Rn. 17 m.w.N.). Jedenfalls ist dem Kläger weder sein Mobiltelefon noch seine SIM-Karte verlorengegangen oder gestohlen worden. Der Kläger hat den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Dass die SIM-Karte nicht mehr funktionierte, stellte nach dem eindeutigen Gesetzeswortlaut keinen Verlust und auch keinen Diebstahl dar. Es wäre dem Nutzer eines Mobiltelefons auch unzumutbar, jede Funktionsstörung sämtlichen Anbietern der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.

50

Soweit die Beklagte die Ansicht vertritt, der Kläger hätte ihr schon die Gefahr einer missbräuchlichen Verwendung anzeigen müssen, trifft dies nicht zu. Vertraglich vereinbart wurde eine derartige Anzeigepflicht nicht, weil die von der Beklagten angeführten Geschäftsbedingungen - wie bereits ausgeführt - nicht nachgewiesenermaßen Vertragsbestandteil geworden sind. Auch gesetzlich besteht keine Pflicht zur Anzeige jeder Gefahr einer missbräuchlichen Verwendung. Der eindeutige Gesetzeswortlaut des § 675l S. 2 BGB a.F. setzt - im Einklang mit Art. 56 RiL 2007/64/EG - ausdrücklich positive „Kenntnis“ des Zahlers vom Verlust oder den weiteren beschriebenen Vorfällen voraus. Im Übrigen ist nicht nachgewiesen, dass der Kläger Kenntnis auch nur von der Gefahr einer missbräuchlichen Verwendung seiner Rufnummer hatte. Dem Kläger ist nicht zu widerlegen, dass er lediglich von einer technischen Störung ausging.

51

4. Der Kläger hat die nicht autorisierten Zahlungsvorgänge nicht durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt (§ 675v Abs. 2 Nr. 2 BGB a.F.). Die Beklagte hat - wie bereits ausgeführt - nicht nachgewiesen, dass die von ihr angeführten Geschäftsbedingungen Vertragsbestandteil geworden seien.

52

III. Einen Anspruch auf Verzinsung hat der Kläger nicht. Der Anspruch aus § 675u S. 2 BGB auf Rückgängigmachung der Belastungsbuchung ist nicht verzinslich, weil er keine Geldschuld im Sinne des § 288 BGB darstellt.

53

C. Die Kostenentscheidung beruht auf § 92 Abs. 2 Nr. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf § 709 ZPO.


Meta
Referenzen
Wird zitiert von

Keine Referenz gefunden.

Zitiert

XI ZR 91/14

I ZR 121/08

§ 92 ZPO


(1) 1Wenn jede Partei teils obsiegt, teils unterliegt, so sind die Kosten gegeneinander aufzuheben oder verhältnismäßig zu teilen. 2Sind die Kosten gegeneinander aufgehoben, so fallen die Gerichtskosten jeder Partei zur Hälfte zur Last.

(2) Das Gericht kann der einen Partei die gesamten Prozesskosten auferlegen, wenn

1.
die Zuvielforderung der anderen Partei verhältnismäßig geringfügig war und keine oder nur geringfügig höhere Kosten veranlasst hat oder
2.
der Betrag der Forderung der anderen Partei von der Festsetzung durch richterliches Ermessen, von der Ermittlung durch Sachverständige oder von einer gegenseitigen Berechnung abhängig war.

§ 709 ZPO


1Andere Urteile sind gegen eine der Höhe nach zu bestimmende Sicherheit für vorläufig vollstreckbar zu erklären. 2Soweit wegen einer Geldforderung zu vollstrecken ist, genügt es, wenn die Höhe der Sicherheitsleistung in einem bestimmten Verhältnis zur Höhe des jeweils zu vollstreckenden Betrages angegeben wird. 3Handelt es sich um ein Urteil, das ein Versäumnisurteil aufrechterhält, so ist auszusprechen, dass die Vollstreckung aus dem Versäumnisurteil nur gegen Leistung der Sicherheit fortgesetzt werden darf.

§ 675u BGB


1Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. 2Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. 3Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. 4Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. 5Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister.

§ 675c BGB


(1) Auf einen Geschäftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, sind die §§ 663, 665 bis 670 und 672 bis 674 entsprechend anzuwenden, soweit in diesem Untertitel nichts Abweichendes bestimmt ist.

(2) Die Vorschriften dieses Untertitels sind auch auf einen Vertrag über die Ausgabe und Nutzung von E-Geld anzuwenden.

(3) Die Begriffsbestimmungen des Kreditwesengesetzes und des Zahlungsdiensteaufsichtsgesetzes sind anzuwenden.

(4) Die Vorschriften dieses Untertitels sind mit Ausnahme von § 675d Absatz 2 Satz 2 sowie Absatz 3 nicht auf einen Vertrag über die Erbringung von Kontoinformationsdiensten anzuwenden.

§ 675v BGB


(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) 1Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. 2Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. 3Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

§ 935 BGB


(1) 1Der Erwerb des Eigentums auf Grund der §§ 932 bis 934 tritt nicht ein, wenn die Sache dem Eigentümer gestohlen worden, verloren gegangen oder sonst abhanden gekommen war. 2Das Gleiche gilt, falls der Eigentümer nur mittelbarer Besitzer war, dann, wenn die Sache dem Besitzer abhanden gekommen war.

(2) Diese Vorschriften finden keine Anwendung auf Geld oder Inhaberpapiere sowie auf Sachen, die im Wege öffentlicher Versteigerung oder in einer Versteigerung nach § 979 Absatz 1a veräußert werden.

§ 278 BGB


1Der Schuldner hat ein Verschulden seines gesetzlichen Vertreters und der Personen, deren er sich zur Erfüllung seiner Verbindlichkeit bedient, in gleichem Umfang zu vertreten wie eigenes Verschulden. 2Die Vorschrift des § 276 Abs. 3 findet keine Anwendung.

§ 675m BGB


(1) Der Zahlungsdienstleister, der ein Zahlungsinstrument ausgibt, ist verpflichtet,

1.
unbeschadet der Pflichten des Zahlungsdienstnutzers gemäß § 675l Absatz 1 sicherzustellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsinstruments nur der zur Nutzung berechtigten Person zugänglich sind,
2.
die unaufgeforderte Zusendung von Zahlungsinstrumenten an den Zahlungsdienstnutzer zu unterlassen, es sei denn, ein bereits an den Zahlungsdienstnutzer ausgegebenes Zahlungsinstrument muss ersetzt werden,
3.
sicherzustellen, dass der Zahlungsdienstnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige gemäß § 675l Absatz 1 Satz 2 vorzunehmen oder die Aufhebung der Sperrung gemäß § 675k Absatz 2 Satz 5 zu verlangen,
4.
dem Zahlungsdienstnutzer eine Anzeige gemäß § 675l Absatz 1 Satz 2 kostenfrei zu ermöglichen und
5.
jede Nutzung des Zahlungsinstruments zu verhindern, sobald eine Anzeige gemäß § 675l Absatz 1 Satz 2 erfolgt ist.
Hat der Zahlungsdienstnutzer den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments angezeigt, stellt sein Zahlungsdienstleister ihm auf Anfrage bis mindestens 18 Monate nach dieser Anzeige die Mittel zur Verfügung, mit denen der Zahlungsdienstnutzer beweisen kann, dass eine Anzeige erfolgt ist.

(2) Die Gefahr der Versendung eines Zahlungsinstruments und der Versendung personalisierter Sicherheitsmerkmale des Zahlungsinstruments an den Zahlungsdienstnutzer trägt der Zahlungsdienstleister.

(3) Hat ein Zahlungsdienstleister, der kartengebundene Zahlungsinstrumente ausgibt, den kontoführenden Zahlungsdienstleister des Zahlers um Bestätigung ersucht, dass ein für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderlicher Betrag auf dem Zahlungskonto verfügbar ist, so kann der Zahler von seinem kontoführenden Zahlungsdienstleister verlangen, ihm die Identifizierungsdaten dieses Zahlungsdienstleisters und die erteilte Antwort mitzuteilen.

§ 675j BGB


(1) 1Ein Zahlungsvorgang ist gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). 2Die Zustimmung kann entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmigung erteilt werden. 3Art und Weise der Zustimmung sind zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren. 4Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann.

(2) 1Die Zustimmung kann vom Zahler durch Erklärung gegenüber dem Zahlungsdienstleister so lange widerrufen werden, wie der Zahlungsauftrag widerruflich ist (§ 675p). 2Auch die Zustimmung zur Ausführung mehrerer Zahlungsvorgänge kann mit der Folge widerrufen werden, dass jeder nachfolgende Zahlungsvorgang nicht mehr autorisiert ist.

§ 675l BGB


(1) 1Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. 2Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. 3Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

§ 675w BGB


Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister und gegebenenfalls einen Zahlungsauslösedienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

1.
den Zahlungsvorgang autorisiert,
2.
in betrügerischer Absicht gehandelt,
3.
eine oder mehrere Pflichten gemäß § 675l Absatz 1 verletzt oder
4.
vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments verstoßen
hat. Der Zahlungsdienstleister muss unterstützende Beweismittel vorlegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen.

§ 13 TMG


(1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

1.
der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2.
die Einwilligung protokolliert wird,
3.
der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4.
der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) 1Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. 2Absatz 1 Satz 3 gilt entsprechend.

(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1.
der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
2.
die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,
3.
der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
4.
die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
5.
Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und
6.
Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.
An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

(6) 1Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. 2Der Nutzer ist über diese Möglichkeit zu informieren.

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1.
kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2.
diese
a)
gegen Verletzungen des Schutzes personenbezogener Daten und
b)
gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

(8) 1Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. 2Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.

§ 305 BGB


(1) 1Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. 2Gleichgültig ist, ob die Bestimmungen einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertragsurkunde selbst aufgenommen werden, welchen Umfang sie haben, in welcher Schriftart sie verfasst sind und welche Form der Vertrag hat. 3Allgemeine Geschäftsbedingungen liegen nicht vor, soweit die Vertragsbedingungen zwischen den Vertragsparteien im Einzelnen ausgehandelt sind.

(2) Allgemeine Geschäftsbedingungen werden nur dann Bestandteil eines Vertrags, wenn der Verwender bei Vertragsschluss

1.
die andere Vertragspartei ausdrücklich oder, wenn ein ausdrücklicher Hinweis wegen der Art des Vertragsschlusses nur unter unverhältnismäßigen Schwierigkeiten möglich ist, durch deutlich sichtbaren Aushang am Ort des Vertragsschlusses auf sie hinweist und
2.
der anderen Vertragspartei die Möglichkeit verschafft, in zumutbarer Weise, die auch eine für den Verwender erkennbare körperliche Behinderung der anderen Vertragspartei angemessen berücksichtigt, von ihrem Inhalt Kenntnis zu nehmen,
und wenn die andere Vertragspartei mit ihrer Geltung einverstanden ist.

(3) Die Vertragsparteien können für eine bestimmte Art von Rechtsgeschäften die Geltung bestimmter Allgemeiner Geschäftsbedingungen unter Beachtung der in Absatz 2 bezeichneten Erfordernisse im Voraus vereinbaren.

§ 288 BGB


(1) 1Eine Geldschuld ist während des Verzugs zu verzinsen. 2Der Verzugszinssatz beträgt für das Jahr fünf Prozentpunkte über dem Basiszinssatz.

(2) Bei Rechtsgeschäften, an denen ein Verbraucher nicht beteiligt ist, beträgt der Zinssatz für Entgeltforderungen neun Prozentpunkte über dem Basiszinssatz.

(3) Der Gläubiger kann aus einem anderen Rechtsgrund höhere Zinsen verlangen.

(4) Die Geltendmachung eines weiteren Schadens ist nicht ausgeschlossen.

(5) 1Der Gläubiger einer Entgeltforderung hat bei Verzug des Schuldners, wenn dieser kein Verbraucher ist, außerdem einen Anspruch auf Zahlung einer Pauschale in Höhe von 40 Euro. 2Dies gilt auch, wenn es sich bei der Entgeltforderung um eine Abschlagszahlung oder sonstige Ratenzahlung handelt. 3Die Pauschale nach Satz 1 ist auf einen geschuldeten Schadensersatz anzurechnen, soweit der Schaden in Kosten der Rechtsverfolgung begründet ist.

(6) 1Eine im Voraus getroffene Vereinbarung, die den Anspruch des Gläubigers einer Entgeltforderung auf Verzugszinsen ausschließt, ist unwirksam. 2Gleiches gilt für eine Vereinbarung, die diesen Anspruch beschränkt oder den Anspruch des Gläubigers einer Entgeltforderung auf die Pauschale nach Absatz 5 oder auf Ersatz des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ausschließt oder beschränkt, wenn sie im Hinblick auf die Belange des Gläubigers grob unbillig ist. Eine Vereinbarung über den Ausschluss der Pauschale nach Absatz 5 oder des Ersatzes des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ist im Zweifel als grob unbillig anzusehen. 3Die Sätze 1 bis 3 sind nicht anzuwenden, wenn sich der Anspruch gegen einen Verbraucher richtet.

§ 406e StPO


(1) 1Für den Verletzten kann ein Rechtsanwalt die Akten, die dem Gericht vorliegen oder diesem im Falle der Erhebung der öffentlichen Klage vorzulegen wären, einsehen sowie amtlich verwahrte Beweisstücke besichtigen, soweit er hierfür ein berechtigtes Interesse darlegt. 2In den in § 395 genannten Fällen bedarf es der Darlegung eines berechtigten Interesses nicht.

(2) 1Die Einsicht in die Akten ist zu versagen, soweit überwiegende schutzwürdige Interessen des Beschuldigten oder anderer Personen entgegenstehen. 2Sie kann versagt werden, soweit der Untersuchungszweck, auch in einem anderen Strafverfahren, gefährdet erscheint. 3Sie kann auch versagt werden, wenn durch sie das Verfahren erheblich verzögert würde, es sei denn, dass die Staatsanwaltschaft in den in § 395 genannten Fällen den Abschluss der Ermittlungen in den Akten vermerkt hat.

(3) 1Der Verletzte, der nicht durch einen Rechtsanwalt vertreten wird, ist in entsprechender Anwendung der Absätze 1 und 2 befugt, die Akten einzusehen und amtlich verwahrte Beweisstücke unter Aufsicht zu besichtigen. 2Werden die Akten nicht elektronisch geführt, können ihm an Stelle der Einsichtnahme in die Akten Kopien aus den Akten übermittelt werden. 3§ 480 Absatz 1 Satz 3 und 4 gilt entsprechend.

(4) 1Über die Gewährung der Akteneinsicht entscheidet im vorbereitenden Verfahren und nach rechtskräftigem Abschluß des Verfahrens die Staatsanwaltschaft, im übrigen der Vorsitzende des mit der Sache befaßten Gerichts. 2Gegen die Entscheidung der Staatsanwaltschaft nach Satz 1 kann gerichtliche Entscheidung durch das nach § 162 zuständige Gericht beantragt werden. 3Die §§ 297 bis 300, 302, 306 bis 309, 311a und 473a gelten entsprechend. 4Die Entscheidung des Gerichts ist unanfechtbar, solange die Ermittlungen noch nicht abgeschlossen sind. 5Diese Entscheidungen werden nicht mit Gründen versehen, soweit durch deren Offenlegung der Untersuchungszweck gefährdet werden könnte.

(5) (weggefallen)

(6) (weggefallen)

x